Trong
bất kỳ một hệ thống mạng của một doanh nghiệp tổ chức nào thì thành
phần quan trọng không thể thiếu đó là hệ thống Active Directory (AD).
Hệ thống AD gần như là trái tim của cả tổ chức. Trong loạt bài này
chúng ta sẽ tìm hiểu sơ lược về hệ thống Active Directory, AD có những
thành phần gì? Hoạt động ra sao? Và cuối cùng là cài đặt như thế nào.
Khi đã cài đặt Windows Server 2012 trên một hệ thống mới thì chúng ta có
thế cấu hình nó là member server, domain controller hoặc là standalone
server. Sự khác biệt của chúng cực kỳ quan trọng:
-
Member server: là một thành phần của hệ thống domain nhưng nó không lưu trữ thông tin địa chỉ (directory information).
-
Domain controller: đây là thành phần quan trọng nhất vì nó chứa thông tin địa chỉ, đồng thời cung cấp cơ chế xác thực (authentication và các thông tin địa chỉ cho domain.
-
Standalone server: đây không phải là thành phần của domain bởi vì nó có cơ sở dữ liệu người dùng riêng và nó cung cấp cơ chế xác thực đăng nhập một cách độc lập.
Trong một mô hình mạng thì Domain controller (DC
có thể xử lý các thay đổi của địa chỉ và sao chép lại chúng tới các DC
khác một các tự động. Windows Server sẽ phân phối những thông tin địa
chỉ đó và gọi nó là data store. Những data store đó chứa những bộ thông tin người dùng (user), nhóm (group), và những computer accounts được biết đến như là những tài nguyên chia sẻ (servers, files, máy in).
Domains
sử dụng AD như là một AD domains. Mặc dù AD domain chỉ có thể thao tác
với một DC duy nhất, nhưng chúng ta có thể có nhiều DC trong một domain.
Trong trường hợp đó, nếu một DC nào đó chết thì các DC còn lại vẫn có
thể hoạt động bình thường.
Microsoft
đã thay đổi vài nguyên tắc cơ bản từ Windows Server 2008. Microsoft đã
tổ chức lại hệ thống AD và tạo ra các bộ với các dịch vụ liên quan:
-
Active Directory Domain Services (AD DS)
-
Active Directory Certificate Services (AD CS)
-
Active Directory Federation Services (AD FS)
-
Active Directory Rights Management Services (AD RMS)
-
Active Directory Lightweight Directory Services (AD LDS)
Active Directory Domain Services (AD DS)
AD
DS có thể hiểu như là một cuốn danh bạ để quản lý tập trung trong toàn
mạng. AD DS cung cấp những dịch vụ địa chỉ (directory services) thiết
yếu để xây dựng một domain, bao gồm những data store, trong đó chứa
những thông tin bao gồm những chủ thể trên mạng và biến chúng thành
những thông tin hữu ích cho user. AD DS sử dụng những DC để quản lý
những truy cập vào những nguồn tài nguyên đó. Một khi user truy cập vào
những nguồn tài nguyên đó, những credentials đã được sẽ được sử dụng để
truy cập vào các nguồn tài nguyên trên mạng. AD DS như là một trái tim
của hệ thống AD. Nó còn cung cấp các ứng dụng directory-enable như là
Microsoft® Exchange Server.
Active Directory Certificate Services (AD CS)
AD
CS là một hệ thống xử lý của Microsoft cho Public Key Infrastructure
(PKI). PKI là một tập hợp các phần cứng, phần mềm, con người, những
chính sách và những thủ tục cần có tạo, quản lý, phân phối, sử dụng, lưu
trữ và thu hồi các chứng chỉ số (digital certificates).
AD
CS cung cấp những dịch vụ cần thiết nhằm vào mục đích cấp phát và thu
hồi các chứng chỉ số cho user, client computer, server. AD CS sử dụng
những Certificate Authorities (CAs
để chứng thực tính hợp lệ của một user, máy tính và sau đó cung cấp cho
nó một chứng chỉ số để chứng minh tính xác thực đó. Trong một Domains
có một CA gốc (root CA), CA này là nút gốc trong kiến trúc phân tầng, nó sẽ quản lý hết tất cả các chứng chỉ tin cậy (trust certificate
của tổ chức. Bên dưới nó còn có các CA phụ (subordinate CA). Trong mô
hình Workgroup cũng có standalone root CA và standalone subordinate CA.
-
End-entity: những end-user của dịch vụ PKI, nó có thể là người hay máy.
-
Certificate Authority (CA): một tổ chức tin cậy có nhiệm vụ quản lý chứng chỉ số (digital certificates). CA là trung tâm của PKI. Một CA có nhiệm vụ cấp chứng chỉ, duy trì tính pháp lý, quản lý các chứng chỉ bị thu hồi và công khai danh sách các chứng chỉ bị thu hồi đó. Danh sách các chứng chỉ được thu hồi đó gọi là Certificate Revocation List (CRL).
-
Certificate Signing Request (CSR): là một tập được sinh ra bởi các end-entity user để xin chứng chỉ. Những yêu cầu đó bao thông về user như distinguished name và public key (signature).
-
Public Digital Certificate and Certificate Path: Chứng chi số là một thành phần công khai của PKI. Một chứng chỉ công khai (public certificate được chứng nhận cho một end-entity bởi việc gắn thực thể đó với một public key chuyên biệt. End-entity có nhiệm vụ giữ private key phù hợp với chứng chỉ đó. Chứng chỉ có thể được sử dụng cho nhiều phương thức bảo mật khác nhau như là chứng chỉ số để xác thực nguồn gốc (verify the origin), tính toàn vẹn của thông tin (integrity of information và tính không bác bỏ (non-repudiation).
-
Certificate Revocation List (CRL): là một danh sách các chứng chỉ bị thu hồi. Danh sách này được kiểm tra trong quá trình chứng thực các chứng chỉ bởi những người nắm giữ certificate nhằm xác minh tình trạng của các chứng chỉ được cấp. Online Certificate Status Protocol (OCSP) là một lựa chọn để CRL sử dụng.
Active Directory Federation Services (AD FS)
AD FS là thành phần hỗ trợ chứng thực và
quản lý truy cập cho AD DS bằng các mở rộng nó ra bên ngoài Web. AD FS
sử dụng những agents để cung cấp cho người dùng những truy cập và các
ứng dụng web bên trong và các proxies để quản lý các truy cập của
client. Một khi AD FS được cấu hình, user có thể sử dụng những nhận dạng
số (digital identities) để chứng thực thông qua Web và truy cập và
những ứng dụng web bên trong tổ chức thông qua các trình duyệt web như
Internet Explorer.
AD
FS còn cung cấp quyền truy cập tới các ứng dụng, dịch vụ giữa hai tổ
chức thông qua nền web hoặc dịch vụ Single Sign-on (SSO) mà không cần
tạo trust Active Directory.
Active Directory Rights Management Services (AD RMS)
AD
RMS là một lớp bảo vệ tất cả thông tin số cho tổ chức như là email, tài
liệu, website khỏi các nguồn không được phép xem, xóa, sửa. AD RMS sử
dụng dịch vụ certificate để cấp quyền đúng cho account certificate nhằm
biết được tính đúng đắng của user, group, và các dịch vụ. Một khi user
được chứng minh được tính pháp lý của mình thì user đó có hoàn toàn có
thể truy cập vào các nguồn tài nguyên thông tin được phép, làm việc với
nó và tất cả thông tin đó hoàn toàn được bảo vệ. Cơ chế mã hóa sẽ được
áp dụng để bảo vệ thông tin cả bên trong và bên ngoài tổ chức.
Active Directory Lightweight Directory Services (AD LDS)
AD LDS là một cấu trúc data
store phân tầng được sử dụng cho các ứng dụng cần dịch vụ directory
không cần đến AD DS. AD DS không cần nhất thiết phải triển khai trên DC.
AD DS không chạy như là một dịch vụ hệ điều hành và nó có thể chạy
trong cả môi trường domain cũng như là workgroup. Mỗi ứng dụng chạy trên
server đều có thể có những data store riêng nó được triển khai thông
qua AD LDS.
AD LDS cung cấp Lightweight
Directory Access Protocol (LDAP) phù hợp với directory và các dịch vụ
liên quan. Nó được dùng để cung cấp khả chứng thực và các dịch vụ
directory cho những ứng dụng thứ ba và các ứng dụng khác của tổ chức.
Như
vậy chúng ta đã hiểu được phần nào các thành phần của hệ thống Active
Directory. Trong các phần kế tiếp, mình sẽ hướng dẫn chi tiết cách cài
đặt từng service và nói rõ hơn cách hoạt động của nó. Tất cả những dịch
vụ này mình sẽ triển khai trên Windows Server 2012. Để có thể thực hành
được các bài Lab này thì các bạn cài sẵn Hyper-V, trên đó chúng ta sẽ
triển khai các máy ảo chạy Windows Server 2012 hoặc tham khảo bài viết Xây dựng hệ thống Lab Windows Server 2012 . Hẹn gặp lại các bạn.
No comments:
Post a Comment
Ghi một nhận xét ( bỏ dấu =)
- Tô đậm: "câu muốn tô đậm"
- Chữ nghiêng: " câu muốn in nghiêng "
- Chèn link: "text"
- Chèn hình: "[img]link hình muốn chèn[/img]"
- Chèn video: "[youtube]link video cần chèn[/youtube]"