Management počítačových sítí Počítačové sítě VUT v Brně Fakulta podnikatelská Management počítačových sítí Lekce 4 Technologie a protokoly managementu na úrovni aplikační vrstvy Lekce 4 – Management síťové vrstvy strana 1 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

Počítačové sítě VUT v Brně Fakulta podnikatelská DNS DNS sice nepatří do protokolů ani technik síťové vrstvy, ale je s ní přímo spjat…. <úvod do DNS> statické záznamy DDNS (dynamic DNS – RFC 2136 a RFC 2845) Využívá obvykle DHCP server, aby po přidělení adresy udělal záznam do DNS Active Directory využívá pro vytváření a aktualizaci srv záznamů Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

LDAP Adresář Co je adresář (directory): Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Adresář Co je adresář (directory): Databáze optimalizovaná na časté dotazy, nepodporuje transakce Hierarchická stromová struktura snadno replikovatelná Jednotlivé záznamy jsou informace o objektech Je možno omezit přístup k záznamům (ACL) V sítích se používá pro popis struktury objektů v síti uživatel Identifikace příjmení Jméno Os. číslo adresa stát Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

LDAP Adresářové služby Správa databáze adresáře Replikace Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Adresářové služby Správa databáze adresáře Replikace Poskytování informací uživatelům a službám Interface pro změny a rozšíření Autentizace/autorizace dotazů Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

LDAP Protokol LDAP (Lightweight Directory Access Protocol) Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Protokol LDAP (Lightweight Directory Access Protocol) Aplikační protokol pro dotazování a modifikace adresářových služeb Vyvinut pro architekturu TCP/IP Vznikl zjednodušením ISO/OSI standardu X.500 Komunikuje standardně na TCP xxxx Pro komunikaci používá formát LDIF (LDAP Data Interchange Format) Data jsou kódována pomocí LBER (Lightweight Basic Encoding Rules) ale ne z důvodů bezpečnosti (jednoduché dekódovat), ale z důvodů kompatibility – nehomogenity prostředí Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

LDAP LDAP je popsán pomocí 4 modelů: Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP LDAP je popsán pomocí 4 modelů: Informační model (schema) – popisuje strukturu informací (atributy)v adresáři Jmenný model – popisuje, jak jsou informace odkazovány Funkční model – popisuje, co může být s informacemi provedeno Bezpečnostní model – popisuje, jak jsou informace chráněny Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

LDAP Informační model LDAP - Schéma: Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Informační model LDAP - Schéma: Adresář LDAP je založen na objektové architektuře Jednotka informace je tedy instance objektu Struktura objektu je dána třídou objektu (objectClass) – např. user, computer, organizationalUnit, domain, container, group (objekt může být zařazen do více tříd) , dědičnost Jemnější členění je podle kategorií (objectCategory) – objekt může být jen v jedné kategorii – např. user, computer, group, organizationalUnit,… Každý objekt má podle třídy definované vlastnosti – atributy – mohou být jednohodnotové nebo tabulkové Atributy mají definovaný typ např. text, celé číslo,… a např povinnost vyplnění I atributy mohou být definované v souboru schematu a mohou být dědičné Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

