احراز هویت در اکتیو دایرکتوری

اکتیو دایرکتوری چیست؟

Active Directory که با اختصار AD نشان داده میشود یکی از سرویسهای مایکروسافت است که بر روی ویندوز سرور پیاده سازی و اجرا میشود. هدف آن فراهم کردن مدیریت ساختار یافته جهت احراز هویت و تعیین مجوزهای دسترسی کاربران برای کامپیوترهای مجهز به سیستم عامل ویندوزی درشبکه می‌باشد.
دادههایی که در AD ذخیره میشوند، به سه دسته تقسیم میشوند: منابع، سرویسها و کاربران.

شبکهای که از AD استفاده نمیکند به عبارتی Domain Model نیست. بصورتیکه اگر نیاز به تغییراتی در سیستمها باشد، میبایستی تغییرات روی تک تک سیستمها اعمال شود.

احراز هویت در اکتیو دایرکتوری چه کاری را انجام می‌دهد؟

احراز هویت فرآیندی برای تأیید هویت یک شئ، سرویس یا شخص است. هنگامی که یک شئ را احراز هویت میکنید، هدف این است که صحت آن شئ را تأیید کنید. هنگامی که شما یک سرویس یا شخص را احراز هویت میکنید، هدف تأیید صحت اعتبارنامههای ارائه شده است.
در زمینه شبکه، احراز هویت عمل اثبات هویت به برنامه یا منبع شبکه است. به طور معمول، هویت با یک عملیات رمزنگاری اثبات میشود که از کلیدی استفاده میکند که فقط کاربر میداند. ذخیره سازی کلیدهای رمزنگاری در یک مکان مرکزی امن، فرآیند احراز هویت را مقیاس پذیر و قابل نگهداری میکند. Active Directory Domain Services (ADDS) فناوری پیشنهادی و پیش‌فرض برای ذخیره اطلاعات هویت است.

احراز هویت در اکتیو دایرکتوری

زیرساخت AD

در زیرساخت، از پروتکل‌های احراز هویت مختلف (مانند: LM، NTML، NTMLv2، Kerberos، LDAP) برای تأیید کاربران و دادن دسترسی به یک دامنه استفاده می‌شود.

سرویس اصلی در AD، سرویس دامین است. ADDS این سرویس، اطلاعات دایرکتوری را ذخیره می‌کند و تعاملات کاربران را در دامین کنترل می‌کند. وقتی کاربری به دستگاهی وصل می‌شود یا سعی می‌کند به سرور روی شبکه وصل شود، ADDS دسترسی را بررسی می‌کند. ADDS کنترل می‌کند کدام کاربر به کدام منابع دسترسی دارد بطور مثال ادمین نسبت به کاربر معمولی، سطح دسترسی متفاوتی به دیتا دارد.

AD از Kerberos پشتیبانی میکند. Kerberos یک استاندارد باز است و قابلیت همکاری با سیستمهای دیگر را که از همان استاندارد استفاده میکنند، فراهم میکند. این پروتکل با استفاده از رمزنگاری کلید مخفی، احراز هویت قوی را برای مشتریان و سرورها ارائه میدهد.

احراز هویت AD فرآیندی است که معمولاً از پروتکل Kerberos پیروی میکند که در آن کاربران باید با استفاده از اعتبار خود برای دسترسی به منابع وارد سیستم شوند. Kerberos یک پروتکل امنیتی است که در آن کاربران برای دسترسی به منابع سازمان تنها یک بار باید وارد سیستم شوند. به‌جای انتقال اعتبار کاربر از طریق شبکه، یک کلید جلسه برای کاربر ایجاد می‌شود که برای یک دوره زمانی تعیین‌شده دوام می‌آورد و امکان احراز هویت انعطاف‌پذیر را فراهم می‌کند. همراه با کلید جلسه، اطلاعات رمزی ایجاد می‌شود که شامل تمام حقوق دسترسی و خط‌مشی‌های متصل به کاربر است و اطمینان حاصل می‌کند که کاربر به منابعی که حقش است دسترسی دارد.

اکتیو دایرکتوری

فرآیند احراز هویت در اکتیو دایرکتوری به این صورت است که:


مشتری یک بلیط احراز هویت از سرور AD درخواست می کند.
سرور AD بلیط را به مشتری برمی گرداند.
مشتری این بلیط را به سرور پایانی ارسال می کند.
سپس سرور یک تاییدیه احراز هویت را به مشتری بر میگرداند.
در حقیقت، بعد از احراز هویت، کاربر امکان دسترسی به تمام منابع را دارد. اما آنچه که کاربران را محدود می‌سازد مجوزها و سطح دسترسی‌های تعیین شده می‌باشد.

مزایای راه اندازی AD:
نگهداری اطلاعات کاربران

اطلاعات کاربران مانند نام کاربری , رمز عبور , اطلاعات تماس و … بطور متمرکز برروی AD ثبت میشود که موجب دسترسی سریع و مدیریت متمرکز را دارند.

DHCP سرور چیست ؟

امنیت

با راه اندازی این سرویس ادمین میتواند امنیت شبکه را ایجاد کند. همچنین قابلیت شناسایی و احراز هویت هر شئ در هر جایی از شبکه را دارد.

مقیاس پذیری

به دلیل متمرکز بودن اطلاعات و مدیریت میتواند اطلاعات زیادی را در خود جای داده و مدیریت کند.

توسعه پذیری

در AD علاوه بر اشیاء (کامپیوتر، کاربر،…) از پیش تعریف شده، میتوان در صورت افزایش کاربران اشیاء جدیدی را تعریف و مدیریت کرد.

نظارت و مدیریت

باتوجه به ماهیت AD، میتوان به دسترسی و سطح فعالیت کاربران نظارت داشت. همچنین در جهت ارتقای امنیت می‌توان شبکه را هر هفته به قابلیت امنیتی جدیدی تجهیز کرد.

سیاست پذیری

با اعمال سیاست‌های مختلف تحت شبکه، میتوان شبکه را در جهت هدف خاصی پیش برد.

تبادل اطلاعات بین سرورها

 اطلاعات بین سرورهای مختلف رد و بدل میشود به عبارتی سرورها با آخرین تغییرات شبکه آگاه هستند. مثلاً کاربر تازه وارد به محض ورود، توسط کلیه سرورها قابل شناسایی است و می‌تواند به محض ورود از کلیه سرویس ها استفاده کند.

نشانه گذاری

جهت امنیت، جابهجایی اطلاعات بین سرورها بصورت رمزنگاری شده انجام میگردد.

اسکرول به بالا