Лабораторная работа №1
УСТАНОВКА ДОМЕННЫХ СЛУЖБ ACTIVE DIRECTORY
Компонент Active Directory Domain Services (AD DS) и связанные с ним службы формируют основу корпоративных сетей Microsoft Windows. Они хранят данные о подлинности пользователей, компьютеров и служб, а следовательно, их можно использовать для проверки подлинности пользователя или компьютера. Кроме того, указанные средства предоставляют пользователям и компьютерам механизм получения доступа к ресурсам предприятия.
Данное занятие посвящено созданию нового леса Active Directory с одним доменом на одном контроллере домена. В ее практических упражнениях представлен процесс создания домена UIB.com, который будет использоваться и в последующих лабораторных и практических занятиях.
Для выполнения упражнений данного занятия вам понадобятся следующие аппаратные и программные средства:
Два компьютера с установленной системой Windows Server 2008. Они должны соответствовать минимальным требованиям системы Windows Server 2008 -потребуется не менее 512 Мбайт памяти, 10 Гбайт свободного пространства на жестком диске и процессор х86 с минимальной тактовой частотой 1 ГГц или процессор х64 с минимальной тактовой частотой 1,4 ГГц. Можно также использовать виртуальные машины, соответствующие тем же требованиям.
В учебных целях, в специализированной аудитории 308, будем пользоваться виртуальными машинами.
1. Установка доменных служб active directory
Доменные службы Active Directory (Active Directory Domain Services, AD DS) обеспечивают идентификацию и доступ (Identity and Access, IDA) для корпоративных сетей. На этом занятии рассмотрим AD DS и другие роли Active Directory, поддерживаемые в системе Windows Server 2008. Также обсудим Диспетчер сервера (Server Manager), с помощью которого можно конфигурировать роли сервера, а также усовершенствованный Мастер установки доменных служб Active Directory (Active Directory Domain Services Installation Wizard). Здесь также описаны ключевые концепции IDA и Active Directory.
Изучив материал этого занятия, вы должны уметь:
1. Описать роль идентификации и доступа в корпоративной сети. 2. Понимать связь между службами Active Directory.
3. Конфигурировать контроллер домена с ролью Доменные службы Active Directory (AD DS) посредством интерфейса системы Windows.
Only
for
UIB
group
from
Dobrynin
I.S. Страница
1
1.1 Структура active directory, идентификация и доступ
Как известно, структура Active Directory обеспечивает идентификацию и доступ IDA для корпоративных сетей Windows. Решение IDA необходимо для поддержки безопасности корпоративных ресурсов, в том числе файлов, электронной почты, приложений и баз данных. Инфраструктура IDA должна выполнять следующие задачи.
1. Объектах
Хранение информации о пользователях, группах, компьютерах и других идентификации Объект идентификации (identity) — это представление
сущности, выполняющей какие-то действия в корпоративной сети. Предположим, что пользователь открывает документы в общей папке на сервере. Они защищены разрешениями списка контроля доступа (Access Control List, ACL). Доступом к документам управляет подсистема безопасности сервера, который, сравнивая объект идентификации пользователя с объектами в списке ACL, предоставляет или запрещает пользователю доступ. Поскольку компьютеры, группы, службы и другие объекты тоже выполняют определенные действия в сети, они должны быть представлены объектами идентификации. Среди информации об объекте идентификации, которая хранится, есть свойства, уникальным образом идентифицирующие объект, например имя пользователя либо идентификатор безопасности (Security Identifier, SID), а также пароль объекта идентификации. Таким образом, хранилище объектов идентификации является одним из компонентов инфраструктуры IDA. В хранилище данных Active Directory, которое также называется каталогом, хранятся объекты идентификации. Самим хранилищем управляет контроллер домена — сервер, играющий роль AD DS.
2. Проверка подлинности объекта идентификации Сервер не предоставляет пользователю доступа к документу, пока не будет подтверждена подлинность объекта идентификации, представленного в запросе доступа. Чтобы подтвердить подлинность объекта, пользователь указывает секретную информацию, известную только ему и инфраструктуре IDA. Эти данные сравниваются с информацией в хранилище объектов идентификации во время процесса, который называется проверкой подлинности.
3. Управление доступом Инфраструктура IDA обеспечивает защиту конфиденциальных данных, например информации в документе. Доступ к конфиденциальным данным должен контролироваться в соответствии с политиками предприятия. Списки управления доступом ACL документа отражают политику безопасности, состоящую из разрешений, в которых для отдельных объектов идентификации указаны уровни доступа. В данном примере функции контроля доступа в инфраструктуре IDA выполняет подсистема безопасности на сервере.
4. Обеспечение данных аудита Предприятию может потребоваться отслеживать изменения и действия, выполняемые в инфраструктуре IDA, поэтому решение IDA должно обеспечить механизм управления аудитом.
Службы AD DS представляют не единственный компонент IDA, поддерживаемый в системе Windows Server 2008. В версии Windows Server 2008 корпорация Microsoft объединила множество ранее разделенных компонентов в интегрированную платформу IDA. Сама структура Active Directory теперь включает пять технологий, назначение которых очевидно из их названий (см. рис. 1.1). Эти технологии полностью реализуют идентификацию и доступ IDA.
Only for UIB group from Dobrynin I.S. Страница 2
ратко
рассмотрим
указанные
технологии.
1. Доменные службы ctive Directory (Active Directory Domain Services) — Идентификация. Описанные ранее доменные службы AD DS предоставляют центральный епозиторий для управления идентификацией в организации. Они роверяют подлинность и авторизацию в сети, а также поддерживают управление бъектами с помощью групповой политики. Кроме того, лужбы AD DS обеспечивают правление информацией и общим доступом к службам, помогая ользователям находить в аталоге различные компоненты: файловые серверы, принтеры, группы и других ользователей. По этой причине AD DS часто называют службой каталогов сетевой перационной системы. Службы AD DS представляют основную технологию Active Directory, поэтому они должны быть развернуты в каждой ети с операционной системой
Windows Server 2008.
2. Службы облегченного доступа к каталогам (Active Directory Lightweight Directory Services) - риложения Роль AD LDS является, по сути, независимой версией службы Active Directory. Ее называюттакже Режимом приложений Active Directory (Active Directory Application Mode, ADAM). на обеспечивает поддержку приложений каталогов. Компонент AD LDS фактически является поднабором AD DS, поскольку оба компонента снованы на одном коде ядра. Каталог AD LDS ранит и реплицирует только данные риложений. Его часто используют приложения, которым необходимо хранилище аталогов, но не требуется реплицировать информацию на все контроллеры доменов. Кроме того, службы D LDS ают возможность развернуть настраиваемую схему для оддержки приложения без модификации схемы AD DS. Роль D LDS облегченная. Она оддерживает множество хранилищ данных в одной системе, чтобы каждое приложение ожно было развернуть с собственным каталогом, схемой, назначенным облегченным ротоколом доступа к каталогам LDAP (Lightweight Directory ccess Protocol), портами SSL и журналом событий приложения. Роль AD LDS е зависит от служб AD DS, поэтому е можно использовать в автономной среде либо рабочей группе. Однако в доменных редах эта роль может использоваться службами AD DS для проверки принципалов безопасности системы Windows (пользователей, групп и компьютеров). Кроме того, роль AD LDS ожно применять для реализации служб проверки подлинности в открытых сетях
nly
for
UIB group
from
Dobrynin
I.S. Страница
3
(например, в экстрасети). При использовании данной роли в такой ситуации угроза безопасности меньше, чем при использовании AD DS.
3. Службы сертификации Active Directory (Active Directory Certificate Services) — Доверие Организации могут использовать службы сертификации AD CS в инфраструктуре открытых ключей PKI (Public Key Infrastructure), чтобы создать центр сертификации для выдачи цифровых сертификатов, которые привязывают объект идентификации пользователя, устройства либо службы к соответствующему частному ключу. Сертификаты можно использовать для проверки подлинности пользователей, компьютеров и веб-приложений, поддержки проверки подлинности смарт-карт, а также для поддержки таких приложений: защищенных беспроводных сетей, виртуальных частных сетей VPN (Virtual Private Network), протоколов для обеспечения защиты данных (IPsec), шифрующей файловой системы EFS (Encrypting File System), цифровых подписей и многих других. Службы AD CS предоставляют эффективный и безопасный способ выдачи сертификатов и управления ими. С их помощью можно делать это для внешних сообществ. В таких случаях следует связать службы AD CS с каким-нибудь известным внешним центром сертификации (СА), который подтвердит вашу подлинность. Роль AD CS предназначена для создания «островков доверия» в ненадежном мире, поэтому она должна использовать надежные процессы, которые подтверждают, что подлинность всех персон и компьютеров, получивших сертификат, тщательно проверена и подтверждена. Во внутренних сетях службы AD CS можно интегрировать со службами AD DS, чтобы пользователи и компьютеры автоматически получали сертификаты.
