Размещено на http://www.allbest.ru/

40

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ

РОССИЙСКОЙ ФЕДЕРАЦИИ

Министерство образования и науки Российской Федерации

Государственное бюджетное образовательное учреждение высшего профессионального образования

«КУБАНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»

Физико-технический факультет

Кафедра теоретической физики и компьютерных технологий

ДИПЛОМНАЯ РАБОТА

СРАВНЕНИЕ СЛУЖБ КАТАЛОГОВ В ОС WINDOWS И LINUX

Автор дипломной работы С.А. Рубцов

Научный руководитель, преподаватель В.Н. Значко

Нормоконтролер, доцент А.А. Мартынов

Краснодар 2014

Реферат

Рубцов С.А. сравнение служб каталогов в ОС WINDOWS и LINUX. Курсовая работа: 46с., 9 рис., 1таблица, 12 использованных источников.

Объектом разработки данной дипломной работы является служб каталогов Active Directory и LDAP.

Основным результатом курсовой работы является аналитический обзор и равнение средств, методов и теоретических основ служб каталогов Windows и Linux.

На основе проведенного анализа выяснить, какую из систем выбрать для установки на сервер.

Содержание

Введение

1. Службы каталогов

1.1 Что такое службы каталогов

2. Операционные системы Windows и Linux использующие службы каталогов

2.1 Windows NT

2.2 Windows 2000

2.3 Windows Server 2003

2.4 Windows Server 2008

2.5 Windows Server 2008 R2

2.6 Windows Server 2012

2.7 Linux

3. Служба каталогов Active Directory и использование групповых

3.1 Службы каталогов

3.2 Схема LDAP

3.3 Система имён LDAP

3.4 Инструментарий для работы с LDAP-каталогом

3.5 Общие сведения о протаколе Kerberos

3.6 Реализация Kerberos в ОС Windows Server 2003

3.7 Оснастка Group Policy Object Editor

3.8 Структура объекта групповой политики

3.9 Административные шаблоны

3.10 Сценарии Под сценарием (scripts)

3.11 Управление приложениями

3.12 Построение иерархии объектов групповой политики

4. Служба каталогов LDAP

4.1 Что такое LDAP

4.2 Для чего можно использовать LDAP

5. Сравнение серверных операционных систем Windows и Linux

5.1 Пользовательский графический интерфейс

5.2 Безопасность

5.3 Стабильность работы

5.4 Возможности

5.5 Цена

5.6 Обоснование выбора

Заключение

Список использованных источников

операционный система windows linux

Введение

Тема дипломного проекта актуальна в силу ежегодного роста и развития компьютерных технологий, а также в связи с увеличением роста локальных сетей. В настоящее время широко распространены домашние сети, сети малого офиса, сети крупных компаний и т.д.

Существует большое количество разнообразных операционных систем. В данном курсовом проекте акцент сделан на серверные ОС семейства Windows, так как фирма Microsoft занимает лидирующее положение на рынке продаж программного обеспечения.

Цель данного курсового проекта провести сравнительный анализ серверных операционных систем Windows и Linux.

1. Службы каталогов

1.1 Что такое служба каталогов

Служба каталогов -- это сетевой сервис, представляющий централизованные средства управления ресурсами автоматизированной системы. Под ресурсами подразумеваются все компоненты сетевой инфраструктуры, которые используются для выполнения функций АСУ: пользователи, файлы и каталоги, устройства, сетевые сервисы и т.д. (рисунок 1).

Рисунок 1 Служба каталогов

Как правило, служба каталогов состоит из базы данных, в которой размещены сведения о сетевых ресурсах и серверного ПО, представляющего механизмы доступа к этой базе. Как база данных сервиса каталогов, так и ее управляющая программа могут быть распределены на несколько серверов (рисунок 2).



Рисунок 2 Распределенная служба каталогов

Основными функциями службы каталогов являются следующие:

Управление пользователями и группами (создание/удаление, настройка прав доступа).

Управление ресурсами (представление в общий доступ, установка ограничений, удаленное администрирование и т.п.).

Разграничение прав доступа (как правило, на уровне пользователей, групп и отдельных ресурсов).

Среди дополнительных функций сервиса каталогов можно указать, например, такие:

- поиск ресурсов;

- распространение сетевых политик;

- интеграция с другими сервисами.

Сетевая политика -- совокупность правил, определяющих методы и средства взаимодействия с общими ресурсами в корпоративной сети.

Сетевые ресурсы в службе каталогов обычно представлены в виде иерархической структуры. Такой способ наиболее близок к реальной организационной модели подавляющего большинства предприятий и организаций. Корень иерархии описывает предприятие в целом, нижележащие уровни -- подразделения и отдельные элементы. Для единообразного обращения к любому элементу иерархии протокол взаимодействия представляет унифицированную схему адресации -- либо собственную, либо совместимую со стандартными схемами.

Рассмотрим основные особенности некоторых сервисов каталогов, различных по представляемым возможностям.

Network Information Service (NIS/YP)NIS (Сетевая Информационная Служба) -- служба каталогов, разработанная и реализованная Sun Microsystems для систем на основе UNIX. NIS первоначально назывались Yellow Pages (YP), но из-за проблем с торговым знаком Sun изменила это название. Старое название (yp) используется в названиях утилит NIS.

NIS - это иерархическая система, в которой существует три типа хостов: основные (master) серверы, вторичные (slave) серверы и клиентские машины (рисунок 3). В качестве источников данных для клиентов используются системные файлы (в терминах NIS --карты ресурсов) основного сервера NIS: passwd, hosts, group, services и прочие. В сети может быть один основной сервер NIS и ни одного или более вторичных серверов. Вторичные серверы хранят копии общих файлов основного сервера для обеспечения избыточности. Клиенты могут быть настроены как на работу с основным сервером NIS, так и со вторичными. Чтобы получить доступ к запрашиваемой информации клиент должен являться членом домена NIS.

