active directory josé carlos serufo filho ( [email protected] )[email protected] 05/07/2004
TRANSCRIPT
ACTIVE DIRECTORY ( AD )ACTIVE DIRECTORY ( AD )DefiniçãoDefinição
O serviço Active Directory® fornece recursos de logon único e um repositório central para informações de toda a infra-estrutura, simplificando amplamente o gerenciamento de usuários e de computadores e fornecendo acesso superior aos recursos em rede.
Evolução da Família WindowsEvolução da Família Windows
Clientes Corporativos
Servidores Corporativos
O que é o Active Directory ?O que é o Active Directory ?
Servidor Dinâmico de DNS(Domain Name System)
Servidor de DHCP (Dynamic Host Configuration Protocol)
Servidor de KERBEROS 5 (KDC)
Servidor de DominioMicrosoft RPC
Servidor de LDAP v3
Banco de
Dados
O que é um serviço de O que é um serviço de diretório?diretório?
• No contexto de uma rede, um diretório é uma estrutura hierárquica que armazena informações a respeito de itens(recursos) de uma rede.
O que é um serviço de O que é um serviço de diretório?diretório?
• Um diretório pode ser composto pelos mais diferentes tipos de itens(objetos), como por exemplo, servidores, discos, impresoras, contas de usuários, arquivos compartilhados; ou ainda domínios de logon, aplicativos, políticas de segurança e de acesso, etc.
O que é um serviço de O que é um serviço de diretório?diretório?
• O conceito de serviço de diretório é um conjunto de funções para criação, armazenamento e recuperação de informações de um diretório.
• A existência de múltiplos serviços de diretório cria dificuldades administrativas e incompatibilidade entre as aplicações.
X500 X500
• Uma primeira tentativa de criar um serviço de diretório para suprir informações comuns a várias aplicações foi o X500.
• X500 é um conjunto de padrões definido pelo CCITT(Consultative Committee on
International Telegraphy and Telephony) atual ITU(International Telecommunication Union).
Características do X500Características do X500
• Banco de informações distribuído;
• Mecanismo de procura de informações flexível;
• Espaço de Nomes Homogêneo;
• Serviço padronizado;
• Aberto.
X509 e o padrão LDAP v3X509 e o padrão LDAP v3
• LDAP(Lightweight Directory Access Protocol) Foi criado como uma alternativa mais simples ao protocolo padrão do X500(DAPDirectory Access Protocol).
• X509 padrão adotado pela Microsoft (Alteraçao no esquema original para ajustar as suas necessidades.)
DNS(Domain Name System)DNS(Domain Name System)IntroduçãoIntrodução
• O Domain Name System (DNS) é um sistema de banco de dados distribuído não genérico usado pelas aplicações Internet, pricipalmente, para conversão de um nome de máquina para seu endereço IP e também usado pelos programas de correio eletrônico para pesquisar a máquina que recebe o correio para determinado domínio.
DNS(Domain Name System)DNS(Domain Name System)HistóricoHistórico
• No ínicio da Internet, quando era chamada de Arpanet, a conversão entre o nome da máquina e o seu IP era realizada usando-se um arquivo denominado de hosts.txt.
• Os administradores enviavam via e-mail as alterações dos seus domínios e buscavam via FTP tal arquivo para atualizar-se.
DNS(Domain Name System)DNS(Domain Name System)HistóricoHistórico
• Com o crescimeto da Internet tal mecanismo tornou-se completamente inviável, surgindo o DNS, um sistema descentralizado, fornecendo as características necessárias em relação aos problemas de carga gerada no tráfego na rede, de colisão de nomes e de consistência dos dados.
DHCP DHCP ( Dynamic Host Configuration Protocol)( Dynamic Host Configuration Protocol)
• O DHCP é um serviço utilizado para automatizar as configurações do protocolo TCP/IP nos dispositivos de rede (computadores, impressoras, hubs, switchs, ou seja, qualquer dispositivo conectado à rede e que esteja utilizando o protocolo TCP/IP).
DHCP DHCP (Dynamic Host Configuration Protocol)(Dynamic Host Configuration Protocol)
• Sem o uso do DHCP, o administrador e sua equipe teriam que configurar, manualmente, as propriedades do protocolo TCP/IP em cada dispositivo de rede (genericamente denominados hosts).
