目录
引入---LDAP协议
LDAP是Lightweight Directory Access Protocol的缩写,指轻量级目录访问协议;这个主要是相对另一目录访问协议X.500而言的;LDAP略去了x.500中许多不太常用的功能,且以TCP/IP协议为基础, 一般使用389端口进行数据传输。目录服务用于通过键-值类型格式存储、整理及表达数据。一般来讲,目录会面向查找、搜索以及读取操作做出优化,因此适用于经常引用但却较少变更的数据。
目录服务和数据库很类似,但又有着很大的不同之处。数据库设计为方便读写,但目录服务专门进行了读优化的设计,因此不太适合于经常有写操作的数据存储。LDAP只是个协议。
优势:
为了集中管理,容易维护和优化,降低运维成本,在任何计算机平台上,用很容易获得的而且数目不断增加的LDAP的客户端程序访问LDAP目录,更容易定制应用程序企业引用LDAP服务器。
LDAP服务器可以用“推”或“拉”的方法复制部分或全部数据,例如:可以把数据“推”到远程的办公室,以增加数据的安全性。复制技术是内置在LDAP服务器中的而且很容易配置。如果要在DBMS(数据库管理系统)中使用相同的复制功能,数据库产商就会要你支付额外的费用,而且也很难管理。
LDAP允许你根据需要使用ACI(一般都称为ACL或者访问控制列表)控制对数据读和写的权限。例如,设备管理员可以有权改变员工的工作地点和办公室号码,但是不允许改变记录中其它的域。ACI可以根据谁访问数据、访问什么数据、数据存在什么地方以及其它对数据进行访问控制。因为这些都是由LDAP目录服务器完成的,所以不用担心在客户端的应用程序上是否要进行安全检查。
LDAP对于这样4存储这样的信息最为有用,也就是数据需要从不同的地点读取,但是不需要经常更新。例如,这些信息存储在LDAP目录中是十分有效的:公司员工的电话号码簿和组织结构图;客户的联系信息;计算机管理需要的信息,包括NIS映射、email假名,等等;软件包的配置信息;公用证书和安全密匙。
协议概述
关键字 | 英文全称 | 含义 |
dc | Domain Component | 域名的部分,其格式是将完整的域名分成几部分,如域名为example.com变成dc=example,dc=com(一条记录的所属位置) |
uid | User Id | 用户ID songtao.xu(一条记录的ID) |
ou | Organization Unit | 组织单位,组织单位可以包含其他各种对象(包括其他组织单元),如“oa组”(一条记录的所属组织) |
cn | Common Name | 公共名称,如“Thomas Johansson”(一条记录的名称) |
sn | Surname | 姓,如“许” |
dn | Distinguished Name | “uid=songtao.xu,ou=oa组,dc=example,dc=com”,一条记录的位置(唯一) |
rdn | Relative dn | 相对辨别名,类似于文件系统中的相对路径,它是与目录树结构无关的部分,如“uid=tom”或“cn= Thomas Johansson” |
LDAP目录的结构用树来表示:
换算成LDAP的描述:
树(dc=support; dc=cti),分叉(ou=ou1, ou=ou2, ou=ou3),苹果(cn=user1,cn=user2),
dn: cn=user1, ou=ou2, dc=cti, dc=support
dc :一条记录的所属区域;ou :一条记录的所属组织;cn/uid:一条记录的名字/ID;dn :一条记录的位置
总结
说的简单点LDAP就是一个数据库,但是又与一般的数据库有所不同。我们知道,像MySQL数据库,数据都是按记录一条条记录存在表中。而LDAP数据库,是树结构的,数据存储在叶子节点上。打个比方:假设你要树上的一个苹果(一条记录),你怎么告诉园丁它的位置呢?当然首先要说明是哪一棵树(dc,相当于MYSQL的DB),然后是从树根到那个苹果所经过的所有“分叉”(ou),最后就是这个苹果的名字(uid,相当于MySQL表主键id)。这时我们可以清晰的指明这个苹果的位置了。
AD域概述
AD,活动目录Active Directory的缩写,面向微软服务器的目录服务,LDAP协议(轻量级目录访问协议)下的一种产品。它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段;AD域就是一种服务。
Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
Active Directory 域内的 directory database(目录数据库)被用来存储用户账户、计算机账户、打印机和共享文件夹等对象,而提供目录服务的组件就是 Active Directory (活动目录)域服务(Active Directory Domain Service,AD DS),它负责目录数据库的存储、添加、删除、修改与查询等操作。
特点
- 微软基于AD的域模式,最大的优点是实现了集中式管理。
- 回收并管理普通用户对客户机的权限。
- AD是一个大的安全边界,用户只要在登录时验证了身份,这个域林中所有允许访问资源都可以直接访问,不用再做身份验证,也提高的效率减少了维护成本。
- 对于用户好处,通过文件夹的重定向可以将所有用户桌面的“我的文档”重定向到文件服务器上。
常用功能
- 用户账号管理
- 权限管理
- 软件/补丁推送
AD域信任关系
创建域信任关系
