Đăng ký Đăng nhập
Trang chủ Thiết kế hệ thống cisco secure access control server tại hệ thống mạng hội sở ng...

Tài liệu Thiết kế hệ thống cisco secure access control server tại hệ thống mạng hội sở ngân hàng vib

.PDF
126
144
69

Mô tả:

Tên đề tài: THIẾT KẾ HỆ THỐNG CISCO SECURE ACCESS CONTROL SERVER TẠI HỆ THỐNG MẠNG HỘI SỞ NGÂN HÀNG VIB Sinh viên: Đào Trọng Tiến Lớp: TT&MMT K10B GVHD: ThS. Vũ Văn Diện Mạng máy tính và truyền thông 1 T LỜI CẢM ƠN Qua một thời gian nỗ lực phấn đấu, cuối cùng với sự giúp đỡ tận tình của các thầy cô, và bạn bè em đã hoàn tất đề tài này. Qua đây em xin bày tỏ lòng biết ơn sâu sắc đến ThS. Vũ Văn Diện người đã tận tình truyền đạt những kiến thức trong quá trình thực hiện đề tài, chỉ bảo những kinh nghiệm quý báu để em có thể hoàn thành tốt đề tài. Em cũng xin chân thành cảm ơn các thầy giáo, cô giáo trong Khoa Công Nghệ Thông Tin - Đại Học Công Nghệ Thông Tin và Truyền Thông đã dạy bảo, truyền đạt lại kiến thức cho em trong suốt thời gian học, để em có được những kiến và từ những kiến thức nền tảng đó, em hoàn thiện đề tài được tốt hơn. Xin cảm ơn các bạn đã nhiệt tình giúp đỡ rất nhiều về tài liệu cũng như những kiến thức để em hoàn thành tốt đề tài này. Thái Nguyên, ngày 10 tháng 06 năm 2016 Sinh viên Đào Trọng Tiến 2 LỜI CAM ĐOAN Em xin cam đoan nội dung của đồ án hoàn toàn là do em nghiên cứu, tìm hiểu và tổng hợp từ các tài liệu liên quan, cũng như các kiến thức từ thực tế khi em học tập, rèn luyện trên ghế giảng đường, không sao chép nội dung của các đồ án khác. Thái Nguyên, ngày 10 tháng 06 năm 2016 Sinh viên Đào Trọng Tiến 3 MỤC LỤC LỜI CẢM ƠN 1 LỜI CAM ĐOAN MỤC LỤC 2 3 DANH MỤC HÌNH 5 LỜI NÓI ĐẦU 7 CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 8 1.1. Giới thiệu về Cisco Secure ACS 8 1.2. Quy trình kết nối xác thực 8 1.3. Quản lý thiết bị mạng trong ACS8 1.3.1. Quản lý nhóm thiết bị mạng (NDGs) 9 1.3.2. Thiết bị mạng (AAA clients) 1.4. Quản lý lưu trữ người dùng 1.4.1. Internal stores 10 1.4.2. External stores 11 9 9 1.5. Quản lý các chính sách truy cập 16 1.6. Giao thức AAA 18 1.6.1. Tổng quan về TACACS+ 18 1.6.2. Tổng quan về RADIUS 19 CHƯƠNG 2: KHẢO SÁT, ĐÁNH GIÁ HIỆN TRẠNG VÀ PHÂN TÍCH THIẾT KẾ HỆ THỐNG MẠNG TẠI NGÂN HÀNG QUỐC TẾ VIB 20 2.1. Khảo sát và phân tích hệ thống mạng 20 2.1.1. Giới thiệu về ngân hàng quốc tế VIB20 2.1.2. Khảo sát cơ cấu tổ chức 20 2.1.3. Khảo sát hiện trạng hệ thống mạng 21 2.2. Đặt vấn đề, đánh giá hiện trạng 24 2.3. Đề xuất giải pháp 25 2.3.1. Sử dụng Cisco ACS để xác thực tài khoản 25 2.3.2. Sử dụng Cisco ACS để phân quyền tài khoản 25 2.3.3. Sử dụng Cisco ACS để thống kê, giám sát tài khoản 26 4 2.4. Phân tích và thiết kế giải pháp Cisco Secure ACS cho hệ thống mạng 2.4.1. Sơ đồ thiết kế 26 26 2.4.2. Các luật triển khai trên Cisco ACS 30 2.4.3. Xử lý sự cố 35 CHƯƠNG 3: TRIỂN KHAI GIẢI PHÁP VÀ XÂY DỰNG CHƯƠNG TRÌNH DEMO 3.1. Cấu hình trên Cisco ACS 3.1.1. Khai báo Device 36 36 3.1.2. Thêm dữ liệu user và group user 