Текст книги "Настройка Active Directory. Windows Server 2008"
Автор книги: Dan Holme
Соавторы: Danielle Ruest,Nelson Ruest
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 91 (всего у книги 91 страниц)
Глава 15. Ответ на вопрос сценария
Сценарий. Управление отзывом сертификатов
И д и т е с э т о й и н ф о р м а ц и е й к руководству, которое должно немедленно при-
н я т ь м е р ы , ч т о б ы д в о е б ы в ш и х сотрудников перестали продавать сертифика-
ты с п р и к р е п л е н н ы м и м е н е м C o n t o s o . Кроме того, персонал отдела продаж
д о л ж е н и н и ц и и р о в а т ь н е к о т о р ы е операции с клиентами по предупреждению
и у с т р а н е н и ю о т к а з о в . Н а л и ч и е на р ы н к е программного обеспечения не от
к о м п а н и и C o n t o s o , но с с е р т и ф и к а т а м и Contoso, может значительно повредить
р е п у т а ц и и к о м п а н и и .
Ч т о же к а с а е т с я вас, вы немедленно д о л ж н ы блокировать использование
с е р т и ф и к а т о в . Д л я этого н е о б х о д и м о вначале подключить к сети корневой
ц е н т р с е р т и ф и к а ц и и . З а т е м в узле Центр с е р т и ф и к а ц и и (Certification Author-
i t y ) д и с п е т ч е р а сервера (Server M a n a g e r ) н у ж н о отозвать два похищенных сер-
т и ф и к а т а . П о с л е а н н у л и р о в а н и я этих сертификатов все другие сертификаты,
в ы д а н н ы е на их основе, а в т о м а т и ч е с к и станут недействительными.
Ответы
| Затем необходимо о п у б л и к о в а т ь с п и с о к о т з ы в а с е р т и ф и к а т о в C K R (Ccrtifi-
! cate Revocation List). Д л я этого и с п о л ь з у е т с я и а п к а О т о з в а н н ы е с е р т и ф и к а т ы
(Revoked Certificates) » к о н с о л и Ц е н т р с е р т и ф и к а ц и и ( C e r t i f i c a t i o n A u t h o r -
ity). К сожалению, д а ж е при н е м е д л е н н о й п у б л и к а ц и и э т о г о н о в о г о с п и с к а
CLR клиенты не обновят свои с п и с к и C L R до с л е д у ю щ е г о з а п у с к а процесса
обновления, что з а в и с и т от их к о н ф и г у р а ц и и о б н о в л е н и я .
действ*те
даЛспм» юс твкуш*0
Тип пубяикучмогоСК!
(* Нов«*> бвювмЛ Cf
Пгбмкаиий голно
саргмеимтав и м
rVtfn»***» epeiKi
CRL camam»1* с
И наконец, ваша организация должна сделать о ф и ц и а л ь н о е з а я в л е н и е о двух
утерянных сертификатах. Все к л и е н т ы C o n t o s o д о л ж н ы з н а т ь об у г р о з е и про-
верять каждый получаемый с е р т и ф и к а т с и м е н е м C o n t o s o , п о к а п о х и щ е н н ы е
сертификаты не будут отозваны.
Как видите, безопасность корневого ц е н т р а с е р т и ф и к а ц и и и г р а е т р е ш а ю -
щую роль в архитектуре PKI.
Глава 16. Ответы на вопросы занятий
Занятие 1
1. Правильный ответ: Г.
A . Н е п р а в и л ь н ы й С л у ж б ы A D R M S з а п у щ е н ы и а с е р в е р е , п о с к о л ь к у
узел AD R M S доступен в д и с п е т ч е р е с е р в е р а ( S e r v e r M a n a g e r ) .
Б. Неправильный П о д л и н н о с т ь с е р т и ф и к а т а сервера п р о в е р я е т с я в про-
цессе установки. Иа худой к о н е ц всегда м о ж н о и с п о л ь з о в а т ь с а м о з а в е -
ряющий сертификат. П р о б л е м а с в я з а н а не с э т и м .
