Potaov st VUT v Brn Fakulta podnikatelsk Management
Počítačové sítě VUT v Brně Fakulta podnikatelská Management počítačových sítí Lekce 4 Technologie a protokoly managementu na úrovni aplikační vrstvy Lekce 4 – Management síťové vrstvy strana 1 Ing. Viktor Ondrák, Ph. D.
Počítačové sítě VUT v Brně Fakulta podnikatelská DNS sice nepatří do protokolů ani technik síťové vrstvy, ale je s ní přímo spjat…. <úvod do DNS> statické záznamy DDNS (dynamic DNS – RFC 2136 a RFC 2845) Využívá obvykle DHCP server, aby po přidělení adresy udělal záznam do DNS Active Directory využívá pro vytváření a aktualizaci srv záznamů Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph. D.
LDAP Počítačové sítě VUT v Brně Fakulta podnikatelská Adresář Co je adresář (directory): -Databáze optimalizovaná na časté dotazy, nepodporuje transakce -Hierarchická stromová struktura snadno replikovatelná -Jednotlivé záznamy jsou informace o objektech -Je možno omezit přístup k záznamům (ACL) -V sítích se používá pro popis struktury objektů v síti uživatel Identifikace příjmení Jméno Os. číslo adresa Lekce 4 – Management síťové vrstvy stát strana 2 Ing. Viktor Ondrák, Ph. D.
Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Adresářové služby -Správa databáze adresáře -Replikace -Poskytování informací uživatelům a službám -Interface pro změny a rozšíření -Autentizace/autorizace dotazů Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph. D.
LDAP Počítačové sítě VUT v Brně Fakulta podnikatelská Protokol LDAP (Lightweight Directory Access Protocol) -Aplikační protokol pro dotazování a modifikace adresářových služeb -Vyvinut pro architekturu TCP/IP -Vznikl zjednodušením ISO/OSI standardu X. 500 -Komunikuje standardně na TCP xxxx -Pro komunikaci používá formát LDIF (LDAP Data Interchange Format) -Data jsou kódována pomocí LBER (Lightweight Basic Encoding Rules) ale ne z důvodů bezpečnosti (jednoduché dekódovat), ale z důvodů kompatibility – nehomogenity prostředí Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph. D.
Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP je popsán pomocí 4 modelů: -Informační model (schema) – popisuje strukturu informací (atributy)v adresáři -Jmenný model – popisuje, jak jsou informace odkazovány -Funkční model – popisuje, co může být s informacemi provedeno -Bezpečnostní model – popisuje, jak jsou informace chráněny Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph. D.
Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Informační model LDAP - Schéma: Adresář LDAP je založen na objektové architektuře -Jednotka informace je tedy instance objektu -Struktura objektu je dána třídou objektu (object. Class) – např. user, computer, organizational. Unit, domain, container, group (objekt může být zařazen do více tříd) , dědičnost -Jemnější členění je podle kategorií (object. Category) – objekt může být jen v jedné kategorii – např. user, computer, group, organizational. Unit, … -Každý objekt má podle třídy definované vlastnosti – atributy – mohou být jednohodnotové nebo tabulkové -Atributy mají definovaný typ např. text, celé číslo, … a např povinnost vyplnění -I atributy mohou být definované v souboru schematu a mohou být dědičné Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph. D.
LDAP Počítačové sítě VUT v Brně Fakulta podnikatelská Příklad atributů třídy User jméno popis s. AMAccount. Name SAM Account Name, přihlašovací uživatelské jméno, které podporuje starší systémy s. AMAccount. Type typ účtu user. Principal. Name UPN, přihlašovací jméno uživatelského účtu ve tvaru <user>@<DNS-domain-name> display. Name jméno, které využívají aplikace (třeba Exchange) given. Name křestní jméno sn surname - příjmení description popis mail adresa elektronické pošty company jméno společnosti department oddělení ve firmě location umístění street. Address ulice member. Of seznam skupin, kterých je členem Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph. D.