3.1.3. Access Services 39 41 3.1.4. Phân quyền 47 3.1.5. Cấu hình Backup/Recovery 64 3.2. Cấu hình trên một số loại thiết bị67 3.2.1. Thiết bị Cisco 67 3.2.2. Thiết bị Citrix 70 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN TÀI LIỆU THAM KHẢO 74 75 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN 76 NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN 77 5 36 DANH MỤC HÌNH Hình 1.1: Quy trình kết nối xác thực 8 Hình 1.2: Quá trình kết nối LDAP client đến LDAP server 12 Hình 1.3: Sơ đồ dạng cây của LDAP 12 Hình 1.4: Mô hình kết nối giữa client/server 13 Hình 1.5: Sơ đồ dạng case của AD 14 Hình 1.6: Quy trình kết nối sử dụng giao thức TACACS+18 Hình 1.7: Quy trình kết nối sử dụng giao thức RADIUS 19 Hình 2.1: Sơ đồ mô hình mạng ngân hàng VIB 22 Hình 2.2: Sơ đồ vị trí Cisco ACS trong hệ thống 26 Hình 3.1: Thêm Location trên ACS 35 Hình 3.2: Thêm các thuộc tính bên của Location trên ACS Hình 3.3: Thêm Device Type trên ACS Hình 3.5: Thêm Device trên ACS 36 37 Hình 3.6: Thêm các thuộc tính của Device trên ACS Hình 3.7: Tạo user Local trên ACS 38 Hình 3.8: Khai báo nhóm của user local trên ACS 38 Hình 3.9: Khai báo thuộc tính của User Local 39 Hình 3.10: Khai báo thông tin để liên kết tới AD 39 Hình 3.11: Lựa chọn các group lấy về từ AD 40 Hình 3.12: Tạo Access Services cho Network 41 Hình 3.13: Lựa chọn cơ sở dữ liệu người dùng 42 Hình 3.14: Tạo các thuộc tính cho Network 43 Hình 3.15: Tạo Access Services cho Citrix 44 Hình 3.16: Khai báo các thuộc tính của Citrix 45 Hình 3.19: Tạo Shell Profiles cho Cisco Router 46 Hình 3.20: Tạo chi tiết một nhóm 47 6 37 35 Hình 3.21: Tạo Command Set 47 Hình 3.22: Tạo chi tiết một nhóm user 49 Hình 3.23: Tạo Authorization cho Cisco Router 50 Hình 3.24: Tạo Shell Profiles cho Cisco Switch 52 Hình 3.25: Tạo Command Sets cho Cisco Switch 55 Hình 3.26: Tạo Authorization cho Cisco Switch 56 Hình 3.27: Tạo Shell Profile cho WLC57 Hình 3.28: Khai báo thuộc tính Shell Profile cho WLC Hình 3.29: Tạo Authorization cho WLC 60 Hình 3.30: Tạo Command Set cho Citrix 61 Hình 3.31: Tạo Authorization cho Citrix 63 Hình 3.32: Cấu hình Backup 65 Hình 3.33: Cấu hình Restore 65 Hình 3.34: Khai báo Authorization trong WLC 69 Hình 3.35: Cấu hình thứ tự ưu tiên trong WLC 69 Hình 3.36: Khai báo TACACS server trong Citrix 70 Hình 3.37: Khai báo Rule trong Citrix 71 7 59 LỜI NÓI ĐẦU Hệ thống mạng của các tổ chức, doanh nghiệp lớn đặc biệt là hệ thống mạng của ngân hàng gồm có rất nhiều thiết bị mạng. Việc quản lý, giám sát thiết bị là một bài toán lớn đối với người quản trị hệ thống mạng. Khi đó nhân lực về quản lý các thiết bị trong hệ thống cũng cần rất nhiều. Vì vậy nếu không có sự phân quyền chặt chẽ và việc sử dụng chung account mặc định hoặc việc phân quyền riêng lẻ trên từng loại thiết bị như hiện nay sẽ dẫn đến việc không đảm bảo an toàn cho các thiết bị, cũng như việc không giám sát được nhưng thay đổi về cấu hình để có hướng khắc phục. Nắm bắt được thực trạng trên, em đã nghiên