Лекція 7. DHCP, DNS, служби каталогів, VPN

 

1.   Протокол DHCP та служба DNS.

 

Що таке DNS і навіщо ця служба потрібна?

 

З чого все починалося.

Що б зрозуміти основне завдання служби DNS ми зробимо короткий екскурс в історію і побачимо як саме життя змусило і підказало створити таку службу, навіть якщо б її і не було б. Коли ще не було мереж природно не було і всяких DNS служб і мережевим адміністраторам не потрібно було собі морочити голову різними протоколами, адресами і мережевими службами.

Але ось настав час, коли саме життя, зажадало обʼєднати між собою ЕОМ (електронні обчислювальні машини). Отже, починають з'являтися перші мережі. І як нам розповідають історики мережевого матеріалізму, вважається, що бабусею всіх мереж була мережа ARPANET. Унаслідок того що ЕОМ в мережі було мало, а користувачі мережі того часу як правило були «все в одному флаконі» і мережеві адміністратори і програмісти, тобто на цих машинах і в даній мережі працювали професіонали, імена ЕОМ, а більше того - їх мережеві адреси знали напам'ять.

Спочатку кожен вузол мережі ARPANET мав унікальне ім'я і унікальний номер. Потім мережа стала рости, і настав такий момент, коли кількість ЕОМ в людській пам'яті стало неможливо утримувати. І тоді мережеві розробники придумали такий текстовий файл, який знаходився на кожній машині в мережі або скажімо ЕОМ, в якому напроти імені вузла писалася його IP-адреса. Приблизно в такому вигляді:

IP адреса         -            ІМʼЯ ВУЗЛА                 ПРИМІТКИ

102.54.94.97                  server1.rk.com          # source server

38.25.63.10                    xyz.rk.com                 # x client host

І отримав назву цей файл HOSTS. Ідея полягала в тому, що moycomp – це легко запам'ятовуване імʼя вузла або скажімо вже в термінах DNS ім'я хоста, і замість того що б запам'ятовувати різний незв'язаний набір цифр, користувач писав коли хотів звернутися до потрібного хосту його ім'я (в даному прикладі ім'я хоста moycomp). А клієнтський компонент (зараз назваєтся resolver, (така спеціальна програма )) читає цей файл, знаходить ім'я машини, витягує її IP -адресу і виконує пошук за цією адресою. Ось так було на початку. І рудимент даного файлу зберігається досі на всіх версіях операційних систем Windows. Знайти і подивитися на нього ви можете на власні очі на своїй машині за адресою % SYSTEMROOT % \ system32 \ drivers \ еtс, відкривши його за допомогою простого блокнота.

Даний файл HOSTS тоді заповнювався централізовано (вручну) і користувачі скачували його собі на машину. Але мережа росла і даний файл ставав дуже великим, і головне що при ручному введенні записів відповідності IP адрес імені машини, допускалися помилки. Не потрібно забувати також про те, що конфлікти виникали, коли в мережі з'являлися хости з однаковими іменами.

Коли був прийнятий стандарт TCP/IP як протокол мережі ARPANET, ця організація вирішила також удосконалити систему перетворення імен, і зупинилася на DNS, так як DNS є центральною базою даних, що містить вказівники на децентралізовані бази даних, що включають записи для кожного простору імен.

Розробником цієї системи була така організація як DARPA, яка вирішила, використовували доменну систему імен Берклі (Berkeley Internet Name Domain, BIND) в якості програмного забезпечення DNS.

Тобто, як бачите, якщо в двох словах, не від хорошого життя, змушені були створити таку службу, яка автоматично ставить у відповідність «імені вузла» його IP адресу, назвали цю службу DNS.

Тепер напишемо таку фразу.

DNS є службою перетворення імені хоста.

Враховуючи все вище сказане, думаю що ця фраза стає в деякій мірі зрозумілою. Ну давайте ще зупинимося на її основної функції розпізнавання імен.

Наприклад вам треба зайти на якийсь сайт (який природно знаходиться на якомусь компʼютері, названому сервером, і має свою IP-адресу). Ну самі знаєте що в браузері ви набираєте не IP адресу даного сайту а його ім'я, наприклад ім'я сайту ktpn.lntu.info. Але по суті, в будь-якій мережі компʼютери звертаються один до одного не по імені а по IP адресі. Так от.... набравши в браузері рядок ktpn.lntu.info ви все ж отримуйте зв'язок з даним сайтом, який знаходиться на певному сервері, який має свій унікальний IP адрес, і якого ви природно не знаєте. Так ось (ще раз).... отримавши таке ім'я як ktpn.lntu.info браузер запитує службу DNS типу – «А не підкажеш, який IP адрес в цього імені». DNS шукає в своїй базі даних який IP адрес відповідає цьому імені. Вона, тобто служба DNS займається питанням перетворення даного імені, то треба розуміти, що даному імені ставиться у відповідність IP адреса, якщо таке поєднання як «ім'я вузла» і його «IP-адреса» не існує в базі DNS, то DNS служба займається опитуванням всіх DNS служб типу «підкажіть чи є у вас такий IP відповідний такому імені як ktpn.lntu.info», отримавши відповідь наш компʼютер звертається до іншого компʼютера (сервера) (якого він і шукає по імені), а в нашому випадку до компʼютера з ім'ям ktpn.lntu.info вже не по імені, а як годиться в мережі за його IP адресою. Ось це і є перетворення імені.

Службою DNS – називається служба, що виконує перетворення символічних даних доменних імен в IP- адреси, у відповідь на запити клієнтів.

Служба DNS ставить відповідно ось такому символічному (букви це в даному випадку символічні дані) доменному імені, наприклад, як «moycomp.rk.com » відповідний йому IP – адрес, наприклад 10.10.10.10.

DNS сервером називається комп'ютер на якому запушена служба DNS.