域信任关系是有方向性的,如果A域信任B域,那么A域的资源可以分配给B域的用户;但B域的资源并不能分配给A域的用户,如果想达到这个目的,需要让B域信任A域才可以。
如果A域信任了B域,那么A域的域控制器将把B域的用户账号复制到自己的Active Directory中,这样A域内的资源就可以分配给B域的用户了。从这个过程来看,A域信任B域首先需要征得B域的同意,因为A域信任B域需要先从B域索取资源。
域的信任关系的主动权掌握在被信任域手中而不是信任域。A域信任B域,意味着A域的资源有分配给B域用户的可能性,但并非必然性!如果不进行资源分配,B域的用户无法获得任何资源
域树
域树是Active Directory针对NT4的传统域模型所进行的重要改进。在NT4时代的域模型中,每个域都要使用没有层次结构的NETBIOS名称,而且域和域之间缺少关联,只能创建不能传递的域信任关系。
这会在企业管理方面造成诸多不利因素:
- 首先域和域之间很难根据域名判断彼此间的隶属关系,例如beijing域和shanghai域;
- 其次由于域之间的信任关系不可传递,在域数量较多时光是创建域之间的完全信任就要耗费大量时间。假定有10个域,那我们在10个域之间要建立45次信任关系才能让这些域相互之间都完全信任。
- 域树针对以上问题进行了很好的解决,域树的父域和子域之间由于使用了层次分明的DNS域名,只要根据域名我们就可以判断出两个域的隶属关系,例如有两个域abc.com和test.abc.com,我们可以很轻易地判断出后者是前者的子域。
AD域组策略
组策略是一个允许执行针对用户或计算机进行配置的基础架构。其实通俗地说,组策略和注册表类似,是一项可以修改用户或计算机设置的技术。那组策略和注册表的区别在哪儿呢?注册表只能针对一个用户或一台计算机进行设置;组策略却可以针对多个用户和多台计算机进行设置。举例:在一个拥有1000用户的企业中,如果我们用注册表来进行配置,我们可能需要在1000台计算机上分别修改注册表。但如果改用组策略,那只要创建好组策略,然后通过一个合适的级别部署到1000台计算机上就可以了。
组策略和Active Directory结合使用,可以部署在OU,站点和域的级别上,当然也可以部署在本地计算机上,但部署在本地计算机并不能使用组策略中的全部功能,只有和Active Directory配合,组策略才可以发挥出全部潜力。 组策略部署在不同级别的优先级是不同的,本地计算机<站点<域<OU。 我们可以根据管理任务,为组策略选择合适的部署级别。
什么是组策略对象?
组策略是通过“组策略对象(GPO)”来设定的,只要将GPO连接到指定的站点、域或OU、该GPO内的设定值就会影响到该站点,域或OU内的所有用户于计算机。
组策略应用
1、账户策略设定
2、本地策略设定
3、部署软件
- 思路是把要部署的软件存储在文件服务器的共享文件夹中
- 然后通过组策略告知用户或计算机,某某服务器的某某文件夹有要安装的软件,赶紧去下载安装。
- 设置好组策略,就可以等待客户机自动进行软件安装了,完全不用在客户机上一一进行部署了。
搭建AD域
环境:WindowsServer服务器(此次以widnowsServer2008 R2为例)
1、【服务管理器】-->【角色】-->【添加角色】,然后直接【下一步】 (备注:其他服务也是这个入口)
2、在服务器角色对话中选择【Active Directory域服务】(勾选之后会有一个弹窗),点击【下一步】
3、继续点击【下一步】
4、点击【安装】,安装成功后,点击【关闭】
5、AD域安装成功,在【角色】里可以看到域服务。继续进行域控服务的配置
6、继续点击【下一步】;我们是新建的域,所以选择【在新林中新建域】,点击【下一步】
7、配置“域名”,点击【下一步】
8、继续点击两次【下一步】
9、检查【DNS配置】后,进入DNS配置,根据提示依次操作
10、配置为默认,继续各种【下一步】,进入最后的初始化操作
11、配置完成后,需要重启服务器
注:
1、配置完成后,使用命令Gpresult 或者 gpresult /r 获取组策略结果,检查客户端电脑是是否加入域,加入了域以后获取的组策略结果。
2、每次在域服务器上面修改了组策略以后,如果需要策略立即生效的话,需要在域服务器上面和客户端电脑上面都执行命令:Gpupdate /force 强制更新组策略。
AD域应用场景
(一)AD域用户认证
部署深信服的桌面云,用户这边的本身服务器内部有自己的微软的ad域,VDC(虚拟数据中心)跟域控联动,不需要额外的创建本地用户,简化方便部署运维。
1、在控制台--【VDI设置】--【客户机管理】--【认证设置】中对LDAP认证进行设置
2、点击“新建”创建LDAP服务器;
3、输入服务器名称,点击绿色加号添加服务器地址,端口号(默认为389);
4、输入管理员全路径:服务器管理员账户@域名,管理员密码:服务器管理员密码,如图中所示
5、选择搜索入口,选择域控服务器上用户所在的组织架构,点击【保存】。至此LDAP服务器就完成了新建工作。
6、在用户管理界面新建一个用户组,去掉【继承上级用户组关联角色、认证方式和策略组】的勾,并选择【外部认证】,右侧栏中选择刚才搭建好的LDAP服务器,配置界面如下图所示。
7、在LDAP认证服务器设置界面,点击“导入用户到本地”,进行用户导入。
(二)虚拟机自动关联到域
在桌面云上面部署虚拟机后,在虚拟机开机使用后,VDC给虚拟机下发策略,让虚拟机主动加入到域,并使用域用户登录到虚拟机。
1、在控制台--【VDI设置】--【资源管理】--选择需要编辑的资源,在【域配置与自动登录】配置自动加入域跟登录域,配置完成点击确定。
常见的问题: