اکتیو دایرکتوری چیست؟
Active Directory که با اختصار AD نشان داده میشود یکی از سرویسهای مایکروسافت است که بر روی ویندوز سرور پیاده سازی و اجرا میشود. هدف آن فراهم کردن مدیریت ساختار یافته جهت احراز هویت و تعیین مجوزهای دسترسی کاربران برای کامپیوترهای مجهز به سیستم عامل ویندوزی درشبکه میباشد.
دادههایی که در AD ذخیره میشوند، به سه دسته تقسیم میشوند: منابع، سرویسها و کاربران.
شبکهای که از AD استفاده نمیکند به عبارتی Domain Model نیست. بصورتیکه اگر نیاز به تغییراتی در سیستمها باشد، میبایستی تغییرات روی تک تک سیستمها اعمال شود.
احراز هویت در اکتیو دایرکتوری چه کاری را انجام میدهد؟
احراز هویت فرآیندی برای تأیید هویت یک شئ، سرویس یا شخص است. هنگامی که یک شئ را احراز هویت میکنید، هدف این است که صحت آن شئ را تأیید کنید. هنگامی که شما یک سرویس یا شخص را احراز هویت میکنید، هدف تأیید صحت اعتبارنامههای ارائه شده است.
در زمینه شبکه، احراز هویت عمل اثبات هویت به برنامه یا منبع شبکه است. به طور معمول، هویت با یک عملیات رمزنگاری اثبات میشود که از کلیدی استفاده میکند که فقط کاربر میداند. ذخیره سازی کلیدهای رمزنگاری در یک مکان مرکزی امن، فرآیند احراز هویت را مقیاس پذیر و قابل نگهداری میکند. Active Directory Domain Services (ADDS) فناوری پیشنهادی و پیشفرض برای ذخیره اطلاعات هویت است.
زیرساخت AD
در زیرساخت، از پروتکلهای احراز هویت مختلف (مانند: LM، NTML، NTMLv2، Kerberos، LDAP) برای تأیید کاربران و دادن دسترسی به یک دامنه استفاده میشود.
سرویس اصلی در AD، سرویس دامین است. ADDS این سرویس، اطلاعات دایرکتوری را ذخیره میکند و تعاملات کاربران را در دامین کنترل میکند. وقتی کاربری به دستگاهی وصل میشود یا سعی میکند به سرور روی شبکه وصل شود، ADDS دسترسی را بررسی میکند. ADDS کنترل میکند کدام کاربر به کدام منابع دسترسی دارد بطور مثال ادمین نسبت به کاربر معمولی، سطح دسترسی متفاوتی به دیتا دارد.
AD از Kerberos پشتیبانی میکند. Kerberos یک استاندارد باز است و قابلیت همکاری با سیستمهای دیگر را که از همان استاندارد استفاده میکنند، فراهم میکند. این پروتکل با استفاده از رمزنگاری کلید مخفی، احراز هویت قوی را برای مشتریان و سرورها ارائه میدهد.
احراز هویت AD فرآیندی است که معمولاً از پروتکل Kerberos پیروی میکند که در آن کاربران باید با استفاده از اعتبار خود برای دسترسی به منابع وارد سیستم شوند. Kerberos یک پروتکل امنیتی است که در آن کاربران برای دسترسی به منابع سازمان تنها یک بار باید وارد سیستم شوند. بهجای انتقال اعتبار کاربر از طریق شبکه، یک کلید جلسه برای کاربر ایجاد میشود که برای یک دوره زمانی تعیینشده دوام میآورد و امکان احراز هویت انعطافپذیر را فراهم میکند. همراه با کلید جلسه، اطلاعات رمزی ایجاد میشود که شامل تمام حقوق دسترسی و خطمشیهای متصل به کاربر است و اطمینان حاصل میکند که کاربر به منابعی که حقش است دسترسی دارد.
فرآیند احراز هویت در اکتیو دایرکتوری به این صورت است که:
مشتری یک بلیط احراز هویت از سرور AD درخواست می کند.
سرور AD بلیط را به مشتری برمی گرداند.
مشتری این بلیط را به سرور پایانی ارسال می کند.
سپس سرور یک تاییدیه احراز هویت را به مشتری بر میگرداند.
در حقیقت، بعد از احراز هویت، کاربر امکان دسترسی به تمام منابع را دارد. اما آنچه که کاربران را محدود میسازد مجوزها و سطح دسترسیهای تعیین شده میباشد.
مزایای راه اندازی AD:
نگهداری اطلاعات کاربران
اطلاعات کاربران مانند نام کاربری , رمز عبور , اطلاعات تماس و … بطور متمرکز برروی AD ثبت میشود که موجب دسترسی سریع و مدیریت متمرکز را دارند.
امنیت
با راه اندازی این سرویس ادمین میتواند امنیت شبکه را ایجاد کند. همچنین قابلیت شناسایی و احراز هویت هر شئ در هر جایی از شبکه را دارد.
مقیاس پذیری
به دلیل متمرکز بودن اطلاعات و مدیریت میتواند اطلاعات زیادی را در خود جای داده و مدیریت کند.
توسعه پذیری
در AD علاوه بر اشیاء (کامپیوتر، کاربر،…) از پیش تعریف شده، میتوان در صورت افزایش کاربران اشیاء جدیدی را تعریف و مدیریت کرد.
نظارت و مدیریت
باتوجه به ماهیت AD، میتوان به دسترسی و سطح فعالیت کاربران نظارت داشت. همچنین در جهت ارتقای امنیت میتوان شبکه را هر هفته به قابلیت امنیتی جدیدی تجهیز کرد.
سیاست پذیری
با اعمال سیاستهای مختلف تحت شبکه، میتوان شبکه را در جهت هدف خاصی پیش برد.
تبادل اطلاعات بین سرورها
اطلاعات بین سرورهای مختلف رد و بدل میشود به عبارتی سرورها با آخرین تغییرات شبکه آگاه هستند. مثلاً کاربر تازه وارد به محض ورود، توسط کلیه سرورها قابل شناسایی است و میتواند به محض ورود از کلیه سرویس ها استفاده کند.
نشانه گذاری
جهت امنیت، جابهجایی اطلاعات بین سرورها بصورت رمزنگاری شده انجام میگردد.