A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

ACTIVE DIRECTORY José Carlos Serufo Filho ( 05/07/2004.

Apresentações semelhantes


Apresentação em tema: "ACTIVE DIRECTORY José Carlos Serufo Filho ( 05/07/2004."— Transcrição da apresentação:

1 ACTIVE DIRECTORY José Carlos Serufo Filho ( 05/07/2004

2 ACTIVE DIRECTORY ( AD ) Definição O serviço Active Directory® fornece recursos de logon único e um repositório central para informações de toda a infra-estrutura, simplificando amplamente o gerenciamento de usuários e de computadores e fornecendo acesso superior aos recursos em rede.

3 Evolução da Família Windows Clientes Corporativos Servidores Corporativos

4 O que é o Active Directory ? Servidor Dinâmico de DNS (Domain Name System) Servidor de DHCP (Dynamic Host Configuration Protocol) Servidor de KERBEROS 5 (KDC) Servidor de Dominio Microsoft RPC Servidor de LDAP v3 Banco de Dados

5 O que é um serviço de diretório? No contexto de uma rede, um diretório é uma estrutura hierárquica que armazena informações a respeito de itens(recursos) de uma rede.

6 O que é um serviço de diretório? Um diretório pode ser composto pelos mais diferentes tipos de itens(objetos), como por exemplo, servidores, discos, impresoras, contas de usuários, arquivos compartilhados; ou ainda domínios de logon, aplicativos, políticas de segurança e de acesso, etc.

7 O que é um serviço de diretório? O conceito de serviço de diretório é um conjunto de funções para criação, armazenamento e recuperação de informações de um diretório. A existência de múltiplos serviços de diretório cria dificuldades administrativas e incompatibilidade entre as aplicações.

8 X500 Uma primeira tentativa de criar um serviço de diretório para suprir informações comuns a várias aplicações foi o X500. X500 é um conjunto de padrões definido pelo CCITT( Consultative Committee on International Telegraphy and Telephony ) atual ITU( International Telecommunication Union ).

9 Características do X500 Banco de informações distribuído; Mecanismo de procura de informações flexível; Espaço de Nomes Homogêneo; Serviço padronizado; Aberto.

10 X509 e o padrão LDAP v3 LDAP(Lightweight Directory Access Protocol) Foi criado como uma alternativa mais simples ao protocolo padrão do X500(DAPDirectory Access Protocol). X509 padrão adotado pela Microsoft (Alteraçao no esquema original para ajustar as suas necessidades.)

11 DNS(Domain Name System) Introdução O Domain Name System (DNS) é um sistema de banco de dados distribuído não genérico usado pelas aplicações Internet, pricipalmente, para conversão de um nome de máquina para seu endereço IP e também usado pelos programas de correio eletrônico para pesquisar a máquina que recebe o correio para determinado domínio.

12 DNS(Domain Name System) Histórico No ínicio da Internet, quando era chamada de Arpanet, a conversão entre o nome da máquina e o seu IP era realizada usando-se um arquivo denominado de hosts.txt. Os administradores enviavam via as alterações dos seus domínios e buscavam via FTP tal arquivo para atualizar-se.

13 DNS(Domain Name System) Histórico Com o crescimeto da Internet tal mecanismo tornou-se completamente inviável, surgindo o DNS, um sistema descentralizado, fornecendo as características necessárias em relação aos problemas de carga gerada no tráfego na rede, de colisão de nomes e de consistência dos dados.

14 DHCP ( Dynamic Host Configuration Protocol) O DHCP é um serviço utilizado para automatizar as configurações do protocolo TCP/IP nos dispositivos de rede (computadores, impressoras, hubs, switchs, ou seja, qualquer dispositivo conectado à rede e que esteja utilizando o protocolo TCP/IP).

15 DHCP (Dynamic Host Configuration Protocol) Sem o uso do DHCP, o administrador e sua equipe teriam que configurar, manualmente, as propriedades do protocolo TCP/IP em cada dispositivo de rede (genericamente denominados hosts).

16 DHCP Implementação da Microsoft A implementação do DHCP no Windows 2000 Server e no Windows Server 2003 é baseada em padrões definidos pelo IETF. Estes padrões são definidos em documentos conhecidos como RFCs (Request for Comments).

17 DHCP As RFCs que definem os padrões do DHCP são as seguintes: – # RFC 2131: Dynamic Host Configuration Protocol (substitui a RFC 1541) –# RFC 2132: DHCP Options and BOOTP Vendor Extensions

18 Kerberos No Windows 2000, a versão 5 do Kerberos é o principal protocolo de segurança. O Kerberos verifica tanto a identidade do usuário como a integridade dos dados da sessão.

