Uvítání.

Transkript

1

2 Uvítání Ing. Petr Bouška ČVUT FEL Microsoft MCSE, MCSA, MCITP, MCTS, MCSE, MCSA, MCP Cisco CCNP, CCDP, CCNA, CCDA VMware VCP ITIL IT manager, OKsystem a.s.

3

4 Program semináře 09:30 část I., 11:30 coffee break, 12:00 část II., 13:30 závěr Active Directory Domain Sevices (les, doména, řadič, Site, objekty, schéma) služby DNS a DHCP stručný úvod do Kerberos protokolu Group Policy a Group Policy Preferences Distributed File System (DFS) a DFS Replication Certification Authority, PKI, certifikáty

5 Active Directory Domain Sevices

6 Na co je Active Directory? služba pro centralizovanou správu a organizaci síťových zdrojů (počítače, uživatelé, tiskárny, skupiny, apod.) - objektů poskytuje jednotnou identitu máme jeden uživatelský účet, kterým se můžeme přihlásit v celé doméně na různé IS, tento účet má přidělená různá oprávnění řeší autentizaci (včetně SSO) a autorizaci přístup ke sdíleným zdrojům můžeme vytvořit hierarchickou (stromovou) strukturu, která odráží organizační strukturu umožňuje centralizovaně nastavovat parametry operačních systémů (uživatele a počítače) pomocí Group Policy poskytuje řadu integrovaných služeb

7 Active Directory Domain Services (AD DS) adresářová služba od Microsoftu jde o řadu služeb a protokolů poskytuje distribuovanou databázi, která v hierarchické struktuře obsahuje síťové objekty (jako je uživatel, počítač, skupina) zajišťuje také autentizaci a autorizaci uživatelů a počítačů v síti základ tvoří LDAP (Lightweight Directory Access Protocol) protokol, rozšířený Kerberos verze 5 a DNS (Domain Name System) Remote Server Administration Tools (RSAT) nástroje pro správu, součást serveru, možno instalovat na stanici Domain Controller (DC) - doménový řadič, server, kde běží AD DS

8 Doména a strom Doména (Domain) logická skupina objektů (počítač, uživatel, zařízení), které sdílí společnou AD databázi identifikuje se pomocí jmenného prostoru - namespace (DNS jména), může obsahovat písmena, číslice, pomlčku a tečku (pouze pro oddělení komponent), maximální délka je 64 znaků z důvodu kompatibility se také používá 15 znakové pre-windows 2000 jméno - NetBIOS doménové jméno Strom (Tree) jedna nebo více domén tvoří strom kořenová doména (Tree Root Domain) - má svůj jmenný prostor (třeba firma.local) Child Domain - obsahují jmenný prostor nadřazené domény (Parent Domain) a svoje relativní jméno (tedy třeba test.firma.local)

9 Les a schéma Les (Forest) jeden nebo více stromů tvoří les sdílí společné adresářové schéma, globální katalog, logickou strukturu existuje jedna kořenová doména (Forest Root Domain), prvně vytvořená doména v daném lese, ta obsahuje skupiny Enterprise Admins a Schema Admins Schéma (Schema) definuje objekty (classes a attributes), které mohou být uloženy v adresáři každá doména má vlastní databázi (obsah), replikovanou na DC, ale stejnou strukturu (schéma) nástroj Active Directory Schema - regsvr32 schmmgmt.dll Důvěra (Trust) automaticky všechny domény v rámci lesa - Two-way Transitive Trust

10 Globální katalog, objekty a Site Globální katalog (Global Catalog) zapnutí AD Sites and Services - NTDS Settings obsahuje částečnou repliku všech objektů (s omezenou skupinou atributů) v adresáři lesa používá se pro vyhledávání, slouží pouze ke čtení můžeme tak nalézt objekty z jiné domény, kdy dopředu nevíme, na jakém DC jsou poskytuje informace o členství v univerzálních skupinách, které jsou potřeba při přihlašovacím procesu Objekty (Objects) data v adresáři AD DS, reprezentují věci různého významu, popsány pomocí atributů AD DS obsahuje hierarchii objektů, každá instance objektu je obsahem jiného objektu kontejner (container) zabudovaný objekt, nemůžeme aplikovat GPO, oprávnění organizační jednotka (OU - Organizational Unit) slouží seskupování objektů do logických administračních skupin, můžeme delegovat oprávnění, aplikovat GPO Site používají se pro řešení fyzické topologie, tedy fyzického umístění definuje se pomocí subnetů, obsahuje DC, využívá se pro replikace, přiřazení DC uživateli

