Поделиться
08. Сервис NetLogon. Журнал изменений.doc
Сервис NetLogon обеспечивает пользователей единой точкой входа в доменный PDC и все BDC. Сервис Net Logon синхронизирует изменения в базе данных каталога, сохраненные на PDC и всех доменных контроллерах. Размер базы данных каталога ограничен только допустимым количеством записей в реестре и производительностью компьютера.
Сервис NetLogon системы Windows Server автоматически синхронизирует базу данных каталога. В соответствии с установками в реестре PDC посылает периодические извещения, сигнализирующие I3DC о том, что надо запросить у PDC изменения в базе данных. Извещения посылаются таким образом, чтобы не все BDC запрашивали изменения одновременно. Когда BDC запрашивает изменения, он информирует PDC о последнем изменении, которое было им получено. Таким образом, PDC всегда «знает», какие BDC нуждаются в получении изменений. Если на определенном BDC база данных совпадает с актуальной, тогда сервис NetLogon на BDC не запрашивает изменений.
Изменения в базе данных каталога включают ввод новых или измененных паролей, новых или измененных бюджетов пользователей или групп, а также другой пользовательской или групповой информации и любых изменений ассоциированного членства в группах и прав пользователей.
Изменения в доменной базе данных каталога записываются в журнале изменений (change log). Размер этого журнала определяется тем, как долго необходимо хранить изменения. По умолчанию, сервис NetLogon обновляет журнал каждые 5 минут, и этот журнал содержит около 2000 изменений. Как только добавляется новое изменение, самое старое изменение удаляется. Когда BDC запрашивает изменения, то ему передаются все изменения, которые произошли с момента последней синхронизации.
Журнал изменений хранит только последние изменения. Если I3DC не производит периодических запросов изменений, то вся доменная база данных каталога должна быть скопирована на этот BDC. Например, если BDC отключен в течение некоторого времени, может оказаться, что за это время произошло больше изменений, чем было сохранено в журнале.
Частичная синхронизация (partial synchronisation) - это периодическая автоматическая репликация изменений базы данных каталога, которые произошли с момента предыдущей синхронизации, на все BDC.
Полная синхронизация (full synchronisation) - это копирование всей базы данных каталога на BDC. Полная синхронизация производится автоматически, когда изменения были удалены из журнала перед тем, как произошла репликация или, когда к домену добавляется новый BDC. По умолчанию, установки сервиса NetLogon предполагают периодические изменения (каждые 5 минут), и размер журнала изменений может содержать около 2000 записей. Такие установки гарантируют, что при обычных условиях полная синхронизация не требуется.
Сервис NetLogon принимает запросы на вход от любого клиента и обеспечивает полную информацию для аутентификации из базы данных каталога.
Сервис NetLogon работает на любом компьютере с Windows Server, который является членом домена. Для работы NetLogon требуется сервис рабочей станции (Workstation). Он также требует права Access This Computer Nот the Network, которое устанавливается утилитой User Manager на компьютерах, работающих под управлением Windows Server, или User Manager for Domains — на доменных контроллерах. Доменный контроллер также требует, чтобы был активизирован сервис сервера (Server).
На ПК, работающем под управлением Windows 200’X Server, по не являющемся контроллером домена, сервис NetLogon обрабатываем запросы на вход для локального компьютера и передает их контроллеру домена.
Ниже приведена последовательность этапов аутентификации запросов на вход в систему, обрабатываемых сервисом NetLogon:
Ø Определение (Discovery).
Ø Установка защищенного канала.
Ø Сквозная аутентификация (если необходимо).
Домен (domain) — это логическая группировка сетевых серверов и других компьютеров, которые разделяют общую систему безопасности и информацию о бюджетах пользователей. Внутри доменов администраторы создают один бюджет пользователя для каждого пользователя. Зарегистрировавшись в домене, пользователи не должны регистрироваться на каждом из его индивидуальных серверов.
фиксации пользователей, входящих в домены, доменный контроллер Windows использует информацию, содержащуюся е базе данных каталога. Существуют два типа доменных контроллеров:
Ø Главный контроллер домена (Primary Domain Controller, PDC), который следит за изменениями, производимыми над информацией о бюджетах домена, и сохраняет информацию в базе данных каталога. Каждый домен имеет один PDC
ØРезервный контроллер домена (Backup Domain Controller, BDC), который хранит копию базы данных каталога. Он периодически выполняет синхронизацию этой копии с базой данных каталога, находящейся» а PDC. Домен может иметь множество BDC
Компьютеры, работающие под управлением операционной системы Windows Server, могут быть сконфигурированы как серверы-члены домена. Такие серверы не сохраняют информацию о базе данных каталога и поэтому не производят аутентификацию пользователей и не принимают синхронизированных копий базы данных каталога. Эти серверы выполняют другие функции, например, работают в качестве как принтерного или файлового сервера, или сервера приложений (если на сервере работает приложение, обрабатывающее большие объемы данных, такие как базы данных).
