Management počítačových sítí

Slides:



Advertisements
Podobné prezentace
Klomfar Petr.  Adresářová služba  specializovaná databáze optimalizovaná pro čtení a vyhledávání.  popisující objekt pomocí atributů. Na rozdíl od.
Advertisements

Hotel Tatra, Velké Karlovice 23. – 25. dubna 2007 S4U – Seminář o Univerzitním informačním systému 1 Osobní management Tomáš Procházka.
PREZENTUJÍCÍ eIDAS autentizace (eOP-eMedocs ukázka využití) Petr Pavlinec Odbor informatiky Kraj Vysočina.
IBM Global Technology Services © 2006 IBM Corporation Zabezpečení přístupu k informacím na základě elektronického podpisu Konference eČesko 2006.
Autorem materiálu a všech jeho částí, není-li uvedeno jinak, je Kateřina Raichová. Materiál je publikován pod licencí Creative Commons. ze sady:3tematický.
Projekt Informační a vzdělávací portál Libereckého kraje I CZ.1.07/1.1.00/ I Školení pro uživatele portálu.
Inf Používání a tvorba databází. Výukový materiál Číslo projektu: CZ.1.07/1.5.00/ Šablona: III/2 Inovace a zkvalitnění výuky prostřednictvím ICT.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Počítačové sítě 8. Využití sítí © Milan Keršlágerhttp:// Obsah: ● sdílení v sítích.
Využití informačních technologií při řízení obchodního řetězce Interspar © Ing. Jan Weiser.
Elektronické učební materiály - II. stupeň Digitální technologie 9 Autor: Bc. Pavel Šiktanc Movie Maker uložení a sdílení filmů Co se všechno naučíme???
POS 40 – 83. Základy datové komunikace - MULTIPLEX Kmitočtovým dělením (FDMA) – Přidělení kmitočtu jednotlivým uživatelům = šířka pásma se rozdělí na.
Formáty souborů (neboli typ souboru) obvykle určuje význam dat v elektronickém souboru. Existuje množství různých formátů, přizpůsobených pro ukládání.
I DENTIFIKACE NA INTERNETU Mgr. Marie Kardová Leden 2014.
Management počítačových sítí Počítačové sítě VUT v Brně Fakulta podnikatelská Lekce 4 – Management síťové vrstvyIng. Viktor Ondrák, Ph.D.strana 1 Lekce.
Základní škola a mateřská škola Lázně Kynžvart Autor: Mgr. Petra Šandová Název: VY_32_INOVACE_5B_INF3_16_ Téma: pro 4.,5.ročník ZŠ, vytvořeno:
Principy Základních registrů Ing. Ondřej Felix, CSc.
Síťové operační systémy OB21-OP-EL-KON-DOL-M Orbis pictus 21. století.
Univerzitní informační systém III., Lednice 2004 Vývoj a koncepce nového univerzitního webu Ondřej Kudlík
Databáze © Mgr. Petr Loskot
Úvod do databází MS Access (1).
Autentizace předmětem
PŘIHLÁŠENÍ K ELEKTRONICKÉ EVIDENCI TRŽEB
Přednáška pro předmět Operační systémy II ÚI PEF MENDELU
Věcné autority v roce 2016
Ústřední knihovna FSS MU
Základní škola a mateřská škola Lázně Kynžvart Autor: Mgr
Systémové databáze v SQL Serveru
Internet.
Ucelené řešení pro řízení lidských zdrojů, ekonomiky a logistiky
Bohumil Havel MoodleMoot.cz 2016
Projekt 1 Databázové systémy I
Poštovní subsystém UIS
Evaluace předmětů studenty (Anketky)
ELEKTRONICKÉ ZABEZPEČOVACÍ SYSTÉMY
Komunikační model TCP/IP
INTERNET Číslo projektu CZ.1.07/1.5.00/ Název školy
ORGANIZACE DAT V POČÍTAČI
Přístupový systém aneb kontrola vstupů
Financováno z ESF a státního rozpočtu ČR.
Číslo projektu OP VK Název projektu Moderní škola Název školy
Systém jednotné autentizace - SJA
Vytvoření Researcher ID ve WOS – na
TÉMA: Počítačové systémy
Porada vedoucích Úřadů územního plánovaní
Databáze MS ACCESS 2010.
Historičtí absolventi v UIS
1. ročník oboru Mechanik opravář motorových vozidel
Požadavky na hardware, software
Stavební fakulta ČVUT, B407
Informatika pro ekonomy přednáška 8
Digitální učební materiál
GDPR: ochrana osobních údajů
NÁZEV ŠKOLY: Základní škola Josefa Bublíka, Bánov
Počítačová cvičení z předmětu Datové sklady
Microsoft Office Access
Materiál byl vytvořen v rámci projektu
Remote login.
Název školy: Autor: Název: Číslo projektu: Název projektu:
název projektu: Šablony Špičák číslo projektu: CZ.1.07/1.4.00/
A5M33IZS – Informační a znalostní systémy
Přednášky z Distribuovaných systémů
Analýza informačního systému
ProQuest Central Centrum informačních a knihovnických služeb VŠE
Informatika pro ekonomy přednáška 8
Informační systém základních registrů
Lukáš Melcher, Denis Dusík 4.C
Digitální učební materiál
Informatika Počítačové viry.
Transkript prezentace:

