目錄
引入---LDAP協議
LDAP是Lightweight Directory Access Protocol的縮寫,指輕量級目錄訪問協議;這個主要是相對另一目錄訪問協議X.500而言的;LDAP略去了x.500中許多不太常用的功能,且以TCP/IP協議爲基礎, 一般使用389端口進行數據傳輸。目錄服務用於通過鍵-值類型格式存儲、整理及表達數據。一般來講,目錄會面向查找、搜索以及讀取操作做出優化,因此適用於經常引用但卻較少變更的數據。
目錄服務和數據庫很類似,但又有着很大的不同之處。數據庫設計爲方便讀寫,但目錄服務專門進行了讀優化的設計,因此不太適合於經常有寫操作的數據存儲。LDAP只是個協議。
優勢:
爲了集中管理,容易維護和優化,降低運維成本,在任何計算機平臺上,用很容易獲得的而且數目不斷增加的LDAP的客戶端程序訪問LDAP目錄,更容易定製應用程序企業引用LDAP服務器。
LDAP服務器可以用“推”或“拉”的方法複製部分或全部數據,例如:可以把數據“推”到遠程的辦公室,以增加數據的安全性。複製技術是內置在LDAP服務器中的而且很容易配置。如果要在DBMS(數據庫管理系統)中使用相同的複製功能,數據庫產商就會要你支付額外的費用,而且也很難管理。
LDAP允許你根據需要使用ACI(一般都稱爲ACL或者訪問控制列表)控制對數據讀和寫的權限。例如,設備管理員可以有權改變員工的工作地點和辦公室號碼,但是不允許改變記錄中其它的域。ACI可以根據誰訪問數據、訪問什麼數據、數據存在什麼地方以及其它對數據進行訪問控制。因爲這些都是由LDAP目錄服務器完成的,所以不用擔心在客戶端的應用程序上是否要進行安全檢查。
LDAP對於這樣4存儲這樣的信息最爲有用,也就是數據需要從不同的地點讀取,但是不需要經常更新。例如,這些信息存儲在LDAP目錄中是十分有效的:公司員工的電話號碼簿和組織結構圖;客戶的聯繫信息;計算機管理需要的信息,包括NIS映射、email假名,等等;軟件包的配置信息;公用證書和安全密匙。
協議概述
| 關鍵字 | 英文全稱 | 含義 |
| dc | Domain Component | 域名的部分,其格式是將完整的域名分成幾部分,如域名爲example.com變成dc=example,dc=com(一條記錄的所屬位置) |
| uid | User Id | 用戶ID songtao.xu(一條記錄的ID) |
| ou | Organization Unit | 組織單位,組織單位可以包含其他各種對象(包括其他組織單元),如“oa組”(一條記錄的所屬組織) |
| cn | Common Name | 公共名稱,如“Thomas Johansson”(一條記錄的名稱) |
| sn | Surname | 姓,如“許” |
| dn | Distinguished Name | “uid=songtao.xu,ou=oa組,dc=example,dc=com”,一條記錄的位置(唯一) |
| rdn | Relative dn | 相對辨別名,類似於文件系統中的相對路徑,它是與目錄樹結構無關的部分,如“uid=tom”或“cn= Thomas Johansson” |
LDAP目錄的結構用樹來表示:
換算成LDAP的描述:
樹(dc=support; dc=cti),分叉(ou=ou1, ou=ou2, ou=ou3),蘋果(cn=user1,cn=user2),
dn: cn=user1, ou=ou2, dc=cti, dc=support
dc :一條記錄的所屬區域;ou :一條記錄的所屬組織;cn/uid:一條記錄的名字/ID;dn :一條記錄的位置
總結
說的簡單點LDAP就是一個數據庫,但是又與一般的數據庫有所不同。我們知道,像MySQL數據庫,數據都是按記錄一條條記錄存在表中。而LDAP數據庫,是樹結構的,數據存儲在葉子節點上。打個比方:假設你要樹上的一個蘋果(一條記錄),你怎麼告訴園丁它的位置呢?當然首先要說明是哪一棵樹(dc,相當於MYSQL的DB),然後是從樹根到那個蘋果所經過的所有“分叉”(ou),最後就是這個蘋果的名字(uid,相當於MySQL表主鍵id)。這時我們可以清晰的指明這個蘋果的位置了。
