355 500 произведений, 25 200 авторов.

Электронная библиотека книг » Dan Holme » Настройка Active Directory. Windows Server 2008 » Текст книги (страница 91)
Настройка Active Directory. Windows Server 2008
  • Текст добавлен: 8 октября 2016, 16:34

Текст книги "Настройка Active Directory. Windows Server 2008"


Автор книги: Dan Holme


Соавторы: Danielle Ruest,Nelson Ruest

Жанр:

   

ОС и Сети


сообщить о нарушении

Текущая страница: 91 (всего у книги 91 страниц)

Глава 15. Ответ на вопрос сценария

Сценарий. Управление отзывом сертификатов

И д и т е с э т о й и н ф о р м а ц и е й к руководству, которое должно немедленно при-

н я т ь м е р ы , ч т о б ы д в о е б ы в ш и х сотрудников перестали продавать сертифика-

ты с п р и к р е п л е н н ы м и м е н е м C o n t o s o . Кроме того, персонал отдела продаж

д о л ж е н и н и ц и и р о в а т ь н е к о т о р ы е операции с клиентами по предупреждению

и у с т р а н е н и ю о т к а з о в . Н а л и ч и е на р ы н к е программного обеспечения не от

к о м п а н и и C o n t o s o , но с с е р т и ф и к а т а м и Contoso, может значительно повредить

р е п у т а ц и и к о м п а н и и .

Ч т о же к а с а е т с я вас, вы немедленно д о л ж н ы блокировать использование

с е р т и ф и к а т о в . Д л я этого н е о б х о д и м о вначале подключить к сети корневой

ц е н т р с е р т и ф и к а ц и и . З а т е м в узле Центр с е р т и ф и к а ц и и (Certification Author-

i t y ) д и с п е т ч е р а сервера (Server M a n a g e r ) н у ж н о отозвать два похищенных сер-

т и ф и к а т а . П о с л е а н н у л и р о в а н и я этих сертификатов все другие сертификаты,

в ы д а н н ы е на их основе, а в т о м а т и ч е с к и станут недействительными.

Ответы

| Затем необходимо о п у б л и к о в а т ь с п и с о к о т з ы в а с е р т и ф и к а т о в C K R (Ccrtifi-

! cate Revocation List). Д л я этого и с п о л ь з у е т с я и а п к а О т о з в а н н ы е с е р т и ф и к а т ы

(Revoked Certificates) » к о н с о л и Ц е н т р с е р т и ф и к а ц и и ( C e r t i f i c a t i o n A u t h o r -

ity). К сожалению, д а ж е при н е м е д л е н н о й п у б л и к а ц и и э т о г о н о в о г о с п и с к а

CLR клиенты не обновят свои с п и с к и C L R до с л е д у ю щ е г о з а п у с к а процесса

обновления, что з а в и с и т от их к о н ф и г у р а ц и и о б н о в л е н и я .

действ*те

даЛспм» юс твкуш*0

Тип пубяикучмогоСК!

(* Нов«*> бвювмЛ Cf

Пгбмкаиий голно

саргмеимтав и м

rVtfn»***» epeiKi

CRL camam»1* с

И наконец, ваша организация должна сделать о ф и ц и а л ь н о е з а я в л е н и е о двух

утерянных сертификатах. Все к л и е н т ы C o n t o s o д о л ж н ы з н а т ь об у г р о з е и про-

верять каждый получаемый с е р т и ф и к а т с и м е н е м C o n t o s o , п о к а п о х и щ е н н ы е

сертификаты не будут отозваны.

Как видите, безопасность корневого ц е н т р а с е р т и ф и к а ц и и и г р а е т р е ш а ю -

щую роль в архитектуре PKI.

Глава 16. Ответы на вопросы занятий

Занятие 1

1. Правильный ответ: Г.

A . Н е п р а в и л ь н ы й С л у ж б ы A D R M S з а п у щ е н ы и а с е р в е р е , п о с к о л ь к у

узел AD R M S доступен в д и с п е т ч е р е с е р в е р а ( S e r v e r M a n a g e r ) .

Б. Неправильный П о д л и н н о с т ь с е р т и ф и к а т а сервера п р о в е р я е т с я в про-

цессе установки. Иа худой к о н е ц всегда м о ж н о и с п о л ь з о в а т ь с а м о з а в е -

ряющий сертификат. П р о б л е м а с в я з а н а не с э т и м .

B . Н е п р а в и л ь н ы й Д л я у с т а н о в к и A D R M S с е р в е р д о л ж е н б ы т ь членом

домена, поскольку для п у б л и к а ц и и и в ы д а ч и с е р т и ф и к а т о в с л у ж б ы AD

RMS используют службу к а т а л о г о в AD DS.

Г. П р а в и л ь н ы й Во время у с т а н о в к и в а ш а у ч е т н а я з а п и с ь д о б а в л я е т с я

в группу А д м и н и с т р а т о р ы п р е д п р и я т и я с л у ж б ы A D R M S ( A D R M S

Enterprise Administrators) н а л о к а л ь н о м к о м п ь ю т е р е . Д л я о б н о в л е н и я

привилегий учетной з а п и с и н у ж н о в ы й т и из с и с т е м ы и в н о в ь в о й т и п

нес. Без этой процедуры в а ш а у ч е т н а я з а п и с ь не п о л у ч и т т р е б у е м ы е

права доступа для запуска AD R M S .

отняты 933

£

• н н а ж м ш и

I'(*.iy,ll. 1 м 1 М ус 1.1ЖН1НИ

| №41 If 1ф1вупряч*шм> |мЛц»«и )

, n i L M , i , ^ |

BrI» (пр«г |i

– « . . « W W .

i

j , ,

З а н я т и е 2

1 . П р а в и л ь н ы й о т в е т : Б .

Л. Н е п р а в и л ь н ы й Д л я получения доступа к H T T P через SSL пользова-

т е л и д о л ж н ы у к а з ы в а т ь URL-адрсс в формате H T T P S : / / .

13. П р а в и л ь н ы й При попытках пользователей получить доступ к URL

в ы п о л н я е т с я проверка подлинности сертификата сервера. Вели серти-

ф и к а т в ы п у щ е н ие корневым СЛ, доступ не будет получен. В случае

и с п о л ь з о в а н и я самозаверяющего сертификата URL будет работать при

доступе к нему с сервера, поскольку сервер домеряет своему сертифика-

ту. Од на ко в браузерах пользователей U RL работать не будет, поскольку

браузеры не д о в е р я ю т самозаверяющсму сертификату.

В. Н е п р а в и л ь н ы й Д л я получения доступа к AD RMS вне сети пользо-

вателям пе н у ж н а учетная запись AD DS.

Г. Н е п р а в и л ь н ы й Адрес U RL корректен, поскольку он проверялся с сер-

вера, с п о м о щ ь ю которого был установлен.

Глава 16. Ответ на вопрос сценария

Сценарий. Подготовка к работе с внешним кластером AD RMS

Л у ч ш и й и самый простой способ совместного использования инфраструктур

п о л и т и к без размещения связей федерации – перекрестная публикация сер-

т и ф и к а т о в . Э т о означает использование доверенных доменов публикации,

которые п о з в о л я ю т кластеру AD RMS ныдаплть лицензии па использование

содержимого, защищенного другим кластером AD RMS. Для создания домерен-

ного домеиа публикации необходимо импортировать и наш кластер сертификат

I 934 Ответы

л и ц е н з и а р а с е р в е р а S L С ( S e r v e r L i c e n s o r C e r t i f i c a t e ) к л а с т е р а п у б л и к а ц и и

а т а к ж е е г о з а к р ы т ы й к л ю ч .

Таким образом, н е о б х о д и м о в н а ч а л е э к с п о р т и р о в а т ь с е р т и ф и к а т л и ц е н з и -

ара сервера SLC, затем и м п о р т и р о в а т ь его в к о р н е в о й к л а с т е р п а р т н е р а . В а ш

партнер д о л ж е н в ы п о л н и т ь т е ж е д е й с т в и я . П о с л е и м п о р т а д в у х с е р т и ф и к а -

тов обе среды смогут п о д д е р ж и в а т ь о д н а д л я д р у г о й в ы д а ч у с е р т и ф и к а т о в н а

п у б л и к а ц и ю и и с п о л ь з о в а н и е .