DNS клієнтом називається комп'ютер який звертається до DNS сервера з запитом на дозвіл імені. Клієнт DNS функціонує «прозоро» для користувача. Що значить «прозоро»? Те що користувач не бачить, і не чує, і не відчуває як це відбувається.

У відповідь на свій запит по вирішенню імені клієнт DNS повинен отримати або IP-адресу, або повідомлення про неможливість доступу імені, послану сервером DNS. Далі даний клієнт передає отриману IP-адресу додатку якому потрібен даний IP-ардрес.

Делегування операція передачі відповідальності за частину дерева доменних імен іншій особі або організації. За рахунок делегування в DNS забезпечується розподільність, адміністрування та зберігання. Технічно делегування виражається у виділенні цієї частини дерева в окрему зону, і розміщенні цієї зони на DNS-сервері (див. нижче), керованому цією особою чи організацією. При цьому в батьківську зону включаються «склеюючі» ресурсні записи (NS і А), що містять покажчики на DNS-сервера дочірньої зони, а вся інша інформація, що відноситься до дочірньої зоні, зберігається вже на DNS-серверах дочірньої зони.

DNS-клієнт (від англ. Domain Name System-client − доменних імен система − клієнт) – програма або модуль в програмі, що забезпечує з'єднання із DNS-сервером для визначення IP-адреси по його доменному імені.

Авторитетність (англ. authoritative) ознака розміщення зони на DNS-сервері. Відповіді DNS-сервери можуть бути двох типів: авторитетні (коли сервер заявляє, що сам відповідає за зону) і неавторитетні (англ. Non-authoritative), коли сервер обробляє запит, і повертає відповідь інших серверів. У деяких випадках замість передачі запиту далі DNS-сервер може повернути вже відоме йому (за запитами раніше) значення (режим кешування).

Що таке простір імен DNS.

Основними компонентами простору імен DNS є домени. Домени треба розуміти як групу мережевих хостів (вузлів) об'єднані за деяким логічним принципом. Домени взаємодіють один з одним за допомогою відносин «батько-нащадок», утворюючи тим самим певну ієрархію. Тобто, коли йдеться про ієрархію доменів треба розуміти ставлення «батько-нащадок». Положення домену в ієрархії визначає рівень домену (домен другого рівня, домен третього рівня і т.д. зважаючи на його положення від батьківського домену ).

В основі ієрархічної побудови простору імен DNS лежить домен, який називається кореневим доменом (rootdomain) (не плутайте з кореневим доменом в Active Directory).

Рис.3. Простір імен DNS

 

Кореневий домен дотримуючись традицій літератури є як «весільний генерал». Тобто, кореневий домен формальний або чисто символічний, але тим не менше він є прабатьком всіх інших нині існуючих в інтернеті доменів. Або батьком доменів першого рівня таких як com, edu, org … та інших, що належать різним організаціям,  так само домени належать країнам: ua, ro, jp... ну і так далі.

Домени, як ми знаємо виступають в ролі контейнерів. І якщо розглядати це як ієрархію, то в якості листків виступають відомості про ресурси цих доменів. Будь-який об'єкт мережі, який виходячи зі стандартів визначає службу DNS називається хост (host) або хостами.

Будь-який об'єкт простору імен DNS будь-то домен або хост має унікальне ім'я в межах батьківського контейнера.

Імена DNS можуть складатися із символів латинської алфавіту, цифр, і знака «–» тире. Деякі версії DNS в тому числі і DNS Windows Server допускають використовувати в іменах символу підкреслення «_», а також символів у форматі UTF- 8.

Точно ідентифікувати об'єкт можна тільки за допомогою його «повного доменного імені» FQDN (Fully Qualified Domain Name).

Повне доменне ім'я хоста утворюється з імені об'єкта і суфікса DNS.

Що таке суфікс DNS? Це всього лише перерахування імен всіх контейнерів (по суті доменів), що знаходяться між безпосередньо ім'ям хоста або об'єкта і коренем простору імен.

Єдиним об'єктом простору імен DNS, що не має ім'я є кореневий домен. Ось так, найголовніший а без імені. Для посилання на нього використовується крапка «.»

І сьогоднішні, сучасні DNS так само представляють, по суті, базу даних з тією ж основною інформацією, яку містив попередник DNS, файл HOSTS. Але на відміну від історичного файлу HOSTS який тримав всю інформацію про всі хости в єдиному файлі, сучасні DNS представляють розподілену систему зберігання інформації, або DNS це – розподілена база даних.

Що таке розподілена база даних взагалі ? Це така база даних, яка зберігає інформацію не всю в одному місці, а розподіляє її по різних місцях залежно від якоїсь логіки, яка була внесена при побудові (створенні, проектуванні ) даної бази даних. Так от, DNS і є розподілена база даних, і інформація зберігається в різних місцях. І ось чому.

Як ви вже знаєте з попередньої теми – основними компонентами простору імен DNS є домени. Домени взаємодіють один з одним за допомогою відносин «предок-нащадок», утворюючи тим самим певну ієрархію (див. рис. 1). Тобто один домен є «батьком» – решта є «дочірніми» доменами стосовно батьківського.

Наприклад, домен COM – це контейнер. У доменній ієрархії COM, домен першого рівня або TLD. Тоді вирішили – нехай даний контейнер, і зберігає інформацію, про всі об'єкти, що відносяться до даного контейнера. Наприклад, інформація про зареєстрований домен RK.COM зберігатиметься в домені (контейнері) COM.

Слово «зареєстрованому» – означає що дійсно в інтернеті такому імені як RK.COM «чиновники від інтернету», офіційно присвоїли в суворій відповідності IP-адресу, що б до нього могли звертатися.

Тобто, COM контейнер або домен першого рівня TLD зберігає інформацію про свої дочірні об'єкти, домени другого рівня такі як, наприклад, у нас домен RK.COM домен другого рівня SLD. Тобто логіка, грубо кажучи така - «зробив – зберігай». А от інформація про піддомени, які породив домен UA першого рівня (TLD) зберігає інформацію про всіх його дочірні об'єкти, домени другого рівня (SDL), наприклад edu.ua.