11 Operations Master role AD DS podporuje multimaster replikaci adresářových dat, ale některé změny musí být řízeny jedním místem (single master) pro každou doménu převod pomocí ADUC Primary Domain Controller (PDC) Emulator řeši aktualizace hesel Relative Identifier (RID) Master spravuje bloky RID pro doménu a zajišťuje unikátnost ID všech security principals (entita, která se může autentizovat) Infrastructure Operations Master spravuje seznam security principals z jiných domén, kteří jsou členy skupin z jeho domény pro každý les Schema Operations Master spravuje schéma, převod pomocí AD Schema Domain Naming Operations Master přidává a odebírá domény v rámci lesa, převod pomocí AD Domains and Trusts Functional Level - určuje vlastnosti, které AD DS nabízí, povýšení ADUC, AD Domains and Trusts

12 Jména objektů - Naming Attributes objekty v AD DS mají několik jmen, která můžeme použít pro odkazování, vazby jsou pomocí ID, ostatní je možno měnit, příklady pro uživatelský účet Relative Distinguished Name (RDN) - relativní LDAP jméno v rámci kontejneru (Organizational Unit), u uživatelů jde o Common Name (CN), atribut cn, příklad bouska Distinguished Name (DN) - globální unikátní LDAP jméno, obsahuje RDN a umístění objektu v rámci AD hierarchie, atribut distinguishedname, příklad CN=bouska,CN=Users,DC=firma,DC=local Canonical Name - obdoba DN v jiné notaci, jde o konstruovaný atribut (vytváří se při dotazu) canonicalname, příklad firma.local/users/bouska Name - je stejné jako Common Name (CN), atribut name Security Identifier (SID) - unikátní identifikátor uživatele, používá se pro Kerberos a zařazování do skupin, atribut objectsid Globally Unique Identifier (GUID) - unikátní identifikátor objektu, atribut objectguid DN název využívá tři klíčová slova dle LDAP normy, jde o CN - Common Name, OU - Organizational Unit a DC - Domain Component, Canonical Name využívá DNS formát

13 Uživatelský účet - typy přihlašovacího jména samaccountname - Security Accounts Manager (SAM) Account Name označuje se také jako Pre-Windows 2000 Name používá se zápis Domain\sAMAccountName, který se označuje jako NetBIOS Logon Name maximální délka je 20 znaků je unikátní v rámci domény a povinný ukládá se do atributu samaccountname User Principal Name (UPN) označuje se jako Internet-style login name a je založen na RFC 822 skládá se ze dvou částí, UPN předpony (UPN prefix) - uživatelské přihlašovací jméno (User Logon Name) a UPN přípony (UPN suffix) - DNS doménové jméno, spojených pomocí příklad logon.name@firma.local alternativní UPN sufix můžeme definovat pomocí AD Domains and Trust maximální délka je 64 znaků je unikátní v rámci lesa a nepovinný ukládá se do atributu userprincipalname net user bouska /domain, whoami /upn, whoami /fqdn, whoami /user /fo list

14 SPN - Service Principal Name unikátní identifikátor instance služby využívá Kerberos, každá služba, kde má fungovat jej musí mít atribut serviceprincipalname u účtu (počítač, uživatel) jeden účet může mít více SPN, ale stejné SPN může být pouze u jednoho účtu syntaxe ServiceClass/Host:Port/ServiceName, příklad HTTP/ setspn -Q HTTP/* - práce se SPN