19 Kerberos Os serviços Kerberos estão instalados em cada controlador de domínio, e um cliente Kerberos é instalado em cada estação de trabalho e servidor do Windows A autenticação inicial do Kerberos garante ao usuário um único logon aos recursos da empresa.

20 Kerberos Vantagens Além de melhorar a segurança, permite: –Relações de confiança transitiva para autenticação entre domínios. –As credenciais de autenticação emitidas por um serviço Kerberos são aceitas por todos os serviços Kerberos dentro da árvore do domínio. Além disso, as credenciais emitidas por um serviço Kerberos em uma floresta de árvores de domínio são aceitas por todos os serviços Kerberos da floresta.

21 Kerberos Autenticação mútua de cliente e servidor Tanto o cliente como o servidor são autenticados em uma sessão Kerberos. Processos eficientes de autenticação O Windows 2000 Server pode verificar as credenciais do cliente sem consultar o serviço Kerberos no controlador de domínio.

22 Kerberos Implementação no WIN 2K A implementação do Kerberos no Windows 2000 é compatível com qualquer outra implementação da versão 5 do Kerberos que seja compatível com IETF RFCs 1510 e Os clientes e servidores do Windows 2000 podem autenticar e, portanto, se comunicar com várias outras plataformas que implementam o pacote de autenticação Kerberos.

23 Kerberos Microsoft Win 2k x Unix Há duas formas em que o Windows 2000 pode funcionar com KDCs baseados em Kerberos MIT.

24 Kerberos Microsoft Win 2k x Unix Primeiro, a estação de trabalho do Windows 2000 pode ser configurada para usar um KDC Unix. Os usuários podem efetuar logon no Windows 2000 usando uma conta definida no KDC Unix. Isso é igual ao suporte de estação de trabalho Unix para logon Kerberos. Qualquer aplicativo do Windows 2000 ou Unix que só requer autenticação baseada em nomes pode usar um KDC Unix como servidor Kerberos.

25 Kerberos Microsoft Win 2k x Unix A segunda forma em que o Windows 2000 funciona com Kerberos MIT é através de confiança entre um ambiente Unix e um domínio do Windows A confiança entre ambientes é a melhor forma de se oferecer suporte aos serviços do Windows 2000 que usam a personificação e controle de acesso.

26 Kerberos Conclusão Os clientes do Windows 2000 não podem usar um KDC Unix para autenticação no Active Directory. O modelo de segurança distribuída do Windows 2000 depende em mais do que uma lista de SIDs para autorização de dados em tickets Kerberos, e esses protocolos vão bem além dos serviços de autenticação fornecidos pelo servidor Kerberos MIT.

27 Active Directory(Microsoft) O Active Directory tem o objetivo criar e manipular facilmente informações de um diretório. O Active Directory implementa um espaço de nomes. Um espaço de nomes é uma área em que um determinado nome pode ser resolvido, isto é, transformado em um objeto ou nas informações que representa.

28 Active Directory(Microsoft) A resolução do nome depende do tipo de objeto que o nome representa. Nesse procedimento, um cliente active directory realiza requisições a um servidor active directory(também denominado de controlador de domínio) através de um protocolo específico: o LDAP(Lightweight Directory Access Protocol).

29 Active Directory(Microsoft) Objetivo O objetivo principal do Active Directory é facilitar a administração da rede.

30 Active Directory(Microsoft) Componentes Os principais componentes que formam o Active Directory são: –Objeto –Esquema –Contêiner

31 Active Directory(Microsoft) Objeto Um objeto é qualquer usuário, sistema recurso ou serviço existente dentro do AD. Os objetos são descritos por seus atributos, como por exemplo, nome de uma máquina e seu endereço IP.

32 Active Directory(Microsoft) Esquema O conjunto de atributos para qualquer tipo particular de objeto é chamado de esquema.

33 Active Directory(Microsoft) Conteiner Um contêiner é um tipo especial de objeto utilizado para organizar o Active Directory. Sua idéia é similar a de pastas do Windows, isto é, se uma pasta contem arquivos e outras pastas, um contêiner armazena objetos e outros contêiners. Os três tipos possíveis de contêiners são domínios, sites e unidades organizacionais.

34 Active Directory(Microsoft) Conteiner - Domínios Um domínio é um grupo de usuários e computadores que formam uma unidade administrativa isolada.

35 Active Directory(Microsoft) Conteiner - Sites Um site consiste em uma localização geografica empregada para distinguir localizações remotas de localizações locais. Os sites podem ser comparados a subredes, isto é, uma estrutura pode ser empregada por aplicativos para localizar um determinado servidor mais próximo dessa subrede, reduzindo assim o tráfego em redes remotas. - Contém ao menos um Domain Controller

36 Active Directory(Microsoft) Conteiner – Unidade Organizacional Uma unidade organizacional é um contêiner para agrupar objetos com políticas de acesso idênticas, podendo ser criadas com base em vários critérios, como função, localização, recursos, etc.

