Tài liệu Chứng thực tương tác server 2003

Chứng thực tương tác WINDOWS SERVER • Tiến trình trong đó user cung cấp tên và mật khẩu để chứng thực • Khi đăng nhập vào domain, credential được so sánh với cơ sở dữ liệu AD tập trung • Khi đăng nhập cục bộ, credential được so sánh với cơ sở dữ liệu SAM • Trong các môi trường domain, các user bình thường không có tài khoản cục bộ 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 1 ĐẠI HỌC KHOA HỌC TỰ NHIÊN • Chứng thực tương tác WINDOWS SERVER 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 2 Chứng thực mạng • Tiến trình một dịch vụ mạng chấp nhận danh định của một user • Với 1 user đăng nhập vào domain, chứng thực mạng là trong suốt • Credential từ chứng thực tương tác hợp lệ với các tài nguyên mạng • Một user đăng nhập vào máy tính cục bộ sẽ được nhắc đăng nhập riêng biệt vào tài nguyên mạng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 3 Các giao thức chứng thực • Windows Server 2003 hỗ trợ 2 giao thức chứng thực chính: • Kerberos version 5 (Kerberos v5) • NT LAN Manager (NTLM) • Kerberos v5 là công cụ chính cho môi trường Active Directory nhưng không hỗ trợ trên các hệ thống client khác • NTLM là công cụ chính cho các hệ điều hành Microsoft còn lại 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 4 Kerberos v5 • Hỗ trợ bởi Windows 2000, Windows XP, Windows Server 2003 • Giao thức đi theo sau: • Yêu cầu đăng nhập được chuyển cho Key Distribution Center (KDC), một Windows Server 2003 domain controller • KDC chứng thực user và nếu hợp pháp, phát ra một ticket-granting ticket (TGT) cho hệ đh client 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 5 Kerberos v5 (tt) • Khi client y/c một tài nguyên mạng, nó trình TGT cho KDC • KDC phát ra một service ticket cho client • Client trình service ticket cho host server của tài nguyên đó • Mọi DC trong môi trường AD đều giữ vai trò KDC • Không phải mọi client đều theo giao thức này 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 6 NTLM • Dùng với các hệ điều hành chạy Windows NT 4.0 hoặc trước nữa, nếu cần cũng dùng được cho Windows Server 2000/2003 • Giao thức đi theo sau: • User đăng nhập, client tính giá trị băm mã hóa của mật khẩu • Client gửi tên user cho DC 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 7 NTLM (tt) • DC sinh ra challenge ngẫu nhiên và gửi cho client • Client giải mã challenge với giá trị băm của mật khẩu và gửi về DC • DC tính toán giá trị mong muốn được trả về từ client và so sánh với giá trị thực tế • Sau khi chứng thực thành công, DC sinh ra một token cho user với tài nguyên mạng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 8 User Profiles • Một tập hợp các thiết lập đặc trưng cho một user • Theo mặc nhiên được lưu giữ cục bộ • Không đi theo user đăng nhập trên các máy tính khác • Có thể tạo 1 roaming profile • Đi theo user đăng nhập trên các máy tính khác • Administrator có thể tạo 1 mandatory profile • User không thể thay đổi nó 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 9 User Profile Folders and Contents 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 10 Local Profiles • Các profile mới được tạo từ thư mục Default User profile • User có thể thay đổi local profile và những thay đổi được lưu giữ lại chỉ cho user đó • Administrator có thể quản lý nhiều phần tử của profile • Change Type • Delete • Copy To 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 11 Thực tập 3-2: Kiểm tra Local Profile Settings • Mục tiêu là cấu hình và kiểm tra 1 local user profile • Start  Administrative Tools  Active Directory Users and Computers  Users  New  User • Theo các chỉ dẫn để tạo 1 user profile mới • Khám phá và cấu hình các đặc tính • Kiểm tra lại bằng cách đăng nhập như user mới 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 12 Roaming Profiles • Roaming profiles • Cho phép profile lưu trên 1 server trung tâm và đi theo user • Hỗ trợ thuận lợi cho việc định vị tập trung (có ích với thao tác backup) • Thay đổi 1 profile từ local  roaming nên cẩn thận sao lưu trước 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 13 Thực tập 3-3: Cấu hình và kiểm tra 1 Roaming Profile • Tạo 1 thư mục chia sẻ, copy 1 local profile vào thư mục đó và cấu hình các thuộc tính của tài khoản user để dùng roaming • Theo các chỉ dẫn 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 14 Mandatory Profiles • Local và roaming profile cho phép tạo các thay đổi lâu dài • Mandatory profile cho phép tạo các thay đổi chỉ cho 1 phiên làm việc • Local và roaming có thể đều được cấu hình như mandatory • ntuser.dat  ntuser.man 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 15 Thực tập 3-4: Cấu hình 1 Mandatory Profile • Start  My Computer • Theo các chỉ dẫn để tác động vào mandatory profile thử nghiệm đã tạo trước đó • Kiểm tra lại user không thể tạo ra thay đổi nào 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 16 Tạo và quản lý các tài khoản user • Công cụ chính là Active Directory Users and Computers • Cũng có thể dùng một số công cụ dòng lệnh và ứng dụng khác 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 17 Active Directory Users and Computers • Chọn từ thực đơn Administrative Tools • Có thể thêm vào 1 Microsoft Management Console • Có thể chạy từ dòng lệnh (dsa.msc) • Công cụ đồ họa • Có thể thêm, sửa, di chuyển, xóa, tìm tài khoản user • Có thể cấu hình nhiều đối tượng đồng thời 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 18 Thực tập 3-5: Tạo tài khoản user dùng Active Directory Users and Computers • Start  Administrative Tools  Active Directory Users and Computers • Theo chỉ dẫn 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 19 Các User Template • Một tài khoản user được cấu hình sẵn với các thiết lập phổ biến • Có thể được sao chép để tạo các tài khoản mới • Các tài khoản mới sau đó được cấu hình với các thiết lập riêng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 20