
- •Основы сетевого администрирования
- •Сетевые распределенные операционные системы
- •Функциональные компоненты сетевой операционной системы
- •Сетевые службы и сервисы
- •Модели сетевых служб и распределённых приложений
- •Способ разделения приложений на части
- •Средства представления данных на экране
- •Двухзвенные схемы
- •Понятие информационной системы.
- •Компоненты ис
- •Составные части ис:
- •Основные задачи службы каталогов:
- •Доменная модель службы каталогов
- •Раздел глобального каталога
- •Раздел конфигурации
- •Доменный раздел
- •Раздел приложений
- •Методы обеспечения безопасности
- •Аутентификация
- •Списки контроля доступа.
- •Группы безопасности и управления пользователями.
- •Групповые политики
Раздел конфигурации
Используется для размещения сведений о структуре системы. В эти сведения входит: список всех доменов и деревьев леса, а также перечень существующих контроллеров домена и серверов глобального каталога.
Доменный раздел
Используется для размещения объектов, являющихся непосредственной частью домена. Здесь хранятся объекты, ассоциированные с пользователями, компьютерами, общими ресурсами.
Раздел приложений
Данные разделы могут быть созданы для различных сетевых приложений, при этом они могут быть созданы как вручную администратором, так и самими приложениями. Создание разделов приложений позволяет обращаться к приложениям используя общий подход доменных имен.
В структуре службы каталога можно использовать специальные объекты контейнерного типа , которые позволяют группировать объекты. Такими объектами контейнерного типа являются единицы. Они позволяют объединять объекты в логическую структуру. Используются в основном для упрощения управления входящими в них объектами. Иерархия организационных единиц образуется только в пределах домена, т. о. единицы принадлежащие разным доменам, не связаны друг с другом
Методы обеспечения безопасности
В основном применяют три метода:
Аутентификация – проверка пользователя, входящего в сеть, с помощью какой-либо системы аутентификации.
Организация доступа к объектам (списки контроля доступа)
Использование групповых политик
Аутентификация
Схема KERBEROS - Данная схема предназначена для решения задач аутентификации субъектов в распределенной системе, использующей открытую сеть с помощью третьей доверенной стороны. Система KERBEROS , владеющая секретными ключами обслуживаемых субъектов обеспечивает попарную проверку подлинности. Для получения доступа к серверу клиент отправляет на сервер KERBEROS запрос, который содержит сведения о клиенте и о запрашиваемой услуге. В ответ сервер KERBEROS возвращает билет, зашифрованный секретным ключом сервера и копию части информации из билета, зашифрованную секретным ключом клиента. Клиент расшифровывает вторую порцию билета и пересылает ее вместе с билетом серверу. Сервер, расшифровав билет, сравнивает его с дополнительной информацией, присланной клиентом. Совпадение свидетельствует о том, что клиент смог расшифровать предназначенные ему данные, а это подтверждает подлинность клиента.
Списки контроля доступа.
Списки средств защиты могут применяться как для всего объекта, так и для набора его свойств или для отдельного свойства. Существует два типа списков управления доступа:
Избирательные списки, которые являются частью дескриптора безопасности объекта, которая предоставляет и запрещает доступ к объекту для конкретных пользователей или групп. Изменять разрешения в данных списках может только владелец объекта
Системные списки контроля доступа. Данные списки являются частью дескриптора безопасности объекта, который объединяет перечень проверяемых событий для пользователя или группы. Пример таких событий: доступ к файлам, вход в систему, выход из системы и т.д.
Группы безопасности и управления пользователями.
Для управления пользователями используется понятие учетной записи.
Учетная запись - это объект, который позволяет хранить все сведения, определяющие пользователя домена. К таким сведениям относятся имя пользователя, пароль, членство в группах. Учетные записи могут храниться либо в глобальном каталоге, либо на локальном компьютере.
Учетные записи пользователей и компьютеров, а также группы называют участниками безопасности. Эти участники безопасности являются объектами каталогов, которые автоматически назначают коды безопасности для доступа к ресурсам домена. Кодом безопасности называется структура данных переменной длины, которая определяет учетные записи пользователей, групп и компьютеров. Код безопасности присваивается автоматически при создании учетной записи. Внутренние процессы в операционной системе обращаются к учетным записям по их кодам безопасности, а не по именам пользователей или групп.
Учетная запись пользователя или компьютера используется для следующих целей:
Проверка подлинности пользователя или компьютера – учетная запись дает право войти в компьютер или в домен с подлинностью проверяемых доменов
Разрешение и запрещение доступа к ресурсам домена
Администрирование других участников безопасности
Аудит действий, выполняемых с помощью учетных записей пользователя или компьютера
Группы безопасности
Локальная группа – это группа, в которой права членства и доступа не распространяются на другие домены.
Глобальная группа – определяет область действия как все деревья в лесе доменов. Глобальная группа привязывается к конкретному домену и в неё могут входить только объекты и другие группы, принадлежащие данному домену.
Универсальная группа – определяет область действия как все домены в рамках того леса, в котором они определены. Универсальная группа может включать объекты, ассоциированные с учетными записями пользователей, компьютеров, групп, принадлежащих любому домену леса