cứu tài liệu và thực hiện đề tài “THIẾT KẾ HỆ THỐNG CISCO SECURE ACCESS CONTROL SERVER TẠI HỆ THỐNG MẠNG HỘI SỞ NGÂN HÀNG VIB”. Mục đích của việc thực hiện đề tài là thông qua lý luận và thực tiễn, em muốn thiết kế, quy hoạch chung lại việc xác thực, phân quyền và giám sát được hoạt động của người quản trị trên thiết bị. Qua đó sẽ làm rõ, phân cấp được quyền, phạm vi ảnh hưởng của quản trị viên đối với các thiết bị trong hệ thống. Em xin gửi lời cảm ơn đến các thầy cô bạn bè đã tận tình giúp đỡ em trong suốt quá trình thực hiện luận văn. Em xin đặc biệt chân thành cảm ơn thầy giáo ThS. Vũ Văn Diện đã nhiệt tình hướng dẫn và chỉ bảo để em hoàn thành đề tài này. Do thời gian tìm hiểu và nghiên cứu có hạn nên đề tài của em còn nhiều thiếu sót, em rất mong nhận được sự chỉ bảo, hướng dẫn của các thầy cô để đề tài của em hoàn thiện hơn. 8 Em xin chân thành cảm ơn. 9 CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 1.1. Giới thiệu về Cisco Secure ACS Cisco Secure ACS là một thiết bị giúp xác thực người dùng khi truy cập vào thiết bị mạng (NAS) như là Router, Switch, Wireless controler, Server, Cisco PIX firewall. Cisco Secure ACS là một dịch vụ để điều khiển việc xác thực (authentication), cấp quyền (authorization), thống kê (accounting). Cisco Secure ACS giúp tập trung việc điều khiển truy cập và thống kê cho các access server cũng như firewall trong việc quản lý việc truy cập vào router hay switch. Với Cisco Secure ACS, người quản trị có thể nhanh chóng quản trị account, thay đổi quyền cho toàn bộ các nhóm người dùng khi truy cập vào thiết bị. Cisco Secure ACS hỗ trợ các Cisco NAS như Cisco router series 2509, 2511, 3620, 3640, AS 5200, AS 5300, AS 5800, Cisco PIX firewall và các thiết bị thế hệ thứ ba có thể cấu hình với TACACS+, RADIUS. 1.2. Quy trình kết nối xác thực  Bước 1: Khi user remote vào Network Device sử dụng giao thức TACACS+, RADIUS thì NAS sẽ chuyển tiếp các yêu cầu từ user đến Cisco Secure ACS.  Bước 2: Cisco Secure ACS sẽ kiểm tra username và password của user đó qua quyền Administrator của External Store Server.  Bước 3: Nếu user/password đúng, Cisco ACS kiểm tra Rule đã khai báo rồi trả lời là user đó có được phép truy cập vào hay bị từ chối truy cập, và sau đó chức năng Accounting (ghi lại thời gian bắt đầu, thời gian kết thúc một session, ...) sẽ bắt đầu thực hiện. 10 Hình 1.1: Quy trình kết nối xác thực 1.3. Quản lý thiết bị mạng trong ACS Quản lý thiết bị mạng định nghĩa là các thành phần bên trong hệ thống mạng với các yêu cầu tới ACS. Điều này bao gồm các thiết bị mạng sẽ cấp yêu cầu tới các máy chủ bên ngoài, chẳng hạn như một máy chủ RADIUS được sử dụng như một RADIUS proxy. 1.3.1. Quản lý nhóm thiết bị mạng (NDGs) NDG là nhóm chứa các thiết bị. Khi ACS nhận được yêu cầu cho một thiết bị, các NDG sẽ liên kết với thiết bị đó và so sánh với những thiết bị trong bảng policy. Với phương pháp này, bạn có thể nhóm nhiều thiết bị và gán cho chúng những chính sách tương tự. Ví dụ, bạn có thể nhóm tất cả các thiết bị tại một địa điểm cụ thểvới nhau và gán cho nó những chính sách tương tự. 1.3.2. Thiết bị mạng (AAA clients) AAA Clients định nghĩa tất cả các thiết bị truy cập mạng trong cơ sở dữ liệu của ACS. Các thiết bị mạng được định nghĩa có thể được liên kết bằng một địa chỉ IP cụ thể hoặc một subnet mask (tất cả các IP trong mạng con có thể truy cập mạng). Định nghĩa thiết bị bao gồm sự kết hợp của các thiết bị mạng với các nhóm thiết bị (NDGs). ACS có thể nhập các thiết bị với cấu hình của nó vào cơ sở dữ liệu. Khi ACS nhận được yêu cầu, nó sẽ tìm kiếm thiết bị mạng trong cơ sở dữ liệu với địa chỉ IP tương ứng. Sau đó, ACS so sánh share secret key đã định nghĩa khi thêm thiết bị. Nếu các thông tin đúng, các NDGs kết hợp với các thiết bị được lấy ra và sử dụng các Policy đã định nghĩa. 1.4. Quản lý lưu trữ người dùng 11 ACS quản lý các thiết bị mạng bằng cách sử dụng các tài nguyên mạng ACS và các lưu trữ . Khi một user kết nối vào mạng thông qua ACS yêu cầu truy cập một nguồn tài nguyên mạng cụ thể, ACS xác thực user và quyết định xem user có thể giao tiếp với các tài nguyên mạng. Để xác thực và cấp phép cho một user, ACS sử dụng user đã được lưu trữ trong cơ sở dữ liệu. Có hai loại lưu trữ:  Internal stores: Lưu trữ nội bộ, sử dụng cơ sở dữ liệu người dùng của ACS  External stores: Cơ sở dữ liệu người dùng được lưu trữ bên ngoài. ACS yêu cầu thông tin cấu hình để kết nối với cơ sở dữ liệu bên ngoài để thực hiện xác thực và có được thông tin người dùng. 1.4.1. Internal stores 1.4.1.1. Thông tin về xác thực Có thể cấu hình một mật khẩu khác là một phần của bản ghi người dùng nội bộ mà được định nghĩa cho người dùng. TACACS + cho phép mật khẩu đó thiết lập mức độ truy cập vào thiết bị. Nếu không chọn tùy chọn này, mật khẩu người dùng mặc định cũng được sử dụng để xác thực TACACS + . Có thể bao gồm các lưu trữ xác thực giống nhau và cùng một thuộc tính danh sách. Tuy nhiên, nếu một danh tính được sử dụng để xác thực, nó không được truy cập để biết thêm thuộc tính. Để xác thực dựa trên chứng thực, tên người dùng thuộc các thuộc tính chứng chỉ và được sử dụng để thu hồi thuộc tính. Trong quá trình xác thực, xác thực thất bại nếu có nhiều hơn một trường hợp của một user hoặc host đã tồn tại trong lưu trữ nội bộ. Các thuộc tính được lấy ra (nhưng xác thực bị từ chối) cho những người dùng có tài khoản bị vô hiệu hóa hoặc mật khẩu phải được thay đổi. Những loại xác thực thất bại có thể xảy ra trong khi thi hành các chính sách nhận dạng: 12  Lỗi xác thực: nguyên nhân có thể bao gồm các thông tin sai, người dùng vô hiệu hóa..  Người sử dụng hoặc máy chủ không tồn tại trong bất kỳ cơ sở dữ liệu xác thực.  Không xảy ra khi truy cập các cơ sở dữ liệu xác định. Có thể định nghĩa không mở tùy chọn để xác định hành động khi gặp lỗi nhiều lần:  Từ chối: Gửi trả lời từ chối  Drop: Không gửi bài trả lời.  