Безопасность сети и управление доменами сети. Аутентификация

Безопасность сети

Для начала необходимо зайти на сервер под учетной записью администратора домена. Да именно домена, т.к. при установке на сервере службы каталогов MS Active Directory под локальной учетной записью сервера вы зайти уже не сможете.

Для управления доменом на данном сервере появится оснастка «Active Directory – пользователи и компьютеры».

Данная оснастка предназначена для управления пользователями, группами, подразделениями, а также другими объектами службы каталогов MS Active Directory.

По умолчании при установки службы каталогов в дереве домена уже присутствует ряд контейнеров и организационных юнитов (подразделений), а именно:

Domain Controllers – в данном подразделении содержатся и автоматически добавляются все контроллеры домена, установленные в рамках этого домена. Это могут быть как резервные контроллеры домена, так и контроллеры в удаленных сетях.

Computers – в данный контейнер заносятся имена всех компьютеров и серверов, подключаемых к данному домену. Соответственно после добавления компьютера или сервера в домен его можно перенести из данного контейнера в другой организационный юнит.

Users и Builtin – в данных контейнерах содержатся встроенные учетные записи пользователей и встроенные группы безопасности, в которые включены пользователи. По каждому встроенному пользователю и группе безопасности в описании есть подробная информация для чего она нужна.

Если вы являетесь администратором сети, то перед тем как производить дальнейшие настройки безопасности домена, вам необходимо определится со структурой каталога. От данной структуры будет зависеть дальнейшее удобство работы с ним, а именно создание и управление пользователями и их компьютерами, разработку и применение политик безопасности, разграничение доступа пользователей к информационным ресурсам и т.д. За основу можно взять организационно-штатную структуру организации, для которой развернута служба каталогов в сети. Данный подход хорош тем, что во первых уже есть какая-то структура и не нужно изобретать велосипед, а во вторых удобней будет применять разные политики безопасности в зависимости от того в каком отделе работает сотрудник. Структура обычно должна выстраиваться в виде дерева, т.е. в каждом подразделении может быть еще одно или несколько подразделений. Для создания структуры необходимо щелкнуть правой кнопкой мышки на объекте в котором вы хотите создать еще один объект и выбрать необходимый тип объекта для создания.

После того как у вас нарисовалась ваша структура каталога домена, вам необходимо создать пользователей.

Но прежде чем пользователь смог бы работать под своей доменной учетной записью необходимо его персональный компьютер добавить в ваш домен. Для подключения компьютера к домену необходимо на компьютере пользователя (эти операции кстати он может сделать и сам) проверить доступность домена набрав в командной строке команду ping имя домена (в моем случае это ping sec-it.ru). В результате домен должен пинговаться. Если он не пингуется то нужно проверить настройки IP протокола, сервера имен (DNS), проверить пингом доступность контроллера домена по IP адресу.

Если связь налажена, необходимо щелкнуть правой кнопкой мышки по ярлыку «Мой компьютер» и выбрать пункт «Свойства». В открывшемся окне перейти на вкладку «Имя компьютера» и нажать кнопку «Изменить». В открывшемся окне необходимо задать имя компьютера, если вас не устраивает имя заданное при установке операционной системы, и имя вашего домена. При этом имя компьютера не должно совпадать с именами уже имеющимися в сети, т.е. оно должно быть уникальным

После нажатия кнопки «Ок» необходимо будет аутентифицироваться под учетной записью пользователя имеющего права на присоединение к домену. Пользователи сами могут добавлять компьютеры в домен, но если их пароль необходимо сменить при первом входе (была установлена галочка «Требовать смену пароля при следующем входе в систему») то пользователь не сможет этого сделать.

После того как компьютер пользователя загрузится ему будет предложено нажать комбинацию клавиш «Ctrl-Alt-Delete» после чего он сможет аутентифицироваться в сети и своем компьютере. В открывшемся окне ему только останется ввести свое сетевое имя и пароль. Нажав кнопку параметры можно выбрать где пользователь должен аутентифицироваться в домене сети или под локальной учетной записью.

Управление доменами

Определение понятий

Домен — имя сайта в сети Интернет определяемое областью пространства иерархических имен сети Интернет, которая обслуживается серверами доменных имен (DNS) и централизовано администрируется.

Поддомен — нижестоящий в иерархии домен, относительно данного домена. Поддомены не требуют регистрации у регистратора.

NS — сервер имен (сервер хранящий записи о домене).

Регистрация доменов

В панели управления Вашим аккаунтом первая страница раздела "Управление доменами" содержит список доменов и форму регистрации новых доменов. Это основная страница управления доменами.

Список доменов предоставляет возможность удалить домен с аккаунта, при условии что данный домен не связан с каким-либо доменом или его поддоменом и не существует почтовых адресов и сайтов связанных с ним.

При удалении домена он будет удален с аккаунта, но останется на наших NS, т.е. его поддержка не будет прервана, это необходимо, например, для переноса домена на другой аккаунт.

Будьте внимательны, удаление домена повлечет за собой удаление всех его поддоменов.

Форма регистрации доменов может быть использована тремя различными способами:

1. Регистрировать домен
2. Переносить домен
3. Сделать запись о домене

Таким образом, для регистрации домена необходимо:

• В поле "Доменное имя" вписать имя необходимого домена, например ivanov;
• В выпадающем списке зон выбрать необходимую зону, например.ru;
• В выпадающем списке "Способ заведения" выбрать нужный способ;
• В поле "Описание" написать какой-либо комментарий. Это поле не является обязательным и служит исключительно для вашего удобства;
• Нажать кнопку "Добавить".

После этого домен будет добавлен на аккаунт либо будет выведено сообщение об ошибке, если таковая была допущена.