 

Зони DNS

Ділення доменного простору імен між DNS – здійснюється за допомогою механізму зон (zone).

Зона являє собою базу даних, в якій містяться записи про відповідність (деякої безлічі доменних імен IP адресам). Тобто все як звичайно «ім'я – IP адреса». Кожна зона представляє тільки частину доменного простору імен. Можна сказати ще так: «Зоною – називається частина домену DNS». Чому частина? Ось наприклад, домен RK.COM може містити кілька зон, наприклад зону – KONTORA.RK.COM і зону – BUHGALTERIA.RK.COM. Як правило, термін «зона» використовується для позначення частини домену відносно DNS-сервера або нащадка. Термін «піддомен» використовується для позначення частини домену, що міститься в зоні. При наявності в домені тільки однієї зони використовується будь-який з цих термінів.

Зони слід розглядати як основний адміністративний інструмент, на рівні якого відбувається, як управління простору імен в цілому, так і управління процесом перетворення імен.

Межі зони не визначаються межами домену. Одна зона може включати в себе кілька доменів, в той час як об'єкти, що належать одному домену можуть бути розміщені в декількох зонах. Здійснюючи поділ доменного простору імен на зони системний адміністратор повинен виходити в першу чергу з зручності адміністрування і навантаженням на DNS сервери. Див. рис. 4.

Зоны DNS

Рис.4. Зони DNS

 

Параметри TCP / IP-протоколу

Тут і далі ми будемо розглядати характеристики протоколу IРv4.

IP-адреса

Кожен комп’ютер, що працює по протоколу TCP / IP, обов’язково має IP-адреса – 32-бітове число, що використовується для ідентифікації вузла (комп’ютера) в мережі. Адресу прийнято записувати десятковими значеннями кожного октету цього числа з поділом отриманих значень точками. Наприклад: 192.168.101.36.

IP-адреси унікальні. Це означає, що кожен комп’ютер має своє поєднання цифр, і в мережі не може бути двох комп’ютерів з однаковими адресами. IP-адреси розподіляються централізовано. Інтернет-провайдери роблять заявки в національні центри у відповідності зі своїми потребами. Отримані провайдерами діапазони адрес розподіляються далі між клієнтами. Клієнти самі можуть виступати в ролі інтернет-провайдера і розподіляти отримані IP-адреси між субклієнтами і т. д. При такому способі розподілу IP-адрес комп’ютерна система точно знає «розташування» комп’ютера, що має унікальну IP-адресу; їй достатньо переслати дані в мережу «власника». Провайдер у свою чергу проаналізує пункт призначення і, знаючи, кому віддана ця частина адрес, відправить інформацію наступному власникові піддіапазону IP-адрес, поки дані не надійдуть на комп’ютер призначення.

Для побудови локальних мереж організацій виділені спеціальні діапазони адрес. Це адреси 10.х.х.х, 192.168.х.х, 10.х.х.х, з 172.16.х.х по 172.31.х.х, 169.254.х.х (під «х» мається на увазі будь-яке число від 0 до 254). Пакети, що передаються з зазначених адрес, не маршрутизируются (іншими словами, не пересилаються) через Інтернет, тому в різних локальних мережах комп’ютери можуть мати співпадаючі адреси із зазначених діапазонів. Такі адреси часто називають сірими адресами.

Автоматичне привласнення параметрів IP-протоколу

Як вже зазначалося, параметри IP-протоколу індивідуальні для кожного комп’ютера. Щоб полегшити користувачам їх призначення, були розроблені спеціальні механізми, що дозволяють автоматизувати даний процес.

Сервери DHCP

У локальних мережах адміністратори встановлюють так званий сервер DHCP.

ПРИМІТКА

Адресація APIPA

Для полегшення побудови невеликих мереж передбачена можливість самостійного призначення адрес. Якщо в мережі немає сервера DHCP, а протокол IP встановлений з параметрами автоматичного отримання значень, то Windows присвоїть мережевій платі адреса з діапазону від 169.254.0.1 по 169.254.255.254 (маска під-мережі 255.255.0.0), попередньо перевіривши, чи не використовується вже таку адреса в системі. Даний механізм дозволяє застосовувати IP-протокол в невеликих мережах при мінімальних ручних настройках – комп’ютери побачать один одного в локальній мережі. Природно, що ніяких додаткових параметрів налаштування операційна система в цьому випадку не отримує. Наприклад, вона не буде знати, куди посилати запити, щоб отримати дані з серверів Інтернету. 

Використання адреси з зазначеного раніше діапазону (перевіряється командами ipconfig або winipcfg) при наявності в мережі сервера DHCP свідчить або про несправність останнього, або про проблеми кабельного підключення даного комп’ютера.

Порт

При передачі даних крім IP-адрес відправника і одержувача пакет інформації містить в собі номери портів. Порт – це якесь число, яке використовується при прийомі і передачі даних для ідентифікації процесу (програми), який повинен обробити дані. Так, якщо пакет відправлений на 80-й порт, то це свідчить, що інформація призначена для сервера HTTP.

Номери портів з 1-го по 1023-й закріплені за конкретними програмами (так звані well-known-порти). Порти з номерами 1024 – 65 535 можуть бути використані в програмах власної розробки. При цьому можливі конфлікти повинні вирішуватися самими програмами шляхом вибору вільного порту. Іншими словами, порти будуть розподілятися динамічно: можливо, що при наступному старті програма вибере інше значення порту.

Знання того, які порти використовують ті чи інші прикладні програми, важливо при налаштуванні брандмауерів. Частина налаштувань в таких програмах для найбільш популярних протоколів зумовлена, і вам достатньо тільки дозволити / заборонити протоколи, керуючись їх назвами. Проте в деяких випадках доведеться звертатися до технічної документації, щоб визначити, які порти необхідно «відкрити», щоб забезпечити проходження пакетів даної програми.