LDAP Příklad atributů třídy User Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Příklad atributů třídy User jméno popis sAMAccountName SAM Account Name, přihlašovací uživatelské jméno, které podporuje starší systémy sAMAccountType typ účtu userPrincipalName UPN, přihlašovací jméno uživatelského účtu ve tvaru <user>@<DNS-domain-name> displayName jméno, které využívají aplikace (třeba Exchange) givenName křestní jméno sn surname - příjmení description mail adresa elektronické pošty company jméno společnosti department oddělení ve firmě location umístění streetAddress ulice memberOf seznam skupin, kterých je členem Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Jmenný model Pro identifikaci objektů se používá Distinguished Name (DN), což je jednoznačný identifikátor objektu Obsahuje úplnou cestu k záznamu (pozici ve stromě). DN se skládá ze jména objektu a jmen jednotlivých kontejnerů a domén, které obsahují objekt, oddělených čárkou. cn=JanNovak,ou=zamestnanci,DC=firma,DC=cz Každá část DN je vzjádřena pomocí typ_atributu=hodnota např. ou=zamestnanci. LDAP atribut jméno AD atribut CN Common Name OU Organization Unit O Organization DC Domain Component C Country - Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Jmenný model V Active Directory se používá i zápis firma.cz/zamestnanci/JanNovak Navíc se ještě ke každému objektu používá v lese domé jednoznačný identifikátor GUID (128 bitové číslo Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Funkční model Funkční model LDAP definuje, co je možno dělat s informacemi v adresáři – 9 operací ve 3 skupinách: oblast operace popis autentizace (Authentication) bind inicializuje spojení, vyjednává o metodě autentizace, autentizuje unbind ukončí session abandon klient žádá o ukončení posílání výsledků na poslední dotaz dotazování (Interrogation) search výběr dat z určitého regionu pomocí filtru compare porovná hodnotu atributu se zadanou hodnotou aktualizace (Update) add vytvoří nový objekt modify upraví atributy záznamu (vytvořit, smazat, upravit) modify RDN slouží k přesunutí objektu v rámci stromu adresáře delete smazání záznamu Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

LDAP Dotazy Operace Search určuje Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Dotazy Operace Search určuje odkud se bude vyhledávat (DN kontejneru) hloubku hledání –např. jen v kontejneru, nebo v podstromu Filtr hledání: operace shoda – (atribut=hodnota) přibližná shoda – (atribut ~=hodnota) větší/menší než – (attribut>=hodnota) / (..<=..) logické operace AND - (&(filter1)(filter2)…) logické operace OR - (|(filter1)(filter2)…) logické operace NOT - (!(filter)) Možnost použít * jako zástup za cokoliv Například: (objectCategory=*) všechny objekty (&(objectClass=user)(!(cn=novak))) všichni uživatelé mimo Nováka Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

LDAP Bezpečnostní model Definuje práva k přístupu do LDAP adresáře. Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Bezpečnostní model Definuje práva k přístupu do LDAP adresáře. Autentizace Uživatel může být autentizován několika způsoby. Anonymní autentizace – v rámci operace bind nejsou serveru předávány žádné informace nesoucí identitu či heslo uživatele. Jednoduchá autentizace – pomocí DN a hesla (atributu userpassword). Tuto autentizaci je možno provádět i na bezpečném kanále TLS/SSL. V tomto případě nejprve dojde k výměně certifikátů obou stran (serveru i klienta). Teprve po ověření těchto certifikátů dojde k otevření spojení a vyvolání operace bind. Proxy autentizace – využívá existence definovaného uživatele, který má právo nahlížet na hesla ostatních uživatelů. Autentizace požadovaného uživatele tedy probíhá přes tento mezičlánek, který může například pomocí operace compare porovnat platnost zadaných údajů. PKI autentizace – založená na principu PKI digitálních certifikátů, které jsou uloženy v definovaném atributu userCertificate. SASL mechanizmus – disponuje množstvím zásuvných modulů, které můžeme využít pro autentizaci uživatele. Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

LDAP Bezpečnostní model Autorizace Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Bezpečnostní model Autorizace Určuje přístupová práva (Read, Write) Mohou být nastavena na úrovni: Kontejnerů (s případnýám děděním do podstromu) Na objekty Na atributy Např. uživatel může mít nastaveny práva Write na všechny své atributy, právo Read na atributy ostatních uživatelů a žádná práva k atributům userPassword Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská

Počítačové sítě VUT v Brně Fakulta podnikatelská LDAP Na adresářové službě je postaven celý Active Directory domén Microsoft Windows Existuje nástroj ldp.exe Lekce 4 – Management síťové vrstvy strana 2 Ing. Viktor Ondrák, Ph.D. Vysoké ušení technické v Brně, fakulta podnikatelská