Intelligens rendszerfelgyelet Active Directory Micskei Zoltn http mit

  • Slides: 38
Download presentation
Intelligens rendszerfelügyelet Active Directory Micskei Zoltán http: //mit. bme. hu/~micskeiz/ Budapesti Műszaki és Gazdaságtudományi

Intelligens rendszerfelügyelet Active Directory Micskei Zoltán http: //mit. bme. hu/~micskeiz/ Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék

Az előző részek § Modellezés § Központosított felhasználókezelés, címtárak o LDAP o Active Directory

Az előző részek § Modellezés § Központosított felhasználókezelés, címtárak o LDAP o Active Directory 2

Active Directory § Microsoft címtár implementációja § Infrastruktúra alapja o hitelesítés, menedzsment o sok

Active Directory § Microsoft címtár implementációja § Infrastruktúra alapja o hitelesítés, menedzsment o sok szervertermék és alkalmazás igényli § Tárolt elemek o felhasználók, csoportok o gépek, nyomtatók o megosztott könyvtárak o… 3

AD címtár szerkezete § Fa szerkezet, LDAP címtár (csak el van fedve: ) §

AD címtár szerkezete § Fa szerkezet, LDAP címtár (csak el van fedve: ) § Hierarchia eleme: szervezeti egység (organizational unit) § Struktúra kialakításának alapja: § Delegálás § Házirendek 4

DEMO AD Users and Computers o fa szerkezet, tárolók és elemek o felhasználó létrehozása

DEMO AD Users and Computers o fa szerkezet, tárolók és elemek o felhasználó létrehozása • nevek, jelszó opciók o felhasználó tulajdonságai • adatok, címek, profil, dial-in o csoport • jogosultságosztás (RBAC) • levélküldés 5

AD szerkezet Forest root and tree root Domain tree ou root parent ou maffia.

AD szerkezet Forest root and tree root Domain tree ou root parent ou maffia. local thefamily. local • Tartomány • Fa • Erdő child north. thefamily. local child south. thefamily. local 6

AD működése § Tartományvezérlő (Domain Controller, DC) § Címtár adatbázis o C: WINDOWSNTDSntds. dit

AD működése § Tartományvezérlő (Domain Controller, DC) § Címtár adatbázis o C: WINDOWSNTDSntds. dit o SYSVOL megosztás: házirend, logon script § DNS o AD tartomány ↔ publikus DNS név thefamily. local ↔ thefamily. it o Szerverek megtalálása: SRV rekordok 7

DEMO AD integrált DNS § Forward Lookup Zones o A rekordok o SRV rekordok

DEMO AD integrált DNS § Forward Lookup Zones o A rekordok o SRV rekordok § Reverse Lookup Zones § Forwarders 8

AD belső felépítése § Partíciók o Tartomány o Konfiguráció • szerverek, telephelyek o Séma

AD belső felépítése § Partíciók o Tartomány o Konfiguráció • szerverek, telephelyek o Séma • osztályok, attribútumok o Egyéb alkalmazás § Elem megnevezése o CN: common name o DC: domain component 9

DEMO Sysinternals AD Explorer § Elem: belső attribútum nevek § Configuration § Séma: pl.

DEMO Sysinternals AD Explorer § Elem: belső attribútum nevek § Configuration § Séma: pl. User, People, Computer 10

További AD szolgáltatások § Active Directory Domain Services o Címtár, erről volt szó eddig

További AD szolgáltatások § Active Directory Domain Services o Címtár, erről volt szó eddig § Active Directory Rights Management Services o DRM megoldás § Active Directory Federation Services o Címtárak összekapcsolása más felhasználókezelővel § Active Directory Certificate Services o Tanúsítványok kiállítása, központi kezelése § Active Directory Lightweight Directory Services o Saját alkalmazásunk adatainak tárolása a címtárban 11

Tartalom § Az Active Directory felépítése § Központosított felügyelet és jogosultságkezelés § AD elérése

Tartalom § Az Active Directory felépítése § Központosított felügyelet és jogosultságkezelés § AD elérése programozottan § Kitekintés 12

Központosított jogosultságkezelés § Egy gépen beállítottam a böngészőt, vírusirtót… o Mi lesz a többi

Központosított jogosultságkezelés § Egy gépen beállítottam a böngészőt, vírusirtót… o Mi lesz a többi 10 -zel? ? § Megoldás: o Kézzel végigmegyek mindegyiken: 1000 gép esetén? o Szkript: aktuális állapot, frissítés? o Központi tárolás, érvényesítés, lekérdezés 13

Csoportházirend (Group Policy) § Windowsos gépek adminisztrálásához alap § ~3200 beállítás o start menü

Csoportházirend (Group Policy) § Windowsos gépek adminisztrálásához alap § ~3200 beállítás o start menü elemei, IE honlap… § Kötelezően érvényre jutó beállítások § Helyi rendszergazda nem tudja felülbírálni 14

