Active Directory alkalmazási mód
Mi ADAM, és mire való?
Kezdeti beállítás és konfiguráció
Mivel a felhasználó kéri, hogy a behozatali LDF-scriptek terjed rendszer, mint a felhasználói objektumok és felhasználó-Proxy. Ha szeretné használni a tárgyakat az ilyen típusú, akkor létrehozhat ilyen fajta telepítés során. Ha kezdetben az ilyen létesítmények nem tervezik, hogy nem kell importálni semmit. Mindenesetre, hogy meg lehet csinálni a telepítés után.
adminisztrációs eszközök
Adminisztrációs eszközök, véleményem szerint, az egyik gyenge pontja ADAM - ők képviselik egy nagy gyűjtemény a különböző, néha nem túl könnyen használható közművek (lásd 1. táblázat) ..
A parancssori segédprogram kezelésére replikáció.
1. táblázat ADAM felügyeleti eszközei.
Ebből a listából kitűnik, hogy az adminisztráció alapvetően parancssori segédprogramok használnak, akkor nem nevezhető kényelmes. Ezen kívül, mivel a legtöbb esetben, az alkalmazások kíséret érintett emberek messze az operációs rendszer adminisztráció - nem lenne jó, ha van egy kényelmes módja, hogy működjön együtt az ADAM.
Szinte az összes közmű a könyvtár, amelyben az ADAM már telepítve van, a leggyakrabban ez a C: \ WINDOWS \ ADAM. A kivétel az ADAM-séma. Annak érdekében, hogy ez a típus, meg kell futtatni a Microsoft Management Console (MMC), a Fájl menüben, hogy adjunk egy bepattanó „ADAM-séma”, majd mentse a fájlt .MMC.
Munka ADAM
A koncepció a partíció
Egy fontos fogalom ADAM az a fejezet (elválasztó). Egység egy felső szintű tartályban, ahol a hierarchia tárgyak tárolhatók. Természetesen az alkalmazás használhat több partíciót az adatok tárolására, de a keresés és a kapcsolatok létrehozására tárgyak között csak akkor lehetséges, ugyanabban a fejezetben.
A telepítés során a rendszer létrehoz két szakaszban tárolására használt konfiguráció és áramkört. Hozzon létre egy új partíciót, akkor Ldp.exe segédprogramot. Ehhez a program futtatásához, csatlakozzon az ADAM szolgáltatás szükséges, csatlakoztassa (bind), és végre több manipuláció, nevezetesen:
- A Tallózás menüben válasszuk a Add gyermek.
- A Dn adja meg a teljes nevét (megkülönböztető név), az új szakasz.
- A Képesség írja objectclass. területén értékek - konténer és nyomja meg az Entert.
- Ezután a Képesség mezőbe írja InstanceType. területén értékek - 5 és nyomja meg az Entert.
- Press Run.
1. ábra Ldp.exe segédprogram - az új partíció létrehozásához.
Az új szakasz jön létre, és olyan üzenetet kap, hogy a művelet sikeres volt.
Munka adatok ADAM
Miután a partíció létrehozása, elkezdhetjük feltöltése a szükséges adatokat az alkalmazást. A készülék az adatok ADAM objektumot. Minden objektum attribútumok, amelyek meghatározzák az adott objektum osztály. Egyes attribútumok közös minden osztály - attribútumok örökölt osztály tetején. A legfontosabb ezek közül:
- neve - egy rövid nevet a tárgy (MyObject1);
- MegkulonboztetoNev - teljes objektum név egyedi kiszolgálón belüli érték, amely azonosítja az objektumot (CN = MyObject1, OU = MyApp, O = MyCompany, C = RU, lásd alább).
- instanceType - rendszer értéke, amely meghatározza a viselkedését az objektumot. Különösen ez az attribútum adja meg, hogy az objektumot kell változtatni manuálisan, vagy egy másolata egy objektumot a szerver, amelyen a kiszolgáló szinkronizálása.
- objectClass - az objektum osztály definiál egy attribútumok és viselkedése egy tárgy.
MegkulonboztetoNev tartalmazza az objektum nevét, valamint a nevét, a „konténer” tárgyak - a könyvtárat, amely tartalmazza azt. Rész MegkulonboztetoNev a teljes neve a szakasz. A neve minden egyes objektum teljes neve előtt, amely jelzi az objektum típusát. Itt a magyarázat néhány ilyen rövidítések:
A elsődleges eszköze a létrehozására, módosítására és törlésére tárgyak ADAM „ADSI Edit”.
2. ábra A megjelenése a segédprogram „ADSI Edit”.