Побачити, які порти реально задіяні на комп’ютері, можна за допомогою команди netstat.

Брандмауер (брандмауер)

Міжмережевий екран (МСЕ), або брандмауер (firewall), – це комплекс технічних, програмних та організаційних заходів з безпечного підключення однієї мережі до іншої. Залежно від розв’язуваних завдань і конфіденційності інформації, що захищається це може бути просто невелика програма, встановлена ​​на комп’ютері, або ж спеціалізовані апаратні засоби, що реалізують вимоги конкретної організації.

Зазвичай за загальними міркувань безпеки в якості брандмауера рекомендується використовувати автономний пристрій. Іншими словами, у разі програмної реалізації брандмауера на цей комп’ютер не слід покладати рішення ніяких інших завдань.

Варіанти міжмережевих екранів

У розпорядженні адміністраторів є як апаратні міжмережеві екрани, так і програмні рішення. Різниця між цими двома варіантами достатньо умовна. Апаратний модуль – це фактично спеціалізована під певне завдання та чи інша обчислювальна система. Зазвичай для нього створюється операційна система (наприклад, IOS у Cisco) або використовується безкоштовна версія Linux.

Програмні варіанти припускають установку на типові операційні системи, наприклад: на Linux, операційні системи від Microsoft і т. П.

У Мережі існує велика кількість програм, призначених для захисту індивідуальних комп’ютерів. Наприклад, можна відзначити такі персональні міжмережеві екрани, як AtGuard, BlackICE Defender, Jammer, Kerio Personal Firewall, Outpost Firewall, Sygate Personal Firewall, Tiny personal firewall, Zone Alarm та ін. Частина цих продуктів – комерційні програми, частина має версії, доступні для безкоштовного використання.

 

DHCP

Протокол динамічної конфігурації вузла (Dynamic Host Configuration Protocol) – це мережевий сервіс, який дозволяє комп'ютерам в мережі автоматично отримувати налаштування мережі із сервера замість того, щоб налаштовувати кожен мережевий хост вручну. Комп'ютери, налаштовані бути клієнтами DHCP, не управляють тим, які налаштування вони отримають від DHCP сервера, і це налаштування зовсім непомітне для користувача комп'ютера. Стандарт протоколу DHCP був прийнятий у жовтні 1993 року

У загальному випадку налаштування, передані DHCP сервером DHCP клієнтам включають:

-          IP адресу і мережеву маску;

-          IP адреса шлюза;

-          IP адресу DNS серверів;

Однак DHCP сервер може також надати такі параметри налаштування, як:

- Ім'я хоста

- Ім'я домена

- Адреса сервера часу

- Адреса сервера друку

 

Перевага використання DHCP полягає в нестабільності налаштувань мережі, наприклад, зміна адреси DNS сервера потребує змін тільки на DHCP сервері, а всі мережеві хости будуть переналаштовані в момент наступного запиту їх DHCP клієнта до DHCP сервера. Додаткова перевага полягає в простому підключенні нових комп'ютерів до мережі, оскільки не потрібно перевіряти доступність IP адрес. Конфлікти за виділеними IP адресами також мінімальні.

 

DHCP сервер може надавати налаштування, використовуючи такі методи:

- Виділення уручну (за MAC адресою):

Цей метод передбачає використання DHCP для визначення унікального апаратної адреси кожної мережевої карти, підключеної до мережі, і потім тривалого надання незмінній конфігурації кожен раз, коли DHCP клієнт робить запит на DHCP сервер, використовуючи свій мережевий пристрій. Це гарантує, що певну адресу буде автоматично присвоєно цій мережевій картці на основі її MAC адреси.

 

-          Динамічне виділення (пул адрес):

При цьому методі, DHCP сервер виділятиме IP адреси з пулу адрес (іноді званим діапазоном або областю) на період часу (або в оренду), який налаштовується на сервері, або поки клієнт не проінформує сервер, що більше взагалі не потребує адреси. Таким чином, клієнти отримують свої налаштування динамічно за принципом «перший прийшов – перший обслужений». Коли DHCP клієнт відсутній в мережі певний час, адреса вважається простроченою і повертається в пул адрес для використання іншими DHCP клієнтами. Це означає, що адреса орендується або видається на певний період часу. Після закінчення цього періоду клієнт повинен повторно домовлятися про використання адреси з сервером.

 

- Автоматичне виділення

Використовую цей метод, DHCP автоматично присвоює постійну IP адресу пристрою, вибрану з пулу доступних адрес. Зазвичай DHCP використовується для видачі тимчасового адреси, але DHCP сервер може використовувати нескінченний час оренди.

Два останніх методи можна розглядати, як автоматичні, оскільки DHCP сервер видає адреси без додаткового втручання. Єдина різниця полягає в тому, наскільки часу орендується адреса, іншими словами, коли закінчиться час використання адреси клієнтом.

 

2. Служби каталогів – Active Directory, Samba

2.   Cлужба каталогів Active Directory

 

Що таке Active Directory? Щоб зрозуміти це «поняття», і чому не лише Microsoft але і інші виробники операційних систем зробили таку ж «фішку» у своїх операційних системах (Макінтош використовує «фішку» Open Directory, Novell службу каталогів NDS), розпочнемо з історії.

Припустимо у нас три компʼютери, три користувачі і один сервер. Поки усе нормально, але ось наша організація розширилася і взяли на роботу ще трьох співробітників, а компʼютерів доки не купили. Разом у нас є мережа з 3 ПК і 6 користувачів, які доки працюють попарно по двоє на кожному ПК. Вийде така картина як на рис. 1.

Рис. 1

 

Тобто, при появі в компанії нових співробітників і з урахуванням того що співробітники строго працюватимуть тільки за тими ПК, які за ними закріплені адміністратор прописує кожного співробітника на відповідному ПК. Виходячи з рис. 1 системний адміністратор прописує на ПК1 облікові записи для користувачів Васі і Каті, на ПК2 ‒ Анатолія і Ігоря, а на ПК3 ‒ Івана і Віри (як він це робить конкретно, ми розглянемо пізніше). І ще йому потрібно прописати цих усіх користувачів у кількості 6 штук на сервері щоб користувачі могли отримати доступ до сервера бази даних. Отже доки терпимо, оскільки користувачів не так вже і багато.

 

І тільки прописавши користувачів адміністратор, сів попити кави, як нова вказівка від керівництва. Потрібно щоб користувачі не прив'язувались до строго певного комп'ютера, а дозволити їм працювати за будь-яким комп'ютером. І адміністратор опустивши голову, йде і прописує усіх користувачів на усіх комп'ютерах. І якщо раніше, коли за певним комп'ютером працював певний користувач або користувачі, то виходячи з нашої придуманої організації на рис. 1, на кожному комп'ютері було по два облікові записи. Та тепер на кожному комп'ютері мають бути по 6 прописаних користувачів.

 Отже, повернемося до нашого адміністратора. Він йде і прописує на кожному ПК усіх співробітників організації. Теж поки що не страшно. А ось вже починаються «сутінки». У нашу організацію узяли на роботу ще співробітників, і купили ще серверів і купу комп'ютерів. Дивіться рис. 2.

Рис. 2

 

Тобто саме життя продиктувало необхідність в створення інструменту, який би полегшував роботу користувачів і мережевих адміністраторів в повсякденному житті. Акаунти (облікові записи) стали зберігатися централізовано, тобто в одному місці і відпала необхідність прописувати користувачів на кожному ПК і на кожному сервері в нашій мережі, а користувачам досить один раз зареєструватися в мережі і більше не потрібно це робити на кожному сервері куди він хоче попасти. Краса. Та і взагалі, усе що є у нас в мережі Active Directory зберігає в одному місці, централізовано, а ще дозволяє «пускати» і «не пускати» зухвалих користувачів куди завгодно, і дозволяє так само управляти (адмініструвати) усім, що є у нас в мережі, не витрачаючи додаткові ресурси як у плані узяття на роботу ще адміністраторів, так і в плані купівлі додаткових засобів від сторонніх виробників, для адміністрування мережі і об'єктів що знаходяться в ній.

І що у нас вийшло з впровадженням такого поняття як Active Directory або як ще його називають Служби каталогів. Дивимося рис. 3.

Рис. 3

Основні терміни і поняття Active Directory.

Каталог (directory) ‒ сукупність інформації про об'єкти, які тим або іншим способом пов'язані один з одним.

 Тобто це певний інформаційний ресурс, використовуваний для зберігання інформації про який-небудь об'єкт. Приміром найпростіший історичний каталог, це такий зошит в який деякий громадянин записує своїх боржників. Чи сучасніший приклад телефонний довідник що містить інформацію про абонентів телефонної мережі. У файловій системі каталоги (директорії, теки) зберігають інформацію про файли, пов'язані між собою тим або іншим способом, приміром, усі файли з теки такої-то ‒ це деякі оповідання.

У нашій мережі в каталозі може зберігатися інформація про об'єкти нашої мережі. Це можуть бути принтери, комп'ютери, користувачі, програмні продукти і різні бази даних які є у нас. Головна «фішка» або завдання тут в тому, що б надати користувачам можливість виявити (знайти) ці об'єкти і використовувати їх, але під гострозорим оком адміністратора, а не так як хочуть користувачі.

Давайте розберемося із поняттям об'єкт. І розглянемо це поняття саме в контексті мережі.

Об'єкт самостійна одиниця, яка представляє деякий ресурс, існуючий в мережі (ПК, користувачі, ПО, ...) з усіма його атрибутами. Що таке атрибут? Уявіть, що у нас є автомобіль, так от автомобіль це об'єкт, а його колір, потужність і інше це атрибути або властивості і характеристики. Але ми не будемо використовувати, коли говоритимемо про об'єкти у більшості випадків словосполучення «властивості і характеристики» а говоритимемо ‒ його атрибути. Приміром у такого об'єкту нашої мережі як «користувач» є такі атрибути як ‒ прізвище, ім'я, логін, пароль, адреса електронної пошти і інші. Дивіться рис 4.

Рис. 4

 

Служба каталогів (directory service) ‒ за допомогою допоміжних служб забезпечує зберігання усієї необхідною для застосування об'єктів і управління ними інформації, в одному місці (централізовано), і завдяки цьому процес виявлення і адміністрування ресурсів мережі спрощується. На відміну від каталогу, служба каталогів має одночасно дві ролі:

-          джерела інформації;

-          механізму, за допомогою якого ця інформація готується для доступу з боку користувачів.

Служба каталогів ‒ щось на зразок основної панелі керування мережевої операційної системи (центрального пульта). Чи що б було зовсім зрозуміло.

Служба каталогів ‒ це таке програмне забезпечення (така програма) у складі мережевої операційної системи, яка зберігає усю інформацію про об'єкти мережі, і яка дозволяє виявляти ці об'єкти (різні компʼютери, принтери, користувачів і інше, що є у нас в мережі, а усе, що є у нас в мережі, ми розглядаємо як об'єкти), надавати їх в розпорядження користувачам, і управляти ними (адмініструвати).

Тобто на питання ‒ що таке служба каталогів? Ви жваво відповідайте ‒ це таке ПЗ (програмне забезпечення) яке «зберігає», «виявляє», «робить доступним користувачам» і «управляє ними», тобто об'єктами.

Контролер домена ‒ це комп'ютер на якому встановлено таке ПЗ як Active Directory.

Так от, вже слово «фішка», яким ми користувалися на початку нашого важкого оповідання набуло деякого сенсу, і тепер воно з'явилося перед нами як «Служба Каталогів». Що б не плутатися що таке «Служба каталогів» і «Active Directory», то напишемо так.

Служба каталогів Active Directoryце програмне забезпечення написане (розроблене) Microsoft. Тобто Microsoft назвав «службу каталогів» ім'ям «Active Directory». Макінтош назвав свою службу каталогів ‒ Open Directory, а Novell ‒ NDS.