Сервис каталога Windows Server обеспечивает безопасность взаимодействия между множеством доменов посредством доверительных отношений. Доверительные отношения - это связь, соединяющая два домена в один административный блок, который может давать доступ к ресурсам обоих доменов.
Существует два типа доверительных отношений:
Ø Односторонние доверительные отношения (one-way trust relationship). Эти отношения подразумевают, что один домен доверяет пользователям другого домена использовать свои ресурсы. Более точно, один домен доверяет контроллерам другого домена проверку бюджетов пользователей на предмет возможности использования ими ресурсов первого домена. Ресурсы, которые становятся доступными пользователям, находятся в доверяющем домене (trusting domain), а имена пользователей и пользовательская информация, которая проверяется для доступа пользователей к этим ресурсам, находятся в доверяемом домене (trusted domain). Если пользователь находится в доверяющем домене, и ему необходимо использовать ресурсы, находящиеся в доверяемом домене, это требует двусторонних доверительных отношений
Ø Двусторонние доверительные отношения (two-way trust relationship) — это два односторонних доверительных отношения. Каждый домен доверяет пользователям другого домена. Пользователи могут входить в свой домен или в другой домен с компьютеров, находящихся в любом домене. Каждый домен имеет свои собственные бюджеты и ресурсы. Для определения прав доступа к ресурсам в каждом из двух доменов могут быть использованы глобальные бюджеты пользователей и глобальные группы любого из двух доменов
С помощью File Manager пользователям из доверяемого домена можно предоставить права доступа к объектам в доверяющем домене, как будто они являются членами доверяющего домена. Пользователи в доверяемом домене могут просматривать ресурсы в доверяющем домене в соответствии со своими правами.
Например, предположим, что домен Samara доверяет домену Langepas в корпоративной сети. Пользователь Э.П., который является членом домена Langepas, хочет получить доступ к файлу Myfile.txt, который находится на компьютере, принадлежащем домену Samara. Когда Э.П. пытается зарегистрироваться в домене Samara, его пользовательская информация не передается в базу данных бюджетов пользователей домена Samara. Поскольку домен Samara доверяет домену Langepas, он имеет доступ к пользовательской информации базы данных бюджетов пользователей в домене Langepas.
Установка Windows Server может обеспечивать различные уровни безопасности для действий пользователя в домене и на компьютере соответственно.
Можно определить четыре типа политики безопасности, которая применяется целиком к домену:
Ø Политика бюджетов (Account policy) контролирует, как пользователи используют пароли
Ø Политика аудита (Audit policy) контролирует типы событий, записываемых в журнал безопасности
Ø Политика доверительных отношений (Trust relationship policy) контролирует, какой домен является доверяемым, какой — доверяющим. Доверительные отношения требуют двух или более доменов. Политика эта возможна также и при использовании модели единичного домена (где существует только один домен), если только административным компьютером в домене является контроллер домена
Ø Политика прав пользователя (User Rights policy) контролирует права доступа, назначенные групповым и пользовательским бюджетам. Права пользователей работают на уровне домена и также влияют на общую безопасность домена.
Каждый компьютер, работающий под управлением Windows Server и входящий в домен, имеет свой собственный бюджет в базе данных каталога, называемый компьютерным бюджетом (computer account). Компьютерный бюджет создается, когда компьютер впервые идентифицирован в домене (а не в рабочей группе) по время установки сети, или, когда администратор использует утилиту Server Manager для создания компьютерного бюджета.
Когда компьютер, работающий под управлением Windows Server, входит в сеть, сервис NetLogon на клиентском компьютере создает защищенный канал связи (secure communication channel) с сервисом NetLogon на сервере. Защищенный канал связи существует, когда компьютеры на каждом конце соединения убеждены, что компьютер на другом конце правильно себя идентифицировал. Компьютер идентифицирует себя, используя компьютерный бюджет. Когда установлен защищенный канал связи, между двумя компьютерами может быть начат сеанс связи.
