Основи планування та адміністрування служб доступу до інформаційних ресурсов
Лекція 11
ЗАГАЛЬНІ ВІДОМОСТІ ПРО СЛУЖБУ ACTIVE DIRECTORY
CERTIFICATE SERVICES
1.Протокол перевірки автентичності об'єктів Active Directory та його інтеграція з інфраструктурою відкритих ключів.
2.Служби сертифікації Active Directory.
3.Порядок встановлення служби Active Directory Certificate Services на Windows Server
Основи планування та адміністрування служб доступу до інформаційних ресурсов
1. ПРОТОКОЛ ПЕРЕВІРКИ АВТЕНТИЧНОСТІ ОБ'ЄКТІВ ACTIVE DIRECTORY ТА ЙОГО ІНТЕГРАЦІЯ З ІНФРАСТРУКТУРОЮ ВІДКРИТИХ
КЛЮЧІВ
Основним механізмом перевірки автентичності в AD DS є
протокол Kerberos.
Для перевірки справжності в AD DS також існує ще один протокол NTLM, який підтримується виключно для забезпечення сумісності зі старими клієнтами.
Основні компоненти системи Kerberos
клієнт |
сервер |
Центр розподілу ключів |
|
|
|
|
|
(Кеу Distribution Center - KDC) |
Основні принципи системи Kerberos
Kerberos оперує на основі припущення, що трафік перевірки автентичності між робочою станцією і сервером проходить по незахищеній мережі.
Це означає, що конфіденційний трафік перевірки автентичності ніколи не пересилається по мережі у відкритому вигляді. Наприклад, пароль користувача ніколи не пересилається по мережі навіть в зашифрованому вигляді.
Kerberos оперує на основі моделі перевірки автентичності із загальним секретом.
У моделі перевірки автентичності із загальним секретом клієнт і сервер, що виконує аутентифікацію, спільно використовують секрет, який більше нікому не відомий. У більшості випадків перевірки автентичності користувача в мережі таким загальним секретом є пароль користувача. Коли користувач входить в мережу, захищену за допомогою Kerberos, для шифрування пакету інформації використовується хеш пароля користувача. Коли центр KDC отримує цей пакет, він виконує розшифровку інформації за допомогою хеша пароля для збереженого в AD DS. У разі успішної розшифровки сервер, що виконує перевірку справжності, визначає, що користувачеві відомий загальний секрет, і надає доступ.
У термінології Kerberos центром KDC є центральний
сервер, керуючий обліковими записами користувачів.
У реалізації Kerberos версії Windows Seгver 2008 (2012) цей сервер є (називається, розташовується) контролером
домену
У середовищі Kerberos межа, визначена базою даних користувачів в одному центрі KDC, називається сферою. У термінології Windows Seгver 2008 ця межа називається
доменом.
Центр
розподілу
ключів
(Кеу Distribution Center - KDC)
Основи планування та адміністрування служб доступу до інформаційних ресурсов
2. СЛУЖБИ СЕРТИФІКАЦІЇ ACTIVE DIRECTORY
Роль Active Directory Certificate Services
Роль AD CS (Служби сертифікації Active Directory) використовується для створення, поширення і управління сертифікатами відкритих ключів з метою забезпечення безпеки мережних ресурсів.
Сертифікати відкритих ключів можна видавати користувачам, пристроям або комп'ютерам, а також службам і функціям AD DS для зв'язування ідентичності персони, пристрою або служби з відповідним особистим ключем, який є унікальним для цього об'єкта.
Служби сертифікатів Active Directory – це служби для видачі сертифікатів і управління ними в системах безпеки програмного забезпечення, що використовують технології відкритих ключів.
За допомогою цих служб також можна виконувати такі дії:
Налаштовувати реєстрацію сертифікатів в режимі онлайн, службу реєстрації мережнних пристроїв і службу мережного відповідача.
Керувати реєстрацією сертифікатів і їх відгуками для користувачів, комп'ютерів, служб і мережних пристроїв, таких як маршрутизатори.
Використовувати групову політику для передачі сертифікатів і управління ними.
Центри сертифікації
Центр сертифікації приймає запити на сертифікати, перевіряє відповідність відомостей про сторону, що запитує, політиці центру сертифікації, потім використовує закритий ключ для застосування власного цифрового підпису до сертифікатів
Потім центр сертифікації видає сертифікати суб'єктам, що запросили їх,
для використання цих сертифікатів в якості облікових даних безпеки в інфраструктурі відкритого ключа.
Центр сертифікації також служить для відкликання сертифікатів і публікації списку відкликання сертифікатів
Центри сертифікації
Центр сертифікації може бути зовнішнім, наприклад VeriSign, або може бути створений для потреб організації за допомогою установки служби сертифікатів Active Directory.
Кожен центр сертифікації також має сертифікат для підтвердження власної автентичності, який був виданий іншим довіреним центром сертифікації або, як у випадку кореневого центру сертифікації, виданий самому
собі
Кожен центр сертифікації може мати особливі вимоги до доказу автентичності боку, запитуючої сертифікат, такі як облікові записи доменів, наявність пропуску співробітника, водійських прав, нотаріально завіреного запиту або фізичної адреси.
У центрах сертифікації підприємства, підтримуваних корпорацією Майкрософт, як доказ автентичності використовуються дані облікового запису користувача.