Csoportházirend fajtái § Számítógép szintű o SW telepítés, tűzfal, Windows Update… § Felhasználó szintű

Csoportházirend fajtái § Számítógép szintű o SW telepítés, tűzfal, Windows Update… § Felhasználó szintű o mappa átirányítás, képernyő beállítás, nyomtatók § Beépített: szoftver telepítés, biztonsági beállítás… § Felügyeleti sablon (admx fájl): kiegészítések § Policy vs. Preferences (Server 2008 óta) 15

Csoportházirend kiértékelés § Házirend: örökölhető, felül definálható § Tipikus értékek: Igen / Nem definiált

Csoportházirend kiértékelés § Házirend: örökölhető, felül definálható § Tipikus értékek: Igen / Nem definiált § § 16 Helyi szintű házirend Telephely szintű Tartomány szintű OU szintű (legalsóbb szintű felé)

DEMO Csoportházirend § Group Policy Management Console o szerkesztés o eredő házirend § Group

DEMO Csoportházirend § Group Policy Management Console o szerkesztés o eredő házirend § Group Policy Settings Reference XLS 17

DEMO Csoportházirend § Group Policy Management Console o Keresés (Angol billentyűzetkiosztás legyen!) § Beállítások:

DEMO Csoportházirend § Group Policy Management Console o Keresés (Angol billentyűzetkiosztás legyen!) § Beállítások: o Számítógép szintű: tűzfal bekapcsolása (helyi gépről nem kapcsolható ki) o Felhasználó: profil méretének korlátozása § Frissítés: o gpupdate /force 18

Saját GP készítése § Csoportházirend: XML leíró (ADMX fájl) <policy name="No. Auto. Update" class="User"

Saját GP készítése § Csoportházirend: XML leíró (ADMX fájl) <policy name="No. Auto. Update" class="User" key="SoftwareMicrosoftWindowsCurrent. VersionPoliciesExp lorer" value. Name="No. Auto. Update"> <enabled. Value><decimal value="1" /></enabled. Value> </policy> § Saját alkalmazásunkhoz is készíthető ilyen o Nagyvállalati környezetben erősen ajánlott § Pl. Lenovo System Update Administrator Tools 19

Tartalom § Az Active Directory felépítése § Központosított felügyelet és jogosultságkezelés § AD elérése

Tartalom § Az Active Directory felépítése § Központosított felügyelet és jogosultságkezelés § AD elérése programozottan § Kitekintés 20

AD elérése programozottan § ds* parancsok (pl. dsadd, dsquery) o Egyszerű műveletek § Tetszőleges

AD elérése programozottan § ds* parancsok (pl. dsadd, dsquery) o Egyszerű műveletek § Tetszőleges LDAP kliens o Pl. Java-s kliensek is §. NET kódból o System. Directory. Services névtér osztályai § Power. Shell o AD Service Interface (ADSI) o Active Directory module (Windows Server 2008 R 2) 21

Keresés LDAP címtárban Search. Root: honnan Page. Size: hány elemet Scope: - Base: csak

Keresés LDAP címtárban Search. Root: honnan Page. Size: hány elemet Scope: - Base: csak az az egy elem - One. Level: gyerek közt - Subtree: teljes részfa 22

Keresés LDAP címtárban Search. Root: honnan Page. Size: hány elemet Scope: mik között -

Keresés LDAP címtárban Search. Root: honnan Page. Size: hány elemet Scope: mik között - Base: csak az az egy elem - One. Level: gyerek közt - Subtree: teljes részfa 23

Keresés LDAP címtárban Search. Root: honnan Page. Size: hány elemet Scope: mik között -

Keresés LDAP címtárban Search. Root: honnan Page. Size: hány elemet Scope: mik között - Base: csak az az egy elem - One. Level: gyerek közt - Subtree: teljes részfa 24

Keresés LDAP címtárban Search. Root: honnan Page. Size: hány elemet Scope: mik között -

Keresés LDAP címtárban Search. Root: honnan Page. Size: hány elemet Scope: mik között - Base: csak az az egy elem - One. Level: gyerek közt - Subtree: teljes részfa 25

Keresés LDAP címtárban Search. Root: honnan Page. Size: hány elemet Scope: mik között -

Keresés LDAP címtárban Search. Root: honnan Page. Size: hány elemet Scope: mik között - Base: csak az az egy elem - One. Level: gyerek közt - Subtree: teljes részfa Filter: mit keresünk 26

Active. Directory module for Power. Shell § Windows Server 2008 R 2 -ban megjelent:

Active. Directory module for Power. Shell § Windows Server 2008 R 2 -ban megjelent: o Active. Directory modul Power. Shellhez o (Elérhető régebbi verziókhoz is részben) § Natív Power. Shell cmdletek AD-hez (76 db) § AD Provider o AD: meghajtón keresztül elérhető a címtár 27