DHCP DHCP Implementação da MicrosoftImplementação da Microsoft
• A implementação do DHCP no Windows 2000 Server e no Windows Server 2003 é baseada em padrões definidos pelo IETF.
• Estes padrões são definidos em documentos conhecidos como RFCs (Request for Comments).
DHCPDHCP
• As RFCs que definem os padrões do DHCP são as seguintes:– # RFC 2131: Dynamic Host Configuration
Protocol (substitui a RFC 1541)– # RFC 2132: DHCP Options and BOOTP
Vendor Extensions
http://www.rfc-editor.org/
KerberosKerberos
• No Windows 2000, a versão 5 do Kerberos é o principal protocolo de segurança.
• O Kerberos verifica tanto a identidade do usuário como a integridade dos dados da sessão.
KerberosKerberos
• Os serviços Kerberos estão instalados em cada controlador de domínio, e um cliente Kerberos é instalado em cada estação de trabalho e servidor do Windows 2000.
• A autenticação inicial do Kerberos garante ao usuário um único logon aos recursos da empresa.
KerberosKerberosVantagensVantagens
• Além de melhorar a segurança, permite:– Relações de confiança transitiva para
autenticação entre domínios.– As credenciais de autenticação emitidas por
um serviço Kerberos são aceitas por todos os serviços Kerberos dentro da árvore do domínio. Além disso, as credenciais emitidas por um serviço Kerberos em uma floresta de árvores de domínio são aceitas por todos os
serviços Kerberos da floresta.
KerberosKerberos
• Autenticação mútua de cliente e servidor
• Tanto o cliente como o servidor são autenticados em uma sessão Kerberos.
• Processos eficientes de autenticação
• O Windows 2000 Server pode verificar as credenciais do cliente sem consultar o serviço Kerberos no controlador de domínio.
KerberosKerberosImplementação no WIN 2KImplementação no WIN 2K
• A implementação do Kerberos no Windows 2000 é compatível com qualquer outra implementação da versão 5 do Kerberos que seja compatível com IETF RFCs 1510 e 1964.
• Os clientes e servidores do Windows 2000 podem autenticar e, portanto, se comunicar com várias outras plataformas que implementam o pacote de autenticação Kerberos.
KerberosKerberosMicrosoft Win 2k x UnixMicrosoft Win 2k x Unix
• Há duas formas em que o Windows 2000 pode funcionar com KDCs baseados em Kerberos MIT.
KerberosKerberosMicrosoft Win 2k x UnixMicrosoft Win 2k x Unix
• Primeiro, a estação de trabalho do Windows 2000 pode ser configurada para usar um KDC Unix. Os usuários podem efetuar logon no Windows 2000 usando uma conta definida no KDC Unix. Isso é igual ao suporte de estação de trabalho Unix para logon Kerberos. Qualquer aplicativo do Windows 2000 ou Unix que só requer autenticação baseada em nomes pode usar um KDC Unix como servidor Kerberos.
KerberosKerberosMicrosoft Win 2k x UnixMicrosoft Win 2k x Unix
• A segunda forma em que o Windows 2000 funciona com Kerberos MIT é através de confiança entre um ambiente Unix e um domínio do Windows 2000. A confiança entre ambientes é a melhor forma de se oferecer suporte aos serviços do Windows 2000 que usam a personificação e controle de acesso.
KerberosKerberosConclusãoConclusão
• Os clientes do Windows 2000 não podem usar um KDC Unix para autenticação no Active Directory.
• O modelo de segurança distribuída do Windows 2000 depende em mais do que uma lista de SIDs para autorização de dados em tickets Kerberos, e esses protocolos vão bem além dos serviços de autenticação fornecidos pelo servidor Kerberos MIT.
Active Directory(Microsoft)Active Directory(Microsoft)
• O Active Directory tem o objetivo criar e manipular facilmente informações de um diretório.
• O Active Directory implementa um espaço de nomes. Um espaço de nomes é uma área em que um determinado nome pode ser resolvido, isto é, transformado em um objeto ou nas informações que representa.
Active Directory(Microsoft)Active Directory(Microsoft)
• A resolução do nome depende do tipo de objeto que o nome representa. Nesse procedimento, um cliente active directory realiza requisições a um servidor active directory(também denominado de controlador de domínio) através de um protocolo específico: o LDAP(Lightweight Directory Access Protocol).
Active Directory(Microsoft)Active Directory(Microsoft)ObjetivoObjetivo
• O objetivo principal do Active Directory é facilitar a administração da rede.
