Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Системы аутентификации. Службы каталогов (ACTIVE DIRECTORY, NDS), инструментальные средства реализации. ⇐ ПредыдущаяСтр 4 из 4
Единая система идентификации и аутентификации (ЕСИА) — информационная система в Российской Федерации, обеспечивающая санкционированный доступ участников информационного взаимодействия (граждан-заявителей и должностных лиц органов исполнительной власти) к информации, содержащейся в государственных информационных системах и иных информационных системах. К основным функциональным возможностям ЕСИА относятся: - идентификация и аутентификация пользователей - управление идентификационными данными - авторизация уполномоченных лиц органов исполнительной власти при доступе к функциям ЕСИА - ведение информации о полномочиях пользователей в отношении информационных систем СЛУЖБЫ КАТАЛОГОВ ACTIVE DIRECTORY, NDS Если говорить об информации, нужно иметь в виду, что она должна быть легко доступна тем, кто имеет на нее право, и защищена от тех, кто не имеет. Сеть это информация, ресурсы, пользователи, приложения и т.д. И всем этим необходимо эффективно управлять, желательно с меньшими затратами и, что было бы совсем чудесно, одной утилитой. Служба каталогов определяет положения ресурса в сети, занимается поиском информации о пользователях, их доступом к ресурсам. Каталог определяет положение приложений в сети и взаимозависимости пользователей, ресурсов и приложений между собой. Сеть должна в идеале представлять собой единую логическую структуру, удобную для использования и управления. В начале развития сетей пользователи, ресурсы, приложения, все управлялось отдельными утилитами. В связи с ростом сетей и перерастания их из комнатных в общемировые изменилась и служба каталогов. Представим две службы: Novell Directory Services (NDS) и Microsoft Active Directory (MAD). Первые упоминания о NDS относятся к 1993 году. NDS служба каталога, прошедшая испытание временем. Логическая структура сети представляет собой дерево каталога, объединяющее иерархически расположенные контейнеры. Контейнеры могут включать в себя как объекты-листья (leafs), например, пользователей, группы, принтеры, серверы, рабочие станции, профайлы и многие другие, так и контейнеры более низкого уровня. Пользователи подключаются к сети с множеством серверов и видят сеть как единую информационную систему. MICROSOFT ACTIVE DIRECTORY В 1998 г. компания Microsoft разработала прототип Windows 2000 и новый сервис каталога Active Directory.
Домен остался основой структуры каталога. Как и в доменах NT Server 4.0, Active Directory использует доверительные отношения (trust relationships). В NT 4.0 для установления взаимного доверия между доменами необходимо было определить два доверительных отношения. В Active Directory при установлении доверительных отношений они автоматически становятся двунаправленными и транзитивными. Транзитивность можно продемонстрировать на следующем примере: если домен А доверяет домену В, а домен В доверяет домену С, то домен А доверяет домену С. Посредством комбинирования доменов с помощью доверительных отношений, строится доменное дерево, объединяющее домены в непрерывное именное пространство DNS. Множество доменных деревьев из несвязанных DNS-доменов может быть объединено вместе в лес (forest). В Active Directory предусмотрена возможность деления логической структуры доменов на организационные единицы (Organizational Unit OU). Реализованные в Active Directory OU позволяют снять два ограничения текущей доменной структуры NT: 1) появляется возможность иерархического представления объектов внутри домена, и 2) дают возможность передавать административные полномочия внутри домена. РАЗЛИЧИЯ В ПОРЯДКЕ ПРЕДОСТАВЛЕНИЯ ПРАВ НА РЕСУРСЫ Когда администратор устанавливает новые приложения или ресурсы в сети, он также должен предоставить пользователям доступ к этим ресурсам или приложениям. Active Directory использует Security Identifiers (SIDs) для определения доступа к ресурсам. Группы и пользователи, являющиеся основой системы безопасности в домене, имеют связанную с ними величину SID. Active Directory использует SID для определения того, имеет ли пользователь или группа права доступа к другим доменным объектам или доменным ресурсам. Когда пользователь Active Directory аутентифицируется в каталоге, суммируются все пользовательские SIDs и создается маркер (token) защиты, разрешающий использовать ресурсы. Маркер включает в себя пользовательский SID и SIDs всех групп, к которым он приписан. Как и в NT 4.0, в Active Directory маркер защиты вычисляется во время регистрации. Если права пользователя переопределяются посредством включения его в другие группы, пользователю необходимо выполнить все действия для повторной регистрации в сети для получения вновь предоставленных прав. Например, администратор предоставил пользователю права на новый принтер, установленный в сети. Пользователь редактировал документ и узнал, что можно напечатать его на новом принтере. Ему придется закрыть документ, перезагрузить компьютер, войти в сеть снова и тогда уже напечатать документ на новом принтере.
NDS динамически вычисляет права пользователя без дополнительной аутентификации его в NDS. Изменения, примененные к пользователю или контейнеру, где он располагается, применяются немедленно и динамически.
|
||||||
Последнее изменение этой страницы: 2017-02-21; просмотров: 262; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 18.119.159.150 (0.004 с.) |