644. Tìm hiểu về Directory trên Win Server 2012

Nguồn:Anova

Trong bất kỳ một hệ thống mạng của một doanh nghiệp tổ chức nào thì thành phần quan trọng không thể thiếu đó là hệ thống Active Directory (AD). Hệ thống AD gần như là trái tim của cả tổ chức. Trong loạt bài này chúng ta sẽ tìm hiểu sơ lược về hệ thống Active Directory, AD có những thành phần gì? Hoạt động ra sao? Và cuối cùng là cài đặt như thế nào.

   Khi đã cài đặt Windows Server 2012 trên một hệ thống mới thì chúng ta có thế cấu hình nó là member server, domain controller hoặc là standalone server. Sự khác biệt của chúng cực kỳ quan trọng:

• Member server: là một thành phần của hệ thống domain nhưng nó không lưu trữ thông tin địa chỉ (directory information).
  
• Domain controller: đây là thành phần quan trọng nhất vì nó chứa thông tin địa chỉ, đồng thời cung cấp cơ chế xác thực (authentication và các thông tin địa chỉ cho domain.
  
• Standalone server: đây không phải là thành phần của domain bởi vì nó có cơ sở dữ liệu người dùng riêng và nó cung cấp cơ chế xác thực đăng nhập một cách độc lập.
  

   Trong một mô hình mạng thì Domain controller (DC có thể xử lý các thay đổi của địa chỉ và sao chép lại chúng tới các DC khác một các tự động. Windows Server sẽ phân phối những thông tin địa chỉ đó và gọi nó là data store. Những data store đó chứa những bộ thông tin người dùng (user), nhóm (group), và những computer accounts được biết đến như là những tài nguyên chia sẻ (servers, files, máy in).

    Domains sử dụng AD như là một AD domains. Mặc dù AD domain chỉ có thể thao tác với một DC duy nhất, nhưng chúng ta có thể có nhiều DC trong một domain. Trong trường hợp đó, nếu một DC nào đó chết thì các DC còn lại vẫn có thể hoạt động bình thường.

    Microsoft đã thay đổi vài nguyên tắc cơ bản từ Windows Server 2008. Microsoft đã tổ chức lại hệ thống AD và tạo ra các bộ với các dịch vụ liên quan:

• Active Directory Domain Services (AD DS)
  
• Active Directory Certificate Services (AD CS)
  
• Active Directory Federation Services (AD FS)
  
• Active Directory Rights Management Services (AD RMS)
  
• Active Directory Lightweight Directory Services (AD LDS)
  

Active Directory Domain Services (AD DS)

    AD DS có thể hiểu như là một cuốn danh bạ để quản lý tập trung trong toàn mạng. AD DS cung cấp những dịch vụ địa chỉ (directory services) thiết yếu để xây dựng một domain, bao gồm những data store, trong đó chứa những thông tin bao gồm những chủ thể trên mạng và biến chúng thành những thông tin hữu ích cho user. AD DS sử dụng những DC để quản lý những truy cập vào những nguồn tài nguyên đó. Một khi user truy cập vào những nguồn tài nguyên đó, những credentials đã được sẽ được sử dụng để truy cập vào các nguồn tài nguyên trên mạng. AD DS như là một trái tim của hệ thống AD. Nó còn cung cấp các ứng dụng directory-enable như là Microsoft® Exchange Server.

Active Directory Certificate Services (AD CS)

    AD CS là một hệ thống xử lý của Microsoft cho Public Key Infrastructure (PKI). PKI là một tập hợp các phần cứng, phần mềm, con người, những chính sách và những thủ tục cần có tạo, quản lý, phân phối, sử dụng, lưu trữ và thu hồi các chứng chỉ số (digital certificates).

    AD CS cung cấp những dịch vụ cần thiết nhằm vào mục đích cấp phát và thu hồi các chứng chỉ số cho user, client computer, server. AD CS sử dụng những Certificate Authorities (CAs để chứng thực tính hợp lệ của một user, máy tính và sau đó cung cấp cho nó một chứng chỉ số để chứng minh tính xác thực đó. Trong một Domains có một CA gốc (root CA), CA này là nút gốc trong kiến trúc phân tầng, nó sẽ quản lý hết tất cả các chứng chỉ tin cậy (trust certificate của tổ chức. Bên dưới nó còn có các CA phụ (subordinate CA). Trong mô hình Workgroup cũng có standalone root CA và standalone subordinate CA.

1. End-entity: những end-user của dịch vụ PKI, nó có thể là người hay máy.
   
2. Certificate Authority (CA): một tổ chức tin cậy có nhiệm vụ quản lý chứng chỉ số (digital certificates). CA là trung tâm của PKI. Một CA có nhiệm vụ cấp chứng chỉ, duy trì tính pháp lý, quản lý các chứng chỉ bị thu hồi và công khai danh sách các chứng chỉ bị thu hồi đó. Danh sách các chứng chỉ được thu hồi đó gọi là Certificate Revocation List (CRL).
   
3. Certificate Signing Request (CSR): là một tập được sinh ra bởi các end-entity user để xin chứng chỉ. Những yêu cầu đó bao thông về user như distinguished name và public key (signature).
   
4. Public Digital Certificate and Certificate Path: Chứng chi số là một thành phần công khai của PKI. Một chứng chỉ công khai (public certificate được chứng nhận cho một end-entity bởi việc gắn thực thể đó với một public key chuyên biệt. End-entity có nhiệm vụ giữ private key phù hợp với chứng chỉ đó. Chứng chỉ có thể được sử dụng cho nhiều phương thức bảo mật khác nhau như là chứng chỉ số để xác thực nguồn gốc (verify the origin), tính toàn vẹn của thông tin (integrity of information và tính không bác bỏ (non-repudiation).
   
5. Certificate Revocation List (CRL): là một danh sách các chứng chỉ bị thu hồi. Danh sách này được kiểm tra trong quá trình chứng thực các chứng chỉ bởi những người nắm giữ certificate nhằm xác minh tình trạng của các chứng chỉ được cấp. Online Certificate Status Protocol (OCSP) là một lựa chọn để CRL sử dụng.
   

Active Directory Federation Services (AD FS)

AD FS là thành phần hỗ trợ chứng thực và quản lý truy cập cho AD DS bằng các mở rộng nó ra bên ngoài Web. AD FS sử dụng những agents để cung cấp cho người dùng những truy cập và các ứng dụng web bên trong và các proxies để quản lý các truy cập của client. Một khi AD FS được cấu hình, user có thể sử dụng những nhận dạng số (digital identities) để chứng thực thông qua Web và truy cập và những ứng dụng web bên trong tổ chức thông qua các trình duyệt web như Internet Explorer.

AD FS còn cung cấp quyền truy cập tới các ứng dụng, dịch vụ giữa hai tổ chức thông qua nền web hoặc dịch vụ Single Sign-on (SSO) mà không cần tạo trust Active Directory.

Active Directory Rights Management Services (AD RMS)

    AD RMS là một lớp bảo vệ tất cả thông tin số cho tổ chức như là email, tài liệu, website khỏi các nguồn không được phép xem, xóa, sửa. AD RMS sử dụng dịch vụ certificate để cấp quyền đúng cho account certificate nhằm biết được tính đúng đắng của user, group, và các dịch vụ. Một khi user được chứng minh được tính pháp lý của mình thì user đó có hoàn toàn có thể truy cập vào các nguồn tài nguyên thông tin được phép, làm việc với nó và tất cả thông tin đó hoàn toàn được bảo vệ. Cơ chế mã hóa sẽ được áp dụng để bảo vệ thông tin cả bên trong và bên ngoài tổ chức.

Active Directory Lightweight Directory Services (AD LDS)

AD LDS là một cấu trúc data store phân tầng được sử dụng cho các ứng dụng cần dịch vụ directory không cần đến AD DS. AD DS không cần nhất thiết phải triển khai trên DC. AD DS không chạy như là một dịch vụ hệ điều hành và nó có thể chạy trong cả môi trường domain cũng như là workgroup. Mỗi ứng dụng chạy trên server đều có thể có những data store riêng nó được triển khai thông qua AD LDS.

AD LDS cung cấp Lightweight Directory Access Protocol (LDAP) phù hợp với directory và các dịch vụ liên quan. Nó được dùng để cung cấp khả chứng thực và các dịch vụ directory cho những ứng dụng thứ ba và các ứng dụng khác của tổ chức.

    Như vậy chúng ta đã hiểu được phần nào các thành phần của hệ thống Active Directory. Trong các phần kế tiếp, mình sẽ hướng dẫn chi tiết cách cài đặt từng service và nói rõ hơn cách hoạt động của nó. Tất cả những dịch vụ này mình sẽ triển khai trên Windows Server 2012. Để có thể thực hành được các bài Lab này thì các bạn cài sẵn Hyper-V, trên đó chúng ta sẽ triển khai các máy ảo chạy Windows Server 2012 hoặc tham khảo bài viết Xây dựng hệ thống Lab Windows Server 2012 . Hẹn gặp lại các bạn.