[ Pobierz całość w formacie PDF ]
.Lokalne prawa administratora w domenieW poni¿szej dyskusji a Administratorzy wprowadzaj¹cy lokalne zmiany w serwerachposiadaj¹ przywileje systemowe, gdy¿ s¹ cz³onkami grupy Domain Admins Global(Globalni administratorzy domeny).Zarówno klasyczny system NT, jak i Windows2000 automatycznie dodaj¹ tê grupê do grupy Administrators (Administratorzy)podczas przy³¹czania serwera do domeny.Zabezpieczanie udostêpnionego folderu za pomoc¹ grup globalnychSpójrz na rysunek 10.24.Na przedstawionym schemacie u¿ytkownik domenyCompany.com chce uzyskaæ dostêp do udostêpnionego folderu znajduj¹cego siê naserwerze w domenie Company.com.U¿ytkownik jest cz³onkiem grupy globalnej wdomenie Company.com.Rysunek 10.24.Udostêpniony folder znajduje siê na serwerze, do którego dostêp posiadaj¹u¿ytkownicy lokalnej domenyDirectory Information Store = Przechowywanie informacji katalogowychCompany.com Domain Controller = Kontroler domeny Company.comGlobal Group in Company.com Directory = Grupa globalna w domenie Company.comMember of Global Group = Cz³onek grupy globalnejCompany.com Domain User = U¿ytkownik domeny Company.comGC Server = Serwer katalogu globalnegoCompany.com Member desktop = Komputer domeny Company.comSubsidiary.com Member Server = Serwer domeny Subsidiary.comShared folder = Udostêpniony folderAccess Denied = Odmowa dostêpuACL containing Company.com Global Group = Lista kontroli dostêpu zawieraj¹cagrupê globaln¹ Company.comAdministrator umieœci³ grupê globaln¹ na liœcie ACL udostêpnionego folderu zprawem odmowy dostêpu.Deskryptor zabezpieczeñ folderu zawiera wiêc wpis ACEidentyfikatora zabezpieczeñ grupy globalnej z mask¹ Access Denied (Odmowadostêpu).Administrator przypisa³ równie¿ u¿ytkownika do cz³onków grupy globalnej.Z tegopowodu u¿ytkownik napotka na odmowê dostêpu podczas próby otwarcia folderu.Wdalszej czêœci rozdzia³u omówione zostan¹ szczegó³y realizacji tego typusytuacji.Reasumuj¹c, u¿ytkownik bêd¹cy cz³onkiem domeny próbuje uzyskaæ dostêp doudostêpnionego folderu na innym serwerze znajduj¹cym siê w tej samej domenie.U¿ytkownik jest cz³onkiem grupy globalnej, która ma prawo odmowy dostêpu dofolderu.Poni¿ej umieszczona zosta³a kolejnoœæ zdarzeñ, przedstawiaj¹ca próbêuzyskania dostêpu do folderu przez u¿ytkownika.Procedura 10.7 Funkcjonalny opis uwierzytelniania u¿ytkownika i grupy w obrêbiejednej domenyPo zalogowaniu u¿ytkownika do domeny i uwierzytelnieniu w kontrolerze domeny,LSA skanuje obiekt u¿ytkownika, aby uzyskaæ identyfikator zabezpieczeñu¿ytkownika z atrybutu Object-SID (Identyfikator zabezpieczeñ obiektu).LSAmusi zgromadziæ ten i inne identyfikatory, aby przes³aæ je do centrumdystrybucji kluczy (KDC) Kerberos., które Identyfikatory do³¹czone do biletówTGT umo¿liwi¹ u¿ytkownikowi dostêp do danych zasobów.LSA sprawdza nastêpnie listê nazw grup w atrybucie Member-Of (Cz³onek) obiektuu¿ytkownika.Lista okreœla, do jakich grup domeny nale¿y u¿ytkownik.NastêpnieLSA szybko wyszukuje w katalogu identyfikatory zabezpieczeñ odpowiadaj¹ce danymnazwom grup.Atrybut Member-Of w obiekcie u¿ytkownika zawiera tylko grupy z lokalnej domeny.LSA musi siê jednak dowiedzieæ, czy u¿ytkownik nie jest cz³onkiem innych grupznajduj¹cych siê w innych domenach.Jedna z tych grup mo¿e znajdowaæ siê naliœcie ACL dla obiektu zabezpieczeñ w lokalnej domenie.LSA okreœla grupêuniwersaln¹ u¿ytkownika na zewn¹trz lokalnej domeny, poprzez wys³anie zapytaniado