К. Закер - Компьютерные сети. Модернизация и поиск неисправностей (953092), страница 175
Текст из файла (страница 175)
Как процесс обнаружения, так и процедура установления защищенного канала завершистся 'еще.до того момента, как пользователь получает приглашение ввести имя и пароль для входа в сеть. Сквозная аутентификация В случае сети, состоящей из одного домена„все контроллеры домена содержат как учетные'записи компьютеров рабочих с'ийций,- так н учетные записи пользователей," которые будут востребованы дяя Вх псцкшочения к домену. Наряду с этим, при построении инфраструктуры домена с исполъзованием главных доменов и ресурсных доменов, контроллеры ресурсных доменов могут самостоятельно осуществлять аутентификацию пользователей, полключающихся к сети, несмотря на то, по учстнъв записи этих пользователей находятся в главном домене.
В данном:,случае"запускаепж процесс, названный скаозлой аулизилификацию" фая'-г)ипийй аийеллсапол). В сети с одним или несколькими главшами ломейами учетные записи для компыстеров рабских станций дислоцированы в ресурсном домене,.в то время как учетные записи: цсльзователей лакзлнжааны в главйом домене; Это означает, *по окончательная аутентификация псяъзшапвлей, долизш проводитыж только контроллером главного домена, но рабочие сханции не усшнавлявают прямых зацишенных каналов с контроллером пгавнего домана, Когда пользователь входит в сеть с рабочей станции под управлением аперационной системы ЪЪкЬач ХТ (илн сервери; не:являишвппся контроллером домена), меню с выпадающим списком' в поле"ьяявазвв 'Яомпны):диалогового окна Ьвуа (Вход в сеть) содержит ннформщявз о домене, в котором расположена учетная запись компъютера данной рабочей станции, Глава ак.
Домены И6пдоеоз ЙТ а также все дааерясмые дамены данного домена. Так как учетная запись пользователя находится в главном домене, ега можно выб4взв из меню, несмотря на то, что учетная запись компьютера данной рабочей станции и не принадлежит к главному домену. С другой стороны, именно места расположения учетной записи компьютера определяет домен, с которым рабочая станция будет устанавливать зашищенный канал. Как талька жцищенный канал между рабочей станцией и ресурсным доменом (на котором находится учетная запись компьютера) создан, контроллер ресурсного домена передает информашпо„полученную им ат рабочей станции в процессе аутентификации (то есть, имя и пароль), контроллеру главнага ламена по защищенному каналу.
Этот канал был создан заранее, в ходе оформления доверительных отношений между двумя доменами (рис. 229). После этого контроллер главного дамена пытается провести аутентификацию пользователя и возвращает рабочей станции результаты этой попытки через контроллер ресурсного домена. Коелроллщ> КонтРоллеР Веоуяокео лоиеко глеенсго доемне Рис. жк.в. Рабочая станция ссзязвт защищенный канал о контроллеРом ресурсного домена, который затем использует уже суецооткуккций защищенный канал для взаимодействия с контроллером главного домена При взаимодействии по подобной схеме именно контроллер главном домена, а не контроллер ресурсного домена обеспечивает рабочую станцию файлом системной политики и сценарием процесса падюпочения к сети, которые она должна загрузить (если зто необходимо).
Конечным результатам рассмотренного здесь метода является та, что рабочая станция может входить в сеть, задействуя локальный контроллер ресурсного дамена, и избавлена от необходимости созлания защищенного канала с контроллером главного домена. В случае большой сети, которая разбита на несколько частей, географически удаленных друг ат друга и связанных соединениями глобальной сети, отпзласг нужда в присутствии резервного контроллера главнога домена в каждом из мест расположения отдельных сегментов сети, поскольку полыователи вполне могут проходить аутентификацию локально. Эту функцию выполняет контроллер ресурсного домена, примешпоший уже сушествуюший зашишенный канал для связи с контроллером главного дамена Выбору оощ~йсбы каталогов Мйдйовз ИТ Служба каталогов, основанйая на доменах„является одним из наиболее аасто упоминаемых недостатков операционной системы, особенно применителыю к нсполааованию в корпоративныл сетяХ.
Оставаясь лпстагочнр работоспособной'и' сетях малого и среднпо размера, Где требуется не больше нескольких даьалгов, служба каталогов онерациоизной системы %юпогваз 3ЧТ становатс3г все более громоздкой в больших сетях, особенно если они состоят из сегментов, расположенных В разных местах и" соеяиненных каналамй связи глобальных сетей. Модель с множеством главиыХ доменов в действительности являетел временным решением ллл службы 'каталогов, также не очень подходеллзг для корпоративных сетей; Для больших, регулярно расширяюшихся сетей илн тех сетей, которые требуют капитальной перестройки в целях компенсации неконтролируемой)'роста'количества доменов, рекомендуется опереться все-таки на иерархическую службу каталогов, например, Аспте Рпесгогу или 1чогей Рпесгоюу Зегчса~, Глава 23 Служба Ас$Ье 0и"ес1огу Основанная на доменах служба каталогов, используемая в Млбовз)чТ, долгое время подвергалась критике за невозможность ее масштабирования для поддержки сетей большого размера.