Рисунок 3 Структура Network Information Service (NIS)

Домен NIS -- это совокупность доверенных ресурсов с уникальным в пределах сети именем. Имя домена NIS и способ именования ресурсов напоминает адресацию в системе доменных имен (DNS), но никакого отношения к DNS не имеет. Информация о домене хранится на основном сервере NIS и реплицируется на вторичные сервера наравне с прочими ресурсами. Один основной сервер может вести базы нескольких доменов NIS.

Общий доступ реализуется по следующей схеме: когда клиентскому приложению требуется доступ к некоему ресурсу, то локальные обращения (например, к файлу hosts) транслируются в вызовы удаленных процедур сервера NIS, с которым связан клиент. Поскольку NIS использует RPC, то NIS-серверы работают на тех портах, которые им представляет сервис RPC (т.е. у службы NIS нет выделенного номера порта, в отличие от, например, ftp-сервера или веб-сервера).

Установление связи с сервером NIS выполняется путем широковещательной рассылки запросов. Если в сети имеется несколько серверов (основной и несколько вторичных), то клиент NIS (обычно это программа ypbind) будет использовать адрес первого ответившего и направлять все свои запросы на этот сервер. Время от времени ypbind будет проверять доступность сервера. Если тот не ответит за разумное время, то клиент снова начнет процедуру опроса сети в поисках «живого» сервера.

Сервис NIS поддерживается большинством UNIX-систем общего назначения и представляет простые и удобные средства для организации централизованного управления сетью. NIS хорошо интегрируется с такими сетевыми сервисами, как например DHCP или NFS.

Среди сновных проблемы NIS выделим две:

использовании RPC, что может привести к неработоспособности клиентов при недоступности NIS-сервера;

передача карт в открытом виде, что может привести к нарушению информационной безопасности.

Из-за второго недостатка NIS не рекомендуется применять в публичных сетях. Для устранения недостатков NIS были разработаны усовершенствованные спецификации протокола (NYS и NIS+), но они не столь популярны.

Модель OSI определяет самые разные аспекты взаимодействия открытых систем. Имеется в ней и спецификация X.500, описывающая службу каталогов. X.500 -- это серия рекомендаций разработанных ITU-T в 1993 г. и получивших статус международного стандарта (ISO/IEC 9594-1). Спецификация X.511 описывает протокол DAP для доступа к каталогам X.500. DAP, принятый в качестве международного стандарта, оказался избыточным и сложным в реализации и на его основе были разработаны адаптированные версии, среди которых NDS и LDAP.

Протокол LDAP (Lightweight Directory Access, упрощенный протокол доступа к каталогу) -- бинарный клиент-серверный протокол прикладного уровня, предназначенный для доступа к распределенной службе каталогов через Интернет. Этот протокол может использоваться как в качестве шлюза к любым X.500-совместимым каталогам (рисунок 4), так и в качестве основного сервиса каталогов (рисунок 5). Спецификация текущей версии (LDAP v3) приведена в RFC 4510.

Рисунок 4 LDAP в роли шлюза к каталогу X.500

Рисунок 5 LDAP в качестве самостоятельного сервиса

В терминах X.500 каталог представляет собой «совокупность открытых систем, совместно предоставляющих службы каталогов». Проще говоря, это распределенная клиент-серверная база данных, доступ к которой возможен через унифицированные интерфейсы. Пользователь каталога, который может быть человеком или другим каким-то объектом, получает доступ к каталогу (Directory) с помощью клиентского приложения (DUA). Клиент взаимодействует с одним или более серверами через агентов системы каталогов (DSA) (рисунок 4).

LDAP устанавливает порядок взаимодействия между клиентом и сервером на основе обмена сообщениями. Сообщения определяют запрашиваемые клиентом операции, ответы сервера и формат передаваемых данных. LDAP -- это сессионный протокол, требующий установления, поддержания и разрыва соединения между клиентом и сервером, поэтому основным транспортом для него является TCP. Для сервиса LDAP имеется стандартный порт 389 (TCP/UDP, см. описание «хорошо известных» (well-known) портов в локальном файле /etc/services).

Основной единицей информации, хранимой в каталоге, является отдельная запись (entry). Каждая запись представляет какой-либо реальный объект: человека, компьютер, организацию и т.д. Запись описывает объект через набор присущих ему атрибутов. Атрибуты представляют собой пары вида «имя -- значение». Фактическое значение атрибута зависит от его типа (рисунок 6).

Рисунок 6 Записи и атрибуты LDAP

Записи хранятся в иерархической структуре, называемой «Информационное дерево каталога» (Directory Information Tree, DIT). Обращение к записям осуществляется по их уникальным именам (DN, distinguished name). DN включает полный путь к записи от корня DIT и этим напоминает путь к файлу в файловой системе. Помимо DN используется и относительное уникальное имя (RDN, relative distinguished name).

Если сравнивать DN и RDN с именами файлов, то DN можно представить так:

- /home/user/documents/somefile.txt.

а, RDN так:

- somefile.txt.

По сути же, DN есть цепочка из RDN'ов элементов структуры разного уровня.

В LDAP используется унифицированная схема именования и набор обязательных и опциональных атрибутов предопределенных типов, которые имеют короткие алиасы. Некоторые типы атрибутов записей приведены в таблица 1. Простой пример DIT с несколькими записями приведен на (рисунок 7).

Таблица 1

атрибуты

Тип атрибута	Краткая запись (алиас)	Пояснение
CommonName	cn	Общее имя
StateOrProvinceName	st	Географическое название региона
OrganizationName	o	Название организации
OrganizationalUnitName	ou	Название структурного подразделения
CountryName	c	Страна
StreetAddress	street	Улица (как часть адреса)
domainComponent	dc	Элемент домена
userid	uid	Уникальный идентификатор пользователя



Рисунок 7 Пример информационного дерева каталога (DIT) в LDAP

LDAP изначально ориентирован на использование в сильно распределенной среде, поэтому каталог или его части могут быть размещены на различных серверах. Клиент может обращаться к любому из серверов LDAP. Доступ к ним может осуществляться по реферальному или цепочечному принципам.

В случае реферальной обработки запросов LDAP-сервер возвращает клиенту, вместо ответа, информацию о том, на каком из серверов можно получить нужные данные. При цепочечной обработке LDAP-сервер сам опрашивает другие сервера в поисках ответа на клиентсткий запрос.

Репликация каталога LDAP может выполняться по следующим сценариям:

multi-master-- все LDAP-серверы равноправны, в сети отсутствует четко определенный сервер, управляющий данными;

master-slave-- главный (master) сервер управляет всеми изменениями каталога и рассылает их на подчиненные (slave) серверы. Этот сценарий может быть расширен до делегирования функций синхронизации одному из подчиненных серверов, который и будет реплицировать данные на остальные slave-серверы.

Наиболее известной (но не единственной) открытой реализацией протокола LDAP является проект Open LDAP.

Начиная с версии Windows 2000 Server Microsoft стала использовать собственную, LDAP-совместимую службу каталогов Active Directory.

2. Операционные системы Windows и Linux использующие службы каталогов

2.1 Windows

Windows NT, первая полностью 32-разрядная операционная система этого семейства, появилась вскоре после выпуска Windows 95. Самой популярной стала версия Windows NT Server 4.0, существовавшая в варианте не только для Intel-совместимых компьютеров, но и для RISC-систем. Данная операционная система обладала привычным пользовательским интерфейсом Windows 95, удобными средствами администрирования, встроенным Web-сервером, средствами диагностики сети, управления процессами и задачами, интеграции с другими операционными системами (например, с Novell NetWare), а также утилитами и службами управления рабочими станциями. Чуть позже для этой операционной системы появились такие сервисы, как монитор транзакций и сервер приложений Microsoft Transaction Server, сервер управления очередями сообщений Microsoft Message Queue Server, а также ряд коммерческих продуктов, в том числе серверные СУБД, средства групповой работы и обмена сообщениями, серверы приложений как от компании Microsoft, так и от других производителей.

Применение Windows NT Server 4.0 в качестве серверной операционной системы во многих случаях было экономически оправданным, что сделало данную операционную систему весьма популярной у малых и средних предприятий.

2.2 Windows 2000

Windows 2000 на данный момент является самой популярной операционной системой Microsoft в корпоративном секторе. К серверным операционным системам этого семейства относятся Windows 2000 Server - универсальная сетевая операционная система для серверов рабочих групп и отделов, Windows 2000 Advanced Server - операционная система для эксплуатации бизнес-приложений и приложений для электронной коммерции и Windows 2000 Datacenter Server - ОС для наиболее ответственных приложений, осуществляющих обработку данных.

В состав Windows 2000 Server, по сравнению с Windows NT 4.0, включены и дополнительные службы, облегчающие управление серверами, сетями и рабочими станциями, например службы каталогов Active Directory, позволяющие создать единое хранилище учетных записей пользователей, клиентов, серверов и приложений Windows, дополнительные средства конфигурирования сетей и подключения удаленных пользователей, терминальные службы для удаленного управления компьютерами. Кроме того, в данную операционную систему были добавлены службы компонентов, являющиеся дальнейшим развитием Microsoft Transaction Server, что позволило создавать для этой ОС корпоративные приложения, обладающие масштабируемостью и надежностью.2000 Advanced Server обладает всеми возможностями Windows 2000 Server, а также поддерживает кластеризацию и баланс нагрузки, что делает возможным выполнение масштабируемых приложений с непрерывным доступом к данным. А операционная система Windows 2000 Datacenter Server содержит также дополнительные компоненты с широкими функциональными возможностями, в числе которых поддержка симметричной мультипроцессорной обработки с использованием 32 процессоров, поддержка до 64 Гбайт оперативной памяти.

Как и для Windows NT, для Windows 2000 существуют версии серверных СУБД и серверов приложений от всех ведущих производителей, средства групповой работы и обмена сообщениями, средства управления сетями и приложениями.

2.3 Windows Server 2003

Создание семейства Windows Server 2003 стало следующим шагом в развитии операционных систем Windows 2000. Основными особенностями данного семейства операционных систем являются наличие в их составе платформы Microsoft.NET Framework, а также поддержка Web-сервисов XML (вплоть до наличия в составе операционной системы UDDI-сервера). Server 2003 существует в четырех редакциях:

Windows Server 2003 Web Edition - операционная система для развертывания и обслуживания Web-приложений и Web-сервисов, включая приложения ASP.NET;

Windows Server 2003 Standard Edition - сетевая операционная система для выполнения серверной части бизнес-решений и рассчитанная на применение в небольших компаниях и подразделениях. Здесь имеются средства совместного использования ресурсов и централизованного развертывания приложений для настольных компьютеров, а также реализована поддержка до 4 Гбайт оперативной памяти и симметричной многопроцессорной обработки с использованием двух процессоров;

Windows Server 2003 Enterprise Edition - ОС, которая прежде всего предназначена для средних и крупных компаний. Она поддерживает серверы на базе 64-разрядных процессоров (до восьми штук) и объем оперативной памяти до 64 Гбайт и выпускается в версиях для 32- и 64-разрядных платформ;

Windows Server 2003 Datacenter Edition - операционная система, которая служит для создания критически важных технических решений с высокими требованиями к масштабируемости и доступности. К таким решениям относятся приложения для обработки транзакций в режиме реального времени, а также решения, основанные на интеграции нескольких серверных продуктов. В данной ОС реализована поддержка симметричной многопроцессорной обработки с использованием до 32 процессоров, а также имеются службы балансировки нагрузки и создания кластеров, состоящих из восьми узлов. Эта ОС доступна для 32- и 64-разрядных платформ.