І виходить двома словами, що Active Directory містить каталог, в якому зберігається інформація про наші мережеві ресурси і служби що надають доступ до цієї інформації. Ну щось на кшталт бази даних з інформацією про мережеві ресурси.

Так от «Служба каталогів» ‒ це з одного боку інструмент адміністрування, а з іншого засіб взаємодії кінцевого користувача з системою.

Чим більше розростається наша мережа, тим більше в ній об'єктів, якими необхідно управляти, і тут без впровадження Служби Каталогів ‒ Active Directory не обійтися.

 

Обліковий запис користувача (акаунт) ‒ складається з імені користувача (логін) і пароля (наприклад pupkin і пароль «d345rtНfa»). Не маючи цих даних не можна увійти до мережі або працювати на компʼютері. Перший раз при вході в мережу пароль вам повідомить адміністратор і залежно від того як він налаштував роботу з паролем в Active Directory ви можете відразу його змінити на ваш пароль, який окрім вас ніхто не знає. Системний адміністратор дуже МОГУТНЯ ЛЮДИНА і він може змінити будь-які налаштування вашого облікового запису, тому з ним потрібно дружити і шанувати його...

Контейнер ‒ контейнер аналогічний об'єкту в тому сенсі, що він також має атрибути і належить простору імен. Проте, на відміну від об'єкту, контейнер не означає нічого конкретного: він може містити групу об'єктів або інші контейнери.

Ще в Active Directory передбачено ряд компонентів, що допомагають збудувати структуру каталогу відповідно до наших потреб і діляться ці компоненти на логічні і фізичні компоненти. Рис. 5.

Логічне ділення робиться на такі компоненти як домени, підрозділи (OU, organizational unit), дерева і ліси. Фізичне на контролери домена і сайти. Логічні і фізичні компоненти розділені.

 

Рис. 5

 

 

Підрозділи або організаційні одиниці OU використовуються для групування об'єктів в адміністративних цілях (ну що б нам було зрозуміліше, а головне зручніше працювати). Вони можуть делегувати (передавати) адміністративні права і управляти групою об'єктів як окремим підрозділом.

Active Directory LDAP-сумісна реалізація інтелектуальної служби каталогів корпорації Microsoft для операційних систем родини Windows NT. Active Directory дозволяє адміністраторам використовувати групові політики (GPO) для забезпечення детального налаштування користувацького робочого середовища, розгортати ПЗ на великій кількості комп'ютерів (через групові політики або за допомогою Microsoft Systems Management Server 2003 (або System Center Configuration Manager)), встановлювати оновлення ОС, прикладного та серверного ПЗ на всіх комп'ютерах в мережі (із використанням Windows Server Update Services (WSUS); Software Update Services (SUS) раніше). Active Directory зберігає дані і налаштування середовища в централізованій базі данних. Мережі Active Directory можуть бути різного розміру: від кількох сотень до кількох мільйонів об'єктів.

Презентація Active Directory відбулась в 1999 році, продукт був вперше випущений із Windows 2000 Server, а потім був модифікований і покращений при випуску спочатку Windows Server 2003, а потім Windows Server 2003 R2.

На відміну від версій Windows до Windows 2000, котрі використовували в основному протокол NetBIOS для мережевої взаємодії, служба Active Directory інтегрована з DNS та TCP/IP.

Рис. 16

 

Інтеграція з UNIX

Різні рівні взаємодії з Active Directory можуть бути реалізовані у більшості UNIX ‒ подібних операційних систем за допомогою відповідних стандарту LDAP клієнтів, але такі системи, як правило, не сприймають велику частину атрибутів, що асоціюються з компонентами Windows, наприклад групові політики і підтримку односторонніх доручень.

Сторонні постачальники пропонують інтеграцію Active Directory на платформах UNIX, включаючи UNIX, Linux, Mac OS X і ряд додатків на базі Java, з пакетом продуктів :

·       Centrify DirectControl (Centrify Corporation) ‒ сумісні з Active Directory централізовану аутентифікацію і контроль доступу.

·       Centrify Express (Centrify Corporation) ‒ набір вільних сумісних з Active Directory сервісів для централізованої аутентифікації, моніторингу, доступу до файлів, що розділяється, і віддаленого доступу.

·       UNAB (Computer Associates).

·       TrustBroker (CyberSafe Limited) ‒ реалізація Kerberos.

·       PowerBroker Identity Services, раніше Likewise (BeyondTrust) ‒ дозволяє клієнтові увійти до домена Active Directory.

·       Authentication Services (Quest Software).

·       ADmitMac (Thursby Software Systems).

·       Samba ‒ може виконувати роль контроллера домена.

Альтернативним варіантом є використання іншої служби каталогів, наприклад 389 Directory Server (раніше Fedora Directory Server, FDS), eB2Bcom ViewDS v7.1XML Enabled Directory або Sun Java System Directory Server від Sun Microsystems, що виконує двосторонню синхронізацію з Active Directory, реалізовуючи таким чином «відбиту» інтеграцію, коли клієнти UNIX і Linux аутентифікуються FDS, а клієнти Windows аутентифікуються Active Directory. Іншим варіантом є використання OpenLDAP з можливістю напівпрозорого перекриття, що розширює елементи віддаленого сервера LDAP додатковими атрибутами, що зберігаються в локальній базі даних.

Active Directory автоматизуються за допомогою Powershell.

 

LDAP (англ. Lightweight Directory Access Protocol - «полегшений протокол доступу до каталогів») - протокол прикладного рівня для доступу до служби каталогів X.500, розроблений IETF як полегшений варіант розробленого ITU-T протоколу DAP. LDAP - відносно простий протокол, який використовує TCP / IP і дозволяє проводити операції аутентифікації (bind), пошуку (search) і порівняння (compare), а також операції додавання, зміни або видалення записів. Зазвичай LDAP-сервер приймає вхідні з'єднання на порт 389 по протоколам TCP або UDP. Для LDAP-сеансів, інкапсульованих в SSL, зазвичай використовується порт 636.