15 Skupiny (Groups) skupina je objekt, do kterého můžeme vložit další objekty (primárně uživatel, počítač, skupina), slouží tedy k logickému seskupování typ skupiny Security pro přiřazení oprávnění na sdílené zdroje, můžeme přiřazovat uživatelská práva (user rights) a oprávnění (permissions) na sdílené zdroje (jako je složka, tiskárna), práva se doporučuje nastavovat přes skupiny a ne přímo na uživatele, může být také mail-enabled Distribution pro mailové distribuční seznamy, nejsou security enabled (nelze ACL) rozsah (scope) skupin Domain Local (DL) může přidělovat oprávnění pouze v rámci domény, vkládáme účty nebo G a U skupiny ze stejného lesa, DL ze stejné domény Global (G) oprávnění ve stejném nebo důvěryhodném lese, vkládáme účty nebo G skupiny ze stejné domény Universal (U) - oprávnění ve stejném nebo důvěryhodném lese, vkládáme účty nebo G a U skupiny ze stejného lesa

16 Služby DNS a DHCP

17 DNS - Domain Name System primárně překlad doménových jmen na IP adresy, UDP/TCP port 53, EDNS výhoda jmen je lepší pamatování a možnost změny fyzického umístění (IP adresy) Forward - kořenová doména, TLD Top Level Domain, Second Level Domain, Subdomain, Reverse - pseudo doména in-addr.arpa, in-addr.arpa. adresa DNS serveru patří mezi základní nastavení sítě ptáme se na záznam svého DNS serveru, ten využije cache rekurzivní dotazy - root hints (autoritativní severy pro kořen stromu) Forwarders > TLD NS > 2 nd level NS Zóna většinou jedna doména (část jmenného prostoru), autoritativní informace o spravovaných doménách, Zone File (txt), Zone Transfer nslookup řádkový příkaz pro DNS dotazy

18 DNS pokračování Typy zón primary kopie pro čtení a zápis, pouze jedna secondary - kopie pro čtení, pro redundanci, využívá zone transfer stub - pouze info o DNS serverech domény Active Directory-Integrated primární zóna, data uložena v AD spolu se replikují, může jich být více (stejně jako DC může se nacházet pouze na DC) Typy záznamů Host address (A nebo AAAA) běžný záznam Alias Canonical Name (CNAME) další jméno pro existující záznam Mail Exchanger (MX) adresa poštovního serveru Service Location (SRV) adresa některé služby, jako ldap, kerberos, ftp, a další Name Server (NS) seznam serverů, které zajišťují DNS služby pro doménu Pointer (PTR) užívají se pro reverzní překlad Start of Authority (SOA) odkazuje na server, kde jsou primární údaje (primární NS), a obsahuje údaje pro zone transfer WINS - Windows Internet Name Service - name server pro NetBIOS

19 DHCP - Dynamic Host Configuration Protocol dynamické přidělování IP adres a dalších síťových konfiguračních parametrů klient odesílá DHCP broadcast DISCOVER, libovolný DHCP server na síti odpoví OFFER, klient požaduje nabídnutou adresu REQUEST, server ACK, UDP 67 (server), 68 (klient) server přiděluje IP adresy ze zadaného rozsahu (Pool Scope), může jich být více, použije dle IP rozhraní, kde přišel požadavek DHCP Options další přidělované parametry, 3 router, 6 - DNS, 150 Cisco VoIP rezervace pro určitou MAC přiřazena IP APIPA MS, když nedostane adresu z DHCP, použije Zeroconf Address /16 DHCP Relay Agent služba, přeposílá DHCP komunikaci jako unicast na DHCP server DHCP Snooping na switchim ochrana před podvrženým DHCP serverem IPAM - IP Address Management

20 Stručný úvod do Kerberos protokolu

21 Kerberos SSO SSO - Single Sign-On - jednotné přihlašování, pohodlnost, bezpečnost SSO v rámci domény probíhá neustále, možno pro web aplikace pomocí Negotiate v hlavičce Kerberos - síťový autentizační protokol, využívá tikety a symetrické šifrování, stále se používá verze 5 z roku 1993, potažmo 2005 (RFC 4120), MS využívá rozšíření MS-KILE o autorizační údaje (seznam skupin), TCP port 88 Kerberos autentizace vždy se přihlašujeme ke službě, účastník je klient, ověřuje se u autentizační služby KDC (DC), ověření pro nějakou službu (aplikace, nemusí být členem domény, nekomunikuje s DC)

