Active Directory (AD) – проприетарная реализация от компании Microsoft службы каталогов – совокупности программных сервисов и баз данных для иерархического представления информационных ресурсов в сети (компьютеров, принтеров, сетевых дисков и пр.) и настройки доступа к ним.
LDAP (Lightweight Directory Access Protocol) – облегчённый протокол доступа к каталогам, открытый стандартизированный протокол, применяемый для работы с различным реализациям служб каталогов, в том числе и Active Directory.
Основной задачей Active Directory является хранение информации обо всех объектах в сети и предоставление её внешним системам. В свою очередь, LDAP позволяет пользователям получить доступ к ресурсам в зависимости от прав, настроенных администратором службы каталогов.
Для работы протокола LDAP по-умолчанию используется TCP-порт 389.
Далее описаны основы Active Directory, более подробную информацию смотрите в официальной документации на сайте Microsoft.
Что такое леса, деревья и домены в Active Directory?
Основными структурными элементами Active Directory являются:
- домен – группа объектов (пользователей, компьютеров и пр.), основная административная единица AD. Для каждого домена настраиваются правила доступа к нему и политики взаимодействия с другими доменами (отношения доверия);
- структурное подразделение – необязательный наименьший возможный контейнер, в который при желании можно сгруппировать объекты домена (другие контейнеры, аккаунты пользователей и компьютеров). Могут использоваться, чтобы определить групповые политики и административный доступ для небольшой совокупности ресурсов в пределах одного домена;
- дерево доменов – коллекция доменов, сгруппированных в иерархическую структуру и имеющих связанное пространство имён;
- лес – контейнер высшего уровня, включающий в себя все домены каждого конкретного экземпляра AD.
Таким образом, в иерархии Active Directory должен быть как минимум один лес, одно дерево и один домен.
Для каждого домена настраивается минимум один сервер с ролью контроллер домена, на котором работают сервисы AD. Он хранит информацию об объектах своего домена, и реализует операции поиска в каталоге, входа пользователей и проверки подлинности.
Контроллер домена, который содержит данные о каждом объекте в лесу AD, называется глобальный каталог. Он хранит полный набор атрибутов объектов своего домена и частичную реплику основных атрибутов (список которых можно настроить) объектов всех остальных доменов. Это позволяет быстро находить информацию независимо от её физического расположения на различных доменах.
В лесу обязательно должен быть минимум один глобальный каталог. По умолчанию им назначается первый контроллер домена, на который устанавливается роль доменных служб Active Directory.
Для связи с глобальным каталогом используется TCP-порт 3268 или 3269 при работе по протоколу LDAP и LDAPS соответственно.
Как работает Active Directory?
Сервисы Active Directory являются частью операционной системы Microsoft Windows Server и устанавливаются в качестве одной или нескольких её ролей.
Основной из них является роль доменные службы Active Directory (Active Directory Domain Services, AD DS) – она используется для организации в защищённую логическую структуру всех объектов сети. Полученная иерархическая схема является независимой от физического расположения объектов и топологии сети. Это значительно упрощает администрирование и настройку доступа, например, изменение физического расположения компьютера не повлияет на его роль в структуре AD.
Основными операциями при работе с Active Directory являются аутентификация пользователей, а также поиск, модификация и сравнение объектов. Эти функции реализуются с помощью протокола LDAP.
Active Directory содержит:
- хранилище данных – часть службы каталогов, которая управляет хранением и предоставлением информации на каждом контроллере домена. Данные хранятся в структурированной базе данных (БД), которая иначе называется каталог и содержит совокупность всех объектов AD. Каждый из них относится к определённому классу (пользователи, компьютеры, домены и т.д.). В свою очередь, все объекты каждого класса имеют одинаковый набор атрибутов;
- схему – совокупность определений классов и атрибутов (именованных параметров) объектов. Она стандартизирует как данные хранятся в хранилище и благодаря этому позволяет получать информацию (как сказано выше, используется для этого протокол LDAP);
- леса, деревья, домены и организационные подразделения – ключевые элементы логической структуры AD, которые были подробно рассмотрены ранее.
Для конвертации зарегистрированных в структуре Active Directory имён сетевых ресурсов (компьютеров, принтеров и пр.) в IP-адреса используется интеграция с DNS (Domain Name System, системой доменных имён). Это позволяет, например, пользователям получить доступ к компьютерам, а компьютерам – к контроллерам доменов.
Каждый объект в AD представляет собой LDAP-запись, состоящую из набора атрибутов и их значений, которые в совокупности полностью его описывают. Например, объект класса сотрудник содержит атрибут email, который выглядит следующим образом: mail: user@example.com
.
В итоге вся запись для сотрудника, принадлежащего классу employee
, может иметь такой вид:
1 2 3 4 5 6 |
dn: cn=Ivan Petrov,ou=employee,dc=example,dc=com objectclass: employee sn: Petrov cn: Ivan Petrov mail: petrov@example.com ou: people |
Обратим внимание на значение первого атрибута записи: cn=Ivan Petrov,ou=employee,dc=example,dc=com
. Это уникальное имя (Distinguished Name, DN), которое однозначно идентифицирует запись в пределах леса и представляет собой полный путь от корневой записи AD до рассматриваемого объекта. В данном случае запись, содержащая сведения о сотруднике Ivan Petrov
, является дочерней записью организационного подразделения ou=employee
, а у неё в качестве родителя выступает доменное имя example.com
. При этом значения, уникальные в пределах своей родительской записи, называются относительным уникальным именем (Relative Distinguished Name, RDN). Например, cn=Ivan Petrov
– RDN по отношению к ou=employee
. Совокупность всех RDN в виде иерархической цепочки и составляет DN каждой записи. Схематически это можно изобразить таким образом:
Значения атрибутов можно использовать для фильтров поиска объектов AD, а значения DN – чтобы однозначно идентифицировать объект (например, для его модификации).
Преимущества Active Directory/LDAP в ВКС
Участники видеоконференции могут быть «разбросаны» по разным местам (разные города, страны и даже континенты). Число пользователей сервера видеоконференцсвязи может варьироваться от единиц до сотен тысяч. В этом случае Active Directory/LDAP значительно облегчает работу администратора, который занимается обслуживанием каталога корпоративных пользователей.
Интеграция со службами каталогов по протоколу LDAP избавляет администратора от повторного заведения учётных записей в панели управления сервером, что значительно экономит его время. Пользователи, в свою очередь, избавляются от сеанса повторной авторизации. Active Directory/LDAP даёт возможность использовать на ВКС терминале существующий механизм авторизации, без необходимости повторного ввода своего логина и пароля вначале работы (механизм единого входа, SSO). Если протокол LDAP будет использоваться в локальной сети, пользователь сможет подключаться и аутентифицироваться на любом компьютере, который входит в корпоративную сеть.