Management počítačových sítí Počítačové sítě VUT v Brně Fakulta podnikatelská Management počítačových sítí Lekce 4 Technologie a protokoly managementu na úrovni aplikační vrstvy Lekce 4 – Management síťové vrstvy strana 1 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

Počítačové sítě VUT v Brně Fakulta podnikatelská DNS DNS sice nepatří do protokolů ani technik síťové vrstvy, ale je s ní přímo spjat…. <úvod do DNS> statické záznamy DDNS (dynamic DNS – RFC 2136 a RFC 2845) Využívá obvykle DHCP server, aby po přidělení adresy udělal záznam do DNS Active Directory využívá pro vytváření a aktualizaci srv záznamů Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

LDAP Adresář Co je adresář (directory): Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Adresář Co je adresář (directory): Databáze optimalizovaná na časté dotazy, nepodporuje transakce Hierarchická stromová struktura snadno replikovatelná Jednotlivé záznamy jsou informace o objektech Je možno omezit přístup k záznamům (ACL) V sítích se používá pro popis struktury objektů v síti uživatel Identifikace příjmení Jméno Os. číslo adresa stát Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

LDAP Adresářové služby Správa databáze adresáře Replikace Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Adresářové služby Správa databáze adresáře Replikace Poskytování informací uživatelům a službám Interface pro změny a rozšíření Autentizace/autorizace dotazů Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

LDAP Protokol LDAP (Lightweight Directory Access Protocol) Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Protokol LDAP (Lightweight Directory Access Protocol) Aplikační protokol pro dotazování a modifikace adresářových služeb Vyvinut pro architekturu TCP/IP Vznikl zjednodušením ISO/OSI standardu X.500 Komunikuje standardně na TCP xxxx Pro komunikaci používá formát LDIF (LDAP Data Interchange Format) Data jsou kódována pomocí LBER (Lightweight Basic Encoding Rules) ale ne z důvodů bezpečnosti (jednoduché dekódovat), ale z důvodů kompatibility – nehomogenity prostředí Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

LDAP LDAP je popsán pomocí 4 modelů: Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP LDAP je popsán pomocí 4 modelů: Informační model (schema) – popisuje strukturu informací (atributy)v adresáři Jmenný model – popisuje, jak jsou informace odkazovány Funkční model – popisuje, co může být s informacemi provedeno Bezpečnostní model – popisuje, jak jsou informace chráněny Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

LDAP Informační model LDAP - Schéma: Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Informační model LDAP - Schéma: Adresář LDAP je založen na objektové architektuře Jednotka informace je tedy instance objektu Struktura objektu je dána třídou objektu (objectClass) – např. user, computer, organizationalUnit, domain, container, group (objekt může být zařazen do více tříd) , dědičnost Jemnější členění je podle kategorií (objectCategory) – objekt může být jen v jedné kategorii – např. user, computer, group, organizationalUnit,… Každý objekt má podle třídy definované vlastnosti – atributy – mohou být jednohodnotové nebo tabulkové Atributy mají definovaný typ např. text, celé číslo,… a např povinnost vyplnění I atributy mohou být definované v souboru schematu a mohou být dědičné Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

