Active Directory/LDAP

Active Directory (AD) – проприетарная реализация от компании Microsoft службы каталогов – совокупности программных сервисов и баз данных для иерархического представления информационных ресурсов в сети (компьютеров, принтеров, сетевых дисков и пр.) и настройки доступа к ним.

LDAP (Lightweight Directory Access Protocol) – облегчённый протокол доступа к каталогам, открытый стандартизированный протокол, применяемый для работы с различным реализациям служб каталогов, в том числе и Active Directory.

Основной задачей Active Directory является хранение информации обо всех объектах в сети и предоставление её внешним системам. В свою очередь, LDAP позволяет пользователям получить доступ к ресурсам в зависимости от прав, настроенных администратором службы каталогов.

Для работы протокола LDAP по-умолчанию используется TCP-порт 389.

Существует защищённая версия протокола LDAP – LDAPS (LDAP over SSL), которая использует безопасное TLS/SSL-соединение для передачи данных. Протокол LDAPS по умолчанию использует TCP-порт 636.

Далее описаны основы Active Directory, более подробную информацию смотрите в официальной документации на сайте Microsoft.

Что такое леса, деревья и домены в Active Directory?

Основными структурными элементами Active Directory являются:

  • домен – группа объектов (пользователей, компьютеров и пр.), основная административная единица AD. Для каждого домена настраиваются правила доступа к нему и политики взаимодействия с другими доменами (отношения доверия);
  • структурное подразделение – необязательный наименьший возможный контейнер, в который при желании можно сгруппировать объекты домена (другие контейнеры, аккаунты пользователей и компьютеров). Могут использоваться, чтобы определить групповые политики и административный доступ для небольшой совокупности ресурсов в пределах одного домена;
  • дерево доменов – коллекция доменов, сгруппированных в иерархическую структуру и имеющих связанное пространство имён;
  • лес – контейнер высшего уровня, включающий в себя все домены каждого конкретного экземпляра AD.

Таким образом, в иерархии Active Directory должен быть как минимум один лес, одно дерево и один домен.

Для каждого домена настраивается минимум один сервер с ролью контроллер домена, на котором работают сервисы AD. Он хранит информацию об объектах своего домена, и реализует операции поиска в каталоге, входа пользователей и проверки подлинности.

Контроллер домена, который содержит данные о каждом объекте в лесу AD, называется глобальный каталог. Он хранит полный набор атрибутов объектов своего домена и частичную реплику основных атрибутов (список которых можно настроить) объектов всех остальных доменов. Это позволяет быстро находить информацию независимо от её физического расположения на различных доменах.

В лесу обязательно должен быть минимум один глобальный каталог. По умолчанию им назначается первый контроллер домена, на который устанавливается роль доменных служб Active Directory.

Для связи с глобальным каталогом используется TCP-порт 3268 или 3269 при работе по протоколу LDAP и LDAPS соответственно.

Как работает Active Directory?

Сервисы Active Directory является частью операционной системы Microsoft Windows Server и устанавливается в качестве одной или нескольких её ролей.

Основной из них является роль доменные службы Active Directory (Active Directory Domain Services, AD DS) – она используется для организации в защищённую логическую структуру всех объектов сети. Полученная иерархическая схема является независимой от физического расположения объектов и топологии сети. Это значительно упрощает администрирование и настройку доступа, например, изменение физического расположения компьютера не повлияет на его роль в структуре AD.

Основными операциями при работе с Active Directory являются аутентификация пользователей, а также поиск, модификация и сравнение объектов. Эти функции реализуются с помощью протокола LDAP.

Кроме AD DS, могут устанавливаться дополнительные роли, расширяющие возможности использования AD: шифрование чувствительных данных, единый вход без повторной аутентификации пользователей на различные веб-сервисы в сети, и пр.

Active Directory содержит:

  • хранилище данных – часть службы каталогов, которая управляет хранением и предоставлением информации на каждом контроллере домена. Данные хранятся в структурированной базе данных (БД), которая иначе называется каталог и содержит совокупность всех объектов AD. Каждый из них относится к определённому классу (пользователи, компьютеры, домены и т.д.). В свою очередь, все объекты каждого класса имеют одинаковый набор атрибутов;
  • схему – совокупность определений классов и атрибутов (именованных параметров) объектов. Она стандартизирует как данные хранятся в хранилище и благодаря этому позволяет получать информацию (как сказано выше, используется для этого протокол LDAP);
  • леса, деревья, домены и организационные подразделения – ключевые элементы логической структуры AD, которые были подробно рассмотрены ранее.

Active Directory/LDAP 1

Для конвертации зарегистрированных в структуре Active Directory имён сетевых ресурсов (компьютеров, принтеров и пр.) в IP-адреса используется интеграция с DNS (Domain Name System, системой доменных имён). Это позволяет, например, пользователям получить доступ к компьютерам, а компьютерам – к контроллерам доменов.

Каждый объект в AD представляет собой LDAP-запись, состоящую из набора атрибутов и их значений, которые в совокупности полностью его описывают. Например, объект класса сотрудник содержит атрибут email, который выглядит следующим образом: mail: [email protected].

В итоге вся запись для сотрудника, принадлежащего классу employee, может иметь такой вид:

Обратим внимание на значение первого атрибута записи: cn=Ivan Petrov,ou=employee,dc=example,dc=com. Это уникальное имя (Distinguished Name, DN), которое однозначно идентифицирует запись в пределах леса и представляет собой полный путь от корневой записи AD до рассматриваемого объекта. В данном случае запись, содержащая сведения о сотруднике Ivan Petrov, является дочерней записью организационного подразделения ou=employee, а у неё в качестве родителя выступает доменное имя example.com. При этом значения, уникальные в пределах своей родительской записи, называются относительным уникальным именем (Relative Distinguished Name, RDN). Например, cn=Ivan Petrov – RDN по отношению к ou=employee. Совокупность всех RDN в виде иерархической цепочки и составляет DN каждой записи. Схематически это можно изобразить таким образом:

Active Directory/LDAP 2

Значения атрибутов можно использовать для фильтров поиска объектов AD, а значения DN – чтобы однозначно идентифицировать объект (например, для его модификации).

Преимущества Active Directory/LDAP в ВКС

Active Directory/LDAP 3

Участники видеоконференции могут быть «разбросаны» по разным местам (разные города, страны и даже континенты). Число пользователей сервера видеоконференцсвязи может варьироваться от единиц до сотен тысяч. В этом случае Active Directory/LDAP значительно облегчает работу администратора, который занимается обслуживанием каталога корпоративных пользователей.

Интеграция со службами каталогов по протоколу LDAP избавляет администратора от повторного заведения учётных записей в панели управления сервером, что значительно экономит его время. Пользователи, в свою очередь, избавляются от сеанса повторной авторизации. Active Directory/LDAP даёт возможность использовать на ВКС терминале существующий механизм авторизации, без необходимости повторного ввода своего логина и пароля вначале работы (механизм единого входа, SSO). Если протокол LDAP будет использоваться в локальной сети, пользователь сможет подключаться и аутентифицироваться на любом компьютере, который входит в корпоративную сеть.

Автор:
Издание: trueconf.ru
Отрасль: Видеоконференцсвязь