Глава 17. Ответы на вопросы занятий

Занятие 1

1. Правильный ответ: Б.

A . Неправильный Все с л у ж б ы м о г у т и с п о л ь з о в а т ь д л я з а п у с к а и м е н о -

ванную у ч е т н у ю з а п и с ь с л у ж б ы .

Б. Правильный В процессе у с т а н о в к и и м е н о в а н н а я у ч е т н а я з а п и с ь с л у ж -

б ы автоматически з а м е н я е т с я у ч е т н о й з а п и с ь ю С е т е в а я с л у ж б а ( N e t -

work Service). П о с л е о б н о в л е н и я н е о б х о д и м о с м е н и т ь у ч е т н у ю з а п и с ь

д л я каждой с л у ж б ы A D FS.

B. Н е п р а в и л ь н ы й П о л и т и к и W o o d g r o v e в л и я ю т на с е р в е р ы в с е т и W o o d -

grove, а не в вашей сети.

Г . Неправильный Х о т я у ч е т н а я з а п и с ь С е т е в а я с л у ж б а ( N e t w o r k S e r -

vice) имеет о г р а н и ч е н н ы е п р а в а д о с т у п а к л о к а л ь н о м у к о м п ь ю т е р у ,

она используется о п р е д е л е н н ы м и с л у ж б а м и и к о р п о р а ц и я M i c r o s o f t н е

отдаст п р е д п о ч т е н и я э т о й у ч е т н о й з а п и с и .

Занятие 2

1. Правильные ответы: А, Б, Г и Д.

A. П р а в и л ь н ы й Вы д о л ж н ы с в я з а т ь с я с к о л л е г о й и о п р е д е л и т ь , к а к об-

мениваться ф а й л а м и п о л и т и к и в о в р е м я у с т а н о в к и п а р т н е р с к и х о т н о -

ш е н и й .

Б . П р а в и л ь н ы й Э к с п о р т и р у й т е п а р т н е р с к у ю п о л и т и к у и з о р г а н и з а ц и и

ресурсов ( W o o d g r o v e B a n k ) и и м п о р т и р у й т е се в о р г а н и з а ц и ю у ч е т н ы х

записей ( C o n t o s o ) .

B . Н е п р а в и л ь н ы й П а р т н е р с к у ю п о л и т и к у н е о б х о д и м о э к с п о р т и р о в а т ь

из о р г а н и з а ц и и р е с у р с о в ( W o o d g r o v e B a n k ) и и м п о р т и р о в а т ь в о р г а -

н и з а ц и ю учетных з а п и с е й ( C o n t o s o ) . В о т в е т е с к а з а н о н а о б о р о т .

Г . П р а в и л ь н ы й Э к с п о р т и р у й т е п о л и т и к у д о в е р и я и з о р г а н и з а ц и и у ч е т -

ных з а п и с е й ( C o n t o s o ) и и м п о р т и р у й т е ее в о р г а н и з а ц и ю р е с у р с о в

( W o o d g r o v e Bank).

Д. П р а в и л ь н ы й В о р г а н и з а ц и и р е с у р с о в н е о б х о д и м о с о з д а т ь и о т к о н ф и -

гурировать с о п о с т а в л е н и е у т в е р ж д е н и й .

Е . Н е п р а в и л ь н ы й П о л и т и к у д о в е р и я н е о б х о д и м о э к с п о р т и р о в а т ь и з ор-

ганизации у ч е т н ы х з а п и с е й ( C o n t o s o ) и и м п о р т и р о в а т ь в о р г а н и з а ц и ю

ресурсов ( W o o d g r o v e B a n k ) . В о т в е т е с к а з а н о н а о б о р о т .