B . Н е п р а в и л ь н ы й Д л я у с т а н о в к и A D R M S с е р в е р д о л ж е н б ы т ь членом
домена, поскольку для п у б л и к а ц и и и в ы д а ч и с е р т и ф и к а т о в с л у ж б ы AD
RMS используют службу к а т а л о г о в AD DS.
Г. П р а в и л ь н ы й Во время у с т а н о в к и в а ш а у ч е т н а я з а п и с ь д о б а в л я е т с я
в группу А д м и н и с т р а т о р ы п р е д п р и я т и я с л у ж б ы A D R M S ( A D R M S
Enterprise Administrators) н а л о к а л ь н о м к о м п ь ю т е р е . Д л я о б н о в л е н и я
привилегий учетной з а п и с и н у ж н о в ы й т и из с и с т е м ы и в н о в ь в о й т и п
нес. Без этой процедуры в а ш а у ч е т н а я з а п и с ь не п о л у ч и т т р е б у е м ы е
права доступа для запуска AD R M S .
отняты 933
£
• н н а ж м ш и
I'(*.iy,ll. 1 м 1 М ус 1.1ЖН1НИ
| №41 If 1ф1вупряч*шм> |мЛц»«и )
, n i L M , i , ^ |
BrI» (пр«г |i
– « . . « W W .
i
j , ,
З а н я т и е 2
1 . П р а в и л ь н ы й о т в е т : Б .
Л. Н е п р а в и л ь н ы й Д л я получения доступа к H T T P через SSL пользова-
т е л и д о л ж н ы у к а з ы в а т ь URL-адрсс в формате H T T P S : / / .
13. П р а в и л ь н ы й При попытках пользователей получить доступ к URL
в ы п о л н я е т с я проверка подлинности сертификата сервера. Вели серти-
ф и к а т в ы п у щ е н ие корневым СЛ, доступ не будет получен. В случае
и с п о л ь з о в а н и я самозаверяющего сертификата URL будет работать при
доступе к нему с сервера, поскольку сервер домеряет своему сертифика-
ту. Од на ко в браузерах пользователей U RL работать не будет, поскольку
браузеры не д о в е р я ю т самозаверяющсму сертификату.
В. Н е п р а в и л ь н ы й Д л я получения доступа к AD RMS вне сети пользо-
вателям пе н у ж н а учетная запись AD DS.
Г. Н е п р а в и л ь н ы й Адрес U RL корректен, поскольку он проверялся с сер-
вера, с п о м о щ ь ю которого был установлен.
Глава 16. Ответ на вопрос сценария
Сценарий. Подготовка к работе с внешним кластером AD RMS
Л у ч ш и й и самый простой способ совместного использования инфраструктур
п о л и т и к без размещения связей федерации – перекрестная публикация сер-
т и ф и к а т о в . Э т о означает использование доверенных доменов публикации,
которые п о з в о л я ю т кластеру AD RMS ныдаплть лицензии па использование
содержимого, защищенного другим кластером AD RMS. Для создания домерен-
ного домеиа публикации необходимо импортировать и наш кластер сертификат
I 934 Ответы
л и ц е н з и а р а с е р в е р а S L С ( S e r v e r L i c e n s o r C e r t i f i c a t e ) к л а с т е р а п у б л и к а ц и и
а т а к ж е е г о з а к р ы т ы й к л ю ч .
Таким образом, н е о б х о д и м о в н а ч а л е э к с п о р т и р о в а т ь с е р т и ф и к а т л и ц е н з и -
ара сервера SLC, затем и м п о р т и р о в а т ь его в к о р н е в о й к л а с т е р п а р т н е р а . В а ш
партнер д о л ж е н в ы п о л н и т ь т е ж е д е й с т в и я . П о с л е и м п о р т а д в у х с е р т и ф и к а -
тов обе среды смогут п о д д е р ж и в а т ь о д н а д л я д р у г о й в ы д а ч у с е р т и ф и к а т о в н а
п у б л и к а ц и ю и и с п о л ь з о в а н и е .