Tiếp tục: Tiếp tục xử lý để các chính sách Hệ thống thuộc tính, trạng thái xác thực, giữ lại kết quả của việc xử lý chính sách nhận dạng. nếu bạn chọn để tiếp tục xử lý chính sách khi có sự cố xảy ra, bạn có thể sử dụng thuộc tính này trong một điều kiện chính sách tiếp theo để phân biệt trường hợp xử lý chính sách đã không thành công.Bạn có thể tiếp tục xử lý khi thẩm định thất bại cho PAP / ASCII, EAPTLS, hoặc EAP-MD5. Cho tất cảcác giao thức xác thực khác, yêu cầu bị từ chối và một tin nhắn khi đăng nhập. 1.4.1.2. Định nghĩa Groups Identity Groups có thể chỉ định cho mỗi user nội bộ vào một nhóm khác nhau. Nhóm được định nghĩa trong một thứ bậc cấu trúc. Nó là những thực thể hợp lý có liên quan đến người sử dụng, nhưng không chứa dữ liệu hoặc các thuộc tính khác với tên mà bạn cung cấp cho họ. Sử dụng các nhóm nhận dạng trong điều kiện chính sách để tạo ra các nhóm hợp lý của người sử dụng mà cùng kết quả chính sách được áp dụng. Khi ACS xử lý một yêu cầu cho một người sử dụng, danh tính của nhóm cho người sử dụng là truy xuất và sau đó có thể được sử dụng trong điều kiện trong rule. 13 1.4.1.3. Quản lý các thuộc tính Người quản trị có thể định nghĩa các thuộc tính trở thành một thành phần trong điều kiện của policy. Trong khi xác thực, các thuộc tính được lấy từ cở sở dữ liệu nội bộ khi nó là một phần của một điều kiện chính sách.ACS tương tác với các thành phần để xác thực người dùng và có được thuộc tính cho đầu vào cho một ACS chính sách định nghĩa thuộc tính bao gồm các kiểu dữ liệu có liên quan và các giá trị hợp lệ. Tập hợp các giá trị phụ thuộc vào kiểu. Ví dụ, nếu loại là số nguyên, định nghĩa bao gồm các phạm vi hợp lệ. ACS cung cấp mộtđịnh nghĩa giá trị mặc định mà có thể được sử dụng trong trường hợp không có một giá trị thuộc tính. Giá trị này đảm bảo giá trị mặc định rằng tất cả các thuộc tính có ít nhất một giá trị. 1.4.2. External stores 1.4.2.1. Tổng quan về LDAP LDAP là chữ viết tắt của Lightweight Directory Access Protocol. LDAP phát triển dựa trên chuẩn X500. Đây là chuẩn cho dịch vụ thư mục (Directory Service - DS) chạy trên nền tảng OSI. LDAP được coi là lightweight vì LDAP sử dụng gói tin overhead thấp, được xác định chính xác trên lớp TCP của danh sách giao thức TCP/IP (các dịch vụ hướng kết nối) còn X500 là heavyweight vì là lớp giao thức ứng dụng, chứa nhiều header hơn (các header của các layer tầng thấp hơn) LDAP chỉ là giao thức, không hỗ trợ xử lý như cơ sở dữ liệu. Mà nó cần một nơi lưu trữ backend và xử lý dữ liệu tại đó. Vì vậy mà LDAP client kết nối tới LDAP server theo mô hình sau: 14 Hình 1.2: Quá trình kết nối LDAP client đến LDAP server LDAP là giao thức truy cập vì vậy nó theo mô hình dạng cây (Directory Information Tree). LDAP là giao thức truy cập dạng client/server. Hình 1.3: Sơ đồ dạng cây của LDAP LDAP hoạt động theo mô hình client-server. Một hoặc nhiều LDAP server chứa thông tin về cây thư mục (Directory Information Tree – DIT). Client kết nối đến server và gửi yêu cầu. Server phản hồi bằng chính nó 15 hoặc trỏ tới LDAP server khác để client lấy