AD域概述
AD,活動目錄Active Directory的縮寫,面向微軟服務器的目錄服務,LDAP協議(輕量級目錄訪問協議)下的一種產品。它爲用戶管理網絡環境各個組成要素的標識和關係提供了一種有力的手段;AD域就是一種服務。
Active Directory存儲了有關網絡對象的信息,並且讓管理員和用戶能夠輕鬆地查找和使用這些信息。Active Directory使用了一種結構化的數據存儲方式,並以此作爲基礎對目錄信息進行合乎邏輯的分層組織。
Active Directory 域內的 directory database(目錄數據庫)被用來存儲用戶賬戶、計算機賬戶、打印機和共享文件夾等對象,而提供目錄服務的組件就是 Active Directory (活動目錄)域服務(Active Directory Domain Service,AD DS),它負責目錄數據庫的存儲、添加、刪除、修改與查詢等操作。
特點
- 微軟基於AD的域模式,最大的優點是實現了集中式管理。
- 回收並管理普通用戶對客戶機的權限。
- AD是一個大的安全邊界,用戶只要在登錄時驗證了身份,這個域林中所有允許訪問資源都可以直接訪問,不用再做身份驗證,也提高的效率減少了維護成本。
- 對於用戶好處,通過文件夾的重定向可以將所有用戶桌面的“我的文檔”重定向到文件服務器上。
常用功能
- 用戶賬號管理
- 權限管理
- 軟件/補丁推送
AD域信任關係
創建域信任關係
域信任關係是有方向性的,如果A域信任B域,那麼A域的資源可以分配給B域的用戶;但B域的資源並不能分配給A域的用戶,如果想達到這個目的,需要讓B域信任A域纔可以。
如果A域信任了B域,那麼A域的域控制器將把B域的用戶賬號複製到自己的Active Directory中,這樣A域內的資源就可以分配給B域的用戶了。從這個過程來看,A域信任B域首先需要徵得B域的同意,因爲A域信任B域需要先從B域索取資源。
域的信任關係的主動權掌握在被信任域手中而不是信任域。A域信任B域,意味着A域的資源有分配給B域用戶的可能性,但並非必然性!如果不進行資源分配,B域的用戶無法獲得任何資源
域樹
域樹是Active Directory針對NT4的傳統域模型所進行的重要改進。在NT4時代的域模型中,每個域都要使用沒有層次結構的NETBIOS名稱,而且域和域之間缺少關聯,只能創建不能傳遞的域信任關係。
這會在企業管理方面造成諸多不利因素:
- 首先域和域之間很難根據域名判斷彼此間的隸屬關係,例如beijing域和shanghai域;
- 其次由於域之間的信任關係不可傳遞,在域數量較多時光是創建域之間的完全信任就要耗費大量時間。假定有10個域,那我們在10個域之間要建立45次信任關係才能讓這些域相互之間都完全信任。
- 域樹針對以上問題進行了很好的解決,域樹的父域和子域之間由於使用了層次分明的DNS域名,只要根據域名我們就可以判斷出兩個域的隸屬關係,例如有兩個域abc.com和test.abc.com,我們可以很輕易地判斷出後者是前者的子域。
AD域組策略
組策略是一個允許執行鍼對用戶或計算機進行配置的基礎架構。其實通俗地說,組策略和註冊表類似,是一項可以修改用戶或計算機設置的技術。那組策略和註冊表的區別在哪兒呢?註冊表只能針對一個用戶或一臺計算機進行設置;組策略卻可以針對多個用戶和多臺計算機進行設置。舉例:在一個擁有1000用戶的企業中,如果我們用註冊表來進行配置,我們可能需要在1000臺計算機上分別修改註冊表。但如果改用組策略,那隻要創建好組策略,然後通過一個合適的級別部署到1000臺計算機上就可以了。
組策略和Active Directory結合使用,可以部署在OU,站點和域的級別上,當然也可以部署在本地計算機上,但部署在本地計算機並不能使用組策略中的全部功能,只有和Active Directory配合,組策略纔可以發揮出全部潛力。 組策略部署在不同級別的優先級是不同的,本地計算機<站點<域<OU。 我們可以根據管理任務,爲組策略選擇合適的部署級別。
什麼是組策略對象?