2.4 Windows Server 2008

В Windows Server 2008 произошло значительное обновление Служб Терминалов (Terminal Services). Службы Терминалов теперь поддерживают Remote Desktop Protocol 6.0. Самое заметное усовершенствование, названное Terminal Services RemoteApp, позволяет опубликовать одно конкретное приложение, вместо всего рабочего стола.

Другая важная особенность, добавленная в Службы Терминалов -- Terminal Services Gateway и Terminal Services Web Access (теперь полностью через web-интерфейс). Terminal Services Gateway позволяет авторизованным компьютерам безопасно подключаться к Службам Терминалов или Удаленному Рабочему Столу из интернета используя RDP через HTTPS без использования VPN. Для этого не требуется открывать дополнительный порт на межсетевом экране; трафик RDP туннелируется через HTTPS. Terminal Services Web Access позволяет администраторам обеспечивать доступ к службам терминалов через Web-интерфейс. При использовании TS Gateway и TS RemoteApp, передача данных происходит через HTTP(S) и удаленные приложения выглядят для пользователя так, как будто они запущены локально. Несколько приложений запускаются через один сеанс чтобы гарантировать отсутствие потребности в дополнительных лицензиях на пользователя.

Благодаря Terminal Services Easy Print администраторам больше нет необходимости устанавливать какие-либо драйверы для принтеров на сервер. При этом Easy Print Driver перенаправляет пользовательский интерфейс и все возможности исходного принтера. Помимо этого, он улучшает производительность при передаче заданий на печать за счет перевода заданий в формат XPS перед отправкой клиенту.

2.5 Windows server 2008 R2

Windows Server 2008 R2 - это первая операционная система Windows, которая поддерживает только 64-разрядные процессоры. В настоящее время Windows Server 2008 R2 поддерживает до 256 ядер логических процессоров для одного экземпляра операционной системы, а гипервизор Hyper-V позволяет использовать до 64 логических ядер для виртуализации. Это не только позволяет более эффективно использовать оборудование сервера, но и повышает надежность работы, уменьшая число блокировок и повышая уровень параллелизма

2.6 Windows server 2012

Windows Server 2012 (кодовое имя «Windows Server 8») -- версия серверной операционной системы от Microsoft. Принадлежит семейству ОС Microsoft Windows. Была выпущена 4 сентября 2012 года на смену Windows Server 2008 R2, как серверная версия Windows 8. Выпускается в четырёх редакциях.

Версия Developer preview (пред-beta релиз) была выпущена 9 Сентября 2011 для MSDN подписчиков. Окончательная версия была выпущена 4 сентября 2012 года.

Основные усовершенствования:

- Новый пользовательский интерфейс Modern UI;

- 2300 новых командлетов Windows PowerShell;

- Усовершенствованный Диспетчер задач.

Теперь Server Core стал рекомендуемым вариантом установки, а переключение между режимами с классическим рабочим столом и режимом Server Core может быть выполнено без переустановки сервера.

Новая роль IPAM (IP Address Management) для управления и аудита адресным пространством IP4 и IP6.Усовершенствования в службе Active Directory.

Новая версия Hyper-V 3.0. Новая файловая система ReFS (Resilient File System).

Новая версия IIS 8.0 (Internet Information Services).

Одним из нововведений новой Windows Server 2012 является новая разработка корпорации -- Storage Spaces, которая предлагает возможность системным администраторам, работающим с этой ОС, управлять большим числом систем хранения данных, подключенными через интерфейс SAS. Интересно, что благодаря Storage Spaces нет необходимости использовать дополнительное программное обеспечение.

На конференции Microsoft Build было показано объединение 16 жёстких дисков в единый пул. Интересная особенность такого объединения дисков как возможность разделения содержимого этого пула дисков на многочисленные виртуальные диски. Схожая возможность демонстрировалась несколькими годами ранее на презентации новой версии файловой системы ReFS.

2.7 Linux

Операционная система Linux - это некоммерческий продукт категории Open Source для различных платформ, который в течение десяти лет создавали тысячи энтузиастов. Список серверных продуктов для Linux, пожалуй, не менее внушителен, чем для Solaris, HP-UX и AIX, и включает такие популярные продукты, как Web-сервер Apache, серверные СУБД и серверы приложений практически от всех производителей.

Одним из серьезных преимуществ Linux является низкая стоимость ее приобретения (хотя сама операционная система является некоммерческим продуктом, сертифицированные дистрибутивы Linux - обычно продукты коммерческие). Кроме того, ряд компаний, в частности IBM, вкладывают значительные средства в развитие Linux как серверной платформы, одновременно стремясь реализовать совместимость с Linux в своих коммерческих версиях UNIX в расчете на возможный переход с Linux на указанные операционные системы.

Еще одной известной некоммерческой версией UNIX является FreeBSD. Основой FreeBSD послужил дистрибутив BSD UNIX, выпущенный группой исследования вычислительных систем Калифорнийского университета (Беркли). Данная операционная система обладает такими особенностями, как объединенный кэш виртуальной памяти и буферов файловых систем, совместно используемые библиотеки, модули совместимости с приложениями других версий UNIX, динамически загружаемые модули ядра, позволяющие добавлять во время работы поддержку новых типов файловых систем, сетевых протоколов или эмуляторов без перегенерации ядра нередко используется Интернет-провайдерами, а также в качестве операционной системы для корпоративных брандмауэров.

3. Служба каталогов Active Directory и использование групповых политик

3.1 Служба каталогов

Общие сведения о службе каталогов На заре компьютеризации все управление пользователями сводилось к администрированию одного единственного сервера. Со временем ситуация стала меняться, во-первых, предприятия приобретали все большее количество серверов, во-вторых, вопросам безопасности стало уделяться все больше внимания, что потребовало большего контроля каждого действия пользователя (как следствие, введения строгой аутентификации для каждого значимого для системы действия). Со временем это привело к тому, что администратор был вынужден создавать учетную запись пользователя на каждом сервере в сети предприятия, а также на каждой рабочей станции, которой имеет право пользоваться сотрудник. Пользователь, в свою очередь, должен был постоянно предоставлять аутентифицирующую информацию (каждому сервису корпоративной сети). Решением этой проблемы стало создание так называемых служб каталогов -- систем централизованного хранения информации о пользователях. Международная организация по стандартизации (ISO) предложила стандарт X.500, который описывал функционирование такой системы. Однако протокол взаимодействия, описанный в рамках стандарта, оказался слишком перегруженным для сетей TCP/IP. По этой причине какое-то время службы каталога создавались производителями с использованием различных протоколов взаимодействия (NDS, NIS, NT4 domain). Такое разнообразие реализаций привело к тому, что независимые разработчики сетевых сервисов либо совсем не обеспечивали совместимости со службами каталогов, либо обеспечивали совместимость с какой-то конкретной реализацией. Как следствие, каждый производитель службы каталога должен был обеспечить клиентов и базовым набором служб (например, собственным файл-сервером). Ситуация изменилась только тогда, когда Интернет-сообщество опубликовало «облегченный» вариант стандарта X.500 -- протокол LDAP (Lightweight Directory Access Protocol, RFC 4510). Протокол обеспечивал простой доступ к каталогу в рамках TCP-соединения, касался также вопросов аутентификации и собственно структуры каталога. Позже стандарт претерпел некоторое количество редакций и в настоящее время поддерживается практически любым сетевым приложением и реализован в любой службе каталога. Развитие протокола продолжается и сегодня. Уже используется версия 3 данного протокола, а также опубликован целый ряд расширений (например, поддержка language tags, позволяющая хранить имя пользователя, записанное на нескольких языках, и отправлять клиенту имя на его родном языке). Многие современные сетевые приложения также обладают встроенной поддержкой LDAP (почтовые клиенты способны производить поиск адреса по имени пользователя, web-серверы и СУБД могут извлекать список пользователей из каталога LDAP, распределенные приложения могут хранить свои настройки в каталоге LDAP и т. п.) После того как все данные о пользователях, группах, в которые они входят, и их правах доступа переместились в централизованное хранилище, разработчики стали задумываться и о решении другой проблемы современных компьютерных систем -- о постоянной необходимости пользователей в аутентификации. Производители стали выпускать системы с концепцией единого входа в сеть (так называемые системы SSO -- single sign on), т. е. пользователь при однократном вводе пароля получал доступ ко всем ресурсам сети. На практике это работало только с сервисами самого производителя, поскольку слишком различались протоколы сетевой аутентификации у различных приложений. Те способы решения проблемы, которые пытались предложить конкретные производители, не были универсальны. Решения от Microsoft позволяли хранить пароль пользователя не в виде хэша, а в восстанавливаемом виде (т. е. практически в открытом), Novell позволял хранить пароль различными способами (зашифрованный хэшем пароля секретный ключ для сервисов Novell, NTLM-хэш для доступа к сервисам Microsoft). Такие решения позволяли пользователю не вводить свой пароль лишний раз, но не были ни безопасными, ни универсальными. Ситуация вновь изменилась благодаря открытым стандартам. С небольшим промежутком времени появились описания методов, позволяющих разделить сам сетевой сервис и процесс аутентификации пользователя, что позволяло использовать любой сетевой сервис с нужным методом аутентификации. Однако использование универсальных механизмов лишь частично решает проблему единой аутентификации при входе в сеть. Необходим также некоторый безопасный протокол, который аутентифицирует клиента перед сервером (сервисом), с учетом того, что сам сервер ничего о пользователе не знает и должен использовать в качестве посредника сервер службы каталогов. В качестве универсального протокола аутентификации можно использовать инфраструктуру открытых ключей (например, на базе сертификатов X.509) или протокол Kerberos. Служба Active Directory состоит из целого набора сервисов, связанных между собой. Основой Active Directory является система разрешения имен, при помощи которой рабочие станции способны прозрачно обнаруживать серверы домена, например LDAP-серверы. В существующей реализации сервиса каталога в качестве службы разрешения имен выбрана система DNS (в отличие от предыдущих версий, которые использовали систему имен NetBIOS). Для хранения каталога LDAP, а также для обеспечения аутентификации по протоколу Kerberos в сети Microsoft выделяются специальные сервера, которые называются контроллерами домена. В целом контроллер домена -- это выделенный сервер, предназначенный для обеспечения сервисов LDAP и KDC (Key Distribution Center)

3.2 Схема LDAP

Схема LDAP Каталог LDAP имеет древовидную структуру. Узлы дерева называются объектами. Объекты делятся на листья и контейнеры. Каждый объект содержит набор свойств (различную информацию об объекте, например его имя, дата создания и т. п.). Список свойств каждого объекта зависит от класса этого объекта. По аналогии с объектно-ориентированным программированием классы выстраиваются в иерархическое отношение -- предок-потомок. Класс-потомок содержит свойства своего предка, при этом поддерживается множественное наследование. Описание всех классов и их свойств хранится в самом каталоге LDAP и называется схемой каталога. Схема содержит описания двух типов -- описание атрибутов и описание классов. Атрибут -- описание некоторого свойства, включающее в себя синтаксис (аналог типа данных, но кроме информации о типе он содержит также функцию сравнения, например есть синтаксис для строки чувствительной и нечувствительной к регистру). Кроме синтаксиса атрибут содержит информацию о своем имени, а также некоторые дополнительные данные (например, ограничения на синтаксис или указание, что атрибут хранит несколько значений). Классы бывают абстрактными, структурными и вспомогательными. Для каждого класса задается набор обязательных (значение этих атрибутов не может быть пустым) и необязательных (значение может отсутствовать) атрибутов. Кроме этого у класса указывается список возможных контейнеров для него, таким образом, объект является контейнером, если хотя бы один класс указывает его в качестве своего возможного контейнера. Схема LDAP-каталога хранится в самом каталоге. Для описания схемы Active Directory существует два объекта: attributeSchema для атрибутов и classSchema для классов (оба эти класса, как и все их атрибуты также описаны внутри схемы).