37 Active Directory(Microsoft) Conteiner – Unidade Organizacional As unidades organizacionais existem dentro de um domínio. Uma característica das grandes organizações é a necessidade de criar vários domínios para controlar de forma mais apropriada os recursos de um determinado setor, departamento, filial e etc.

38 Active Directory(Microsoft) Domínios Limites para Segurança –Autenticação Limites de Replicação Limites do namespace DNS Limites para administração Relações de confiança: Transitiva bidirecional Também unidirecional não-transitiva para compatibilidade com NT4 COMPANY

39 Active Directory(Microsoft) Árvores e Florestas Árvore: Hierarquia de domínios formando um namespace contíguo Floresta: Hierarquia de domínios formando um namespace contíguo ou não Formado por Relms de Confiança COMPANY EUROPE.COMPANY AMERICA.COMPANY NICARAGUA.AMERICA.COMPANY DIVISION.COM COMPANY AMERICA.COMPANY

40 Active Directory(Microsoft) Árvores O Active Directory permite que os domínios sejam organizados hierarquicamente na forma de uma árvore. Essa organização cria uma relação de filiação entre os domínios com uma relação de confiança, fazendo com que essa relação de confiança permita que recursos sejam compartilhados.

41 Active Directory(Microsoft) Florestas O conjunto de árvores, isto é, de espaços de nomes diferentes define o que se denomina de uma floresta.

42 Exemplo de estrutura de Active Directory Microsoft.com SouthamericaNorthamericaCanadaEUA Division.com ÁrvoreMicrosoft.comÁrvoredivision.com Floresta Floresta Domínio Unidade Organizaciona l

43 Active Directory Segurança Private / Public Key (Crypto API) SSL IPSec Kerberos Smart Card

44 Active Directory Algumas Características Tecnologia de armazenamentoIndexada Máx. objetos/partiçãoMilhões Limite de partiçãoGeo/Política Catálogos localmente ?Sim Intervalo de atualizaçãoContínuo Suporte a LDAP nativo ?Sim Integração com DNS nativo ?Sim Suporte integrado Kerberos ?Sim Segurança no catálogo ?Sim Grupos inter-partições ?Sim Interface adm. global ?Sim Suporte a ADSI ?Sim Suporte a Java ?Sim (JADSI)

45 Active Directory ADSI (Active Directory Service Interfaces) ADSI é um dos componentes do Windows® Open Services Architecture (WOSA) e Open Directory Service Interfaces (ODSI).

46 Active Directory ADSI (Active Directory Service Interfaces) A D S I

47 Active Directory ADSI (Active Directory Service Interfaces)

48 Active Directory o Active Directory é baseado num diretório standard de protocolos de acesso (assim como o Lightweight Directory Acess Protocol ­ LDAP) ­ que significa que pode interoperar com outro diretório de serviços mostrando estes protocolos, o mesmo como se processa tudo na Internet.

49 Conclusão Com o aumento no tamanho das redes e as constantes mudanças pelas quais as redes passam, os usuários passam a necessitar um serviço que permita um acesso transparente ao usuário aos recursos da rede.

50 Conclusão Um Serviço de Diretórios é responsável por permitir que o usuário possa consultar ou navegar em diretórios de usuário, organizações ou recursos, sem ter a necessidade de conhecer detalhes sobre os objetos armazenados nestes diretórios.

51 Usuários Windows Info sobre contasInfo sobre contas PrivilégiosPrivilégios PerfisPerfis PolíticasPolíticas Clientes Windows Perfil gerenciam.Perfil gerenciam. Info de redeInfo de rede PolíticasPolíticas Servidores Windows Perfil gerenciam.Perfil gerenciam. Info de redeInfo de rede ServiçosServiços ImpressorasImpressoras CompartilhamentosCompartilhamentos PolíticasPolíticas Um Ponto Focal para: GerenciamentoGerenciamento SegurançaSegurança InteroperabilidadeInteroperabilidade ActiveDirectory Aplicações Server configServer config Único logonÚnico logon Info específicaInfo específica PolíticasPolíticas Dispositivos Rede ConfiguraçãoConfiguração Política QoSPolítica QoS Política Segur.Política Segur. Internet Firewall Services ConfiguraçãoConfiguração Política Segur. Política VPN OutrosDiretórios NDS, LDAP NDS, LDAP E-Commerce E-Commerce Outros NOS UsuáriosUsuários SegurançaSegurança PolíticasPolíticas Servers Info mailboxInfo mailbox Address bookAddress book O que é então o Active Directory ?

52

53 .

54


Carregar ppt "ACTIVE DIRECTORY José Carlos Serufo Filho ( 05/07/2004."

Apresentações semelhantes


Anúncios Google