Jmenné a adresářové služby Šárka Vavrečková Ústav informatiky, FPF SU Opava http://fpf.slu.cz/~vav10ui Poslední aktualizace: 1. srpna 2011
Jmenné a adresářové služby Jmenné (názvové) služby překlad jmenných názvů (textových řetězců) na číselné adresy typický příklad: DNS nebo WINS (překlad NetBIOS na IP) např. www.google.com přeloží na IP adresu 209.85.148.105 Adresářové služby uspořádání, zabezpečení a správa prostředků (objektů) typický příklad: Active Directory
Základní princip DNS DNS (Domain Name System) distribuovaná jmenná služba sloužící k překladu doménových jmen (hostname) na IP adresy jmenné služby jsou hierarchické, tedy distribuovanost se zde osvědčuje
Struktura domén DNS (Domain Name System) hierarchický systém domén, kde každá doména má své jméno domény první úrovně (TLD, Top Level Domain) = kořeny stromů, např..cz,.com,.org příklad: mail.seznam.cz má tři úrovně domény: národní (.cz) nebo generické (.com,.edu,.org,.net) domény mají také společný kořen = kořenovou doménu (označuje se tečkou)
Náležitosti DNS jména délka jména domény je max. 63 znaků pouze písmena anglické abecedy, číslice a pomlčky celé doménové jméno přes všechny domény max. 255 znaků tato omezení neplatí pro ne-doménové součásti URL ne-ascii znaky v názvech domén: IDN (International Domain Names) překlad znaků probíhá v klientské aplikaci, nevyskytují se v zónových souborech může působit problémy, pokud klientská aplikace nepodporuje IDN pro danou znakovou sadu
(jmenné name servery) DNS servery překlad ze jmenné adresy na IP reverzní překlad: naopak sít je rozdělena na zóny, DNS server má informace zejm. o své zóně kořenový server domény první úrovně (několik v doméně): podává info o subdoménách ve své doméně dotaz je distribuovaný
Zóna je DNS zóna oblast spravovaná jedním správcem (organizací), obsahuje jednu nebo více domén některé úrovně info o zóně poskytuje autoritativní DNS server pro danou zónu info je uloženo v zónovém souboru textový (DNS pro Windows) nebo binární (BIND) v rámci organizace: zóny mohou být také v hierarchické struktuře (kořenová zóna (doména přidělená organizaci) a dále další podřízené zóny, podle toho, jak je delegována jejich správa
Celá struktura DNS kořen: (bezejmenná) doména potomci jsou TLD (Top Level Domain), jejich potomci jsou SLD (Second Level Domain), atd. struktura zón v jedné zóně je jedna nebo více domén, zóny se tvoří podle odpovědnosti za správu domén struktura DNS serverů pro každou doménu je jeden nebo více DNS serverů, jeden z nich je v doméně primární
DNS servery Primární server obvykle autoritativní server domény, v zóně je právě jeden důvěryhodný jeho data musí být neustále aktuální zde je zónový soubor s informací o zóně
Sekundární server i více než jeden DNS servery obsahuje kopii dat primárního serveru aktualizace musí být velmi častá (zone transfer) slouží jako záložní primární server nebo pro rozložení zátěže zone transfer se provádí v pravidelných intervalech, při zapnutí sekundárního serveru nebo při upozornění o aktualizaci od primárního serveru
Caching-only server pouze podpůrný DNS servery neobsahuje všechny informace dotazuje se primárního nebo sekundárního serveru, ale odpovědi si nechává v cache, využívá je u následných dotazů odpověd tohoto serveru není autoritativní, lze si vyžádat autoritativní odpověd od primárního nebo sekundárního serveru cache může být i na primárních a sekundárních serverech (pro info o cizích doménách)
Vyhledávání odpovědi na dotaz dopředné vyhledávání (nalezení IP adresy podle jména) zpětné vyhledávání (reverzní, naopak) přes doménu in-addr.arpa, je složitější oba typy adres jsou hierarchické, ale v opačném směru
Typy dotazů Postup Vyhledávání odpovědi na dotaz rekurzivní dotazy tazatel dostane již hotovou odpověd iterativní dotazy tazatel získá částečnou odpověd (odkaz na místa, kde může dostat odpověd ) tazatel: jaká je IP pro www.abcd.cz? pošle lokálnímu DNS serveru (nejbližšímu, který zná) pokud server zná odpověd, poskytne ji pokud server nezná odpověd, podstupuje bud rekurzívně nebo iterativně:
Vyhledávání odpovědi na dotaz Rekurzivní dotazování DNS server nezná odpověd (adresa není z jeho domény) obrátí se na kořenový server nebo DNS server té domény z adresy, kterou ještě zná dotazovaný server zná odpověd : odpoví dotazovaný server nezná odpověd : obrátí se obvykle na DNS servery ve svých subdoménách konečně nalezen server, který zná úplnou informaci: odpověd se rekurzívně posílá zpět až k prvnímu uzlu, který se tázal
Vyhledávání odpovědi na dotaz Iterativní dotazování pokud dotazovaný server nezná odpověd, netáže se dál, ale odešle zpět místo odpovědi seznam DNS serverů, které by mohly znát odpověd nevím, zeptej se serveru/ů xxxx doporučí bud kořenový server nebo servery ze svých subdomén Na desktopu obvykle neběží DNS server, ale pouze resolver, který pouze předává dotazy DNS serverům, neřeší je.