Для поддержки безопасности в течение сеанса связи между рабочей станцией и сервером, между главным и резервным контроллерами домена и между обоими доменами в доверительных отношениях образуются внутренние доверительные бюджеты.
Компьютерные бюджеты и защищенные каналы обеспечивают администраторам возможность удаленного управления рабочими станциями и серверами. Кроме того, они влияют на отношения между рабочими станциями и серверами домена, а также между основным и резервными контроллерами домена.
Компьютерный бюджет является частью прямых односторонних доверительных отношений между клиентским компьютером и контроллером его домена, рабочие станции запрашивают аутентификацию входа пользователя в систему у доменного сервера тем же путем, каким серверы доверяющего домена запрашивают проверку у сервера в доверяемом домене. Эти доверительные отношения дают возможность администратору выбирать рабочую станцию или сервер домена для администрирования так же, как они выбирают домен.
При создании компьютерного бюджета для рабочей станции или сервера к их локальной группе Administrators автоматически присоединяется глобальная группа Domain Admins. Администраторы доменов могут затем использовать утилиты Windows NT Server для удаленного управления бюджетами компьютеров, пользователей или групп, включая присоединение глобальных групп к компьютерным локальным группам. На самом компьютере администраторы домена могут выполнять любые функции, которые позволены локальной группе Administrators.
Для доменных контроллеров компьютерные бюджеты связывают BDC с PDC и объединяют пары доверяющих и доверяемых доменов. Серверные доверительные бюджеты, которые создаются при образовании защищенного канала связи, позволяют BDC копировать основную базу с PDC. Междоменные бюджеты доверия позволяют доменным контроллерам в доверяемом домене производить аутентификацию бюджетов пользователей для доверяющего домена.
Windows Server имеет открытую сетевую архитектуру, которая обеспечивает гибкость при соединении с другими сетевыми продуктами. Клиентские компьютеры, на которых запущены системы, отличные от Windows Server, могут взаимодействовать с компьютерами в домене Windows Server. Однако они не имеют доменных компьютерных бюджетов и поэтому не имеют системы безопасности, характерной для Windows Server. Пользователи других операционных систем могут иметь пользовательские бюджеты, сохраненные в базе данных, но компьютер сам по себе не имеет системы безопасности, которая ограничивает доступ к его собственным ресурсам. Компьютеры, работающие под управлением Windows Server, могут взаимодействовать с серверами и клиентами других операционных систем различные протоколы и другое программное обеспечение, которое делает возможным подобное взаимодействие, включено в дистрибутив Windows NT Server или может быть получено отдельно.
Рабочая группа (workgroup) — это совокупность компьютеров (не пользователей), которые формируют административный блок и не принадлежат к I домену. 13 рабочей группе каждый компьютер содержит собственную информацию по бюджетам пользователей и групп, и, в отличие от доменных контроллеров, не разделяет эту информацию с другими компьютерами рабочей группы.
Члены рабочей группы регистрируются только на рабочей станции и могут по сети просматривать каталоги других членов рабочей группы.
Компьютеры, работающие под управлением Windows NT Workstation, Windows Server, Windows for Workgroups или Windows 95, могут принимать участие в домене или рабочей группе. Когда для работы в сети устанавливается один из этих компьютеров, вы указываете имя компьютера и имя рабочей группы. Если имя рабочей группы совпадает с именем домена, то имя компьютера появляется в списке просмотра имен компьютеров для данного домена. Компьютер может просматривать компьютеры, работающие под управлением Windows NT Server или Windows NT Workstation, которые входят в домен или рабочую группу. При установке Windows NT вы можете указывать, должен ли компьютер входить в домен Windows NT Server или в рабочую группу.
Доступ в сеть под управлением Windows NT Server встроен в Windows 95. Пользователи, работающие под управлением Windows 95 и имеющие бюджет в домене, могут регистрироваться на сервере или в домене таким же образом, как пользователи, работающие с Windows NT Workstation. Пользователи Windows 95 при входе в сеть проверяются как доменными контроллерами Windows NT Server, так и доменными контроллерами LAN Manager 2.x.
Перед тем, как что-то сделать в системе Windows, пользователь должен войти в эту систему, сообщив ей свое имя и пароль. Пользователь Windows использует имя для идентификации и пароль для проверки. На различных уровнях ресурсы защищаются различными процессами, но безопасность при входе защищает всю систему и весь доступ к домену или компьютеру. Процесс входа в систему требует от пользователя его идентификации в домене или компьютере. Имя и пароль, которые пользователь вводит в диалоговом окне Logon Information, проверяются в каждой из компьютерных баз данных (если пользователь входит в пользовательский бюджет, определенный на этом компьютере) или в доменной базе данных каталога (если пользователь входит в доменный пользовательский бюджет).
После того как бюджет пользователя аутентифицирован. он может быть использован для работы всеми сетевыми сервисами Windows Server и совместимыми серверными приложениями, такими как набор серверных продуктов Microsoft BackOffice™. Через сервис каталогов аутентификация даёт возможность пользователю, входящему в один домен Windows Server, использовать другие приложения, такие как Microsoft SQL Server и Microsoft Exchange Server, и сетевые сервисы, такие как Services for Macintosh.
Начальный процесс входа в Windows Server является интерактивным. Это значит, что пользователь должен вводить информацию с клавиатуры в ответ на запросы диалогового окна, которое появляется на экране. Система Windows предоставляет или запрещает доступ, основываясь на информации, которую сообщает пользователь.
Интерактивный процесс входа в сеть и проверки пользователя состоит из следующих шагов:
Ø Пользователь нажимает комбинацию клавиш <Ctrl>+<Ali>+<Del>.
Ø Когда пользователь сообщает свое имя и пароль, процесс входа в систему вызывает LSA.
Ø LSA запускает соответствующий пакет аутентификации.
Ø Пакет аутентификации проверяет базу данных бюджетов пользователей с целью установить, определен ли пользователь локально. Если это так, имя пользователя и его пароль проверяются в соответствии с информацией, записанной в базе данных пользовательских бюджетов. Если пользователь не определен в локальной базе данных, то запрос на вход в сеть перенаправляется альтернативному пакету аутентификации.
Ø Когда бюджет пользователя проверен, SAM (который владеет базой бюджетов пользователей) возвращает идентификатор безопасности пользователя и идентификатор безопасности любой глобальной группы, к которой принадлежит пользователь.
Ø Пакет аутентификации создает сеанс входа (logon session) и передает этот сеанс и пользовательский идентификатор безопасности в LSA.
Ø Если вход в сеть отклонен, то сеанс регистрации уничтожается, и процессу возвращается код ошибки. Если вход в систему не отклонен, то создается маркер доступа, содержащий пользовательский идентификатор безопасности, а также идентификатор безопасности для группы Everyone и других групп. Кроме того, маркер доступа содержит права пользователя (описанные в следующем разделе), которые даны всем вышеперечисленным идентификаторам безопасности. Этот маркер доступа возвращается процессу вместе со статусом Success (Успех).
Ø Для создания процесса и присоединения к нему маркера доступа сеанс входа вызывает подсистему Win32, создавая таким образом субъект для пользователя. (Субъект описан ранее в этой лекции, посвященном субъектам и имперсонации)
Ø Для интерактивного сеанса Windows подсистема Win32 активизирует пользовательский desktop.
После завершения процесса проверки запускается процесс оболочки пользователя (то есть процесс, активизирующий desktop пользователя), и ему передастся маркер доступа. Информация в маркере доступа отражает все, что пользователь делает или любой процесс, который он запускает.
Замечание
Windows имеет возможность поддерживать множество пакетов аутентификации, которые реализованы в пиле модулей DLL. Эта гибкость позволяет разработчикам программного обеспечения третьих фирм интегрировать с Windows пакеты аутентификации собственной разработки. Например, если разработчика сетевого программного обеспечения не устраивает стандартный пакет аутентификации Windows NT, он может добавить еще один пакет, который позволит пользователям одновременно с входом в сеть Windows NT входит и в его сеть.
Процесс аутентификации активизируется двумя процессами входа в систему:
Ø Интерактивный вход (Interactive Logon)
Ø Удаленный вход (Remote Logon)
Аутентификация при интерактивном входе
Интерактивный вход в систему имеет место, когда пользователь вводит информацию в диалоговом окне Logon Information. В зависимости от того, где создан бюджет пользователя, в поле Domain пользователь выбирает имя домена или имя компьютера, которое будет использовано при входе. Если компьютер является членом рабочей группы, а не домена, то диалоговое окно Logon Information не будет содержать поле ввода имени домена.
Скачано с www.znanio.ru
Материалы на данной страницы взяты из открытых источников либо размещены пользователем в соответствии с договором-офертой сайта. Вы можете сообщить о нарушении.