22 Kerberos termíny KDC - Key Distribution Center, běží na DC Authentication Service (AS) - provádí autentizaci uživatele a odesílá mu TGT Ticket-Granting Service (TGS) - na základě TGT ověří uživatele a odesílá Service Ticket pro požadovanou službu Secret Key - tajný klíč, vzniká z hesla, přidá se sůl a provede hash funkce Ticket - tiket představuje Kerberos credentials, může být použit pro ověření identity, v síti se neposílají hesla, ale šifrované tikety klist textový příkaz pro tikety Kerberos Realm u MS je ekvivalentem pro Active Directory doménu Principal - unikátní identita, které můžeme přiřadit tiket, primary@realm nebo primary/instance@realm

23 Kerberos princip autentizace 1 Autentizace uživatele - získání TGT při přihlašování do počítače zadá uživatel svoje přihlašovací údaje (credentials) na stanici [1] stanice si vytvoří uživatelův Secret Key nalezne se DC pro autentizaci a komunikuje se s KDC AS (která má přístup k AD databázi uživatelů) za pomoci šifrování se Secret Key se získá Ticket-Granting Ticket (TGT) [2]

24 Kerberos princip autentizace 2 Získání Service Ticket - když chce klient přistoupit k nějaké síťové službě (třeba aplikaci na webovém serveru), která podporuje Kerberos a vyžaduje autentizaci, tak se použije princip SSO klient se obrátí na svoje DC na KDC službu TGS požádá o Service Ticket, v žádosti se posílá (mimo jiné) typ služby (třeba HTTP, KRBTGT, LDAP, CIFS) a adresa serveru (třeba což dohromady tvoří Service Principal Name (SPN), tedy unikátní identifikátor služby běžící na serveru pokud TGS nalezne SPN v Active Directory (a jsou splněny další autentizační podmínky), tak odesílá v odpovědi Service Ticket (ten je šifrovaný pomocí Secret Key služby) [3]

25 Kerberos princip autentizace 2 Autentizace u služby - ověření klienta na síťové službě (serveru) pomocí protokolu, kterým komunikuje aplikační server, odešle klient data na server a ta (mimo jiné) obsahují Service Ticket server rozšifruje tiket pomocí svého klíče a z něj se dozví údaje o uživateli (jeho jméno) ve vlastním procesu autentizace server nekomunikuje s KDC (tedy DC), ale pouze s klientem pokud je zapnuta obousměrná autentizace (Mutual Authentication), tak server odesílá klientovi šifrovanou časovou známku a dojde i k ověření serveru na klientovi [4]

26 Group Policy a Preferences

27 Group Policy umožňuje centralizovaně nastavovat (povinné) parametry operačních systémů, část Computer Configuration a User Configuration správa - Group Policy Object Editor (gpedit.msc), Group Policy Management (Group Policy Results) GPO - Group Policy Objects skupina nastavení, linkujeme na OU, Site, doménu, dědění, můžeme dále filtrovat, ukládají se do \\FQDN\SYSVOL\FQDN\policies když se GPO uplatní v OS, tak se uplatní nastavené hodnoty a znemožní se jejich konfigurace v OS (položky zašednou) nejčastěji se hodnoty nastavují pomocí registrů HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, HKCU\Software\Microsoft\Windows\CurrentVersion\Policies aplikace při startu/přihlášení, znovu po 90 + rand(30) minut, gpupdate /force

28 Group Policy Administrative Templates Group Policy má pevně dané části Software Settings, Windows Settings a rozšiřitelnou Administrative Templates, načítá se ze souborů (ADM a ADMX/ADML) - šablon, nastavení pomocí registrů šablony slouží pouze pro konfiguraci, hodnoty nastavené v GPO se uloží do registry.pol a ten se aplikuje šablony jsou součástí OS, s každou novou verzí vznikají nové, pak jsou speciální (třeba pro MS Office) a můžeme vytvářet vlastní ADM jsou součástí politiky, nové ADMX ne (od 2008) načítání z Central Store (\\FQDN\SYSVOL\FQDN\policies\PolicyDefinitions), pak lokálně c:\windows\policydefinitions vyhledávání pomocí filtrování

29 Group Policy Preferences další možnost nastavování (volitelných) parametrů, hodnoty je možno na klientovi změnit mohou se uplatnit pouze jednou (přednastavení) nebo se uplatňují znovu (default 90 minut) standardně nastavení zůstává, i když není GPP linkováno na OS umožňuje nastavit nejen registry, třeba mapování disků, kopírování souborů, chování služeb

