ACTIVE DIRECTORY José Carlos Serufo Filho ( [email protected] )[email protected] 05/07/2004.

ACTIVE DIRECTORYACTIVE DIRECTORY

José Carlos Serufo Filho ( [email protected] )

05/07/2004

ACTIVE DIRECTORY ( AD )ACTIVE DIRECTORY ( AD )DefiniçãoDefinição

O serviço Active Directory® fornece recursos de logon único e um repositório central para informações de toda a infra-estrutura, simplificando amplamente o gerenciamento de usuários e de computadores e fornecendo acesso superior aos recursos em rede.

Evolução da Família WindowsEvolução da Família Windows

Clientes Corporativos

Servidores Corporativos

O que é o Active Directory ?O que é o Active Directory ?

Servidor Dinâmico de DNS(Domain Name System)

Servidor de DHCP (Dynamic Host Configuration Protocol)

Servidor de KERBEROS 5 (KDC)

Servidor de DominioMicrosoft RPC

Servidor de LDAP v3

Banco de

Dados

O que é um serviço de O que é um serviço de diretório?diretório?

• No contexto de uma rede, um diretório é uma estrutura hierárquica que armazena informações a respeito de itens(recursos) de uma rede.


• Um diretório pode ser composto pelos mais diferentes tipos de itens(objetos), como por exemplo, servidores, discos, impresoras, contas de usuários, arquivos compartilhados; ou ainda domínios de logon, aplicativos, políticas de segurança e de acesso, etc.


• O conceito de serviço de diretório é um conjunto de funções para criação, armazenamento e recuperação de informações de um diretório.

• A existência de múltiplos serviços de diretório cria dificuldades administrativas e incompatibilidade entre as aplicações.

X500 X500

• Uma primeira tentativa de criar um serviço de diretório para suprir informações comuns a várias aplicações foi o X500.

• X500 é um conjunto de padrões definido pelo CCITT(Consultative Committee on

International Telegraphy and Telephony) atual ITU(International Telecommunication Union).

Características do X500Características do X500

• Banco de informações distribuído;

• Mecanismo de procura de informações flexível;

• Espaço de Nomes Homogêneo;

• Serviço padronizado;

• Aberto.

X509 e o padrão LDAP v3X509 e o padrão LDAP v3

• LDAP(Lightweight Directory Access Protocol) Foi criado como uma alternativa mais simples ao protocolo padrão do X500(DAPDirectory Access Protocol).

• X509 padrão adotado pela Microsoft (Alteraçao no esquema original para ajustar as suas necessidades.)

DNS(Domain Name System)DNS(Domain Name System)IntroduçãoIntrodução

• O Domain Name System (DNS) é um sistema de banco de dados distribuído não genérico usado pelas aplicações Internet, pricipalmente, para conversão de um nome de máquina para seu endereço IP e também usado pelos programas de correio eletrônico para pesquisar a máquina que recebe o correio para determinado domínio.

DNS(Domain Name System)DNS(Domain Name System)HistóricoHistórico

• No ínicio da Internet, quando era chamada de Arpanet, a conversão entre o nome da máquina e o seu IP era realizada usando-se um arquivo denominado de hosts.txt.

• Os administradores enviavam via e-mail as alterações dos seus domínios e buscavam via FTP tal arquivo para atualizar-se.

DNS(Domain Name System)DNS(Domain Name System)HistóricoHistórico

• Com o crescimeto da Internet tal mecanismo tornou-se completamente inviável, surgindo o DNS, um sistema descentralizado, fornecendo as características necessárias em relação aos problemas de carga gerada no tráfego na rede, de colisão de nomes e de consistência dos dados.

DHCP DHCP ( Dynamic Host Configuration Protocol)( Dynamic Host Configuration Protocol)

• O DHCP é um serviço utilizado para automatizar as configurações do protocolo TCP/IP nos dispositivos de rede (computadores, impressoras, hubs, switchs, ou seja, qualquer dispositivo conectado à rede e que esteja utilizando o protocolo TCP/IP).

DHCP DHCP (Dynamic Host Configuration Protocol)(Dynamic Host Configuration Protocol)

• Sem o uso do DHCP, o administrador e sua equipe teriam que configurar, manualmente, as propriedades do protocolo TCP/IP em cada dispositivo de rede (genericamente denominados hosts).