Csatlakoztatása után egy külön részt a szerver, akkor felveheti a saját tárgyak a hierarchiában. A párbeszédablakban hozzon létre egy új objektumot, akkor ki kell választania egy osztály, amely öröklődik a tárgy. Az objektum egy bizonyos osztály tartalmazhatnak beágyazott objektumokat osztályok, melyekre (az osztály) regisztrálva van a rendszerben, mint egy lehetséges „szülő”.
Kiterjesztése a séma
A fent leírt lenne haszontalan, ha nem lehetett kiterjeszteni az ADAM-séma, azaz hozzá saját osztályok és attribútumok. Szerencsére a Microsoft gondját, hogy mi lesz az segédprogram „ADAM-séma”.
3. ábra A megjelenése a segédprogram „ADAM-séma”.
Program - hivatalos leírás és a tartalom könyvtár szolgáltatási struktúra - egy sor kapcsolódó osztályok viszont áll egy attribútumok.
Az alábbiakban felsorolunk néhány feltételeinek megértéséhez szükséges a lényege a rendszer és az elveihez felújítás.
1. Képesség - adatmező, amely jellemzi bármely objektum tulajdonságai. Az objektum tartalmazhat attribútumokat előírt a rendszer a kategóriájában.
2. osztály - hivatalos leírást a típusú objektum a könyvtárban szolgáltatást.
3. Object - egységnyi adat a könyvtárban szolgáltatást.
4. A tárgy (OID) - egy egyedi számszerű érték, amely egyedileg azonosítja a adatelem, szintaxis, és más elosztott alkalmazások. Ezek az azonosítók megtalálhatók a különböző alkalmazások és rendszerek, ami fontos a globális egyediségét a rendszer elem. Ilyen alkalmazások: OSI alkalmazások, X.500 címtárszolgáltatásokat SNMP. Azonosítók egy fa struktúra, amelyben a fő forrása, mint például az ISO, kiosztja intervallum / részfájának fiatalabb forrás azonosítókat, ami viszont kiosztani részfák kiegészítő forrásokból. Vegyünk egy példát MSDN. OID = "1.2.840.113556.1.5.4". itt:
- 1 - ISO, a gyökér forrás, amely "1.2" az ANSI;
- 2 - ANSI, különválasztják „1.2.840” az Egyesült Államokban;
- 840 - az Egyesült Államok, kiemelte a „1.2.840.113556” Microsoft;
- 113.556 - Microsoft;
- 1 - Microsoft DS;
- 5 - NTDS osztályokba;
- 4 - Class Builtin-Domain.
5. X.500 - egy olyan rendszer szabványok által közösen kifejlesztett ISO és az ITU (más néven CCITT), amely meghatározza a módját elnevezési, adat- és kommunikációs protokollok könyvtár-szolgáltatásokat.
6. osztály - egy osztály, amely örökli a másik osztályba.
7. SuperClass - osztály örökli egy vagy több alosztályok.
A program magában foglalja az összes attribútumok és osztályok. Az egyes osztályok a következő attribútumokat kell meghatározni:
Minden osztály közvetlenül vagy közvetve a superclasses örökölt egy absztrakt osztály tetején.
Vegye figyelembe, hogy ha létre osztály vagy attribútum nem lehet eltávolítani a rendszerből a jövőben! Microsoft magyarázza ezt a viselkedést, hogy nem tudja garantálni a különféle konfliktusok hiánya, ha a távoli úgy tűnik, hogy egy osztály vagy attribútum továbbra is használni más részein az elosztott rendszer. Ugyanebből az okból, nem lehet eltávolítani a class attribútum kötelező. Állítsa be a kötelező attribútumok lehet változtatni bármikor. Tartsa ezt szem előtt a tervezés során rendszerbe.
Egy új osztályt a rendszerben csökken a választás a superclass, adja meg a nevét az új osztály, a OID-és X.500 és töltse ki az összes szükséges attribútum a fent leírt. Hozzon létre egy osztályt, akkor a „ADAM-séma” varázsló létrehoz egy új osztályát eszközöket.
Ha hozzáad egy attribútumot, meg kell adnia a nevét az új attribútum OID X.500, vagy válassza ki a szintaxis az attribútum típusát, válassza egy sor lehetséges értékeket és annak jelzésére -, hogy az attribútum beállítása (lista) értékeket. Hozzon létre egy attribútum, mint egy osztály, akkor a biztosított varázsló létrehoz egy új attribútum a segédprogram „ADAM-séma”.
4. ábra: A párbeszédablak, hogy hozzon létre egy új osztályt.
A felhasználók kezelése és a felhasználói csoportok
Ahhoz, hogy a fiókok létrehozása saját felhasználói ADAM, akkor vagy a telepítés során, vagy később a Ldifde.exe segédprogram importálni az osztály Felhasználó. amely meghatározott MS-User.LDF LDF-script.
