مفهوم اکتیودایرکتوری و سرویس های Active Directory

مفهوم اکتیودایرکتوری و سرویس های Active Directory

اکتیودایرکتوری Active Directory Domain Sevices و سرویس های مرتبط با آن، پیش نیاز و شکل دهنده ی شبکه های سازمانی بر اساس ویندوز سرور می باشند. AD DS و سرویس های مشابه، اطلاعاتی در مورد کاربران، کامپیوترها و سرویس های شبکه را نگهداری می کنند. این سرویس ها مکانیزمی برای شناسایی و احراز هویت (Authenticate) موارد ذکر شده جهت دسترسی به منابع شبکه فراهم می آورند.
در مهندسی نرم افزار، دایرکتوری یک راه حل هدایت کردن نام به مقدار است. به عنوان یک مثالی ساده می توان یک فرهنگ لغات (dictionary) را به عنوان یک دایرکتوری در نظر گرفت، که در آن معنای یک لغت (اسم) به معانی واژه (مقدار) مربوط شده است. در یک دفترچه تلفن، اسامی اشخاص (نام – گروه) به شماره تلفن های آن ها (مقدار – اطلاعات) مرتبط می شود و در DNS، نام DNS به آدرس های IP مرتبط می شوند. به عبارت دیگر می توان گفت؛ یک سرویس دایرکتوری (Directory Service) تقریبا مشابه یک پایگاه داده است.
در یک دایرکتوری اشیائی که به نوعی باهم مرتبطند، ذخیره می شوند و از طریق خصوصیات آن ها قابل دسترسی اند. در سرویس های مختلف و در سیستم عامل های مختلف، از یک سرویس دایرکتوری استفاده می شود. در سرویس دایرکتوری اطلاعات به صورت سلسله مراتبی نگهداری می شوند، همچنین سرویس دایرکتوری تمامی اطلاعات لازم را نگهداری می کند. با توجه به ارتباط میان اشیاء دسترسی از طریق صفات و نگهداری تمامی اطلاعات لازم، مدیریت اطلاعات به صورت متمرکز و آسان تر خواهد شد. بدیهی است عملکرد سرویس های دایرکتوری که در سرویس های مختلف استفاده می گردد، متفاوت است. باتوجه به اهمیت این سرویس، باید مکانیزم های امنیتی و مدیریتی دیگری برای اثربخشی، یکپارچگی و حفظ حریم خصوصی اتخاذ شود. در نتیجه باید از پروتکل ها و سرویس های دیگری نیز در کنار سرویس دایرکتوری استفاده شود.

در اینجا سرویس های دایرکتوری عاملی برای شناسایی و دسترسی Identity and Acccess یا IDA را فراهم می آورند. راهکارهای IDA، راهکارهایی هستند که به سازمان ها کمک می کنند و حقوق دسترسی آن ها به منابع را معین سازند. مایکروسافت مجموعه ای از راهکارها مختلف را جهت IDA ارائه می دهدکه مشهورترین آنها Active Directory Domain Services است.
همان طور که گفته شد IDA راهکارهایی را برای مدیریت فراهم می کند که از آن جمله می توان به موارد زیر اشاره کرد:
1. ذخیره سازی اطلاعات کاربران، گروه ها، کامپیوترها، و دیگر منابع دارای هویت در شبکه. به مفهوم جامع، هویت به هر شیء فیزیکی یا منطقی که در شبکه نقش ایفا کند، گفته می شود. یکی از اجزای IDA باید محلی برای ذخیره سازی اطلاعات باشد که به آن محل ذخیره هویت گفته می شود، که در اینجا همان دایرکتوری است. این دایرکتوری ها بر روی سرورهایی که وظیفه اجرای AD DS را بر عهده دارند نگهداری می شوند، و منظور، همان سرورهای دامین کنترلر می باشد. در محیط اکتیو دایرکتوری گاهی، به دامین کنترلرها به اختصار “سرور” گفته می شود و سایر نقش های سروری به صورت کامل بیان می گردد، همانند سرور DNS.
2. تشخیص هویت. دامین کنترلر به کاربران یا هر منبع دیگری اجازه نمی دهد به منابع شبکه دسترسی پیدا کنند. مگرآنکه احراز هویت شود. اطلاعاتی که توسط کاربر یا هر منبع دیگری به سرور داده می شود با دایرکتوری مقایسه می گردد و در صورت داشتن مجوز دسترسی، کاربر می تواند به آن منبع (همانند فایل) دسترسی پیدا کند.
3. کنترل دسترسی. پس از احراز هویت، میزان دسترسی کاربر، باید معین گردد.
4. روش های بازبینی. سازمان باید بتواند تغییرات و فعالیت هایی که در استفاده از IDA صورت می گیرد را بازبینی و مانیتور کند، بنابراین IDA باید مکانیزمی برای بازبینی (Auditing) وقایع داشته باشد.
همان طور که پیش تر اشاره شد، اکتیو دایرکتوری، تنها مؤلفه موجود در راهکارهای IDA نیست. همچنین اکتیو دایرکتوری شامل 5تکنولوژی مختلف است که شاید تنها یک یا دو مورد از این تکنولوژی ها بسیار معروف شده باشند اما هر کدام عملکردهای متفاوتی دارند. این پنج تکنولوژی یک راهکار جامع برای IDA را ارائه می دهند عبارتند از:
1. Active Directory Domain Services. این سرویس که توضیحاتی در خصوص آن پیش تر ارائه شد، برای متمرکز کردن فرآیند احراز هویت در شبکه استفاده می شود. همچنین با استفاده از (GP) Group Policy در AD DS می توان روی اشیاء گوناکونمدیریت کرد. با استفاده از جستجوی دایرکتوری، کاربران می توانند هر جزئی در شبکه را پیدا کنند؛ همانند سرور فایل یا سرور چاپ (Print). این سرویس، اولین سرویسی است که باید در هر شبکه بر پایه ویندوز سرور 2008 پیاده سازی شود. مطالب مربوط به AD DS در آینده به طور کامل تحت پوشش قرار می گیرد. این سرویس نقش شناسایی را در مدل IDA مایکروسافت برعهده می گیرد.
2. Active Directory Lightweight Services. این سرویس که به اختصار AD LDS گفته می شود، یک نسخه standalone (غیر مستقل یا وابسته، بدون نیاز به کامپیوتر دیگر می تواند کار کند) از اکتیو دایرکتوری است. پیش از این نقشی با نام Active Directory Application Mode یا AD AM ارائه شده بود تا از نرم افزار های یکپارچه با اکتیو دایرکتوری پشتیبانی شود. AD LDS تنها اطلاعات مربوط به نرم افزار را نگهداری می کند. معمولا از AD LDS زمانی استفاده می شود که نرم افزار هایی به سرویس دایرکتوری نیازمند هستند اما لازم نیست اطلاعات آن ها در دامین کنترلرها محیط (سازمان) قرار گیرد.نرم افزار های نیازمند به سرویس دایرکتوری استفاده زیادی از AD LDS می کنند.
3. Active Directory Certificate Services. سازمان ها با استفاده از AD CS می توانند از امضای دیجیتالی و زیر ساخت کلید عمومی (Public Key) برای احراز هویت استفاده نمایند. پشتیبانی احراز هویت کاربران به وسیله استفاده از کارت هتی هوشمند (Smart Card) و پشتیبانی از نرم افزارهایی همانند Internrt Protocol Security(IPSec) ,Enrypted File System(EFS) و غیره به عمل می آبد. AD CS یک روش موثر و ایمن برای مدیریت مجوز ها (Certificate) ارائه می دهد.
4. Active Directory Rights Management Services. این سرویس که به اختصار به آن AD RMS گفته می شود، یک راهکار مناسب برای حفاظت از اطلاعات است. هرچند با استفاده از ACL قرار دادن روی اسناد سازمان (مجوزهای دسترسی به فایل ها و پوشه ها) می توان به صورت محدودی سطوح دسترسی کاربران را معین کرد اما این سرویس توانایی های بیشتری دارد. به عنوان مثال می تواند وضعیت های دسترسی در زمان ورود و خروج از فایروال را نیز معین کند.
5. Active Directory Federation Services. این سرویس که به اختصاربه آن AD FS گفته می شود، سازمان ها را قادر می سازد تا از IDA در پلت فرم های گوناگون بهره ببرند. به عنوان مثال، در هر دو محیط ویندوزی و غیر ویندوزی. با استفاده از AD FS دو سازمان می توانند مدیریت کاربران جداگانه خود را داشته باشند اما به طور ایمن کاربران سازمان دیگر را برای دسترسی به برخی اطلاعات بپذیرند.
همان طور که مشاهده شد، تمام این 5 تکنولوژی یک راهکار جامع برای IDA ارائه می دهند. هرکدام از این راهکارها یک عملکرد معین و منحصر به فرد دارند و ممکن است به یکی از تکنولوژی های دیگر جهت عملکرد وابسته باشند.
اساسی ترین جزء این راهکار IDA را می توان AD DS و AD LDS دانست که به صورت standalone یا در دامنه، سرویس دایرکتوری را فراهم می آورند.

 

مفهوم اکتیودایرکتوری و سرویس های Active Directory

2 Comments

So, what do you think ?

بالا
نماد الکترونیک دوستاره شرکت هاستینگ ابر سرور