Mô tả:
Chứng thực tương tác
WINDOWS SERVER
• Tiến trình trong đó user cung cấp tên và mật khẩu
để chứng thực
• Khi đăng nhập vào domain, credential được so
sánh với cơ sở dữ liệu AD tập trung
• Khi đăng nhập cục bộ, credential được so sánh
với cơ sở dữ liệu SAM
• Trong các môi trường domain, các user bình
thường không có tài khoản cục bộ
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
1
ĐẠI HỌC KHOA HỌC TỰ
NHIÊN
• Chứng thực tương tác
WINDOWS SERVER
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
2
Chứng thực mạng
• Tiến trình một dịch vụ mạng chấp nhận danh định
của một user
• Với 1 user đăng nhập vào domain, chứng thực
mạng là trong suốt
• Credential từ chứng thực tương tác hợp lệ với các tài
nguyên mạng
• Một user đăng nhập vào máy tính cục bộ sẽ được
nhắc đăng nhập riêng biệt vào tài nguyên mạng
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
3
Các giao thức chứng thực
• Windows Server 2003 hỗ trợ 2 giao thức chứng
thực chính:
• Kerberos version 5 (Kerberos v5)
• NT LAN Manager (NTLM)
• Kerberos v5 là công cụ chính cho môi trường
Active Directory nhưng không hỗ trợ trên các hệ
thống client khác
• NTLM là công cụ chính cho các hệ điều hành
Microsoft còn lại
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
4
Kerberos v5
• Hỗ trợ bởi Windows 2000, Windows XP,
Windows Server 2003
• Giao thức đi theo sau:
• Yêu cầu đăng nhập được chuyển cho Key Distribution
Center (KDC), một Windows Server 2003 domain
controller
• KDC chứng thực user và nếu hợp pháp, phát ra một
ticket-granting ticket (TGT) cho hệ đh client
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
5
Kerberos v5 (tt)
• Khi client y/c một tài nguyên mạng, nó trình TGT cho
KDC
• KDC phát ra một service ticket cho client
• Client trình service ticket cho host server của tài
nguyên đó
• Mọi DC trong môi trường AD đều giữ vai trò
KDC
• Không phải mọi client đều theo giao thức này
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
6
NTLM
• Dùng với các hệ điều hành chạy Windows NT 4.0
hoặc trước nữa, nếu cần cũng dùng được cho
Windows Server 2000/2003
• Giao thức đi theo sau:
• User đăng nhập, client tính giá trị băm mã hóa của mật
khẩu
• Client gửi tên user cho DC
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
7
NTLM (tt)
• DC sinh ra challenge ngẫu nhiên và gửi cho client
• Client giải mã challenge với giá trị băm của mật khẩu
và gửi về DC
• DC tính toán giá trị mong muốn được trả về từ client và
so sánh với giá trị thực tế
• Sau khi chứng thực thành công, DC sinh ra một
token cho user với tài nguyên mạng
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
8
User Profiles
• Một tập hợp các thiết lập đặc trưng cho một user
• Theo mặc nhiên được lưu giữ cục bộ
• Không đi theo user đăng nhập trên các máy tính khác
• Có thể tạo 1 roaming profile
• Đi theo user đăng nhập trên các máy tính khác
• Administrator có thể tạo 1 mandatory profile
• User không thể thay đổi nó
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
9
User Profile Folders and Contents
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
10
Local Profiles
• Các profile mới được tạo từ thư mục Default User
profile
• User có thể thay đổi local profile và những thay
đổi được lưu giữ lại chỉ cho user đó
• Administrator có thể quản lý nhiều phần tử của
profile
• Change Type
• Delete
• Copy To
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
11
Thực tập 3-2: Kiểm tra Local
Profile Settings
• Mục tiêu là cấu hình và kiểm tra 1 local user
profile
• Start Administrative Tools Active Directory
Users and Computers Users New User
• Theo các chỉ dẫn để tạo 1 user profile mới
• Khám phá và cấu hình các đặc tính
• Kiểm tra lại bằng cách đăng nhập như user mới
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
12
Roaming Profiles
• Roaming profiles
• Cho phép profile lưu trên 1 server trung tâm và đi theo
user
• Hỗ trợ thuận lợi cho việc định vị tập trung (có ích với
thao tác backup)
• Thay đổi 1 profile từ local roaming nên cẩn
thận sao lưu trước
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
13
Thực tập 3-3: Cấu hình và
kiểm tra 1 Roaming Profile
• Tạo 1 thư mục chia sẻ, copy 1 local profile vào
thư mục đó và cấu hình các thuộc tính của tài
khoản user để dùng roaming
• Theo các chỉ dẫn
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
14
Mandatory Profiles
• Local và roaming profile cho phép tạo các thay
đổi lâu dài
• Mandatory profile cho phép tạo các thay đổi chỉ
cho 1 phiên làm việc
• Local và roaming có thể đều được cấu hình như
mandatory
• ntuser.dat ntuser.man
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
15
Thực tập 3-4: Cấu hình 1
Mandatory Profile
• Start My Computer
• Theo các chỉ dẫn để tác động vào mandatory
profile thử nghiệm đã tạo trước đó
• Kiểm tra lại user không thể tạo ra thay đổi nào
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
16
Tạo và quản lý các tài khoản
user
• Công cụ chính là Active Directory Users and
Computers
• Cũng có thể dùng một số công cụ dòng lệnh và
ứng dụng khác
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
17
Active Directory Users and
Computers
• Chọn từ thực đơn Administrative Tools
• Có thể thêm vào 1 Microsoft Management
Console
• Có thể chạy từ dòng lệnh (dsa.msc)
• Công cụ đồ họa
• Có thể thêm, sửa, di chuyển, xóa, tìm tài khoản user
• Có thể cấu hình nhiều đối tượng đồng thời
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
18
Thực tập 3-5: Tạo tài khoản user
dùng Active Directory Users and
Computers
• Start Administrative Tools Active Directory
Users and Computers
• Theo chỉ dẫn
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
19
Các User Template
• Một tài khoản user được cấu hình sẵn với các thiết
lập phổ biến
• Có thể được sao chép để tạo các tài khoản mới
• Các tài khoản mới sau đó được cấu hình với các
thiết lập riêng
70-290: MCSE Guide to Managing a Microsoft
Windows Server 2003 Environment
20
- Xem thêm -