serwera katalogu globalnego.Wiêcej informacji na ten temat znajdziesz wuwadze „Przeszukiwanie katalogu globalnego za grup¹ uniwersaln¹”.LSA wyszukuje listy cz³onkowskie w katalogu globalnym i sprawdza, czy danyu¿ytkownik nie nale¿y do którejœ grupy.Daje to pewnoœæ, ¿e je¿eli grupazawieraj¹ca danego u¿ytkownika jest zagnie¿d¿ona w grupie uniwersalnej, tozostanie ona odnaleziona przez LSA.Znaleziona grupa zostaje do³¹czona do listyidentyfikatorów zabezpieczeñ, przygotowywanej dla centrum dystrybucji biletów.Przeszukiwanie katalogu globalnego za grup¹ uniwersaln¹Ka¿dy administrator posiadaj¹cy prawa tworzenia obiektu mo¿e utworzyæ grupêuniwersaln¹.U¿ytkownicy i grupy domeny mog¹ byæ cz³onkami grup uniwersalnych wdomenie (istnieje kilka ograniczeñ wobec typów grup, które mog¹ zostaæcz³onkami grup, jakkolwiek wiadomoœci te wykraczaj¹ poza zakres tej dyskusji).Standardowy kontroler domeny przechowuje tylko repliki swojego lokalnegokontekstu nazw.Korzystanie z tego kontekstu daje mo¿liwoœæ sprawdzenia gruptylko w lokalnej domenie.Z drugiej strony serwer katalogu globalnegoprzechowuje czêœciowe repliki wszystkich kontekstów nazw w lesie katalogowym.Repliki te zawieraj¹ kopie wszystkich obiektów, lecz zawieraj¹ tylko kilkaatrybutów obiektów.Jednym z atrybutów jest przynale¿noœæ do grupyuniwersalnej.Je¿eli kontroler domeny przeszukuje katalog globalny, LSA ma ³atwe zadanie.Wystarczy, ¿e przeszuka wszystkie konteksty nazw i znajdzie w nich potrzebneinformacje.Sprawdzaj¹c atrybut Member-Of (Cz³onek) w katalogu globalnym zapomoc¹ konsoli Active Directory Users and Groups (U¿ytkownicy i grupy ActiveDirectory) albo narzêdzia ADSI Editor, bêdziesz móg³ zobaczyæ grupy uniwersalnez innych domen.Je¿eli jednak nie korzystasz z katalogu globalnego, zobaczysztylko grupy z domeny u¿ytkownika.Je¿eli kontroler domeny nie jest serwerem katalogu globalnego, LSA wysy³a¿¹danie LDAP do katalogu globalnego, z instrukcj¹ przeszukania cz³onków grup.LSA lokalizuje serwer katalogu globalnego poprzez wys³anie zapytania DNS w celuotrzymania rekordów SRV zwi¹zanych z portem _ldap TCP 3268.Po zgromadzeniu wszystkich potrzebnych identyfikatorów zabezpieczeñ LSAprzesy³a je do centrum dystrybucji kluczy (KDC).Centrum do³¹cza identyfikatorydo biletu TGT, który jest nastêpnie wydawany u¿ytkownikowi.Wiêcej informacjidotycz¹cych budowy biletu znajdziesz w rozdziale 6.Gdy klient sieciowy na komputerze u¿ytkownika otrzymuje TGT, umieszcza go wpamiêci podrêcznej (cache).W razie potrzeby TGT jest stamt¹d pobierany iu¿ywany do uzyskania dostêpu do serwera.Bilety Kerberos s¹ wydawane dlakonkretnych serwerów.W momencie, gdy u¿ytkownik próbuje uzyskaæ dostêp do udostêpnionego folderu naserwerze, klient sieciowy na podstawie otrzymanego TGT otrzymuje bilet dostêpudo serwera.Centrum dystrybucji kluczy (KDC) kopiuje pole Authorization Data (Daneuwierzytelnienia) z TGT do pola Authorization Data (Dane uwierzytelnienia)znajduj¹cego siê na bilecie dostêpu do serwera.Pole to zawiera identyfikatoryzabezpieczeñ SID gromadzone przez LSA.KDC wydaje nastêpnie bilet klientowisieciowemu.Podczas wstêpnego ³¹czenia klient sieciowy przedstawia serwerowi bilet dostêpu,a LSA serwera uwierzytelnia go.Bilet jest rozszyfrowywany za pomoc¹ has³amieszanego (hash), dziêki czemu mo¿liwe jest wydobycie listy identyfikatorów iwykorzystanie ich do utworzenia lokalnego ¿etonu dostêpu dla u¿ytkownika
[ Pobierz całość w formacie PDF ]