30 Distributed File System (DFS) a DFS Replication

31 DFS - Distributed File System přístup k datům na různých serverech přes jednu síťovou UNC cestu DFS Namespaces (DFSN) - domain-based (integrováno do AD DS) nebo standalone, jmenný prostor Namespace server - udržuje informace o struktuře Namespace, může jít o DC, ideálně více serverů, využívá se Site info Namespace root síťová cesta k Namespace \\jmeno.domeny\dfs\ Folder složka, tvoří hierarchii, pokud má Folder Target, tak vede k datům pomocí transparentního přesměrování odkazem (referral) Folder Target cesta ke sdílené složce, souborový server, kde jsou data konfigurace v AD CN=Dfs-Configuration,CN=System,DC=domena,DC=local Namespace server registry HKEY_LOCAL_MACHINE\Software\Microsoft\Dfs\Roots\domainV2, struktura C:\DFSRoots

32 Access-Based Enumeration u sdílených složek na souborovém serveru uživatel nevidí složky, na které nemá oprávnění, od DFS ve Windows Server 2008 mode je podpora i v rámci DFS pro sdílené složky zapínáme na souborových serverech (Server Manager\File and Storage Services\Shares - Properties) pro DFS Folder se uplatní práva na Namespace server a až při přesměrování se uplatní práva na Folder Target, takže musíme ručně konfigurovat práva pro každý Folder přes DFS Management Folder Properties - Advanced - Set explicit view permissions on the DFS folder celkově je třeba zapnout na Namespace - Properties - Advanced - Enable access-based enumeration for this namespace

33 DFS Replication náhrada File Replication Service (FSR), může replikovat i SYSVOL umožňuje efektivně replikovat složky mezi několika servery a Site využívá Remote Differential Compression (RDC), replikuje pouze změněné bloky ze souborů, funguje samostatně nebo s DFS Namespace o průběhu replikace máme informace pouze v logu událostí, třeba Event ID 4104 dokončení úvodní replikace, můžeme generovat Diagnostic Report replikovat složku můžeme mezi několika servery a můžeme řídit z kterého na který se replikace provádí můžeme nastavit kalendář, kdy replikace probíhají a nastavit šířku pásma, které mohou využít

34 Certification Authority, PKI, certifikáty

35 Public Key Infrastructure PKI - Public Key Infrastructure vše okolo šifrování s veřejným klíčem, tedy role, politiky, procedury pro vytváření, správu, distribuci, ukládání, odvolání digitálních certifikátů, například ve firmě využíváme vlastní CA a čipové karty CA - Certification Authority digitálně podepisuje a publikuje veřejný klíč, vystavuje digitální certifikáty, zodpovídá za údaje certifikátu šifrování s veřejným klíčem - asymetrické algoritmy, veřejný šifrovací klíč, privátní dešifrovací klíč, využívá se pro výměnu klíčů pro symetrické šifrování, certifikáty využívají RSA minimálně 2048 bitů, pro podpis hash SHA-2, vychází ze standardu X.509 vyhledání certifikátu CA je většinou pomocí jména (ne ID), můžeme vyměnit certifikát CA a korektně ověří dříve vydané certifikát (přechod na SHA-2) certifikáty CA můžeme distribuovat pomocí Group Policy (integrated CA se vloží automaticky) Windows úložiště certifikátů mmc Certificates - uživatel, počítač, služba (Personal, Trusted Root Certification Authorities, Intermediate Certification Authority Certificates ), certutil - user, enterprise, grouppolicy, service, computer

36 Microsoft Certification Authority role Active Directory Certificate Services (AD CS) Stand-alone CA nebo Enterprise CA (AD integrated) one-tier vs. two-tier CA (Root a Intermediate), CRL pro nastavení některých parametrů před instalací CA C:\Windows\CAPolicy.inf Certificate Templates šablony či politiky pro určitý typ certifikátu (jedna CA může vystavovat uživatelské podpisové certifikáty, stejně jako serverové), specifikuje parametry vystavení certifikátu - ručně (mmc, web) nebo automatické (autoenrollment), publikace do AD, schvalování (approval) Enrollment Agent - vydání certifikátu pro jiného uživatele

37 Děkuji Petr Bouška