cname DNS záznam ke každé IP adrese existuje nejméně jedna jmenná adresa jedna ze jmenných adres je nejdůležitější = kanonické jméno, cname další jmenné adresy = aliasy
Záznamy v zónovém souboru SOA (Start of Authority) administrativní info o doméně, A záznam určující vztah mezi konkrétní IPv4 adresou a k ní příslušejícím kanonickým jménem, AAAA totéž jako záznam typu A, ale pro IPv6, CNAME definice aliasu ke kanonickému jménu, dvojice alias cname, PTR používáme při reverzním překladu (máme IP adresu, potřebujeme jmennou adresu), NS (Name Server) informace o autoritativním DNS serveru pro danou doménu, MX (Mail exchanger) udává cestu k mail serveru pro danou doménu, KEY obsahuje veřejný klíč používaný při autorizaci, atd. Součástí záznamů je hodnota TTL (stáří záznamu)
PDU Protokol DNS zapouzdřuje se obvykle do UDP paketu struktura: Header (záhlaví) obsahuje identifikační číslo (párování dotazu a odpovědi), typ PDU (dotaz/odpověd ), zda má být dotaz rekurzivní, vyžádání si autoritativní odpovědi, atd. Question (pole dotazu) jmenná adresa a dodatečné informace, Answer (pole odpovědi) informace související s odpovědí včetně TTL, Authority autoritativní jmenné servery (jejich jmenné adresy) ze záznamů NS, Additional dodatečné informace (například také IP adresy autoritativních jmenných serverů).
Obvyklé servery Windows Server: role DNS Server jinde: BIND (program je pojmenován named), TinyDNS nebo DJBDNS
Program nslookup nslookup www.google.com Server: decsu.fpf.slu.cz Address: 193.84.192.10 Neautorizovana odpoved: Název: www.l.google.com Addresses: 209.85.148.105 209.85.148.106 209.85.148.147 209.85.148.99 209.85.148.103 209.85.148.104 Aliases: www.google.com
Program nslookup Vyzkoušejte v interaktivním režimu:? www.google.com set all ls fpf.slu.cz ls -t ns fpf.slu.cz ls -t aaaa slu.cz ls slu.cz > vystup view vystup
Princip Adresářové služby Adresář = hierarchicky orientovaná databáze cílem je zajišt ování funkčnosti adresáře a bezpečného přístupu k němu adresářová služba je autentizační autorita (podobně jako například RADIUS server nebo Windows LSA)
Protokol LDAP (Lightweight Directory Access Protocol) aplikační protokol pracující nad TCP/IP výhoda LDAP: snadná přenositelnost, pracuje nad protokoly TCP/IP Active Directory ve Windows je implementace protokolu LDAP pro Windows od verze 2000 využívá domény DNS, ale AD domény nejsou totožné s doménami DNS (i kdyby se stejně jmenovaly)
Pojmy Active Directory adresářová databáze (adresář) je hierarchická databáze objektů, které jsou v systému spravovány, objekty uživatelé, skupiny, počítače, domény, každý objekt má své vlastnosti (například přístupová práva), mohou se dědit, kontejner je objekt, který může obsahovat další objekty, AD schéma popisuje objekty, které mohou být uloženy v adresáři Active Directory (jaké mohou mít atributy, obdoba třídy), doména je skupina počítačů sdílejících společnou adresářovou databázi, organizační jednotka (OU) je podskupina domény oddělená za určitým účelem, OU mohou být i vnořené.
Struktura sítě Active Directory doménové řadiče (domain controller) = doménové AD servery, musí existovat nejméně jeden (primární řadič domény) a příp. další v síti je nejméně jeden Globální katalog (na primárním řadiči, může být i na jiných) v Globálním katalogu jsou souhrny informací obsažených v dalších doménových serverech sítě, slouží při vyhledávání informací, při autentizaci (přihlašování) a autorizaci (přístup k objektům)
Názvy v AD Typy názvů podle zanoření v doménách DC (Domain Component, uzel domény) OU (Organization Unit, organizační jednotka), Active Directory Container CN (Common Name) objekt
dc=firma,dc=cz ou=pocitace ou=zamestnanci cn=novak Adresace DN (Distinguished Name): cn=novak,ou=zamestnanci,dc=firma,dc=cz Adresace UNC (Universal Naming Conventions): firma.cz/zamestnanci/novak
Windows Zásady (policies) a implementace v OS na desktopu není AD nainstalována, pracujeme se zásadami (policies) v Místní zásady zabezpečení a Zásady skupiny v síti se zprovozněným AD na serveru jsou zásady skupiny napojeny na AD, na objekty AD jsou napojeny objekty zásad Jiné OS, heterogenní sít protokoly, které zprostředkovávají komunikaci LDAP je implementován i v Linuxu a dalších OS pro přístup k datům se používá protokol SMB, resp. jeho implementace SAMBA