Active. Directory modul architektúrája 28

Active. Directory modul architektúrája 28

Active. Directory cmdletek 29

Active. Directory cmdletek 29

DEMO AD module for Power. Shell § AD Provider használata: cd AD: cd "DC=irfhf,

DEMO AD module for Power. Shell § AD Provider használata: cd AD: cd "DC=irfhf, DC=local" § Keresés: Get-ADGroup -Filter 'CN -like "e*"' -Search. Scope Subtree -Search. Base "OU=People, DC=irfhf, DC=local" | % {echo "Name: $($_. name), DN: $($_. Distinguished. Name)"} § Lásd még: o Get-Help about_Active. Directory* 30

Tartalom § Az Active Directory felépítése § Központosított felügyelet és jogosultságkezelés § AD elérése

Tartalom § Az Active Directory felépítése § Központosított felügyelet és jogosultságkezelés § AD elérése programozottan § Kitekintés 31

Kitekintés § Készen vagyunk? Open. LDAP Active Directory 32

Kitekintés § Készen vagyunk? Open. LDAP Active Directory 32

Identity management § Több, különböző felhasználói siló jött létre § Megoldások o Címtárak szinkronizációja

Identity management § Több, különböző felhasználói siló jött létre § Megoldások o Címtárak szinkronizációja o Metacímtár o Identity mgmt rendszer o… § További feladatok: o Munkafolyamatok: új alkalmazott, elbocsátás… o Jelentések készítése, elemzések 33

Összefoglalás § Active Directory o Windows alapú IT rendszer lelke o Kötelező ismerni vállalati

Összefoglalás § Active Directory o Windows alapú IT rendszer lelke o Kötelező ismerni vállalati környezetben § Csoportházirend o Központi felügyelet és jogosultság kezelés § Sokféle API az AD kezelésére § Felhasználókezelés: o Címtár: OK o Identity management: még csak most kezdődne… 34

További információ Active Directory: § Gál Tamás, Szabó Levente, Szerényi László: Rendszerfelügyelet rendszergazdáknak, Szak

További információ Active Directory: § Gál Tamás, Szabó Levente, Szerényi László: Rendszerfelügyelet rendszergazdáknak, Szak Kiadó, 2007. § Gál Tamás: Windows Server 2008 R 2 – A kihívás állandó, JOS, 2011. (WS 2008 R 2 újdonságok) § Microsoft Technet: Active Directory Services o Planning, Deployment, Operations, Troubleshoot Active. Directory Power. Shell modul: § Active Directory Power. Shell blog § Soós Tibor: Microsoft Power. Shell 2. 0 rendszergazdáknak – elmélet és gyakorlat, 2010. 35

Power. Shell + ADSI § LDAP objektum lekérése: PS C: > $root = [ADSI]""

Power. Shell + ADSI § LDAP objektum lekérése: PS C: > $root = [ADSI]"" # binds to default domain PS C: > $root distinguished. Name : {DC=thefamily, DC=local} Path : LDAP: //dc=thefamily, dc=local … § Objektum módosítása: $don = [ADSI]"LDAP: //CN=Vito Mascarpone, OU=Executive, OU=Staff, DC=thefamily, DC=local" $don. Description = "the Don of the family" $don. Set. Info() § Bevezető: Working with Active Directory 36

Power. Shell + ADSI § Keresés: o System. Directory. Services. Directory. Searcher § Leírás:

Power. Shell + ADSI § Keresés: o System. Directory. Services. Directory. Searcher § Leírás: o Searching Active Directory with Windows Power. Shell § Kereső kifejezés: o Példa: (&(cn=i*)(object. Class=group)) o Segítség: Sysinternals AD Explorer • Search / Search Container -> GUI a kifejezés megírásához 37

DEMO Keresés az AD-ben (ADSI) $str. Filter = "(&(cn=i*)(object. Class=group))" $obj. Domain = [ADSI]"LDAP:

DEMO Keresés az AD-ben (ADSI) $str. Filter = "(&(cn=i*)(object. Class=group))" $obj. Domain = [ADSI]"LDAP: //DC=thefamily, DC=local" # create searcher, set search properties $obj. Searcher = New-Object System. Directory. Services. Directory. Searcher $obj. Searcher. Search. Root = $obj. Domain $obj. Searcher. Page. Size = 1000 $obj. Searcher. Filter = $str. Filter $obj. Searcher. Search. Scope = "Subtree" # property name should be lower case! $col. Proplist = "name", "distinguishedname" $col. Prop. List | % {$obj. Searcher. Properties. To. Load. Add($_) > $null} # search for matching entries in the LDAP $col. Results = $obj. Searcher. Find. All() # write out results $col. Results | % {echo "Name: $($_. Properties. name), DN: $($_. Properties. distinguishedname)" } 38