DHCP DHCP Implementação da MicrosoftImplementação da Microsoft

• A implementação do DHCP no Windows 2000 Server e no Windows Server 2003 é baseada em padrões definidos pelo IETF.

• Estes padrões são definidos em documentos conhecidos como RFCs (Request for Comments).

DHCPDHCP

• As RFCs que definem os padrões do DHCP são as seguintes:– # RFC 2131: Dynamic Host Configuration

Protocol (substitui a RFC 1541)– # RFC 2132: DHCP Options and BOOTP

Vendor Extensions

http://www.rfc-editor.org/

KerberosKerberos

• No Windows 2000, a versão 5 do Kerberos é o principal protocolo de segurança.

• O Kerberos verifica tanto a identidade do usuário como a integridade dos dados da sessão.

KerberosKerberos

• Os serviços Kerberos estão instalados em cada controlador de domínio, e um cliente Kerberos é instalado em cada estação de trabalho e servidor do Windows 2000.

• A autenticação inicial do Kerberos garante ao usuário um único logon aos recursos da empresa.

KerberosKerberosVantagensVantagens

• Além de melhorar a segurança, permite:– Relações de confiança transitiva para

autenticação entre domínios.– As credenciais de autenticação emitidas por

um serviço Kerberos são aceitas por todos os serviços Kerberos dentro da árvore do domínio. Além disso, as credenciais emitidas por um serviço Kerberos em uma floresta de árvores de domínio são aceitas por todos os

serviços Kerberos da floresta.

KerberosKerberos

• Autenticação mútua de cliente e servidor

• Tanto o cliente como o servidor são autenticados em uma sessão Kerberos.

• Processos eficientes de autenticação

• O Windows 2000 Server pode verificar as credenciais do cliente sem consultar o serviço Kerberos no controlador de domínio.

KerberosKerberosImplementação no WIN 2KImplementação no WIN 2K

• A implementação do Kerberos no Windows 2000 é compatível com qualquer outra implementação da versão 5 do Kerberos que seja compatível com IETF RFCs 1510 e 1964.

• Os clientes e servidores do Windows 2000 podem autenticar e, portanto, se comunicar com várias outras plataformas que implementam o pacote de autenticação Kerberos.

KerberosKerberosMicrosoft Win 2k x UnixMicrosoft Win 2k x Unix

• Há duas formas em que o Windows 2000 pode funcionar com KDCs baseados em Kerberos MIT.


• Primeiro, a estação de trabalho do Windows 2000 pode ser configurada para usar um KDC Unix. Os usuários podem efetuar logon no Windows 2000 usando uma conta definida no KDC Unix. Isso é igual ao suporte de estação de trabalho Unix para logon Kerberos. Qualquer aplicativo do Windows 2000 ou Unix que só requer autenticação baseada em nomes pode usar um KDC Unix como servidor Kerberos.


• A segunda forma em que o Windows 2000 funciona com Kerberos MIT é através de confiança entre um ambiente Unix e um domínio do Windows 2000. A confiança entre ambientes é a melhor forma de se oferecer suporte aos serviços do Windows 2000 que usam a personificação e controle de acesso.

KerberosKerberosConclusãoConclusão

• Os clientes do Windows 2000 não podem usar um KDC Unix para autenticação no Active Directory.

• O modelo de segurança distribuída do Windows 2000 depende em mais do que uma lista de SIDs para autorização de dados em tickets Kerberos, e esses protocolos vão bem além dos serviços de autenticação fornecidos pelo servidor Kerberos MIT.

Active Directory(Microsoft)Active Directory(Microsoft)

• O Active Directory tem o objetivo criar e manipular facilmente informações de um diretório.

• O Active Directory implementa um espaço de nomes. Um espaço de nomes é uma área em que um determinado nome pode ser resolvido, isto é, transformado em um objeto ou nas informações que representa.

Active Directory(Microsoft)Active Directory(Microsoft)

• A resolução do nome depende do tipo de objeto que o nome representa. Nesse procedimento, um cliente active directory realiza requisições a um servidor active directory(também denominado de controlador de domínio) através de um protocolo específico: o LDAP(Lightweight Directory Access Protocol).

Active Directory(Microsoft)Active Directory(Microsoft)ObjetivoObjetivo

• O objetivo principal do Active Directory é facilitar a administração da rede.