Ответы 9 3 5

Глава 17. Ответ на вопрос сценария

С ц е н а р и й . В ы б о р с о о т в е т с т в у ю щ е й технологии Active Directory

О т в е т ы могут варьироваться, однако вы должны учесть все приведенные ниже

с о о б р а ж е н и я .

Вы а н а л и з и р у е т е т р е б о в а н и я и принимаете решение использовать пять

т е х н о л о г и й Active Directory.

• Д л я о б н о в л е н и я внутренней службы каталогов вы используете AD DS.

• Д л я з а щ и т ы интеллектуальной собственности вы реализуете AD RMS. Это

означает, что при создании партнерской связи ваша организация будет вы-

п о л н я т ь роль о р г а н и з а ц и и ресурсов, поскольку вы управляете установкой

A D R M S .

• Д л я п о д д е р ж к и п р и л о ж е н и й в экстрасети необходимо реализовать с помо-

щ ь ю AD FS ф е д е р а ц и ю удостоверении. Д л я AD FS вы реализуете тип раз-

в е р т ы в а н и я Е д и н ы й вход федерации для Интернет-решений (Federated Web

S i n g l e – S i g n – O n ) , а ваша о р г а н и з а ц и я будет выполнять роль организации

ресурсов. К р о м е того, для поддержки приложений понадобится добавить

с л е д у ю щ и е элементы.

• Д л я п о д д е р ж к и п р и л о ж е н и й Windows в экстрасети необходим доступ

к хранилищу каталогов. Поскольку вы не собираетесь развертывать AD DS

в э к с т р а с е т и из соображений безопасности, вы развертываете AD LDS.

Э к з е м п л я р AD L D S предоставляет службы входа для приложений Win-

d o w s через AD FS. Д л я поддержки федерации удостоверений AD FS

вы у с т а н о в и т е агент W i n d o w s на основе маркеров.

• Д л я п о д д е р ж к и в е б – п р и л о ж е н и й в AD FS вы установите агент AD FS,

п о д д е р ж и в а ю щ и й утверждения.

• П о д д е р ж к а клиентов, п о л у ч а ю щ и х доступ к приложениям, будет осущест-

в л я т ь с я процессами AD FS и AD LDS. В частности, партнерские организа-

ц и и и в н у т р е н н и е пользователи будут применять AD FS, а все остальные

д л я п о л у ч е н и я доступа к п р и л о ж е н и я м будут использовать экземпляры

A D L D S .

• Д л я б е з о п а с н о с т и к о м м у н и к а ц и й вы реализуете Службы сертификации

Active Directory (Active Directory Certificate Services). Чтобы гарантировать

доступ ко всем п р и л о ж е н и я м и возможность для всех партнеров проверять

генерируемые вами сертификаты, вы используете сторонний коммерческий

д о в е р е н н ы й центр с е р т и ф и к а ц и и в качестве корня развертывания AD CS.

Тогда все с е р т и ф и к а т ы будут доверенными, поскольку все доверяют кор-

невому сертификату.

Таким образом, рекомендуется реализовать пять технологий Active Directory.

Холме Дэн, Реет Нельсон, Реет Даниэль

Настройка Active Directory®

Windows Server® 2008

Учебный курс Microsoft

Подготовлено к печати издательством «Русская редакция»

123298, Москва, 3-я Хорошевская, д. П. Тел.: (495) 638-5-638

e-rnaih lnfo9niKclll.com, http://www.nisedll.com

«.РУССКАЯ РЕДАКЦИИ

Подписано в печать 01.10.2010 г. Формат 70x100/16.

Печать офсетная. Физ. п. л. 60. Доп. тираж 1500 экз. Заказ № 3399

Сапитарно-эпидимиологическое заключение на продукцию

№ 77.99.60.953.Д.003650.04.08 от 14.04.2008 г. выдано Федеральной службой

по надзору в сфере защиты прав потребителей и благополучия человека.

Отпечатано с готовых диапозитивов

в ГУП «Типография «Наука»

199034, Санкт-Петербург, 9 линия, 12


    Ваша оценка произведения:

Популярные книги за неделю