4. Службы управления правами Active Directory (Active Directory Rights Management Services) — Целостность. Хотя сервер Windows может запрещать и разрешать доступ к документу на основе списка контроля доступа ACL, можно несколькими способами следить за дальнейшими операциями с документом и его содержимым после открытия документа пользователем. Службы управления правами Active Directory (AD RMS) предоставляют технологию защиты информации, с помощью которой можно реализовать шаблоны устойчивых политик использования, задающих разрешенное и неавторизованное применение в сети, вне ее, а также внутри и вне периметра брандмауэра. Например, для пользователей можно сконфигурировать шаблон, который разрешает читать документ, но запрещает печатать и копировать его содержимое. Таким образом, можно гарантировать целостность генерируемых данных, защитить интеллектуальную собственность и контролировать операции, выполняемые с документами организации. Для роли AD RMS необходим домен Active Directory с контроллерами, где установлены версия системы не ниже Windows 2000 Server с пакетом обновлений Service Pack 3 (SP3), веб-сервер IIS, сервер баз данных типа Microsoft SQL Server 2008, клиент AD RMS (он доступен в центре загрузок Microsoft, а также по умолчанию включен в версии Windows Vista и Windows Server 2008), а также обозреватель или приложение RMS, например Microsoft Internet Explorer, Microsoft Office, Microsoft Word, Microsoft Outlook или Microsoft PowerPoint. В службах AD RMS может использоваться роль AD CS для вложения сертификатов в документы, а также роль AD DS для управления доступом.
5. Services) —
Службы федерации Active Directory (Active Directory Federation Партнерские отношения С помощью служб AD FS организация может
расширить инфраструктуру IDA на множестве платформ, включая среды Windows и другие, а также обеспечить для доверенных партнеров защиту прав идентификации и доступа вне периметра безопасности. В среде федерации организации поддерживают и контролируют собственные объекты идентификации, однако могут также безопасно проектировать объекты и принимать их из других организаций. Пользователи проходят проверку подлинности в одной сети, но могут получать доступ к ресурсам в другой. Этот процесс называется единым входом SSO (Single Sign-On). Роль AD FS поддерживает партнерские отношения, поскольку она дает различным организациям возможность
Only for UIB group from Dobrynin I.S. Страница 4
получать общий доступ к приложениям в экстрасети, при этом используя для реальной проверки подлинности свои внутренние структуры AD DS. С этой целью данная роль расширяет внутреннюю структуру AD DS во внешний мир через TCP/IP-порты (Transmission Control Protocol/Internet Protocol) 80 (HTTP) и 443 (Secure HTTP либо HTTPS). Обычно роль AD FS размещена вдоль периметра сети. Службы AD FS могут использовать роль AD CS для создания доверенных серверов, а также роль AD RMS для обеспечения внешней защиты интеллектуальной собственности.
В совокупности роли Active Directory реализуют интегрированное решение IDA: AD DS и AD LDS — поддерживают основные службы каталогов в доменной
и независимой реализации;
AD CS — предоставляет надежные учетные данные в виде цифровых сертификатов PKI;
AD RMS — защищает целостность информации в документах;
AD FS — поддерживает партнерские отношения, избавляя от необходимости создавать множество отдельных объектов идентификации для одного принципала безопасности в средах федерации.
Структура Active Directory поддерживает не только идентификацию и доступ, но и механизмы поддержки, управления и настройки ресурсов в распределенных сетевых средах.
Набор правил, называемый схемой, задает классы объектов и атрибуты, которые могут храниться в каталоге. Например, в каталоге Active Directory можно хранить объекты пользователей, включающие их имена и пароли, поскольку схемой задан класс объектов user, два их атрибута, а также связь между классом объекта и атрибутами.
Администрирование на основе политики (групповая, политики аудита и гранулированные политики паролей) упрощает управление даже в самых больших сложнейших сетях, предоставляя единую точку, в которой можно развернуть параметры настройки во множестве систем.
Службы репликации распространяют по сети данные каталогов, в частности само хранилище данных, а также информацию для реализации политики и конфигурации вместе со сценариями входа. Для хранилища данных существует даже отдельный раздел конфигурации, который содержит информацию о сетевой конфигурации, топологии и службах.
Запрашивать каталог Active Directory и локализовывать объекты в хранилище данных можно с помощью нескольких компонентов и технологий. Информация обо всех объектах в каталоге содержится в разделе хранилища данных, называемом глобальным каталогом (или частичным набором атрибутов), который дает возможность локализовать объекты в каталоге. Для чтения информации из хранилища данных можно применять, например, программный интерфейс ADSI (Active Directory Services Interface) и протокол LDAP.
Хранилище данных Active Directory можно использовать также для поддержки приложений и служб, напрямую не связанных с AD DS. Внутри базы данных в разделах приложений может храниться информация для поддержки имен DNS (Domain Name System) на сервере Windows Server 2008 может хранить информацию в базе данных, которая называется интегрированной зоной Active Directory. Она поддерживается в AD DS как раздел приложения и реплицируется с помощью служб репликации Active Directory.
Only for UIB group from Dobrynin I.S. Страница 5