Active Directory(Microsoft)Active Directory(Microsoft)ComponentesComponentes

• Os principais componentes que formam o Active Directory são: –Objeto–Esquema–Contêiner

Active Directory(Microsoft)Active Directory(Microsoft)ObjetoObjeto

• Um objeto é qualquer usuário, sistema recurso ou serviço existente dentro do AD.

• Os objetos são descritos por seus atributos, como por exemplo, nome de uma máquina e seu endereço IP.

Active Directory(Microsoft)Active Directory(Microsoft)EsquemaEsquema

• O conjunto de atributos para qualquer tipo particular de objeto é chamado de esquema.

Active Directory(Microsoft)Active Directory(Microsoft)ConteinerConteiner

• Um contêiner é um tipo especial de objeto utilizado para organizar o Active Directory.

• Sua idéia é similar a de pastas do Windows, isto é, se uma pasta contem arquivos e outras pastas, um contêiner armazena objetos e outros contêiners. Os três tipos possíveis de contêiners são domínios, sites e unidades organizacionais.

Active Directory(Microsoft)Active Directory(Microsoft)Conteiner - DomíniosConteiner - Domínios

• Um domínio é um grupo de usuários e computadores que formam uma unidade administrativa isolada.

Active Directory(Microsoft)Active Directory(Microsoft)Conteiner - SitesConteiner - Sites

• Um site consiste em uma localização geografica empregada para distinguir localizações remotas de localizações locais.

• Os sites podem ser comparados a subredes, isto é, uma estrutura pode ser empregada por aplicativos para localizar um determinado servidor mais próximo dessa subrede, reduzindo assim o tráfego em redes remotas.

- Contém ao menos um Domain Controller- Contém ao menos um Domain Controller

Active Directory(Microsoft)Active Directory(Microsoft)Conteiner – Unidade OrganizacionalConteiner – Unidade Organizacional

• Uma unidade organizacional é um contêiner para agrupar objetos com políticas de acesso idênticas, podendo ser criadas com base em vários critérios, como função, localização, recursos, etc.

Active Directory(Microsoft)Active Directory(Microsoft)Conteiner – Unidade OrganizacionalConteiner – Unidade Organizacional

• As unidades organizacionais existem dentro de um domínio.

• Uma característica das grandes organizações é a necessidade de criar vários domínios para controlar de forma mais apropriada os recursos de um determinado setor, departamento, filial e etc.

Active Directory(Microsoft)Active Directory(Microsoft)DomíniosDomínios

• Limites para Segurança– Autenticação

• Limites de Replicação

• Limites do namespace DNS

• Limites para administração

• Relações de confiança:• Transitiva bidirecional• Também unidirecional não-transitiva para

compatibilidade com NT4

COMPANY

Active Directory(Microsoft)Active Directory(Microsoft)Árvores e FlorestasÁrvores e Florestas

Árvore: Hierarquia de domínios formando um namespace contíguo

Floresta: Hierarquia de domínios formando um namespace contíguo ou não

Formado por Relms de ConfiançaCOMPANY

EUROPE.COMPANYAMERICA.COMPANY

NICARAGUA.AMERICA.COMPANY

DIVISION.COM COMPANY

AMERICA.COMPANY

Active Directory(Microsoft)Active Directory(Microsoft)ÁrvoresÁrvores

• O Active Directory permite que os domínios sejam organizados hierarquicamente na forma de uma árvore.

• Essa organização cria uma relação de filiação entre os domínios com uma relação de confiança, fazendo com que essa relação de confiança permita que recursos sejam compartilhados.

Active Directory(Microsoft)Active Directory(Microsoft)FlorestasFlorestas

• O conjunto de árvores, isto é, de espaços de nomes diferentes define o que se denomina de uma floresta.

