ACTIVE DIRECTORY José Carlos Serufo Filho ( 05/07/2004.

Slides:



Advertisements
Apresentações semelhantes
Redes Windows.
Advertisements

Windows 2003 Server MS-AD Agenor Gomes Eduardo Azevedo Ilídio Vilaça
DNS Domain Name System.
Bruno Rafael de Oliveira Rodrigues
Curso Técnico de Informática
Configuração de um servidor DHCP
SISTEMAS DISTRIBUÍDOS
Integrantes: Danilo Huberto Felipe Dantas Jorge Brasil José Leonardo
DNS Introdução.
GERENCIAMENTO DE REDES
Módulo 4: Gerenciando o acesso aos recursos
Controlador de Domínio Primary Domain Controller
TELEPROCESSAMENTO E REDES
SMB é um protocolo, não uma implementação.
Funcionalidades e Protocolos da Camada de Aplicação
Fundamentos de Segurança da Informação
Serviços de servidor Servidor de Domínio  controla contas e usuários
CCNA Exploration Camada de Rede OSI.
Aula 9 - Camada de aplicação
KERBEROS Trabalho de Redes de Computadores I Autores:
Laboratório de Programação I Carlos Oberdan Rolim Ciência da Computação Sistemas de Informação.
DHCP Trabalho Realizado por: Rui Runa Monteiro, nº14.
Servidores de uma Rede Prof. Wladimir da Costa
Server-2003 Administração de Sistema Operacional de Rede Windows
Termo da Microsoft para designar um conjunto de serviços de directórios do Windows Server. Conceito utilizado a partir da versão do Windows Server 2000.
Funcionalidade e Protocolos da Camada de Aplicação
SERVIDORES. Um Servidor é: Servidor é um computador que gere ficheiros, dados, impressoras, faxes e outros recursos a outros computadores. O servidor.
Protocolo DHCP Willamys Araújo.
CCNA 1 – Modelos OSI e TCP/IP
FTIN Formação Técnica em Informática
IPAM Internet Protocol Address Management
Disciplina :Administração de Serviços de Diretórios
Segurança e Auditoria de Sistemas
FTIN Formação Técnica em Informática Módulo Sistema Proprietário Windows AULA 04 Prof. André Lucio.
SINGLE SIGNON SITUAÇÃO ATUAL ● Várias bases ● Nome ● Senha ● Autorização ● Mais de uma identificação ● Vários métodos ● Falta padronização ● Dificuldade.
Maria Alessandra Dubowski Nascimento
Controle de Acesso Kerberos
Tópicos Avançados em Redes de Computadores Prof. Fabiano Sabha.
INTRODUÇÃO AO IPv6.
REDES DE COMPUTADORES CONCEITOS E TÓPICOS RELACIONADOS A REDES DE COMPUTADORES ________________________________________________ Redes – Prof. Roni Márcio.
Domain Name System - Sistema de Nomes de Domínios
Prof. Rafael Folha SERVIÇO NACIONAL DE APRENDIZAGEM COMERCIAL PROGRAMA NACIONAL DE ACESSO AO ENSINO TÉCNICO E EMPREGO SISTEMA DE.
Gestão SNMP. Planeamento Montagem e Manutenção de Redes e Equipamentos Informáticos 2 SNMP- Simple Network Management Protocol Nos primeiros dias da Arpanet,
FTIN Formação Técnica em Informática Módulo Sistema Proprietário Windows AULA 03 Prof. André Lucio.
ANTONIO LIMEIRA EDUARDO FRANKLIN LUCAS ARANHA RANIERI VALENÇA RODRIGO PIGATTI DNS.
CONECTIVIDADE Prof.: Alessandro V. Soares Ferreira
Camada de Transporte: protocolo UDP
Disciplina: Comunicação de Dados Ricardo Bento 12ºL nº11.
DNS Willamys Araújo 1. Introdução A internet possui uma infinidade de sites e, para acessá-los, você digita um endereço no campo correspondente do seu.
Windows Server Versões Sistema de Arquivos Características Domínio
DHCP Dynamic Host Configutation Protocol Charles Felipe Oliveira Viegas Douglas Xavier T. de Oliveira.
Active Directory Services Serviço de Diretório Ativo
LDAP+SSO SUPORTE TÉCNICO. COMPARTILHAMENTO DE ARQUIVOS ● Arquivos locais o Sistemas Operacional o HDs, DVD, PenDrive, SSD...
Escola Secundaria Sebastião da gama Comunicação de dados Prof: Carlos Pereira Nome :André Santos Ano/Turma:12ºL Nº:2 IP Dinâmico, IP Fixo e DNS.
Planejamento e Implantação de Servidores
TCP/IP.
Termos – redes de computadores
Tema 07: A camada de aplicação: protocolos HTTP, SMTP, DNS, FTP
Active Directory Profa. Priscila Facciolli Sistemas Operacionais.
PROTOCOLOS DE REDE Endereço Real e Reservado
IP-INTERNET PROTOCOLO. EQUIPE: Aline Helena de Oliveira Dione de Souza Neves Jefferson Dalla Lasta Johnathan Maurício Silva Galvão Mario Fernando Pioski.
Informática Industrial N8INF
Tecgraf PUC-Rio maio de 2011 Introdução ao Openbus.
Faixa de Numeros IP O endereço IP, na versão 4 do IP (IPv4), é um número de 32 bits oficialmente escrito com quatro octetos (Bytes) representados no formato.
Por que Redes? Estamos cercados por redes: supermercados, lojas, bancos, cinemas, farmácias e inúmeros outros lugares; Com a queda do custo de implementação.
Alessandro D. R. Fazenda
Informática Industrial IFDJ6 Prof. Dr. Cesar da Costa 3.a Aula: Rede Ethernet - Padrão TCP/IP.
DNS, IP e GATEWAY Os componentes de rede citados anteriormente servem, basicamente, para permitir acesso à rede e à Internet, seja em ambiente doméstico.
Sistemas de Informações Fundamentos da Computação B. Internet Márcio Aurélio Ribeiro Moreira
Curso Superior em Redes de Computadores Camada de Aplicação Prof. Sales Filho.
Transcrição da apresentação:

ACTIVE DIRECTORY José Carlos Serufo Filho ( 05/07/2004

ACTIVE DIRECTORY ( AD ) Definição O serviço Active Directory® fornece recursos de logon único e um repositório central para informações de toda a infra-estrutura, simplificando amplamente o gerenciamento de usuários e de computadores e fornecendo acesso superior aos recursos em rede.

Evolução da Família Windows Clientes Corporativos Servidores Corporativos

O que é o Active Directory ? Servidor Dinâmico de DNS (Domain Name System) Servidor de DHCP (Dynamic Host Configuration Protocol) Servidor de KERBEROS 5 (KDC) Servidor de Dominio Microsoft RPC Servidor de LDAP v3 Banco de Dados

O que é um serviço de diretório? No contexto de uma rede, um diretório é uma estrutura hierárquica que armazena informações a respeito de itens(recursos) de uma rede.

O que é um serviço de diretório? Um diretório pode ser composto pelos mais diferentes tipos de itens(objetos), como por exemplo, servidores, discos, impresoras, contas de usuários, arquivos compartilhados; ou ainda domínios de logon, aplicativos, políticas de segurança e de acesso, etc.

O que é um serviço de diretório? O conceito de serviço de diretório é um conjunto de funções para criação, armazenamento e recuperação de informações de um diretório. A existência de múltiplos serviços de diretório cria dificuldades administrativas e incompatibilidade entre as aplicações.

X500 Uma primeira tentativa de criar um serviço de diretório para suprir informações comuns a várias aplicações foi o X500. X500 é um conjunto de padrões definido pelo CCITT( Consultative Committee on International Telegraphy and Telephony ) atual ITU( International Telecommunication Union ).

Características do X500 Banco de informações distribuído; Mecanismo de procura de informações flexível; Espaço de Nomes Homogêneo; Serviço padronizado; Aberto.

X509 e o padrão LDAP v3 LDAP(Lightweight Directory Access Protocol) Foi criado como uma alternativa mais simples ao protocolo padrão do X500(DAPDirectory Access Protocol). X509 padrão adotado pela Microsoft (Alteraçao no esquema original para ajustar as suas necessidades.)

DNS(Domain Name System) Introdução O Domain Name System (DNS) é um sistema de banco de dados distribuído não genérico usado pelas aplicações Internet, pricipalmente, para conversão de um nome de máquina para seu endereço IP e também usado pelos programas de correio eletrônico para pesquisar a máquina que recebe o correio para determinado domínio.

DNS(Domain Name System) Histórico No ínicio da Internet, quando era chamada de Arpanet, a conversão entre o nome da máquina e o seu IP era realizada usando-se um arquivo denominado de hosts.txt. Os administradores enviavam via as alterações dos seus domínios e buscavam via FTP tal arquivo para atualizar-se.

DNS(Domain Name System) Histórico Com o crescimeto da Internet tal mecanismo tornou-se completamente inviável, surgindo o DNS, um sistema descentralizado, fornecendo as características necessárias em relação aos problemas de carga gerada no tráfego na rede, de colisão de nomes e de consistência dos dados.

DHCP ( Dynamic Host Configuration Protocol) O DHCP é um serviço utilizado para automatizar as configurações do protocolo TCP/IP nos dispositivos de rede (computadores, impressoras, hubs, switchs, ou seja, qualquer dispositivo conectado à rede e que esteja utilizando o protocolo TCP/IP).

DHCP (Dynamic Host Configuration Protocol) Sem o uso do DHCP, o administrador e sua equipe teriam que configurar, manualmente, as propriedades do protocolo TCP/IP em cada dispositivo de rede (genericamente denominados hosts).

DHCP Implementação da Microsoft A implementação do DHCP no Windows 2000 Server e no Windows Server 2003 é baseada em padrões definidos pelo IETF. Estes padrões são definidos em documentos conhecidos como RFCs (Request for Comments).

DHCP As RFCs que definem os padrões do DHCP são as seguintes: – # RFC 2131: Dynamic Host Configuration Protocol (substitui a RFC 1541) –# RFC 2132: DHCP Options and BOOTP Vendor Extensions

Kerberos No Windows 2000, a versão 5 do Kerberos é o principal protocolo de segurança. O Kerberos verifica tanto a identidade do usuário como a integridade dos dados da sessão.

Kerberos Os serviços Kerberos estão instalados em cada controlador de domínio, e um cliente Kerberos é instalado em cada estação de trabalho e servidor do Windows A autenticação inicial do Kerberos garante ao usuário um único logon aos recursos da empresa.

Kerberos Vantagens Além de melhorar a segurança, permite: –Relações de confiança transitiva para autenticação entre domínios. –As credenciais de autenticação emitidas por um serviço Kerberos são aceitas por todos os serviços Kerberos dentro da árvore do domínio. Além disso, as credenciais emitidas por um serviço Kerberos em uma floresta de árvores de domínio são aceitas por todos os serviços Kerberos da floresta.

Kerberos Autenticação mútua de cliente e servidor Tanto o cliente como o servidor são autenticados em uma sessão Kerberos. Processos eficientes de autenticação O Windows 2000 Server pode verificar as credenciais do cliente sem consultar o serviço Kerberos no controlador de domínio.

Kerberos Implementação no WIN 2K A implementação do Kerberos no Windows 2000 é compatível com qualquer outra implementação da versão 5 do Kerberos que seja compatível com IETF RFCs 1510 e Os clientes e servidores do Windows 2000 podem autenticar e, portanto, se comunicar com várias outras plataformas que implementam o pacote de autenticação Kerberos.

Kerberos Microsoft Win 2k x Unix Há duas formas em que o Windows 2000 pode funcionar com KDCs baseados em Kerberos MIT.