Глава 17. Ответы на вопросы занятий
Занятие 1
1. Правильный ответ: Б.
A . Неправильный Все с л у ж б ы м о г у т и с п о л ь з о в а т ь д л я з а п у с к а и м е н о -
ванную у ч е т н у ю з а п и с ь с л у ж б ы .
Б. Правильный В процессе у с т а н о в к и и м е н о в а н н а я у ч е т н а я з а п и с ь с л у ж -
б ы автоматически з а м е н я е т с я у ч е т н о й з а п и с ь ю С е т е в а я с л у ж б а ( N e t -
work Service). П о с л е о б н о в л е н и я н е о б х о д и м о с м е н и т ь у ч е т н у ю з а п и с ь
д л я каждой с л у ж б ы A D FS.
B. Н е п р а в и л ь н ы й П о л и т и к и W o o d g r o v e в л и я ю т на с е р в е р ы в с е т и W o o d -
grove, а не в вашей сети.
Г . Неправильный Х о т я у ч е т н а я з а п и с ь С е т е в а я с л у ж б а ( N e t w o r k S e r -
vice) имеет о г р а н и ч е н н ы е п р а в а д о с т у п а к л о к а л ь н о м у к о м п ь ю т е р у ,
она используется о п р е д е л е н н ы м и с л у ж б а м и и к о р п о р а ц и я M i c r o s o f t н е
отдаст п р е д п о ч т е н и я э т о й у ч е т н о й з а п и с и .
Занятие 2
1. Правильные ответы: А, Б, Г и Д.
A. П р а в и л ь н ы й Вы д о л ж н ы с в я з а т ь с я с к о л л е г о й и о п р е д е л и т ь , к а к об-
мениваться ф а й л а м и п о л и т и к и в о в р е м я у с т а н о в к и п а р т н е р с к и х о т н о -
ш е н и й .
Б . П р а в и л ь н ы й Э к с п о р т и р у й т е п а р т н е р с к у ю п о л и т и к у и з о р г а н и з а ц и и
ресурсов ( W o o d g r o v e B a n k ) и и м п о р т и р у й т е се в о р г а н и з а ц и ю у ч е т н ы х
записей ( C o n t o s o ) .
B . Н е п р а в и л ь н ы й П а р т н е р с к у ю п о л и т и к у н е о б х о д и м о э к с п о р т и р о в а т ь
из о р г а н и з а ц и и р е с у р с о в ( W o o d g r o v e B a n k ) и и м п о р т и р о в а т ь в о р г а -
н и з а ц и ю учетных з а п и с е й ( C o n t o s o ) . В о т в е т е с к а з а н о н а о б о р о т .
Г . П р а в и л ь н ы й Э к с п о р т и р у й т е п о л и т и к у д о в е р и я и з о р г а н и з а ц и и у ч е т -
ных з а п и с е й ( C o n t o s o ) и и м п о р т и р у й т е ее в о р г а н и з а ц и ю р е с у р с о в
( W o o d g r o v e Bank).
Д. П р а в и л ь н ы й В о р г а н и з а ц и и р е с у р с о в н е о б х о д и м о с о з д а т ь и о т к о н ф и -
гурировать с о п о с т а в л е н и е у т в е р ж д е н и й .
Е . Н е п р а в и л ь н ы й П о л и т и к у д о в е р и я н е о б х о д и м о э к с п о р т и р о в а т ь и з ор-
ганизации у ч е т н ы х з а п и с е й ( C o n t o s o ) и и м п о р т и р о в а т ь в о р г а н и з а ц и ю
ресурсов ( W o o d g r o v e B a n k ) . В о т в е т е с к а з а н о н а о б о р о т .
