Tìm hiểu về cơ sở hạ tầng Active Directory

Active Directory Domain Server( AD DS) cung cấp các chức năng của giải pháp xác nhận và truy cập( Identity and Access-IDA) cho mạng doanh nghiệp. IDA có nhiệm vụ duy trì an ninh cho nguồn tài nguyên của doanh nghiệp như file, e-mail, ứng dụng và cơ sở dữ liệu.
Cơ sở hạ tầng của IDA gồm:



MicrosoftServer-2012

-Lưu trữ thông tin về người dùng, nhóm, máy tính và các đối tượng định danh khác. Đối tượng định danh hiểu theo nghĩa rộng là biểu thị thực thể mà thực hiện các hành động ở trong doanh nghiệp.
-Xác thực đối tượng định danh. Máy chủ sẽ không cấp quyền truy cập tài liệu cho người dùng trừ khi hệ thống xác thực được đối tượng đó là hợp lệ và có thông tin trong hệ thống.
-Điều khiển truy cập: IDA chịu trách nhiệm bảo vệ sự bí mật thông tin.
-Lưu vết: IDA cung cấp cơ chế kiểm soát các thay đổi và hoạt động diễn ra trong hệ thống.
Active Directory gồm 5 công nghệ mà mỗi loại có thể được định danh bởi một từ khóa.
– Active Directory Domain Server(Identity) AD DS: cung cấp kho trung tâm cho quản lí đối tượng định danh. Cung cấp dịch vụ xác thực và ủy quyền, hỗ trợ quản lí đối tượng thông qua chính sách nhóm( Group Policy). AD DS cũng cấp dịch vụ quản lí và chia sẽ thông tin, cho phép người dùng tìm kiếm các đối tượng như file server, printer, group và các người dùng khác.
-Active Directory Lightweight Directory Services( Applications) AD LDS là phiên bản tách biệt của Active Directory. vai trò của nó thường được biết đến như Active Directory Application Mode( ADAM) lưu trữ các thông tin liên quan tới ứng dụng. Chúng cho phép chuyển các đồ hình hỗ trợ ứng dụng nhưng không làm thay đổi các đồ hình đó. AD LDS hỗ trợ đa dữ liệu lưu trữ trên hệ thống đơn được phân bố theo giao thức Lightweight Directory Access Protocol( LDAP) và cổng SSL
-Active Directory Certificate Services( Trust) AD CS cài đặt chứng nhận thẩm quyền dành cho chứng chi số như một phần của cơ sở hạ tầng khóa công khai( PKI) gắn liền đối tượng định danh là cá nhân,thiết bị hay dịch vụ với khóa bí mật tương ứng. Chứng chỉ dùng xác thực người dùng,máy tính, xác thực Web,thẻ thông minh, hỗ trợ các ứng dụng như bảo mật mạng không dây, mạng riêng ảo( VPNs), bảo mật giao thức mạng( IPSec), mã hóa file hệ thống( EFS), chữ kí số.
-Active Directory Rights Management Services( Integrity) AD RMS. Server chạy HĐH Windows có thể ngăn chặn hay cho phép truy cập tài liệu dựa trên danh sách kiểm soát truy cập (ACL), có nhiều cách kiểm soát tài liệu cũng như nội dung khi người dùng mở nó. AD RMS là công nghệ bảo vệ thông tin cho phép thực hiện ổn định việc sử dụng các chính sách mẫu cho phép và không cho phép sử dụng bất kể đang online hay offline, bên trong hay bên ngoài tường lửa. AD RMS yêu cầu DC chạy Windows Server 2000 SP3 trở lên, IIS,máy chủ cơ sở dữ liệu như Microsoft SQL Server 2008.
-Active Directory Federation Services( Partnership) AD FS cho phép mở rộng IDA qua nhiều lớp nền, gồm cả môi trường Windows và  không phải Windows, tới các dự án định danh và truy cập quyền qua ranh giới an ninh tới các đối tác tin cậy. Trong liên môi trường, mỗi tổ chức duy trì và quản lí các đối tượng định danh của mình, tuy nhiên cũng có thể bảo mật dự án và chấp nhận các đối tượng định danh từ các tổ chức khác.Người dùng được xác thực trên một mạng có thể truy cập tài nguyên trên mạng khác( SSO). AD FS mở rộng nội bộ cơ sở hạ tầng AD DS từ đó mở rộng thế giới mạng thông qua cổng TCP/IP như 80( HTTP) và 443(Secure HTTP hay HTTPs)
Các role của Active Directory cung cấp một giải pháp tích hợp IDA. AD DS hay AD LDS cung cấp các dịch vụ directory cơ bản gồm cả domain và standalone. AD CS cung cấp chứng chỉ tin cậy trong dạng của chứng chỉ số PKI. AD RMS bảo vệ sự toàn vẹn thông tin chứa trong tài liệu. Còn AD FS hỗ trợ công ty bằng cách loại bỏ sự cần thiết  liên môi trường trong việc tạo đa đối tượng định danh riêng biệt cho hệ thống an ninh chính.
+Active Directory data store: AD DS lưu trữ các đối tượng định danh của nó trong directory-kho dữ liệu được xây dựng trên Domain Controller( DC). Directory là một file đơn có tên Ntds.dit được tạo mặc định nằm trong thư mục %SystemRoot%\Ntds trên DC. Cơ sở dữ liệu được chia thành nhiều phân vùng gồm đồ hình(schema), cấu hình( configuration), thống kê toàn cục( global catalog) và domain naming context  chứa dữ liệu về đối tượng trong Domain như user, group, computer.