thông tin. Trình tự khi có kết nối với LDAP:  Connect (kết nối với LDAP): client mở kết nối tới LDAP server  Bind (kiểu kết nối: nặc danh hoặc đăng nhập xác thực): client gửi thông tin xác thực  Search (tìm kiếm): client gửi yêu cầu tìm kiếm  Interpret search (xử lý tìm kiếm): server thực hiện xử lý tìm kiếm  Result (kết quả): server trả lại kết quả cho client  Unbind: client gửi yêu cầu đóng kết nối tới server  Close connection (đóng kết nối): đóng kết nối từ server Hình 1.4: Mô hình kết nối giữa client/server 1.4.2.2. Microsoft Acctive Directory Active Directory là một dịch vụ thư mục (directory service) đã được đăng ký bản quyền bởi Microsoft, nó là một phần không thể thiếu trong kiến trúc Windows. Giống như các dịch vụ thư mục khác, chẳng hạn như Novell Directory Services (NDS), Active Directory là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý mạng dữ liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép tương tác với các thư mục khác. Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môi trường kết nối mạng được phân bổ theo một kiểu nào đó. 16 Active Directory có thể được coi là một điểm phát triển mới so với Windows 2000 Server và được nâng cao và hoàn thiện tốt hơn trong Windows Server 2003, trở thành một phần quan trọng của hệ điều hành. Windows Server 2003 Active Directory cung cấp một tham chiếu, được gọi là directory service, đến tất cả các đối tượng trong một mạng, gồm có user, groups, computer, printer, policy và permission. Nói ngắn gọn và tổng quát, Active Directory là 1 dạng cơ sở dữ liệu với mục đích rõ ràng và riêng biệt, tuy nhiên nó hoàn toàn không phải là 1 sự thay thế cho Registry của Windows. Các bạn hãy hình dung thế này nhé, 1 mạng lưới client rộng lớn có hàng trăm, hàng ngàn nhân viên, và mỗi nhân viên lại có tên (họ và tên) khác nhau, công việc khác nhau, phòng ban khác nhau... và mỗi server quản lý "đống" client đó phải có Active Directory để phân loại và xử lý công việc một cách tối ưu nhất. Các phần dữ liệu trong Active Directory đều có tính kế thừa, nhân rộng, cấp bậc... rõ ràng và linh hoạt. Các mạng Active Directory được tổ chức bằng cách sử dụng 4 kiểu đơn vị hay cấu trúc mục. Bốn đơn vị này được chia thành forest, domain, organizational unit và site. 17 Hình 1.5: Sơ đồ dạng case của AD  Forests: Nhóm các đối tượng, các thuộc tính và cú pháp thuộc tính trong Active Directory.  Domain: Nhóm các máy tính chia sẻ một tập chính sách chung, tên và một cơ sở dữ liệu của các thành viên của chúng. 18  Organizational unit (OU): Nhóm các mục trong miền nào đó. Chúng tạo nên một kiến trúc thứ bậc cho miền và tạo cấu trúc công ty của Active Directory theo các điều kiện tổ chức và địa lý.  