3.3 Система имен LDAP

Система имен LDAP Для того чтобы LDAP-клиент имел возможность получать данные от LDAP-сервера, необходимо указать конкретный объект в каталоге. Для этого служат специальные атрибуты, для которых схемой задается требование уникальности в пределах одного контейнера. Такие атрибуты называются относительным различимым именем (relative distinguished name, rdn). Теперь для того, чтобы идентифицировать объект в пределах дерева, достаточно указать относительные различимые имена всех объектов в цепочке, начиная от корня дерева. Полученная последовательность различимых имен называется полным различимым именем (fully distinguished name, fdn). Для обозначения полного различимого имени принята запись <имя атр.1>=<знач. атр.1>, <имя атр.2>=<знач. атр.2>,.., <имя атр.N>=<знач. атр.N> Например, контейнер, хранящий схему каталога Active Directory (в домене example.com), имеет следующее полное различимое имя: CN=Schema, CN=Configuration, DC=example, DC=com. Как видно из примера, атрибут, являющийся относительным различимым именем у каждого объекта может быть свой (здесь CN -- у объектов-контейнеров Schema и Configuration, DC -- у объектов example и com). Указание того, какой атрибут может выступать в роли различимого имени, задается в схеме для каждого класса.

3.4 Инструментарий для работы с LDAP-каталогом

Для работы с произвольными LDAP-каталогами существует огромное количество программ как бесплатных, так и коммерческих. Из встроенных средств можно использовать оснастку MMC ADSI Edit или же утилиты пакета ldap-utils (преимущество этих утилит в том, что они реализованы практически для каждой ОС).

3.5 Общие сведения о протоколе Kerberos

Протокол Kerberos является универсальным протоколом аутентификации, основанным на распределении симметричных ключей шифрования некоторым доверенным сервером. Протокол Kerberos является открытым стандартом и описан в документе RFC 1510. С помощью протокола Kerberos распределяются криптографические ключи в некоторой области (realm), которая имеет строковый идентификатор, как правило, совпадающий с именем DNS-домена. Например, для компьютеров DNS-домена example.com можно определить область Kerberos EXAMPLE.COM (имя области всегда заглавными буквами). Каждая учетная запись в системе Kerberos называется сущностью (principal), причем учетные записи существуют не только для пользователей, но и для каждого сервиса. Имя учетной записи имеет следующий вид: «user@REALM» (где user -- имя пользователя, а RELAM -- имя области). Например, имя учетной записи пользователя root из домена «example.com» -- «root@EXAMPLE.COM». Учетные записи сервисов имеют вид /@REALM, где name1 -- как правило, имя сервиса, а name2 -- полное DNS-имя компьютера. Например, «HTTP/ws-linux.exampel.com@EXAMPLE.COM». Важно отметить, что имена сущностей Kerberos чувствительны к регистру. Протокол аутентификации Керберос основан на одном из протоколов аутентификации Нидхэма - Шредера. Основное отличие Керберос - в предположении о хорошей синхронизации все часов в сети. Помимо рабочей станции А и предоставляющего услуги сервера В в работе протокола принимают участие еще сервер аутентификации (AS, Authentication Server) и сервер выдачи подтверждающих подлинность билетов (TGS, Ticket Granting Server). У сервера аутентификации есть общий секретный пароль для каждого пользователя. Задача TGS состоит в выдаче свидетельств, убеждающих другие сервера в том, что владелец билета действительно является тем, за кого себя выдает. Работа протокола Kerberos В начале сеанса A запрашивает у AS ключ сеанса и билет для TGS (данные зашифрованы секретным ключом А). Далее на основе пароля А формируется секретный ключ Ка и данные извлекаются из зашифрованного сообщения (далее введенный пароль уничтожается). Чтобы вступить в контакт с сервером В, А посылает TGS запрос выдать билет для общения с В. Билет Ktgs(A, Ks) зашифрован секретным ключом TGS сервера и используется для подтверждения личности отправителя. TGS отвечает ключом сеанса Kab. Одна версия этого ключа зашифрована ключом Ks (для А), а другая ключом Kb. Временной штамп t помешает атаке воспроизведением (Злоумышленник не знает ключ Ks и не сможет заменить временной штамп на более новый). Далее устанавливается сеанс с В и В получает ключ сеанса Kab. Kb(A, Kab) является гарантией подлинности А. Однако, В лишь получает подтверждение подлинности А. Права доступа для А В определяет самостоятельно. Для установления защищенного сеанса с другим сервером потребуется снова обратиться к TGS. В тоже время пароли ни разу не передавались по сети. Для лучшей масштабируемости возможно построение нескольких областей аутентификации, каждая из которых имеет собственный AS и TGS (удаленный TGS сервер зарегистрирован на локальном TGS сервере наряду с другими локальными серверами). Для установления защищенного сеанса связи между областями, каждая из сторон должна доверять TGS серверу другой стороны.

3.6 Реализация Kerberos в ОС Windows Server

Клиент Kerberos встроен во все ОС Windows семейства NT5, а реализация KDC -- во все серверные версии NT5. Служба KDC активизируется в серверной ОС только при повышении роли сервера до контроллера домена AD. Как уже отмечалось, контроллер домена AD -- это KDC и LDAP-серверы, плюс некоторые утилиты администрирования этих серверов. Сущность Kerberos создается параллельно с созданием учетной записи пользователя, при этом происходит прямое отображение имени пользователя в сущность Kerberos (пользователю user домена example.com будет сопоставлена сущность «user@EXAMPLE.COM»).