Samba ‒ вільна реалізація мережевого протоколу SMB/CIFS. Samba випускається під ліцензією GNU. Назва Samba походить від SMB ‒ назви протоколу, який використовується Microsoft Windows для мережевої файлової системи. Головною перевагою Samba є те, що з її допомогою можливо використовувати у мережі одночасно комп'ютери з операційними системами Windows та Unix, організовувати обмін файлами між ними без окремого Windows-сервера.

Починаючи з третьої версії Samba надає служби файлів і друку для різних клієнтів Microsoft Windows, і може інтегруватися з Windows Server: або як Основний контролер домену (PDC), або як член домену. Вона також може бути частиною домену Active Directory. З версії 3 Samba підтримує файлові сервіси та сервіси для друку.

Samba 4 надає повну реалізацію контролера домену і сервісу Active Directory, сумісного з реалізацією Windows 2000 і здатного обслуговувати усі підтримувані Microsoft версії Windows-клієнтів, у тому числі Windows 8. Samba 4 є багатофункціональним серверним продуктом, що надає також реалізацію файлового сервера, сервісу друку і сервера ідентифікації (winbind).

Виконується на більшості Юнікс-подібних систем, таких як: Linux, Solaris, BSD, Mac OS X Server. Входить до більшості дистрибутивів Лінукс. В OS/2 портований samba-клієнт, плагіном до віртуальної файлової системи NetDrive.

Головною відмінністю від серверних версій Windows є відсутність підтримки для групових політик (непряма підтримка в принципі можлива) і налаштувань профілів користувачів і комп'ютерів.

 

3. VPN (Virtual Private Networks)

Для створення підключення до приватної мережі (private), припустимо мережу нашої фірми з будинку можна скористатися загальнодоступною  мережею  (public),  в нашому випадку це Інтернет.  Віртуальні приватні мережі  VPN (Virtual Private Networks) — технологія створення захищених підключень між комп'ютерами, підключеними до публічних мереж.

Якщо візьмемо, приміром,  випадок що ми хочемо підключитися з будинку до мережі нашого офісу те, природно ми скористаємося публічною мережею (Інтернет) і через неї підключимося до приватної мережі (private), мережі нашого офісу, або корпоративної мережі. Але виникають два питання:

·                    Як отримати доступ до мережі офісу, якщо адреси корпоративної мережі належать до діапазону внутрішніх адрес, приміром, з діапазону 192.168.0.0/24 (чому так написано читайте інші статті)  і не видні за межами мережі офісу.

·                    Як захистити дані, які пройдуть через інтернет, оскільки інформація через інтернет мережі передається у відкритому виді, і будь-який хакер може її перехопити, що нас не влаштовує з причини, припустимо секретності цієї інформації.

І тут нам на допомогу і приходить технологія VPN. Ця технологія орієнтована на створення так званого «захищеного тунеля» для передачі даних через публічні мережі, тобто інтернет. Усі дані в даному випадку шифруються. І ми в результаті отримаємо двоточкове з'єднання, одна точка наш комп'ютер з будинку, інша точка  комп'ютер, з офісу що відповідає за створення і підтримку такого з'єднання або скажемо точніше - сервером видаленого доступу. 

У цьому прикладі користувачеві необхідно створити ще одне підключення, окрім вже існуючого підключення до Інтернету, а саме  "Підключення до віртуальної приватної мережі". І що б вказати точно з ким ми хочемо зв'язатися скористаємося  зовнішнім IP -адресом інтерфейсу сервера видаленого доступу (тобто адресою який отриманий від, приміром інтернет провайдера). На малюнку 1 видно що адреса офісу, вірніше зовнішня адреса отримана від інтернет провайдера і присуджений нашому серверу видаленого доступу це 212.28.188.169, зовнішня адреса клієнта це 90.29.199.35. Внутрішні адреси корпоративної мережі 192.168.1.0/24. У кулі для RASS будуть адреси з 192.168.10.1 - по 192.168.10.30, що не викличе проблеми зі збігом адрес.  Маршрутизацією цими підмережами займатиметься сам RASS.

Соединение VPN 

 

Якщо усі налаштування правильні (з обох боків) те ви підключитеся до мережі вашої контори.

давайте ще раз повернемося до малюнка 1 але додамо ще яке що. Дивіться малюнок 10.

Соединение VPN 

Малюнок 10.

Що ж ми маємо. А то що між нашим комп'ютером з будинку і сервером видаленого доступу буде встановлений захищений "віртуальний" канал, який ми і створили вище.  Клієнтський комп'ютер, в даному випадку наш,  отримає IP -адрес з пулу адрес сервера RRAS (таким чином, буде вирішено завдання маршрутизації IP -пакетов між клієнтом і корпоративною мережею), усі пакети, що передаються між клієнтом корпоративною мережею, шифруватимуться.

Аналогічно можна створити захищене віртуальне підключення між двома офісами корпоративної мережі, підключеними до різних Інтернет-провайдерів.

Технології віртуальних приватних мереж

Для створення віртуальних приватних мереж в системах сімейства Windows використовуються два різні протоколи — PPTP розробки корпорації Microsoft (Point — to — Point Tunneling Protocol) і L2TP, що об'єднав кращі риси протоколів PPTP і L2F компанії Cisco (Level 2 Tunneling Protocol). Основний принцип роботи обох протоколів полягає в тому, що вони створюють захищений "тунель" між користувачем і корпоративною мережею або між двома підмережами. Туннелирование полягає в тому, що пакети, що передаються в захищеній мережі, забезпечуються спеціальними заголовками (у обох протоколів свої заголовки), вміст даних в цих пакетах шифрується (у PPTP — алгоритмом MPPE компанії Microsoft, в L2TP — технологією IPSec), а потім пакет, призначений для захищеної корпоративної мережі і заголовок, що має, з IP -адресами внутрішньої корпоративної мережі, інкапсулюється в пакет, що передається по мережі Інтернет і відповідний заголовок, що має, і IP — адреси посилача і одержувача.