Hogy hozzon létre egy felhasználói elég „ADSI Edit”, hogy egy új felhasználói objektum osztály. Miután az új felhasználó hozzá, meg kell adnia egy jelszót. „ADSI Edit” eszköz lehetővé teszi, hogy csináld a helyi menüből a felhasználó (kattintson a „Jelszó visszaállítása”). Viselkedés User objektum osztály úgy van beállítva, egy sor attribútumok. Néhány ezek közül:
A kényelmes irányítást az összes hozzáférési jogok hozzárendelése jogokat nem közvetlenül a felhasználók és felhasználói csoportok. Ez az algoritmus a legrugalmasabb beadása hozzáférést a könyvtár szolgáltatási objektumok. Itt csoportok működnek szerepek, amelyek meghatározzák a hozzáférést a különböző részein a fa szerkezet. Ennek megfelelően, a felhasználói örökli az engedélyeket vagy csoport több csoport, amelynek ő.
Hogy hozzon létre egy felhasználói csoportot hoz létre egy új csoportot objektum osztály. Amikor létrehoz ne felejtsük el beállítani az attribútum értéke eléri groupType 2147483650 (0x80000002 hexadecimális értékben). Ez az érték azt jelzi, hogy a létrehozott csoport egy csoportja számára. A kötődési tagokat adjon a csoporthoz felelős tagja attribútum osztály csoport. „ADSI Edit” lehetővé teszi, hogy a csoporthoz hozzáadni a domain felhasználó és saját ADAM felhasználók.
A parancsok teljes listáját és a kulcsok A segédprogram érhető el kiindulva azt /?. Íme két leggyakoribb alkalmazás.
Beállítása a jogot arra, hogy olvassa el a tárgy 'CN = MyObject1, OU = MyApp, O = MyCompany, C = RU' és tárgyak annak részfa felhasználói csoport 'CN = USER_GROUP, OU = MyApp, O = MyCompany, C = RU':
Módszerek a felhasználói hitelesítést.
Csatlakozás ADAM háromféle módja: a felhasználó a Windows, a felhasználó ADAM (felhasználói osztály) vagy UserProxy osztály objektum.
A telepítés során ADAM felhasználónevet, melyek további rendszergazda ADAM. Alapértelmezésben a felhasználótól telepítése ADAM. Minden ADAM rendszergazdák tartalmazza a rendszergazdák csoport a felhasználók található a konfiguráció részben; teljes neve a csoport - CN = adminisztrátorok, CN = Roles, CN = Configuration, CN =. Így hozzá lehet rendelni Windows Administrator fiókot a csatlakozáshoz ADAM, majd az ADAM, mint egy Windows-felhasználó. Hasonlóképpen, akkor hozzon létre egy csoportot az Alkalmazások szakaszt, és vegye fel a Windows felhasználók számára, hogy a csoporthoz.
Ha létrehozott egy ADAM felhasználó, és hozzáférési jogokat a tárgyak az alkalmazás partíció, hogy csatlakozni tud az ADAM-ben a felhasználó nevében. Felhasználói név ebben az esetben lesz a teljes nevét (megkülönböztető név) felhasználó.
Emellett a fent említett két módszer, ADAM lehetővé teszi a kapcsolatot használó úgynevezett továbbítás kapcsolat, amely megvalósul osztályú UserProxy. UserProxy objektumot tart egy hivatkozás a Windows felhasználói az AD. Ez a mód hasznos lehet, ha egy alkalmazás további információkra van szüksége (ami nincs jelen Active Directory), az Windows felhasználó.
Batch feldolgozás. közüzemi Ldifde.exe
Az összes fenti eszközöket biztosít elegendő forrást beadására ADAM. A változások azonban, mint például az új, osztályok, tárgyak, és a felhasználók külön végre kell hajtani. Ez körülményes, különösen akkor, ha szükség van, hogy ismételjük meg pontosan ugyanezeket a lépéseket a másik szerveren. Egy tipikus példa - a fejlesztés a fejlesztő számítógép, tesztek egy speciális vizsgálati szerver és egy alkalmazás futtatása éles kiszolgálón. Ebben az esetben nem lenne ideális, hogy képes elvégezni az összes változások kötegelt módban. Ez a funkció Ldifde.exe segédprogramot. amely lehetővé teszi, hogy adatokat exportálni ADAM be LDF-szkriptek és import LDF-scripteket ADAM. Tekintsük a tipikus alkalmazások segédprogram származó szoftverek fejlesztése.