Active Directory(Microsoft)Active Directory(Microsoft)ComponentesComponentes
• Os principais componentes que formam o Active Directory são: –Objeto–Esquema–Contêiner
Active Directory(Microsoft)Active Directory(Microsoft)ObjetoObjeto
• Um objeto é qualquer usuário, sistema recurso ou serviço existente dentro do AD.
• Os objetos são descritos por seus atributos, como por exemplo, nome de uma máquina e seu endereço IP.
Active Directory(Microsoft)Active Directory(Microsoft)EsquemaEsquema
• O conjunto de atributos para qualquer tipo particular de objeto é chamado de esquema.
Active Directory(Microsoft)Active Directory(Microsoft)ConteinerConteiner
• Um contêiner é um tipo especial de objeto utilizado para organizar o Active Directory.
• Sua idéia é similar a de pastas do Windows, isto é, se uma pasta contem arquivos e outras pastas, um contêiner armazena objetos e outros contêiners. Os três tipos possíveis de contêiners são domínios, sites e unidades organizacionais.
Active Directory(Microsoft)Active Directory(Microsoft)Conteiner - DomíniosConteiner - Domínios
• Um domínio é um grupo de usuários e computadores que formam uma unidade administrativa isolada.
Active Directory(Microsoft)Active Directory(Microsoft)Conteiner - SitesConteiner - Sites
• Um site consiste em uma localização geografica empregada para distinguir localizações remotas de localizações locais.
• Os sites podem ser comparados a subredes, isto é, uma estrutura pode ser empregada por aplicativos para localizar um determinado servidor mais próximo dessa subrede, reduzindo assim o tráfego em redes remotas.
- Contém ao menos um Domain Controller- Contém ao menos um Domain Controller
Active Directory(Microsoft)Active Directory(Microsoft)Conteiner – Unidade OrganizacionalConteiner – Unidade Organizacional
• Uma unidade organizacional é um contêiner para agrupar objetos com políticas de acesso idênticas, podendo ser criadas com base em vários critérios, como função, localização, recursos, etc.
Active Directory(Microsoft)Active Directory(Microsoft)Conteiner – Unidade OrganizacionalConteiner – Unidade Organizacional
• As unidades organizacionais existem dentro de um domínio.
• Uma característica das grandes organizações é a necessidade de criar vários domínios para controlar de forma mais apropriada os recursos de um determinado setor, departamento, filial e etc.
Active Directory(Microsoft)Active Directory(Microsoft)DomíniosDomínios
• Limites para Segurança– Autenticação
• Limites de Replicação
• Limites do namespace DNS
• Limites para administração
• Relações de confiança:• Transitiva bidirecional• Também unidirecional não-transitiva para
compatibilidade com NT4
COMPANY
Active Directory(Microsoft)Active Directory(Microsoft)Árvores e FlorestasÁrvores e Florestas
Árvore: Hierarquia de domínios formando um namespace contíguo
Floresta: Hierarquia de domínios formando um namespace contíguo ou não
Formado por Relms de ConfiançaCOMPANY
EUROPE.COMPANYAMERICA.COMPANY
NICARAGUA.AMERICA.COMPANY
DIVISION.COM COMPANY
AMERICA.COMPANY
Active Directory(Microsoft)Active Directory(Microsoft)ÁrvoresÁrvores
• O Active Directory permite que os domínios sejam organizados hierarquicamente na forma de uma árvore.
• Essa organização cria uma relação de filiação entre os domínios com uma relação de confiança, fazendo com que essa relação de confiança permita que recursos sejam compartilhados.
Active Directory(Microsoft)Active Directory(Microsoft)FlorestasFlorestas
• O conjunto de árvores, isto é, de espaços de nomes diferentes define o que se denomina de uma floresta.