LDAP Příklad atributů třídy User Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Příklad atributů třídy User jméno popis sAMAccountName SAM Account Name, přihlašovací uživatelské jméno, které podporuje starší systémy sAMAccountType typ účtu userPrincipalName UPN, přihlašovací jméno uživatelského účtu ve tvaru <user>@<DNS-domain-name> displayName jméno, které využívají aplikace (třeba Exchange) givenName křestní jméno sn surname - příjmení description mail adresa elektronické pošty company jméno společnosti department oddělení ve firmě location umístění streetAddress ulice memberOf seznam skupin, kterých je členem Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Jmenný model Pro identifikaci objektů se používá Distinguished Name (DN), což je jednoznačný identifikátor objektu Obsahuje úplnou cestu k záznamu (pozici ve stromě). DN se skládá ze jména objektu a jmen jednotlivých kontejnerů a domén, které obsahují objekt, oddělených čárkou. cn=JanNovak,ou=zamestnanci,DC=firma,DC=cz Každá část DN je vzjádřena pomocí typ_atributu=hodnota např. ou=zamestnanci. LDAP atribut jméno AD atribut CN Common Name OU Organization Unit O Organization DC Domain Component C Country - Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Jmenný model V Active Directory se používá i zápis firma.cz/zamestnanci/JanNovak Navíc se ještě ke každému objektu používá v lese domé jednoznačný identifikátor GUID (128 bitové číslo Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Funkční model Funkční model LDAP definuje, co je možno dělat s informacemi v adresáři – 9 operací ve 3 skupinách: oblast operace popis autentizace (Authentication) bind inicializuje spojení, vyjednává o metodě autentizace, autentizuje unbind ukončí session abandon klient žádá o ukončení posílání výsledků na poslední dotaz dotazování (Interrogation) search výběr dat z určitého regionu pomocí filtru compare porovná hodnotu atributu se zadanou hodnotou aktualizace (Update) add vytvoří nový objekt modify upraví atributy záznamu (vytvořit, smazat, upravit) modify RDN slouží k přesunutí objektu v rámci stromu adresáře delete smazání záznamu Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

LDAP Dotazy Operace Search určuje Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Dotazy Operace Search určuje odkud se bude vyhledávat (DN kontejneru) hloubku hledání –např. jen v kontejneru, nebo v podstromu Filtr hledání: operace shoda – (atribut=hodnota) přibližná shoda – (atribut ~=hodnota) větší/menší než – (attribut>=hodnota) / (..<=..) logické operace AND - (&(filter1)(filter2)…) logické operace OR - (|(filter1)(filter2)…) logické operace NOT - (!(filter)) Možnost použít * jako zástup za cokoliv Například: (objectCategory=*) všechny objekty (&(objectClass=user)(!(cn=novak))) všichni uživatelé mimo Nováka Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

LDAP Bezpečnostní model Definuje práva k přístupu do LDAP adresáře. Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Bezpečnostní model Definuje práva k přístupu do LDAP adresáře. Autentizace Uživatel může být autentizován několika způsoby. Anonymní autentizace – v rámci operace bind nejsou serveru předávány žádné informace nesoucí identitu či heslo uživatele. Jednoduchá autentizace – pomocí DN a hesla (atributu userpassword). Tuto autentizaci je možno provádět i na bezpečném kanále TLS/SSL. V tomto případě nejprve dojde k výměně certifikátů obou stran (serveru i klienta). Teprve po ověření těchto certifikátů dojde k otevření spojení a vyvolání operace bind. Proxy autentizace – využívá existence definovaného uživatele, který má právo nahlížet na hesla ostatních uživatelů. Autentizace požadovaného uživatele tedy probíhá přes tento mezičlánek, který může například pomocí operace compare porovnat platnost zadaných údajů. PKI autentizace – založená na principu PKI digitálních certifikátů, které jsou uloženy v definovaném atributu userCertificate. SASL mechanizmus – disponuje množstvím zásuvných modulů, které můžeme využít pro autentizaci uživatele. Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

LDAP Bezpečnostní model Autorizace Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Bezpečnostní model Autorizace Určuje přístupová práva (Read, Write) Mohou být nastavena na úrovni: Kontejnerů (s případnýám děděním do podstromu) Na objekty Na atributy Např. uživatel může mít nastaveny práva Write na všechny své atributy, právo Read na atributy ostatních uživatelů a žádná práva k atributům userPassword Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Na adresářové službě je postaven celý Active Directory domén Microsoft Windows Existuje nástroj ldp.exe Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská