Tổng quan về Active Directory trên Windows Server 2008
Active Directory là một kiến trúc độc quyền của Microsoft. Đây là một kiến trúc không thể thiếu được trên Windows Server. Active Directory được hiểu nôm na là một dịch vụ thư mục. Tương tự như dịch vụ thư mục trên các hệ thống khác, như Novell chẳng hạn, Active Directory là một hệ thống được chuẩn hóa với khả năng quản trị tập trung hoàn hảo về người dùng cũng như các nguồn tài nguyên trong một hệ thống mạng. Cũng cần phải chú ý, Active Directory được sử dụng trong mô hình mạng “Server – Client”.
Trước khi giới thiệu về Active Directory chúng ta sẽ điểm qua một số khái niệm cơ bản liên quan khác:
1. Bảo mật thông tin: đây được coi như là một trong những nguyên tắc cơ bản trong hệ thống mạng hiện nay. Hãy cứ thử tưởng tượng đơn giản, một người hoàn toàn không nắm rõ về kỹ thuật, công nghệ,.. nhưng chỉ với vài công cụ trong tay, họ có thể tấn công và gây thiệt hại cho cả một hệ thống mạng. Rõ ràng, việc bảo mật thông tin là một vấn đề vô cùng cần thiết.
- Nhận diện và truy cập: Đây là 2 yếu tố cơ bản trong một hệ thống mạng. Dễ thấy, khi bạn sử dụng mạng, hệ thống sẽ xác định bạn là ai ? Khi đăng nhập Windows chẳng hạn, bạn phải nhập tài khoản, mật khẩu, hay như đăng nhập Game online, cũng cần phải gõ tài khoản và mật khẩu như vậy. Đó chính là bước hệ thống nhận diện ra rằng bạn là ai. Sau khi đã xác định được, hệ thống sẽ cung cấp khả năng truy cập tài nguyên cho bạn.
- AAA: Chữ A đầu tiên, đó là Authentication, hãy thử tưởng tượng nhé, công ty mà bạn làm việc được bảo mật bằng hệ thống thẻ, một ngày đẹp trời nào đó, bạn đi làm như mọi ngày, trong khi cái thẻ thì vẫn nằm ở nhà và một sự thật hiển nhiên là bạn không thể vào công ty được. Đó chính là chữ A đầu tiên – hệ thống cần phải xác định được bạn là ai !!! Chữ A thứ hai, đó là Authorization, lại tưởng tượng tiếp nhé, thẻ của bạn chỉ là nhân viên phòng Sale thôi, vậy rõ ràng, đừng có ngồi mà nghĩ rằng bạn quẹt cái thẻ đó vào phòng giám đốc lại có thể vào được. Sau khi xác định được bạn là ai, hệ thống sẽ cung cấp cho bạn những quyền hạn tương ứng – Đó là chữ A thứ 2. Còn chữ A thứ 3 thì sao nhỉ :) Bạn là nhân viên phòng Sale, vậy bạn làm những việc gì ? Như thế nào ? Tôi là giám đốc, tôi là tay to trong công ty, tôi cần phải biết điều đó !!! Và đó là chữ A thứ 3 –Accounting
- CIA: cái này thì không giống như FBI mà các bạn đang nghĩ tới đâu. Ở đây là nói về tính chất của dữ liệu trong một hệ thống mạng. Nó phải luôn luôn sẵn sàng cho các hoạt động truy cập, phải bảo mật trên từng phạm vi nhất định (tài liệu của giám đốc, mà bảo vệ muốn đọc trộm ư ?? còn lâu nhé :) và tính toàn vẹn dữ liệu – nghĩa là dữ liệu luôn đầy đủ, không mất mát, lỗi hỏng.
2. Định danh và phạm vi truy cập:
- Định danh (Identity): trong một hệ thống mạng thì đây là một khái niệm, mà đại diện cho nó là các tài khoản. Mỗi một người dùng trên hệ thống mạng, sẽ có một tài khoản của riêng mình, và ứng mới mỗi một tài khoản này, hệ thống sẽ sinh ra ngẫu nhiên một mã bảo mật (SID) không thể đụng hàng. Điều này đảm bảo tính duy nhất của mỗi một tài khoản trong mạng, giúp cho việc xác thực “ngon lành” hơn.
- Phạm vi truy cập (Access): đại diện cho nó trong một hệ thống mạng chính là các thư mục (folder). Tại sao lại như vậy ? Tưởng tượng tiếp nào, bạn là dân thường đi viện còn mình là người đóng bảo hiểm đi viện, cũng hơi khác nhau một chút rồi đấy nhỉ :). Theo quy định của bệnh viện thì 2 cái loại như mình và các bạn sẽ phải khám ở hai khu khác nhau, các chính sách chế độ cũng khác nhau nốt, ví dụ các bạn nằm phòng VIP, một người một phòng, ăn chơi ngủ nghỉ đủ cả, mình thì bảo hiểm, nằm phòng 10 người, có khi nằm dưới gầm giường mà vẫn nghĩ mình hạnh phúc. Trong một hệ thống mạng cũng vậy. Có những chỗ các bạn chỉ có thể vào đọc thôi, chứ chả chỉnh sửa được gì cả, hoặc nhiều khi là chả vào được luôn ấy chứ =))
3. Phương thức xác thực (Authentication):
Authentication Active Directory
Quá trình này được thực hiện trong 4 bước:
- Người dùng (User) cung cấp thông tin cá nhân cho máy chủ (Server)
- Máy chủ trả lại cho người dùng một thẻ bảo mật riêng cho người dùng đó (Security Token)
- Trên tài nguyên chia sẻ có một danh sách điều khiển truy cập (ACL) chứa các thông tin SID nào làm được cái gì ?
- Hệ thống sẽ kiểm tra so sánh giữa ACL với Security Token của người sử dụng để quyết định có cho phép truy cập không, quyền hạn thế nào.
Bước thứ 4 kể trên được gọi là Authorization.
4. Vậy các bạn có biết thẻ bảo mật của người dùng và mô tả bảo mật của một thư mục chứa cái gì ?
security-token-active-directory
Một Security Token thì chứa ID của tài khoản (SID), ID của nhóm tài khoản thuộc về (GID), các quyền hạn của tài khoản đó, các thông tin khác.
Trong khi đó, một bản mô tả bảo mật, sẽ chứa về các vấn đề phân quyền trên tài nguyên.
security-descriptor-active-directory
Đến đây là cũng tạm đủ về các khái niệm quan trọng rồi nhé :)
Chúng ta sẽ cùng so sánh một chút giữa mạng kiểu “bình thường” (mạng cục bộ, có tính chất local) với mạng có Active Directory thì sao nhé !!!
- Mạng cục bộ: thì SID được lưu riêng biệt trên từng máy, và không chia sẻ (đừng nghĩ tới chuyện đăng nhập Windows trên máy chúng ta bằng tài khoản trên máy của người khác nhé), cơ chế xác thực là ngay tại máy đó thôi.
- Mạng sử dụng Active Directory: SID được lưu trữ tập trung trên máy cài Active Directory. Việc xác thực người dùng được Active Directory đảm nhiệm hoàn toàn.
Trong bài tiếp theo chúng ta sẽ tìm hiểu thêm về các thành phần trên Active Directory nhé.
0 Comments