Sites: Nhóm vật lý những thành phần độc lập của miền và cấu trúc OU. Các Site phân biệt giữa các location được kết nối bởi các kết nối tốc độ cao và các kết nối tốc độ thấp, và được định nghĩa bởi một hoặc nhiều IP subnet. Các Forest không bị hạn chế theo địa lý hoặc topo mạng. Một forest có thể gồm nhiều miền, mỗi miền lại chia sẻ một lược đồ chung. Các thành viên miền của cùng một forest thậm chí không cần có kết nối LAN hoặc WAN giữa chúng. Mỗi một mạng riêng cũng có thể là một gia đình của nhiều forest độc lập. Nói chung, một forest nên được sử dụng cho mỗi một thực thể. Mặc dù vậy, vẫn cần đến các forest bổ sung cho việc thực hiện test và nghiên cứu các mục đích bên ngoài forest tham gia sản xuất. Các miền - Domain phục vụ như các mục trong chính sách bảo mật và các nhiệm vụ quản trị. Tất cả các đối tượng bên trong một miền đều là chủ đề cho Group Policies miền rộng. Tương tự như vậy, bất cứ quản trị viên miền nào cũng có thể quản lý tất cả các đối tượng bên trong một miền. Thêm vào đó, mỗi miền cũng đều có cơ sở dữ liệu các tài khoản duy nhất của nó. Chính vì vậy tính xác thực là một trong những vấn đề cơ bản của miền. Khi một tài khoản người dùng hoàn toàn xác thực đối với một miền nào đó thì tài khoản người dùng này có thể truy cập vào các tài nguyên bên trong miền. Active Directory yêu cầu một hoặc nhiều domain để hoạt động. Như đề cập từ trước, một miền Active Directory là một bộ các máy tính chia sẻ chung một tập các chính sách, tên và cơ sở dữ liệu các thành viên của 19 chúng. Một miền phải có một hoặc nhiều máy domain controller (DC) và lưu cơ sở dữ liệu, duy trì các chính sách và cung cấp sự thẩm định cho các đăng nhập vào miền. Trước kia trong Windows NT, bộ điều khiển miền chính - primary domain controller (PDC) và bộ điều khiển miền backup - backup domain controller (BDC) là các role có thể được gán cho một máy chủ trong một mạng các máy tính sử dụng hệ điều hành Windows. Windows đã sử dụng ý tưởng miền để quản lý sự truy cập đối với các tài nguyên mạng (ứng dụng, máy in và,…) cho một nhóm người dùng. Người dùng chỉ cần đăng nhập vào miền là có thể truy cập vào các tài nguyên, những tài nguyên này có thể nằm trên một số các máy chủ khác nhau trong mạng. Máy chủ được biết đến như PDC, quản lý cơ sở dữ liệu người dùng Master cho miền. Một hoặc một số máy chủ khác được thiết kế như BDC. PDC gửi một cách định kỳ các bản copy cơ sở dữ liệu đến các BDC. Một BDC có thể có thể đóng vai trò như một PDC nếu máy chủ PDC bị lỗi và cũng có thể trợ giúp cân bằng luồng công việc nếu quá bận. Với Windows 2000 Server, khi domain controller vẫn được duy trì, các role máy chủ PDC và BDC cơ bản được thay thế bởi Active Directory. Người dùng cũng không tạo các miền phân biệt để phân chia các đặc quyền quản trị. Bên trong Active Directory, người dùng hoàn toàn có thể ủy nhiệm các đặc quyền quản trị dựa trên các OU. Các miền không bị hạn chế bởi một số lượng 40.000 người dùng. Các miền Active Directory có thể quản lý hàng triệu các đối tượng. Vì không còn tồn tại PDC và BDC nên Active Directory sử dụng bản sao multi-master replication và tất cả các domain controller đều ngang hàng nhau. Organizational units tỏ ra linh hoạt hơn và cho phép quản lý dễ dàng 20
- Xem thêm -

Tài liệu liên quan