3.7 Оснастка Group Policy Object Editor

Групповые политики являются мощным инструментом, посредством которого администратор может осуществлять централизованное конфигурирование большого количества рабочих станций в масштабах домена.

Оснастка Group Policy Object Editor (Редактор объектов групповой политики) используется для редактирования параметров объектов групповой политики (group policy objects, GPO). Оснастка Group Policy Object Editor предоставляет администратору больше возможностей по конфигурированию параметров групповой политики по сравнению с другими оснастками, предполагающими работу с групповой политикой, -- оснастками Local Security Policy, Domain Controller Security Policy и Domain Security Policy. Указанные оснастки обеспечивают доступ только к ограниченному подмножеству параметров групповой политики, расположенных в контейнере Security Setting (Параметры безопасности) соответствующего объекта групповой политики. Оснастки Domain Controller Security Policy и Domain Security Policy устанавливаются на каждом контроллере домена. Оснастка Local Security Policy присутствует на каждом рядовом компьютере под управлением Windows 2000/XP и более новых версий.

3.8 Структура объекта групповой политики

Множество параметров, определяемых в рамках объекта групповой политики, разделено на две части. Одна часть параметров используется для конфигурирования компьютера (computer configuration), другая часть параметров используется для конфигурирования среды пользователя (user configuration). Конфигурирование компьютера предполагает определение значений для параметров, влияющих на формирование окружения любых пользователей, регистрирующихся на данном компьютере. Конфигурирование среды пользователя дает возможность управлять процессом формирования окружения конкретного пользователя, независимо от того, на каком компьютере он регистрируется в сети. Независимо от типа конфигурирования, параметры групповой политики организованы в специальные категории. Каждая из категорий параметров групповой политики определяет отдельную область окружения пользователя. В свою очередь категории параметров групповой политики организованы в три контейнера в соответствии со своим назначением: Software Settings (Конфигурация программ). В контейнере размещаются категории параметров групповой политики, посредством которых можно управлять перечнем приложений, доступных пользователям; Windows Settings (Конфигурация Windows). В контейнере размешаются категории параметров групповой политики, определяющие настройки непосредственно самой операционной системы. Содержимое данного контейнера может быть различным, в зависимости от того, для кого определяются параметры групповой политики (для пользователя или компьютера); Administrative Templates (Административные шаблоны). Этот контейнер содержит категории параметров групповой политики, применяемых для управления содержимым системного реестра компьютера.

3.9 Административные шаблоны

Механизм административных шаблонов позволяет администратору посредством групповой политики конфигурировать системный реестр клиентских компьютеров. Для любой рабочей станции, подпадающей под действие некоторого объекта групповой политики, системный реестр будет сконфигурирован в соответствии с административным шаблоном, определенным в рамках данного объекта. Административные шаблоны не задействуют весь реестр целиком, а только два его ключа: HKEY_LOCAL_MACHINE и HKEY_CURRENT_USER. Хотя, как было замечено, административный шаблон может использоваться для конфигурирования любых ключей реестра, предпочтительным является использование ключей HKEY_LOCAL_MACHINE\software\Policies (для управления Параметрами компьютера) И HKEY_CURRENT_USER\Software\Policies (для управления средой пользователей). Данные ключи реестра очищаются системой автоматически, при каждом применении или отзыве объекта групповой политики. Как следствие, в случае, когда компьютер не подпадает под действие ни одного объекта групповой политики, для настройки системы используются стандартные значения параметров, определенных в соответствующих ключах реестра.

3.10 Сценарии

Под сценарием (scripts) понимается некоторая предопределенная последовательность команд, способных выполнятся в автоматическом режиме (т. е. без участия пользователя). Администраторы используют сценарии в ситуациях, когда необходимо многократно выполнять некоторую последовательность действий. Используя механизм групповых политик, администратор может определить последовательность операций, которые будут выполняться в момент включения или выключения компьютера, либо при регистрации пользователя в системе или при выходе из нее. Таким образом, можно выделить четыре группы сценариев: сценарии, выполняемые при инициализации системы (startup scripts); сценарии, выполняемые при регистрации пользователя в системе (logon scripts); сценарии, выполняемые при выключении компьютера (shutdown scripts); сценарии, выполняемые при выходе пользователя из системы (logoff scripts). Интерпретация сценариев осуществляется сервером сценариев Windows Script Host. Этот стандартный компонент, входящий в состав Windows 2000/XP и Windows Server 2003, позволяет создавать сценарии, используя специализированные языки Visual Basic Scripting Edition, JScript. Для старых версий клиентов (Windows 9x/NT) сценарии должны представлять собой пакетные файлы (.bat-файлы), либо нужно установить на них сервер сценариев Windows Script Host (загружаемый свободно с сайта Microsoft).

3.11 Управление приложениями

Механизм групповой политики может использоваться как средство управления процессом развертывания приложений на Windows 2000/XP- и Windows Server 2003-клиентах. Администратор может определить перечень приложений, которые будут доступны пользователям. В зависимости от выбранного режима, в процессе применения объекта групповой политики на компьютере будут установлены все необходимые приложения. Возможны следующие режимы управления процессом развертывания приложений: публикация приложений; назначение приложений пользователям', назначение приложений компьютерам. Механизм управления процессом развертывания приложений базируется на технологии Windows Installer. В составе большинства продуктов поставляются специальные инсталляционные пакеты (installation package), которые могут быть использованы для автоматической установки данного приложения. Публикация приложений может осуществляться исключительно в конфигурации пользователей. При этом пользователю, подпадающему под действие объекта групповой политики, предлагается список доступных для установки приложений и пользователь самостоятельно принимает решение о том, необходимо ли выполнять установку приложения или нет. Назначение приложений предполагает создание перечня приложений, обязательных для установки.

3.12 Построение иерархии объектов групповой политики

Параметры, определенные в рамках объекта групповой политики, воздействуют только на те объекты каталога, к которым они применены. Чтобы определить множество объектов каталога, подпадающих под действие того или иного объекта групповой политики, необходимо выполнить привязку последнего к одному или нескольким контейнерам каталога. Для любого объекта групповой политики (за исключением локальных) разрешается привязка к любому из трех классов объектов каталога -- сайту, домену или подразделению. Любые объекты, ассоциированные с учетными записями пользователей и компьютеров, расположенные внутри этих контейнеров, подпадают под действие привязанного объекта групповой политики. В ситуации, когда в рамках дерева каталога имеется привязка нескольких объектов групповой политики, вполне возможна ситуация, когда некоторые объекты каталога (или даже все) могут подпадать под действие сразу нескольких объектов групповой политики. При этом параметры, определенные в них, применяются к объектам каталога в соответствии с определенным порядком: сначала применяются объекты групповой политики, привязанные к сайту, в котором находится объект каталога; после этого применяются объекты, привязанные на уровне домена, последними применяются объекты групповой политики, привязанные к подразделениям.

4. Служба каталогов LDAP

4.1 Что такое LDAP

LDAP - это аббревиатура от Lightweight Directory Access Protocol. Как следует из названия, это облегчённый протокол доступа к службам каталогов, предназначенный для доступа к службам каталогов на основе X.500. LDAP работает поверх TCP/IP или других ориентированных на соединение сетевых протоколов. LDAP стандартизирован в качестве протокола IETF, и его описание можно найти в "Lightweight Directory Access Protocol (LDAP) Technical Specification Road Map" ("Описание технической спецификации Lightweight Directory Access Protocol (LDAP)") RFC4510.

Данный подраздел дает некоторое представление о LDAP с точки зрения пользователя.

Какого рода информация может храниться в каталоге? Информационная модель LDAP основана на записях (entry). Запись - это коллекция атрибутов (attribute), обладающая уникальным именем (Distinguished Name, DN). DN глобально-уникально для всего каталога и служит для однозначного указания на запись. Каждый атрибут записи имеет свой тип (type) и одно или несколько значений (value). Обычно типы - это мнемонические строки, в которых отражено назначение атрибута, например "cn" - для общепринятого имени (common name), или "mail" - для адреса электронной почты. Синтаксис значений зависит от типа атрибута. Например, атрибут cn может содержать значение Babs Jensen. Атрибут mail может содержать значение "babs@example.com". Атрибут jpegPhoto будет содержать фотографию в бинарном формате JPEG.

Как организовано размещение информации? Записи каталога LDAP выстраиваются в виде иерархической древовидной структуры. Традиционно, эта структура отражает географическое и/или организационное устройство хранимых данных. В вершине дерева располагаются записи, представляющие собой страны. Под ними располагаются записи, представляющие области стран и организации. Еще ниже располагаются записи, отражающие подразделения организаций, людей, принтеры, документы, или просто всё то, что Вы захотите включить в каталог. На рисунке 8 показан пример дерева каталога LDAP, использующего традиционное именование записей.

Рисунок 8 Дерево каталога LDAP (традиционное именование записей)

Построение дерева может быть также основано на доменных именах Internet. Этот подход к именованию записей становится всё более популярным, поскольку позволяет обращаться к службам каталогов по аналогии с доменами DNS. На рисунке 9 показан пример дерева каталога LDAP, использующего именование записей на основе доменов.

Рисунок 9 Дерево каталога LDAP (Internet-именование записей)

Кроме того, LDAP, посредством специального атрибута objectClass, позволяет контролировать, какие атрибуты обязательны и какие допустимы в той или иной записи. Значения атрибута objectClass определяются правилами схемы (schema), которым должны подчиняться записи.

Как можно обратиться к информации? К записи обращаются по ее уникальному имени, которое состоит из собственно имени записи (так называемое относительное уникальное имя (Relative Distinguished Name, RDN) с прибавлением к нему имён записей-предков. Так, запись, описывающая Barbara Jensen в приведенном выше примере с Internet-именованием, имеет RDN uid=babs, и DN - uid=babs,ou=People,dc=example,dc=com. Полное описание формата DN можно найти RFC4514, "LDAP: String Representation of Distinguished Names (LDAP: строковое представление уникальных имен).

Какие манипуляции можно произвести с информацией? В LDAP определены операции для опроса и обновления каталога. К числу последних относятся операции добавления и удаления записи из каталога, изменения существующей записи и изменения названия записи. Однако, большую часть времени LDAP используется для поиска информации в каталоге. Операции поиска LDAP позволяют производить поиск записей в определённой части каталога по различным критериям, заданным поисковыми фильтрами. У каждой записи, найденной в соответствии с критериями, может быть запрошена информация, содержащаяся в её атрибутах.

К примеру, Вам захотелось найти записи о человеке по имени Barbara Jensen во всем подкаталоге, начиная с уровня dc=example,dc=com и ниже, и получить адрес электронной почты в каждой найденной записи. LDAP позволяет Вам легко это сделать. Или Вам хочется поискать непосредственно на уровне st=California,c=US записи организаций, названия которых содержат строку Acme и имеющих номер факса. Такой поиск LDAP тоже позволяет сделать. В следующем подразделе более подробно описано, что Вы можете сделать с LDAP и чем он может быть Вам полезен.

Как информация защищена от несанкционированного доступа? Некоторые службы каталогов не предоставляют никакой защиты, позволяя любому просматривать хранящуюся в них информацию. Однако LDAP предоставляет механизмы для аутентификации клиента, либо других способов доказательства его подлинности серверу каталогов, а также богатые возможности контроля доступа к информации, содержащейся на этом сервере. LDAP также обеспечивает защиту информации в каталоге (её целостность и конфиденциальность).

...