Состояние настройки доменов

Домен на нашем хостинге может иметь два состояния:

1. Стандартные домены
   
   Каждый домен (а также и поддомен) на хостинге всегда автоматически имеет запись MX, направленную на наши почтовые сервера, запись A, указывающую на IP-адрес сервера с сайтом клиента и автоматически добавляемый поддомен www.
   Это состояние имеет домен (или поддомен) в том случае, если пользователь не делал никаких самостоятельных настроек для него. В большинстве случаев это состояние является вполне достаточным для полноценной работы.
2. Нестандартные домены
   
   Как только пользователь добавляет хоть одну запись (A, MX, TXT, NS или CNAME) к домену (или поддомену), он приобретает статус нестандартного. Этот статус обозначается специальной пиктограммой в панели управления. В этом случае с него снимается автоматический поддомен www и если этот поддомен требуется, его следует завести отдельным поддоменом. Также при этом удаляются все стандартные записи и следует ввести все желаемые записи для этого домена вручную, т.к. их автоматическая генерация не будет осуществляться. Исключением являются записи SOA и NS для зоны (любой домен, находящийся в списке доменов), эти записи для них генерируются автоматически всегда.

Настройка доменов

Поддерживается настройка следующих записей DNS:

• Запись А. Содержит IPсервера, на который указывает домен или поддомен.
• Запись MX. Содержит имя почтового сервера, на который будет отправляться почта для домена или поддомена. Имя записывается либо в виде полного доменного имени с точкой в конце, например mail.ivanov.ru., либо в виде алиаса, например mail.
• Запись NS. Содержит адрес сервера имен, поддерживающего домен.
• Запись CNAME. Содержит домен, для которого настраиваемый домен станет алиасом, т.е. синонимом.
• Запись TXT. Вспомогательное поле, может содержать любую текстовую информацию.

Рассмотрим часто встречающиеся случаи настройки доменов:

1. Настройка записей MX для приема почты на собственный почтовый сервер
   
   Если у вас есть собственный почтовый сервер и вы хотите осуществлять приём почты на него, то для осуществления данной задачи необходимо:
1. Заходите в панель управления. Выбираете "Управление доменами". Нажимаете кнопку "Подробнее" слева от вашего домена, например, ivanov.ru
2. Прописываете имя поддомена, например, mx.ivanov.ru (домен ivanov.ru уже будет указан, вам нужно вписать только mx). Нажимаете кнопку "Добавить".
3. Заходите в настройки созданного поддомена mx.ivanov.ru В пустом поле напротив записи mx.ivanov.ru. IN A вводите ip адрес вашего почтового сервера, например, 127.0.0.1 Нажимаете "Добавить".
4. После этого снова заходите в настройки домена ivanov.ru и нажимаете кнопку "нет МХ". (При этом может появиться ошибка, указывающая на то, что существуют почтовые ящики, использующие установленные MX записи домена. Для устранения ошибки необходимо зайти в "Управление электронной почтой" и удалить все почтовые ящики, привязанные к домену, кроме служебных и технических. После этого вернуться к настройкам домена.)
5. В настройках домена в строке IN MX видите два поля. В первое вводите приоритет, например, 5. Во второе — вашу MX запись mx.ivanov.ru. Обратите внимание на то, что в конце MX записи обязательно должна быть точка — mx.ivanov.ru. Нажимаете "Добавить".
6. После внесения данных изменений в настройки домена он приобретёт статус домена с пользовательскими настройками и автоматически утеряет префикс www.
2. Настройка записей MX для приема почты на сторонний почтовый сервер
   Если Вам необходимо реализовать прием почты на сторонний сервер, например Google, необходимо проделать следующее:
   Для примера возьмем почтовый сервер asp.googlemail.com.
   В этом случае МХ запись уже существует и имеет свой определённый IP адрес. Значит, вам уже нет необходимости создавать поддомен и присваивать ему IP адрес.
   Последовательность действий в данном случае такая:
1. Заходите в панель управления. Выбираете "Управление доменами". Нажимаете кнопку "Подробнее" слева от вашего домена, например, ivanov.ru
2. Заходите в настройки домена ivanov.ru и нажимаете кнопку "нет МХ". (При этом может появиться ошибка, указывающая на то, что существуют почтовые ящики, использующие установленные MX записи домена. Для устранения ошибки необходимо зайти в "Управление электронной почтой" и удалить все почтовые ящики, привязанные к домену, кроме служебных и технических. После этого вернуться к настройкам домена.)
3. В настройках домена в строке IN MX видите два поля. В первое вводите приоритет, например, 5. Во второе — MX запись asp.googlemail.com. Обратите внимание на то, что в конце MX записи обязательно должна быть точка — asp.googlemail.com. Нажимаете "Добавить".
4. После внесения данных изменений в настройки домена он приобретёт статус домена с пользовательскими настройками и автоматически утеряет префикс www. Если вы хотите, чтобы ваш домен ivanov.ru после внесённых изменений отзывался так же по www.ivanov.ru, необходимо добавить поддомен www.ivanov.ru и, после создания, привязать его к сайту, к которому уже привязан ivanov.ru.

Аутентифика́ция (англ. Authentication) — процедура проверки подлинности^[1], например: проверка подлинности пользователя путём сравнения введённого им пароля с паролем в базе данных пользователей; подтверждение подлинности электронного письма путём проверки цифровой подписи письма по ключу шифрования отправителя; проверка контрольной суммы файла на соответствие сумме, заявленной автором этого файла. В русском языке термин применяется в основном в сфере информационных технологий.

Учитывая степень доверия и политику безопасности систем, проводимая проверка подлинности может быть односторонней или взаимной. Обычно она проводится с помощью криптографических методов.