Ответы 9 3 5
Глава 17. Ответ на вопрос сценария
С ц е н а р и й . В ы б о р с о о т в е т с т в у ю щ е й технологии Active Directory
О т в е т ы могут варьироваться, однако вы должны учесть все приведенные ниже
с о о б р а ж е н и я .
Вы а н а л и з и р у е т е т р е б о в а н и я и принимаете решение использовать пять
т е х н о л о г и й Active Directory.
• Д л я о б н о в л е н и я внутренней службы каталогов вы используете AD DS.
• Д л я з а щ и т ы интеллектуальной собственности вы реализуете AD RMS. Это
означает, что при создании партнерской связи ваша организация будет вы-
п о л н я т ь роль о р г а н и з а ц и и ресурсов, поскольку вы управляете установкой
A D R M S .
• Д л я п о д д е р ж к и п р и л о ж е н и й в экстрасети необходимо реализовать с помо-
щ ь ю AD FS ф е д е р а ц и ю удостоверении. Д л я AD FS вы реализуете тип раз-
в е р т ы в а н и я Е д и н ы й вход федерации для Интернет-решений (Federated Web
S i n g l e – S i g n – O n ) , а ваша о р г а н и з а ц и я будет выполнять роль организации
ресурсов. К р о м е того, для поддержки приложений понадобится добавить
с л е д у ю щ и е элементы.
• Д л я п о д д е р ж к и п р и л о ж е н и й Windows в экстрасети необходим доступ
к хранилищу каталогов. Поскольку вы не собираетесь развертывать AD DS
в э к с т р а с е т и из соображений безопасности, вы развертываете AD LDS.
Э к з е м п л я р AD L D S предоставляет службы входа для приложений Win-
d o w s через AD FS. Д л я поддержки федерации удостоверений AD FS
вы у с т а н о в и т е агент W i n d o w s на основе маркеров.
• Д л я п о д д е р ж к и в е б – п р и л о ж е н и й в AD FS вы установите агент AD FS,
п о д д е р ж и в а ю щ и й утверждения.
• П о д д е р ж к а клиентов, п о л у ч а ю щ и х доступ к приложениям, будет осущест-
в л я т ь с я процессами AD FS и AD LDS. В частности, партнерские организа-
ц и и и в н у т р е н н и е пользователи будут применять AD FS, а все остальные
д л я п о л у ч е н и я доступа к п р и л о ж е н и я м будут использовать экземпляры
A D L D S .
• Д л я б е з о п а с н о с т и к о м м у н и к а ц и й вы реализуете Службы сертификации
Active Directory (Active Directory Certificate Services). Чтобы гарантировать
доступ ко всем п р и л о ж е н и я м и возможность для всех партнеров проверять
генерируемые вами сертификаты, вы используете сторонний коммерческий
д о в е р е н н ы й центр с е р т и ф и к а ц и и в качестве корня развертывания AD CS.
Тогда все с е р т и ф и к а т ы будут доверенными, поскольку все доверяют кор-
невому сертификату.
Таким образом, рекомендуется реализовать пять технологий Active Directory.
Холме Дэн, Реет Нельсон, Реет Даниэль
Настройка Active Directory®
Windows Server® 2008
Учебный курс Microsoft
Подготовлено к печати издательством «Русская редакция»
123298, Москва, 3-я Хорошевская, д. П. Тел.: (495) 638-5-638
e-rnaih lnfo9niKclll.com, http://www.nisedll.com
«.РУССКАЯ РЕДАКЦИИ
Подписано в печать 01.10.2010 г. Формат 70x100/16.
Печать офсетная. Физ. п. л. 60. Доп. тираж 1500 экз. Заказ № 3399
Сапитарно-эпидимиологическое заключение на продукцию
№ 77.99.60.953.Д.003650.04.08 от 14.04.2008 г. выдано Федеральной службой
по надзору в сфере защиты прав потребителей и благополучия человека.
Отпечатано с готовых диапозитивов
в ГУП «Типография «Наука»
199034, Санкт-Петербург, 9 линия, 12