В корпоративной сети, состоящей из множества ломаков„взаимодействие между этими доменами огряяичейа доверителъными отношениями, которые устанавливает администратор. Вдобавок, из-за того, что каждый домен должен поддерживаться отдельно, процесс администрирования учетных записей сильно усложняегся. С выхппоы в 1993 г. первой операционной системы %1пдажз ХТ версий 3.1 компания М1- спззай обещала предоставить более развитую службу кагаяогов, которая луч-' ше бы подходила для больших сетей, и в результате сделала зто, воплотив в Жшйчч 2000 службу Асйге В1гесгогу. Аале Игесаму ГА٠— это объектно-ориентированная, иерархическая, распределенная система базы данных службы каталогов, которая обеспечивает централизованное храпение информации об оборудовании, программном обеспечении и человеческих ресурсах всей корпоративной сети.
Она основана на сшндарге Х.500 и во многом похожа на Хе1%ше Впесьзгу, Вепчсез (МВБ). Пользователи сети представлены объектами в дереве Асбие Впес1огу. Администраторы могут применять этя объекты лля предоставления пользователям доступа к ресурсам в любом месте сети. Ресурсы так же, как и пользователи представлены в виде обьектов в дереве. В отличие от Фшдавз ИТ, которая использовала для своих каталогов плоскую, основанную на даменах, структуру, АсМе В1гестоту расширяет структуру на несколько уровней.
До-. мен все еще остается основным организационным элементом в базе данных АсМе Внес~о~у, на теперь группы доменов могут быль обьединены в лерево, а группы деревьев в лес [Уагезт). Админпстрапзры, мвницулируя деревом, могут управлять множеством ломенов одновременно„а лес лает возмажносп, одновременно управлять мнсикеством деревъев. Оливка слукба каталогов — это не только база данных для хранения информации, она также включает сервисы, которые делают эту информацию доступной для пользователей, приложений и других служб. Мйлче Впестогу включает глобальный каталог, который делает возможным поиск в каталоге определенного объекта, используя значение заланнога агрибуш. Прияоже-' ния могут задействовать каталог для управления доступом к сетевым ресурсам, а другие службы каталогов способны взаимодействоыпь с АВ через стандартизованный интерфейс н протокол ЕВАР (Егйбгтке10М О)гесгееу,фс-' ссм Ргогосо|, облегченньгй протокол службы каталогов).
Служба каталогов — это ксмплекснви, хвинерно ваиивя масть ин~0рвструктуры иинюпативнсй сети, и ее следует протвсгирвв1ИЫ;,'ггзвиде чем внВДРгтгь' в ра-' ботающие сети в особенности тв, что выполнаот критические функции. М/вдсккз2000 и Девке 01ГЕСВВу — Вгцв ОЧЕНЬ МСЛГКВЕВ прОДУКтЫ. и Они дсЛИНЫ пройти период доработки, прежде чем будут считаться вполне устойчивыми. Архитектурна Ас$Ье О1гесМту Асбке Й)гесготу соетаалсна из объектов, которые йредставлжот различные ресурсы в сети, такие как пользователи, серверы„прйнтеры и прижскения. Обьетал — это набор атрибутов, которые определяют 'ресурс, дают ему имя, описывают его возможности и указывают тех, кому разрегцено использовать его.
Некоторые из игрибутов объекта прис»ли»лютея ему автоматически при его создании, закис клк глобальный уиикальный идентификатцр (О$3Ю), назначаемый каждому объекту, в то время кяк другие залает администратор сети. Объект пользователя, например, имеет атрибуты, которые хранят информапию о симам пользователе, представляемом объектом, например, имя учетной записи, пароль, номер телефона, адрес элегстронной почты, а также информацию о других объектах, с которыми пользователь взаямодейстиувг. Существует множество различных типо» объектов,' каждьгй из которых имеет свой набор атрибутов, зависящий от функций типа, Основное разяичйе между Ас1Ьс О1гес1огу и доменаии' ттгпт1отеЗЪЧТ 4.0 заключается в тпм, что Асггтс Вйесгогу Прсдосталлявт Длыинистраторам и пользователям глгтбвльный внд сети.
Обе службы катаюгов могут использовать множество доменов, но вместо управления пользователями любого домена по отдельности, например, как в %гпдглез ХТ4.0, администратор Аг) создает для. каждого пользователя только один обьект и может предоставить атому пользователю доступ к ресурсам в любом домене Каждый тип объекта описывается классом обьекта, который крагигтся в схеме каталогов. Схема определяет атрибупы, которые должен иметь каждый обьект, необязательные атрибуты, которые он может иметь, и место обьекта в дереве каталогов.,Сама схема также хранится в Асбте кигесгогу в виде объектов, которые назьпкккггся сб»елтлами клапгм схемы гсйш ее)мгла твбегх4 и ойектлами атрифлав сккгги ггвтгтаиге,гсттетпа о1геегг).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