組策略是通過“組策略對象(GPO)”來設定的,只要將GPO連接到指定的站點、域或OU、該GPO內的設定值就會影響到該站點,域或OU內的所有用戶於計算機。
組策略應用
1、賬戶策略設定
2、本地策略設定
3、部署軟件
- 思路是把要部署的軟件存儲在文件服務器的共享文件夾中
- 然後通過組策略告知用戶或計算機,某某服務器的某某文件夾有要安裝的軟件,趕緊去下載安裝。
- 設置好組策略,就可以等待客戶機自動進行軟件安裝了,完全不用在客戶機上一一進行部署了。
搭建AD域
環境:WindowsServer服務器(此次以widnowsServer2008 R2爲例)
1、【服務管理器】-->【角色】-->【添加角色】,然後直接【下一步】 (備註:其他服務也是這個入口)
2、在服務器角色對話中選擇【Active Directory域服務】(勾選之後會有一個彈窗),點擊【下一步】
3、繼續點擊【下一步】
4、點擊【安裝】,安裝成功後,點擊【關閉】
5、AD域安裝成功,在【角色】裏可以看到域服務。繼續進行域控服務的配置
6、繼續點擊【下一步】;我們是新建的域,所以選擇【在新林中新建域】,點擊【下一步】
7、配置“域名”,點擊【下一步】
8、繼續點擊兩次【下一步】
9、檢查【DNS配置】後,進入DNS配置,根據提示依次操作
10、配置爲默認,繼續各種【下一步】,進入最後的初始化操作
11、配置完成後,需要重啓服務器
注:
1、配置完成後,使用命令Gpresult 或者 gpresult /r 獲取組策略結果,檢查客戶端電腦是是否加入域,加入了域以後獲取的組策略結果。
2、每次在域服務器上面修改了組策略以後,如果需要策略立即生效的話,需要在域服務器上面和客戶端電腦上面都執行命令:Gpupdate /force 強制更新組策略。
AD域應用場景
(一)AD域用戶認證
部署深信服的桌面雲,用戶這邊的本身服務器內部有自己的微軟的ad域,VDC(虛擬數據中心)跟域控聯動,不需要額外的創建本地用戶,簡化方便部署運維。
1、在控制檯--【VDI設置】--【客戶機管理】--【認證設置】中對LDAP認證進行設置
2、點擊“新建”創建LDAP服務器;
3、輸入服務器名稱,點擊綠色加號添加服務器地址,端口號(默認爲389);
4、輸入管理員全路徑:服務器管理員賬戶@域名,管理員密碼:服務器管理員密碼,如圖中所示
5、選擇搜索入口,選擇域控服務器上用戶所在的組織架構,點擊【保存】。至此LDAP服務器就完成了新建工作。
6、在用戶管理界面新建一個用戶組,去掉【繼承上級用戶組關聯角色、認證方式和策略組】的勾,並選擇【外部認證】,右側欄中選擇剛纔搭建好的LDAP服務器,配置界面如下圖所示。
7、在LDAP認證服務器設置界面,點擊“導入用戶到本地”,進行用戶導入。
(二)虛擬機自動關聯到域
在桌面雲上面部署虛擬機後,在虛擬機開機使用後,VDC給虛擬機下發策略,讓虛擬機主動加入到域,並使用域用戶登錄到虛擬機。
1、在控制檯--【VDI設置】--【資源管理】--選擇需要編輯的資源,在【域配置與自動登錄】配置自動加入域跟登錄域,配置完成點擊確定。
常見的問題:
