目录
LDAP协议
LDAP基本概念
LDAP(Lightweight Directory Access Protocol)轻量级目录访问协议,是在X.500标准基础上产生的一个简化版本(省去了x.500中许多不太常用的功能),并且使用TCP 389端口号
LDAP是一种用于访问和维护分布式目录服务器的开放标准协议,提供了一种标准的方法来查询和管理目录信息
LDAP目录的数据结构
LDAP定义的关于目录的数据组织结构与普通数据库不同,LDAP是一种有层次的树型结构
在一个目录服务系统中,整个目录信息集可以表示为一个目录信息树,在树根一般定义为国家(c=CN)或域名(dc=com),再往下则往往定义一个/多个组织单元OU(在定义OU时要避免从一个OU向另一个OU移动LDAP记录)
树中的每一个节点就是一个条目,每一个条目就是一条记录(每条记录都有唯一的名称,也就是DN);例如:DN可以取这样的值:DN: CN=user1, OU=ou2, DC=cti, DC=support
从树形结构中引申出的专业术语
| 关键字 |
英文全称 |
含义 |
| DIT |
Directory Information Tree |
整个树就被称为目录信息树,也就是DIT |
| DC |
Domain Component |
域名的部分,其格式是将完整的域名分成几部分,如域名为example.com变成dc=example,dc=com(一条记录的所属位置) |
| OU |
Organization Unit |
组织单位,组织单位可以包含其他各种对象(包括其他组织单元),如“oa组”(一条记录的所属组织) |
| CN |
Common Name |
公共名称,如“Thomas Johansson”(一条记录的名称) |
| DN |
Distinguished Name |
一条记录(条目)的唯一标识,LDAP协议就是基于这个唯一的标识来查询和操作数据 |
| Attribute |
------- |
一个条目包含多个属性,代表这个条目的部分信息 |
| UID |
User Id |
用户ID songtao.xu(一条记录的ID) |
| SN |
Surname |
姓,如“许” |
| RDN |
Relative dn |
相对辨别名,就是条目的名字 |
LDAP交互过程以及相关报文
LDAP报文类型
Bind Request 绑定请求
Bind Response 绑定响应
Unbind Request 解除绑定请求(客户端通知服务器终止LDAP会话)
Unbind Response 解除绑定应答
Search Request 搜索请求
Search Result Entry 查询结果返回报文(包含查询得到的匹配的DN)
Search Res Done 服务器返回给客户端的查询状态(success 表示查询成功,referral表示此LDAP服务器没有要查询的DN)
Search Res Ref 服务器返回给客户端供参考的查询结果(如果LDAP服务器存储了其他LDAP服务器的目录信息,且查询的Base-DN一致,那么此报文信息中会列出其他LDAP服务器的URL地址)
LDAP交互过程
1、客户端解析加入域的域名对应的IP地址(需要DNS服务器上有关于该域名所对应的IP)
2、客户端发起三次握手与服务端建立连接
3、客户端发送Bind Request报文和服务器建立连接并绑定账号密码;服务端通过Bind Response报文确认认证结果
4、客户端发送Search Request请求,查询服务器的目录信息;服务端通过Search Result Entry和Search Res Done显示查询结果和查询状态
5、客户端通过发送Unbind Request断开和LDAP服务器的连接,服务器收到后释放与客户端的会话,并回应Unbind Response(不需要四次挥手)
AD(Active Directory)
AD基本概念
AD介绍
AD(Active Directory)活动目录用来存储有关网络对象的信息,并且让管理员和用户能够轻松的查找和使用这些信息
AD域内的Dierctory Database(目录数据库)用来存储用户账号、计算机账户、打印机、共享文件夹等
AD域内的Active Directory Domain Service(AD域服务,简称AD DS)用来提供目录服务,负责目录数据库的存储、添加、删除、修改和查询等操作
AD和LDAP的关系
我们通过LDAP协议了解到目录是一种有层次的树形结构,该结构可以用来存储网络上的对象的相关信息(例如:用户账号密码、邮箱、电话号码等信息)
而AD是用来存储目录相关信息并提供目录服务的(可以理解为AD就是分布式目录服务器);然后通过LDAP从AD中提取/载入/管理目录信息
目前较常见的用于提供目录服务(存储目录信息)的产品
IBM:IBM Dierectory Server
Microsoft:Active Directory
SUN:SUNONE Dierectory Server
AD域与工作组、本地组的区别
什么是工作组
在还没有域的概念的时候,就通过工作组来将将不同的电脑按功能分别列入不同的组中,以方便管理与运维;我们默认都加在WORKGROUP工作组下
现在随着域的推广使用,工作组基本上已经不再使用了
什么是本地组
本地组网是同网段内机器通过网上邻居建立的计算机组,本地组内用户可以共享文件,打印机等
AD域、工作组本地组的区别
可以把域当做工作组的升级版(可以实现工作组的所有功能)
管理模式上
- AD域是集中管理模式,AD域可以将用户登录的账号密码都统一存放在域控制器上(即某个用户的账号密码可以在同一域的任何一台计算机登录,实现用户漫游)
- 工作组是分散管理模式,对于用户登录的账号密码都是存放在用户本地的
- 本地组网是同网段内机器通过网上邻居建立的计算机组,本地组内用户可以共享文件,打印机等
范围方面
AD域是跨计算机的
工作组是针对同一局域网内的多台计算机实施管理和文件共享
本地组是针对同一网段内的多台计算机实施管理和文件共享
AD DS(AD域服务)
AD DS提供了一个集中式的系统,用于管理网络上的用户、计算机和其它资源,能够实现目录数据库的存储、添加、删除、修改和查询等操作
AD DS的组成
物理组件
域控制器(DC)、只读域控制器(RODC)、全局编录服务器(GC)
逻辑组件
分区、架构、域(Domain)、域树(Tree)、林(Forest)、站点、组织单元(OU)
各个组件的介绍
域控制器
安装了AD服务的服务器,承载域内所有目录信息的完全副本,并且可以被网络应用程序或服务所访问
该域控制器能够提供身份验证和授权服务、将更新复制到域和林中的其他域控制器、并且允许在服务器上管理用户账户和网络资源
一个域至少要拥有一台域控制器,每一台域控制器都拥有它所在域的目录的一个可写副本
全局编录服务器
一种特殊的域控制器,存储了林中所有目录信息的有效副本(不过仅包含林中每个对象的有限属性--最常搜索的属性);也存储该服务器所在域的所有目录信息的完全副本
通过全局编录服务器可以提高搜索对象的效率(避免了不必要地引用域控制器)
并且全局编录服务器是用户登录到域中所必需的
一个林内的所有域共享相同的全局编录(一个林内第一台域控制器就是默认的全局编录服务器)
只读域控制器(RODC)
一种特殊的域控制器,它只存储域内目录信息的副本,不进行任何修改
安全性得到提升(一般用于分支机构)
#########################################################################
分区
分区是AD DS数据库中的逻辑结构,用于将目录数据划分为逻辑组,方便管理和访问
架构
架构定义了目录对象的类和属性,是AD DS的基础
域(Domain)
域是AD DS中的安全边界,是目录数据库的基本管理单位它包含了用户账户、计算机账户和其他对象
安全边界的作用就是保证域的管理者只能在该域内有必要的管理权限(除非管理者得到其他域得明确授权)
域树(Tree)
域树是由多个域组成的层次结构,其中每个域都是一个安全边界
域树中的域可以分为根域(父域)和子域
域树内的域名有连续性
域林(Forest)
林是由一个或多个域树组成的层次结构,它提供了一个统一的信任关系模型,方便跨域访问和身份验证
林中的树并不共用相同的连续的名字空间(即,多个域树的域名无连续性但又有信任关系)
站点
站点是AD DS中的逻辑结构,代表一个网络位置;通常是由一个或多个通过TCP/IP连接起来的子网组成(同一个站内的网络通信是可靠快速和高效的),用于组织和管理域控制器、全局编录服务器等物理组件
作用
优化复制流量
使用户能够使用可靠、高速的连接登录到域控制器上
组织单元(OU)
组织单位是包含在AD DS的一个容器对象,是可以指派组策略设置或委派管理权限的最小作用单位
注意事项
组织单元可以将用户、组、计算机和其他单元放入AD DS的容器中
组织单元不能包括来自其他域的对象
信任关系
信任关系是网络中不同域之间的一种内在联系。只有在两个域之间创建了信任关系,这两个域才可以相互访问
信任关系的建立
自动建立
创建域树和域林时,域树的根域和子域之间,域林的不同树根之间都会自动创建双向的、传递的信任关系(林和林之间不会自动建立)
手动建立
如果希望两个无关域之间可以相互访问或从对方域登录到自己所在的域,也可以手工创建域之间的信任关系
在win2000之前,不允许在林和林之间建立信任关系(在win2000之后允许)
信任关系的特点
域信任关系是有方向性的(如果A域信任B域,那么A域的资源可以分配给B域的用户;但B域的资源并不能分配给A域的用户,如果想达到这个目的,需要让B域信任A域才可以)
域的信任关系的主动权掌握在被信任域手中而不是信任域
组策略和安全组
安全组(本地安全策略)
安全组是定义资源和对象权限的任意访问控制列表(DACL)中的组;windows的安全组策略其实就是组策略中关于安全设置的一部分(囊括了账户安全策略、windows防火墙配置等配置目录)
安全组也可以理解为一个权限等级(加入到某个安全组,就有该安全组所赋予的权限)
在运行栏输入:secpol.msc 打开安全组,更改安全组之后再重新登录windows用户后生效
在安全组中可以更改账户策略、密码策略、本地策略等
组策略和安全组的关系
组策略和本地安全策略都是在Windows系统中进行安全配置的工具,两者的主要区别如下
第一:本地安全策略主要关注系统的安全配置,包括审核策略、用户权限分配等,而组策略覆盖了更广泛的系统、软件和硬件配置
第二:组策略包括本地安全策略的所有内容(组策略是本地安全策略的扩展)
组策略—一般直接配置组策略(不会再额外配置安全组)
Windows系统的一个策略集,能够控制用户在计算机上可以做什么、不可以做什么
该策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置
例如:通过组策略施行密码复杂性策略避免用户选择过于简单的密码
例如:通过组策略允许或阻止身份不明的用户从远程计算机连接到网络共享
例如:通过组策略阻止访问Windows任务管理器或限制访问特定文件夹
组策略类型
计算机配置:对计算机所有用户都生效的组策略
用户配置:只对当前用户生效的组策略
打开组策略
运行模式下:gpedit.msc
组策略更新
当修改组策略后,可以通过gpupdate /force来强制更新组策略
组策略默认90分钟刷新一次,随机偏移30分钟;在域控制器上,组策略每隔5分钟刷新一次
组策略对象处理顺序(从上到下)
本地(任何在本机计算机上的设置)
在Windows Vista之前,每台计算机只能有一份本地组策略
在Windows Vista和之后的Windows版本中,允许每个用户帐户分别拥有组策略
站点(任何与计算机所在活动目录站点关联的组策略)
活动目录AD提供了一种集中式的方式来管理和组织网络中的计算机和用户
活动目录站点代表一个网络位置,通常是由一个或多个通过TCP/IP连接起来的子网组成(同一个站内的网络通信是可靠快速和高效的)
如果多个策略已链接到一个站点,将按照管理员设置的顺序处理
域(任何与计算机所在Windows域关联的组策略)
如果多个策略已链接到一个域,将按照管理员设置的顺序处理
组织单元(任何与计算机或用户所在的活动目录组织单元(OU)关联的组策略)
OU是帮助组织和管理一组用户、计算机或其他活动目录对象的逻辑单元
如果多个策略已链接到一个OU,将按照管理员设置的顺序处理