Exemplo de estrutura de Exemplo de estrutura de Active DirectoryActive Directory

Microsoft.comMicrosoft.com

SouthamericaSouthamerica NorthamericaNorthamerica CanadaCanada EUAEUA

Division.comDivision.com

ÁrvoreÁrvoreMicrosoft.comMicrosoft.com

ÁrvoreÁrvoredivision.comdivision.com

Floresta Floresta

Domínio

Unidade

Organizacional

Active DirectoryActive DirectorySegurançaSegurança

Private / Public Key (Crypto API) SSL IPSec Kerberos Smart Card

Active DirectoryActive DirectoryAlgumas CaracterísticasAlgumas Características

Tecnologia de armazenamentoTecnologia de armazenamento IndexadaIndexada

Máx. objetos/partiçãoMáx. objetos/partição MilhõesMilhões

Limite de partiçãoLimite de partição Geo/PolíticaGeo/Política

Catálogos localmente ?Catálogos localmente ? SimSim

Intervalo de atualizaçãoIntervalo de atualização ContínuoContínuo

Suporte a LDAP nativo ?Suporte a LDAP nativo ? SimSim

Integração com DNS nativo ?Integração com DNS nativo ? SimSim

Suporte integrado Kerberos ?Suporte integrado Kerberos ? Sim Sim

Segurança no catálogo Segurança no catálogo ?? SimSim

Grupos inter-partições Grupos inter-partições ?? SimSim

Interface adm. global ?Interface adm. global ? SimSim

Suporte a ADSI ?Suporte a ADSI ? SimSim

Suporte a Java ?Suporte a Java ? Sim (JADSI)Sim (JADSI)

Active DirectoryActive DirectoryADSI (Active Directory Service Interfaces)ADSI (Active Directory Service Interfaces)

• ADSI é um dos componentes do Windows® Open Services Architecture (WOSA) e Open Directory Service Interfaces (ODSI).


NetWareBindery NDS

NTSDSX.500

NW3 XDS NDS Win32

Clients&

Servers

Notes

Notes

APIs

Directories

Directory Challenge

A D S I


Client Active DirectoryService Interfaces

Provider

Namespace

Container Component Object

Leaf Component Object

Active Directory ServiceInterfaces

Underlying directory serviceprotocol

VisualBasic

orC/C++

COMObject

COMObject

Active DirectoryActive Directory

• o Active Directory é baseado num diretório standard de protocolos de acesso (assim como o Lightweight Directory Acess Protocol LDAP) que significa que pode interoperar com outro diretório de serviços mostrando estes protocolos, o mesmo como se processa tudo na Internet.

ConclusãoConclusão

• Com o aumento no tamanho das redes e as constantes mudanças pelas quais as redes passam, os usuários passam a necessitar um serviço que permita um acesso transparente ao usuário aos recursos da rede.

ConclusãoConclusão

• Um Serviço de Diretórios é responsável por permitir que o usuário possa consultar ou navegar em diretórios de usuário, organizações ou recursos, sem ter a necessidade de conhecer detalhes sobre os objetos armazenados nestes diretórios.

Usuários Windows Usuários Windows • Info sobre contasInfo sobre contas• PrivilégiosPrivilégios• PerfisPerfis• PolíticasPolíticas

Clientes WindowsClientes Windows• Perfil gerenciam.Perfil gerenciam.• Info de redeInfo de rede• PolíticasPolíticas

Servidores WindowsServidores Windows• Perfil gerenciam.Perfil gerenciam.• Info de redeInfo de rede• ServiçosServiços• ImpressorasImpressoras• CompartilhamentosCompartilhamentos• PolíticasPolíticas

Um Ponto Focal para:Um Ponto Focal para:• GerenciamentoGerenciamento• SegurançaSegurança• InteroperabilidadeInteroperabilidade

ActiveActiveDirectoryDirectory

AplicaçõesAplicações• Server configServer config• Único logonÚnico logon• Info específica Info específica • PolíticasPolíticas

Dispositivos RedeDispositivos Rede• ConfiguraçãoConfiguração• Política QoSPolítica QoS• Política Segur.Política Segur.

InternetInternet

Firewall ServicesFirewall Services• ConfiguraçãoConfiguraçãoPolítica SegurPolítica Segur. Política VPN. Política VPN

OutrosOutrosDiretóriosDiretórios• NDS, LDAPNDS, LDAP• E-CommerceE-Commerce

Outros NOSOutros NOS• UsuáriosUsuários• SegurançaSegurança• PolíticasPolíticas

E-Mail ServersE-Mail Servers• Info mailboxInfo mailbox• Address bookAddress book

O que é então o Active Directory ?O que é então o Active Directory ?

ACTIVE DIRECTORY José Carlos Serufo Filho ( [email protected] )[email protected] 05/07/2004.

Documents

Transcript of ACTIVE DIRECTORY José Carlos Serufo Filho ( [email protected] )[email protected] 05/07/2004.