Kerberos Microsoft Win 2k x Unix Primeiro, a estação de trabalho do Windows 2000 pode ser configurada para usar um KDC Unix. Os usuários podem efetuar logon no Windows 2000 usando uma conta definida no KDC Unix. Isso é igual ao suporte de estação de trabalho Unix para logon Kerberos. Qualquer aplicativo do Windows 2000 ou Unix que só requer autenticação baseada em nomes pode usar um KDC Unix como servidor Kerberos.

Kerberos Microsoft Win 2k x Unix A segunda forma em que o Windows 2000 funciona com Kerberos MIT é através de confiança entre um ambiente Unix e um domínio do Windows A confiança entre ambientes é a melhor forma de se oferecer suporte aos serviços do Windows 2000 que usam a personificação e controle de acesso.

Kerberos Conclusão Os clientes do Windows 2000 não podem usar um KDC Unix para autenticação no Active Directory. O modelo de segurança distribuída do Windows 2000 depende em mais do que uma lista de SIDs para autorização de dados em tickets Kerberos, e esses protocolos vão bem além dos serviços de autenticação fornecidos pelo servidor Kerberos MIT.

Active Directory(Microsoft) O Active Directory tem o objetivo criar e manipular facilmente informações de um diretório. O Active Directory implementa um espaço de nomes. Um espaço de nomes é uma área em que um determinado nome pode ser resolvido, isto é, transformado em um objeto ou nas informações que representa.

Active Directory(Microsoft) A resolução do nome depende do tipo de objeto que o nome representa. Nesse procedimento, um cliente active directory realiza requisições a um servidor active directory(também denominado de controlador de domínio) através de um protocolo específico: o LDAP(Lightweight Directory Access Protocol).

Active Directory(Microsoft) Objetivo O objetivo principal do Active Directory é facilitar a administração da rede.

Active Directory(Microsoft) Componentes Os principais componentes que formam o Active Directory são: –Objeto –Esquema –Contêiner

Active Directory(Microsoft) Objeto Um objeto é qualquer usuário, sistema recurso ou serviço existente dentro do AD. Os objetos são descritos por seus atributos, como por exemplo, nome de uma máquina e seu endereço IP.

Active Directory(Microsoft) Esquema O conjunto de atributos para qualquer tipo particular de objeto é chamado de esquema.

Active Directory(Microsoft) Conteiner Um contêiner é um tipo especial de objeto utilizado para organizar o Active Directory. Sua idéia é similar a de pastas do Windows, isto é, se uma pasta contem arquivos e outras pastas, um contêiner armazena objetos e outros contêiners. Os três tipos possíveis de contêiners são domínios, sites e unidades organizacionais.

Active Directory(Microsoft) Conteiner - Domínios Um domínio é um grupo de usuários e computadores que formam uma unidade administrativa isolada.

Active Directory(Microsoft) Conteiner - Sites Um site consiste em uma localização geografica empregada para distinguir localizações remotas de localizações locais. Os sites podem ser comparados a subredes, isto é, uma estrutura pode ser empregada por aplicativos para localizar um determinado servidor mais próximo dessa subrede, reduzindo assim o tráfego em redes remotas. - Contém ao menos um Domain Controller

Active Directory(Microsoft) Conteiner – Unidade Organizacional Uma unidade organizacional é um contêiner para agrupar objetos com políticas de acesso idênticas, podendo ser criadas com base em vários critérios, como função, localização, recursos, etc.

Active Directory(Microsoft) Conteiner – Unidade Organizacional As unidades organizacionais existem dentro de um domínio. Uma característica das grandes organizações é a necessidade de criar vários domínios para controlar de forma mais apropriada os recursos de um determinado setor, departamento, filial e etc.