Відмінності між двома протоколами наступні:

·                    алгоритми шифрування (MPPE для PPTP, IPSec для L2TP);

·                    транспортне середовище (PPTP працює тільки поверх протоколу TCP/IP, L2TP може працювати також поверх протоколів X.25, Frame Relay, ATM, хоча реалізація L2TP в системі Windows працює тільки поверх TCP/IP);

·                    L2TP здійснює взаємну аутентифікацію обох сторін, що беруть участь в створенні захищеної мережі, для це використовуються сертифікати X.509 або загальний секрет (preshared key). Загальний секрет (попередній ключ) реалізований починаючи з версії Windows 2003, встановлюється у Властивостях служби RRAS на закладці "Безпека"

VPN сервер

Сервер видаленого доступу може обслуговуючий VPN -подключения, виконує роль VPN - сервера. Хочу звернути увагу  що при VPN -і, йде мова про той же видалений доступ до ресурсів мережі офісу або краще скажемо корпоративній мережі. Але на відміну від звичайного видаленого доступу взаємодія між клієнтом і корпоративною мережею здійснюється по захищеному каналу, який створюється за рахунок застосування спеціальних протоколів туннелирования.

Якщо мережевий адміністратор вирішив використати сервер RAS для обслуговування VPN підключень, він перед розгортанням цього сервера повинен вирішити який протокол туннелирования використовуватиме, для створення захищеного каналу зв'язку. Правда вибір тут не великий і проте він повинен буде вибирати між протоколами PPTP і L2TP.

Протокол PPTP підтримується усіма клієнтами Microsoft. Недолік цього протоколу у відсутності механізмів передаваних даних, що гарантують цілісність, і достовірність учасників з'єднання.

Примітка:  Під словом "цілісність" слід розуміти не лише то що що те не розбилося або не прийшло в заданій кількості, а також то що то що передавалося, не було змінене (додано або видалено з готового пакету, якщо дивитися в нашому контексті).

Протокол L2PT позбавлений цих недоліків. В цілому це більше просунутий протокол чим PPTP. Цей протокол базується на протоколі IPSec який не підтримується старішими клієнтами. Для того що б старі версії Windows - платформ працювали з цим протоколом необхідно встановити на них спеціальний клієнт - Microsoft L2TP/IPSec Client, який вільно можна викачати з сайту Microsoft.

Якщо адміністратор вибрав протокол L2TP те він ще повинен визначиться, в тому - як саме буде здійснюється взаємна аутентифікація учасників VPN з'єднання.  справа в тому що протокол IPSec на якому базується L2PT, підтримує два способи аутентифікації учасників з'єднання.  А саме:

·                    цифрові сертифікати (мова про цифрові сертифікати, що призначаються комп'ютерам);

·                    попередній  ключ (pre - shared - key)

З точки зору безпеки прийнятніше використання сертифікатів.

Примітка: Для використанні цифрових сертифікатів в корпоративній мережі, має бути реалізована служба сертифікації (PIK).   

Розгортання VPN.

Перш ніж виконати конфігурацію сервера видаленого доступу, необхідно чітко визначиться з наступних питань:

Як здійснюватиметься розподіл IP -адресов, між клієнтами видаленого доступу? Існують два варіанти вирішення цього питання. Перший це використання DHCP сервера нашої мережі. Другий - це визначення самим адміністратором деякого пулу статистичних адрес. Як це робиться дивитеся тут на малюнку 14.

Яка максимальна кількість підключень, що входять, використовуватиметься? Від відповіді на це питання залежить кількість модемів орієнтованих на підключення видалених користувачів, потрібно буде підключити до сервера видаленого доступу.

Яка модель конфігурації параметрів видаленого підключення використовуватиметься? Параметри видаленого підключення можуть задаватися на рівні облікових записів окремих користувачів або визначаться політикою видаленого доступу. На цьому етапі мають бути зроблені усі необхідні налаштування для облікових записів користувачів, або визначені параметри політик видаленого доступу. Як це робиться дивитеся тут малюнки 17 і 18.

Яка схема аутентифікації використовуватиметься? Є два варіанти - виконувати безпосередньо сервером видаленого доступу або використати засоби протоколу RADIUS і служби аутентифікації IAS. Останній варіант слід використати тоді коли мережа має декілька серверів видаленого доступу. В цьому випадку адміністратор  веде централізоване управління процесом аутентифікації користувачів.

Запустимо майстер конфігурації сервера. Як це робиться описується тут. Але тільки на відміну від конфігурації яке описане там ми виберемо конфігурацію для обслуговування VPN з'єднань. У що відкрилося вікні малюнок 12 виберіть опцію "Видалений доступ (VPN або модем)".

http://alterego.ucoz.org/IMG/VPN/VPN12.jpg

 

Контрольні запитання:

1.    Дайте загальну характеристику групових політик сімейства Microsoft Windows.

2.    Обʼєкти та звʼязки групової політики.

3.    Спадковість та оновлення групової політики.

4.    Дайте характеристику служби DNS.

5.    Формування простору імен DNS.

6.    Служба Active Directory винекнення та загальна характеристика.

7.    Дайте визначення основним термінам і поняттям Active Directory.

8.    Active Directory логічна організація.

9.    Active Directory фізична організація.

10. Active Directory – сучасний етап використання.

11. Характеристика протоколу DHCP.

12. Що таке інтерфейс Windows Management Instrumentation (WMI), дайте вичерпну характеристику.

13. Дайте характериcтику консолі управління MMC.

14. ОболонкаWindows PowerShell, характеристики та параметри.

15. Що ви знаєте про редактор реєстру Windows?

16. Дайте характеристику способам та засобам адміністрування операційних систем сімейства Windows.