Export teljes részfáját CN = személyi, OU = MyApp, O = MyCompany, C = RU egy kényelmes formában import egy másik szerver:
Jellemzők ADAM felhasználásra multiplayer elosztott alkalmazások
Munka ADAM többfelhasználós alkalmazások egy árnyalatot, hogy figyelembe kell venni a rendszer tervezési szakaszban. Nuance, ez érinti a azonosulás lehetőségét (hitelesítés) ADAM felhasználó. Valamilyen oknál fogva, hogy a kapcsolat az ADAM, valamint az AD, csak akkor lehetséges, ha az elsődleges biztonsági kontextus (elsődleges biztonsági token) a folyamat megfordult, hogy az ADAM. Úgy véljük, két esetben: az első -, ha az alkalmazás fut nevében tárolt felhasználói adatokat az ADAM, és a második - ha az alkalmazás fut nevében az aktuális felhasználó Windows. Az első esetben a felhasználói azonosító és a jelszó beviteli, az alkalmazás indulásakor. Ezzel az információval, a kérelem tud csatlakozni ADAM az elsődleges biztonsági környezetében bármely részét az (nagyon fontos az elosztott alkalmazások). Nehézségek merülnek fel a második esetben. Ők kapnak az elsődleges biztonsági kontextusban csak a számítógép, amelyen fut a kliens alkalmazás, amely a felhasználó dolgozik. Ez az alkalmazás lehet a Windows kliens fut egy alkalmazás szerver és az Internet Explorer esetében web-alapú alkalmazások. Mindkét esetben az alkalmazás ismeretlen jelszót. Emiatt van szükség a biztonsági átadásával összefüggésben az ügyfél és a kiszolgáló. Ezt meg lehet tenni a segítségével funkciók WinAPI InitializeSecurityContext és AcceptSecurityContext, amely lehetővé teszi, hogy titkosítja az adatokat a felhasználó biztonsági környezetében, hogy átadják a szerver folyamat (esetleg egy másik számítógépen), és visszaállítani a biztonsági környezetében a szerver folyamat. Ebben az esetben meg kell Kerberos hitelesítési mechanizmus, ami nem mindig lehetséges, mert a nehézségi beállítások és egyéb okok miatt, mint például a kliens és a szerver kapcsolat révén Proxy-szerver továbbítására vonatkozó biztonsági környezetében. Kerberos van szükség, mert ez a mechanizmus, szemben NTLM és Digest, akkor a hálózaton keresztül küld elsődleges biztonsági azonosító.
Vegyük például ASP.NET-alkalmazás. Itt lehetőség van, hogy a Windows beépített biztonsági rendszer felhasználói hitelesítést az oldalon. Azonosítása után a szerver oldali kódot, akkor elkezd hitelesített felhasználók - az úgynevezett utánzás (megszemélyesítés) felhasználó biztonsági környezetében. Ahhoz azonban, hogy a kívánt eredmény eléréséhez ily módon - kapcsolódás ADAM felhasználói alkalmazások számára - nem fog sikerülni. Csatlakozás az ADAM szimulált felhasználó biztonsági kontextus nem lehetséges - szüksége van egy elsődleges biztonsági környezet. Az angol irodalom, ez a probléma az úgynevezett kétugrásos. ami lehet fordítani, mint egy probléma a kettős folytatásban. Ez akkor beszélhetünk, amikor meg kell adni a biztonsági kontextus egyik folyamat egy másik folyamat közvetítőn keresztül. Abban az esetben, ASP.NET-alkalmazás folyamat, a forrás az Internet Explorer, a vevő folyamat - ADAM-a, a közvetítő ASP.NET folyamat.
Ily módon, amikor egy alkalmazás architektúra, amelyben az ADAM kell használni, meg kell vigyázni korai szakaszában kapcsolatot módszerek és eljárások ADAM felhasználói azonosítás esetén többfelhasználós alkalmazások.
következtetés
Valamennyi fent arra lehet következtetni, hogy az ADAM egy erőteljes eszköz használata az alkalmazás Active Directory jellemzői. Ez részben azért, mert - ADAM lehetővé teszi, hogy növelje a séma és új objektumok létrehozásához ezekben az osztályokban, szervezni őket egy hierarchiát, és végre egy keresést ezeket az objektumokat. Rugalmas felhasználó és beléptető rendszer nagyszerű lehetőséget biztosít az ADAM alkalmazásokhoz működő bizalmas információkat. archiválás és replikációs mechanizmusok révén megbízható hibatűrő rendszerek.
Gyenge ergonómia adminisztrációs eszközök és néhány nehézséget a használata többfelhasználós alkalmazások, néhány rontja a képet. Azonban a megfelelő tervezés használatával ADAM lehet kiváló választás a sokféle szoftver rendszerek.