LDAP Počítačové sítě VUT v Brně Fakulta podnikatelská Jmenný model Pro identifikaci objektů se používá Distinguished Name (DN), což je jednoznačný identifikátor objektu Obsahuje úplnou cestu k záznamu (pozici ve stromě). DN se skládá ze jména objektu a jmen jednotlivých kontejnerů a domén, které obsahují objekt, oddělených čárkou. cn=Jan. Novak, ou=zamestnanci, DC=firma, DC=cz Každá část DN je vzjádřena pomocí typ_atributu=hodnota např. ou=zamestnanci. LDAP atribut jméno AD atribut jméno CN Common Name OU Organization Unit O Organization DC Domain Component C Country - - Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph. D.
Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Jmenný model V Active Directory se používá i zápis firma. cz/zamestnanci/Jan. Novak Navíc se ještě ke každému objektu používá v lese domé jednoznačný identifikátor GUID (128 bitové číslo Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph. D.
LDAP Počítačové sítě VUT v Brně Fakulta podnikatelská Funkční model LDAP definuje, co je možno dělat s informacemi v adresáři – 9 operací ve 3 skupinách: oblast autentizace (Authentication) dotazování (Interrogation) aktualizace (Update) Lekce 4 – Management síťové vrstvy operace popis bind inicializuje spojení, vyjednává o metodě autentizace, autentizuje unbind abandon search compare add modify RDN delete ukončí session klient žádá o ukončení posílání výsledků na poslední dotaz výběr dat z určitého regionu pomocí filtru porovná hodnotu atributu se zadanou hodnotou vytvoří nový objekt upraví atributy záznamu (vytvořit, smazat, upravit) slouží k přesunutí objektu v rámci stromu adresáře smazání záznamu strana 2 Ing. Viktor Ondrák, Ph. D.
LDAP Počítačové sítě VUT v Brně Fakulta podnikatelská Dotazy Operace Search určuje -odkud se bude vyhledávat (DN kontejneru) -hloubku hledání –např. jen v kontejneru, nebo v podstromu -Filtr hledání: operace shoda – (atribut=hodnota) přibližná shoda – (atribut ~=hodnota) větší/menší než – (attribut>=hodnota) / (. . <=. . ) logické operace AND - (&(filter 1)(filter 2)…) logické operace OR - (|(filter 1)(filter 2)…) logické operace NOT - (!(filter)) Možnost použít * jako zástup za cokoliv Například: (object. Category=*) všechny objekty (&(object. Class=user)(!(cn=novak))) všichni uživatelé mimo Nováka Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph. D.
Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Bezpečnostní model Definuje práva k přístupu do LDAP adresáře. Autentizace Uživatel může být autentizován několika způsoby. Anonymní autentizace – v rámci operace bind nejsou serveru předávány žádné informace nesoucí identitu či heslo uživatele. Jednoduchá autentizace – pomocí DN a hesla (atributu userpassword). Tuto autentizaci je možno provádět i na bezpečném kanále TLS/SSL. V tomto případě nejprve dojde k výměně certifikátů obou stran (serveru i klienta). Teprve po ověření těchto certifikátů dojde k otevření spojení a vyvolání operace bind. Proxy autentizace – využívá existence definovaného uživatele, který má právo nahlížet na hesla ostatních uživatelů. Autentizace požadovaného uživatele tedy probíhá přes tento mezičlánek, který může například pomocí operace compare porovnat platnost zadaných údajů. PKI autentizace – založená na principu PKI digitálních certifikátů, které jsou uloženy v definovaném atributu user. Certificate. SASL mechanizmus – disponuje množstvím zásuvných modulů, které můžeme využít pro autentizaci uživatele. Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph. D.
LDAP Počítačové sítě VUT v Brně Fakulta podnikatelská Bezpečnostní model Autorizace Určuje přístupová práva (Read, Write) Mohou být nastavena na úrovni: -Kontejnerů (s případnýám děděním do podstromu) -Na objekty -Na atributy Např. uživatel může mít nastaveny práva Write na všechny své atributy, právo Read na atributy ostatních uživatelů a žádná práva k atributům user. Password Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph. D.
Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Na adresářové službě je postaven celý Active Directory domén Microsoft Windows Existuje nástroj ldp. exe Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph. D.
- Slides: 15