Active Directory(Microsoft) Domínios Limites para Segurança –Autenticação Limites de Replicação Limites do namespace DNS Limites para administração Relações de confiança: Transitiva bidirecional Também unidirecional não-transitiva para compatibilidade com NT4 COMPANY

Active Directory(Microsoft) Árvores e Florestas Árvore: Hierarquia de domínios formando um namespace contíguo Floresta: Hierarquia de domínios formando um namespace contíguo ou não Formado por Relms de Confiança COMPANY EUROPE.COMPANY AMERICA.COMPANY NICARAGUA.AMERICA.COMPANY DIVISION.COM COMPANY AMERICA.COMPANY

Active Directory(Microsoft) Árvores O Active Directory permite que os domínios sejam organizados hierarquicamente na forma de uma árvore. Essa organização cria uma relação de filiação entre os domínios com uma relação de confiança, fazendo com que essa relação de confiança permita que recursos sejam compartilhados.

Active Directory(Microsoft) Florestas O conjunto de árvores, isto é, de espaços de nomes diferentes define o que se denomina de uma floresta.

Exemplo de estrutura de Active Directory Microsoft.com SouthamericaNorthamericaCanadaEUA Division.com ÁrvoreMicrosoft.comÁrvoredivision.com Floresta Floresta Domínio Unidade Organizaciona l

Active Directory Segurança Private / Public Key (Crypto API) SSL IPSec Kerberos Smart Card

Active Directory Algumas Características Tecnologia de armazenamentoIndexada Máx. objetos/partiçãoMilhões Limite de partiçãoGeo/Política Catálogos localmente ?Sim Intervalo de atualizaçãoContínuo Suporte a LDAP nativo ?Sim Integração com DNS nativo ?Sim Suporte integrado Kerberos ?Sim Segurança no catálogo ?Sim Grupos inter-partições ?Sim Interface adm. global ?Sim Suporte a ADSI ?Sim Suporte a Java ?Sim (JADSI)

Active Directory ADSI (Active Directory Service Interfaces) ADSI é um dos componentes do Windows® Open Services Architecture (WOSA) e Open Directory Service Interfaces (ODSI).

Active Directory ADSI (Active Directory Service Interfaces) A D S I

Active Directory ADSI (Active Directory Service Interfaces)

Active Directory o Active Directory é baseado num diretório standard de protocolos de acesso (assim como o Lightweight Directory Acess Protocol ­ LDAP) ­ que significa que pode interoperar com outro diretório de serviços mostrando estes protocolos, o mesmo como se processa tudo na Internet.

Conclusão Com o aumento no tamanho das redes e as constantes mudanças pelas quais as redes passam, os usuários passam a necessitar um serviço que permita um acesso transparente ao usuário aos recursos da rede.

Conclusão Um Serviço de Diretórios é responsável por permitir que o usuário possa consultar ou navegar em diretórios de usuário, organizações ou recursos, sem ter a necessidade de conhecer detalhes sobre os objetos armazenados nestes diretórios.

Usuários Windows Info sobre contasInfo sobre contas PrivilégiosPrivilégios PerfisPerfis PolíticasPolíticas Clientes Windows Perfil gerenciam.Perfil gerenciam. Info de redeInfo de rede PolíticasPolíticas Servidores Windows Perfil gerenciam.Perfil gerenciam. Info de redeInfo de rede ServiçosServiços ImpressorasImpressoras CompartilhamentosCompartilhamentos PolíticasPolíticas Um Ponto Focal para: GerenciamentoGerenciamento SegurançaSegurança InteroperabilidadeInteroperabilidade ActiveDirectory Aplicações Server configServer config Único logonÚnico logon Info específicaInfo específica PolíticasPolíticas Dispositivos Rede ConfiguraçãoConfiguração Política QoSPolítica QoS Política Segur.Política Segur. Internet Firewall Services ConfiguraçãoConfiguração Política Segur. Política VPN OutrosDiretórios NDS, LDAP NDS, LDAP E-Commerce E-Commerce Outros NOS UsuáriosUsuários SegurançaSegurança PolíticasPolíticas Servers Info mailboxInfo mailbox Address bookAddress book O que é então o Active Directory ?

.