Exemplo de estrutura de Exemplo de estrutura de Active DirectoryActive Directory
Microsoft.comMicrosoft.com
SouthamericaSouthamerica NorthamericaNorthamerica CanadaCanada EUAEUA
Division.comDivision.com
ÁrvoreÁrvoreMicrosoft.comMicrosoft.com
ÁrvoreÁrvoredivision.comdivision.com
Floresta Floresta
Domínio
Unidade
Organizacional
Active DirectoryActive DirectorySegurançaSegurança
Private / Public Key (Crypto API) SSL IPSec Kerberos Smart Card
Active DirectoryActive DirectoryAlgumas CaracterísticasAlgumas Características
Tecnologia de armazenamentoTecnologia de armazenamento IndexadaIndexada
Máx. objetos/partiçãoMáx. objetos/partição MilhõesMilhões
Limite de partiçãoLimite de partição Geo/PolíticaGeo/Política
Catálogos localmente ?Catálogos localmente ? SimSim
Intervalo de atualizaçãoIntervalo de atualização ContínuoContínuo
Suporte a LDAP nativo ?Suporte a LDAP nativo ? SimSim
Integração com DNS nativo ?Integração com DNS nativo ? SimSim
Suporte integrado Kerberos ?Suporte integrado Kerberos ? Sim Sim
Segurança no catálogo Segurança no catálogo ?? SimSim
Grupos inter-partições Grupos inter-partições ?? SimSim
Interface adm. global ?Interface adm. global ? SimSim
Suporte a ADSI ?Suporte a ADSI ? SimSim
Suporte a Java ?Suporte a Java ? Sim (JADSI)Sim (JADSI)
Active DirectoryActive DirectoryADSI (Active Directory Service Interfaces)ADSI (Active Directory Service Interfaces)
• ADSI é um dos componentes do Windows® Open Services Architecture (WOSA) e Open Directory Service Interfaces (ODSI).
Active DirectoryActive DirectoryADSI (Active Directory Service Interfaces)ADSI (Active Directory Service Interfaces)
NetWareBindery NDS
NTSDSX.500
NW3 XDS NDS Win32
Clients&
Servers
Notes
Notes
APIs
Directories
Directory Challenge
A D S I
Active DirectoryActive DirectoryADSI (Active Directory Service Interfaces)ADSI (Active Directory Service Interfaces)
Client Active DirectoryService Interfaces
Provider
Namespace
Container Component Object
Leaf Component Object
Active Directory ServiceInterfaces
Underlying directory serviceprotocol
VisualBasic
orC/C++
COMObject
COMObject
Active DirectoryActive Directory
• o Active Directory é baseado num diretório standard de protocolos de acesso (assim como o Lightweight Directory Acess Protocol LDAP) que significa que pode interoperar com outro diretório de serviços mostrando estes protocolos, o mesmo como se processa tudo na Internet.
ConclusãoConclusão
• Com o aumento no tamanho das redes e as constantes mudanças pelas quais as redes passam, os usuários passam a necessitar um serviço que permita um acesso transparente ao usuário aos recursos da rede.
ConclusãoConclusão
• Um Serviço de Diretórios é responsável por permitir que o usuário possa consultar ou navegar em diretórios de usuário, organizações ou recursos, sem ter a necessidade de conhecer detalhes sobre os objetos armazenados nestes diretórios.
Usuários Windows Usuários Windows • Info sobre contasInfo sobre contas• PrivilégiosPrivilégios• PerfisPerfis• PolíticasPolíticas
Clientes WindowsClientes Windows• Perfil gerenciam.Perfil gerenciam.• Info de redeInfo de rede• PolíticasPolíticas
Servidores WindowsServidores Windows• Perfil gerenciam.Perfil gerenciam.• Info de redeInfo de rede• ServiçosServiços• ImpressorasImpressoras• CompartilhamentosCompartilhamentos• PolíticasPolíticas
Um Ponto Focal para:Um Ponto Focal para:• GerenciamentoGerenciamento• SegurançaSegurança• InteroperabilidadeInteroperabilidade
ActiveActiveDirectoryDirectory
AplicaçõesAplicações• Server configServer config• Único logonÚnico logon• Info específica Info específica • PolíticasPolíticas
Dispositivos RedeDispositivos Rede• ConfiguraçãoConfiguração• Política QoSPolítica QoS• Política Segur.Política Segur.
InternetInternet
Firewall ServicesFirewall Services• ConfiguraçãoConfiguraçãoPolítica SegurPolítica Segur. Política VPN. Política VPN
OutrosOutrosDiretóriosDiretórios• NDS, LDAPNDS, LDAP• E-CommerceE-Commerce
Outros NOSOutros NOS• UsuáriosUsuários• SegurançaSegurança• PolíticasPolíticas
E-Mail ServersE-Mail Servers• Info mailboxInfo mailbox• Address bookAddress book
O que é então o Active Directory ?O que é então o Active Directory ?
..