+Domain Controller( DC): là các máy chủ thực hiện vai trò AD DS. DC cũng chạy dịch vụ phân phối khóa trung tâm(Kerberos Key Distribution Center- KDC) thực hiện việc xác thực cũng như các dịch vụ khác của Active Directory.
+Domain: là đơn vị hành chính với khả năng và đặc tính nhất định được chia sẻ. Các DC tạo lại các phân vùng của kho dữ liệu để lưu trữ dữ liệu đối tượng định danh như user, group,computer. Mọi DC duy trì cùng kho đối tượng định danh nên DC có quyền xác thực mọi đối tượng định danh trong Domain. Domain còn là phạm vi chính sách hành chính như mật khẩu phức tạp, chính sách bảo mật tài khoản. Ví dụ như chính sách cấu hình trên domain này chỉ áp dụng cho tất cả tài khoản domain này mà không cho các tài khoản domain khác. Các thay đổi có thể làm với các đối tượng trong cơ sở dữ liệu Active Directory bởi bất cứ DC nào và sẽ tạo tương tự trên DC khác.
+Forest: là tập hợp một hay nhiều Domain Active Directory. Những domain đầu tiên được cài đặt trong Forest gọi là Forest root domain. Forest chứa định nghĩa đơn của cấu hình mạng và ví dụ đơn của đồ hình directory. Forest là ví dụ đơn của directory không có dữ liệu được tạo lại bởi Active Directory bên ngoài phạm vi Forest.
+Tree: Không gian tên DNS của Domain trong rừng tạo nên Tree. Nếu domain là domain con của domain khác thì hai domain được xem là một Tree. Ví dụ anninhmang.net chứa 2 domain anninhmang.net và newepoche.anninhmang.net thì 2 domain này tạo thành phần tiếp giáp của không gian tên DNS, do đó chúng là cây đơn. Nhưng nếu 2 domain anninhmang.net và newepoche.net thì không phải là tiếp giáp trong không gian tên DNS, nên chúng được xem là 2 cây. Tree là kết quả trực tiếp của tên DNS được chọn cho Domain trong Forest.
+Functional level:chức năng có sẵn trong domain Active Directory hay Forest phụ thuộc mức chức năng của nó.Mức chức năng là một cài đặt AD DS cho phép nâng cao các đặc điểm về độ sâu domain và Forest. Có 3 mức là Windows 2000 Native,Windows Server 2003, Windows Server 2008. Khi nâng mức chức năng,các đặc điểm cung cấp bởi phiên bản Windows đó sẽ trở nên sẵn sàng trên Active Directory. Ví dụ khi nâng mức chức năng lên Windows Server 2008, thuộc tính mới sẽ có sẵn thông tin lần gần nhất người dùng đăng nhập thành công, máy tính người dùng đăng nhập lần gần nhất.
+ Organizational units( OUs): Active Directory là cơ sở dữ liệu phân cấp. Đối tượng trong kho dữ liệu có thể được tập trung trong các kho chứa. Một loại của kho chứa là lớp đối tượng được gọi với tên Container. Các Container mặc định là User,computer, builtin nằm trong Active Directory Users and Computer snap-in. Một loại khác của kho chứa là OU. OU không chỉ cung cấp kho chứa đối tượng mà còn phạm vi để quản lí đối tượng đó. Vì vậy OUs có các đối tượng gọi là đối tượng chính sách nhóm( GPOs) liên kết với chúng. GPOs có thể chứa cấu hình cài đặt sẽ được áp dụng tự động bởi người dùng,máy tính trong OU.
+Sites: khi xem xét sơ đồ mạng phân tán của doanh nghiệp, sẽ đề cập đến Sites. Trong Active Directory, Sites có ý nghĩa rất đặc biệt,có một lớp đối tượng gọi là Site. Active Directory site là đối tượng biểu thị một phần doanh nghiệp trong hệ thống kết nối mạng tốt. Site  ranh giới cho sự tái tạo và sử dụng dịch vụ. DCs trong site thay đổi trong vài giây để liên lạc giữa các Site trên cơ sở được kiểm soát với giả định kết nối liên mạng chậm,đắt hay không đang tin cậy,từ đó so sánh với kết nối bên trong Site. Hơn nữa, máy khách thích sử dụng dịch vụ phân tán cung cấp bởi máy chủ hơn là trên site của nó hay site riêng. Ví dụ khi người dùng đăng nhập domain, hệ điều hành máy khách lần đầu sẽ cố gắng xác thực với DC tại Site hiện tại. Nếu không có DC trên Site đó nó sẽ xác thực trên DC thuộc Site khác.
Qua 2 bài viết về tổng quan cơ sở hạ tầng Active Directory, hi vọng người đọc có thể hiểu một cách khái quát về hệ thống với 8 thành phần: kho lưu trữ, DC, Domain, Forest, Tree, Mức chức năng, OU, Site. 

Nhận xét

Bài đăng phổ biến từ blog này

Sử dụng server để định tuyến mạng - Routing server

Virtual Networking - Ảo hóa mạng

Trình quản lý user và Group trên máy cục bộ (Local user and group)

[vmware workstation] Ngăn máy ảo tự động pause

Cài đặt, cấu hình cơ bản CentOS 7 Minimal

Cách bật card mạng eth0 khi cài đặt Centos 7 Minimal trên VMWARE WORKSTATION

Xây dựng hệ thống monitoring tập trung với PRTG (Phần 1 - Cài đặt)

Căn bản về Storage

Mô hình OSI 7 lớp

Các cấu hình trong khi cấu hình Elastix SIP Trunk (Elastix SIP Trunk Configuration Guide)