ACTIVE DIRECTORY

Jos Carlos Serufo Filho

( serufo@dcc.ufmg.br )
05/07/2004

ACTIVE DIRECTORY ( AD )
Definio

O servio Active Directory fornece

recursos de logon nico e um repositrio
central para informaes de toda a infraestrutura, simplificando amplamente o
gerenciamento de usurios e de
computadores e fornecendo acesso
superior aos recursos em rede.

Evoluo da Famlia Windows

Clientes Corporativos

Servidores Corporativos

O que o Active Directory ?

Servidor de LDAP v3
Servidor Dinmico de DNS
(Domain Name System)

Servidor de DHCP
(Dynamic Host Configuration Protocol)

Servidor de KERBEROS 5 (KDC)

Servidor de Dominio
Microsoft RPC

Banco
de
Dados

O que um servio de
diretrio?
No contexto de uma rede,
um
diretrio

uma
estrutura hierrquica que
armazena informaes a
respeito de itens(recursos)
de uma rede.

O que um servio de
diretrio?
Um diretrio pode ser composto pelos
mais diferentes tipos de itens(objetos),
como por exemplo, servidores, discos,
impresoras, contas de usurios,
arquivos compartilhados; ou ainda
domnios de logon, aplicativos, polticas
de segurana e de acesso, etc.

O que um servio de
diretrio?
O conceito de servio de diretrio um
conjunto de funes para criao,
armazenamento e recuperao de
informaes de um diretrio.
A existncia de mltiplos servios de
diretrio cria dificuldades administrativas
e incompatibilidade entre as aplicaes.

X500
Uma primeira tentativa de criar um servio
de diretrio para suprir informaes
comuns a vrias aplicaes foi o X500.
X500 um conjunto de padres definido
pelo CCITT(Consultative Committee on
International Telegraphy and Telephony) atual
ITU(International Telecommunication Union).

Caractersticas do X500
Banco de informaes distribudo;
Mecanismo de procura de informaes
flexvel;
Espao de Nomes Homogneo;
Servio padronizado;
Aberto.

X509 e o padro LDAP v3

LDAP(Lightweight Directory Access
Protocol) Foi criado como uma
alternativa mais simples ao protocolo
padro do X500(DAPDirectory Access
Protocol).
X509 padro adotado pela Microsoft
(Alteraao no esquema original para
ajustar as suas necessidades.)

DNS(Domain Name System)

Introduo

O Domain Name System (DNS) um

sistema de banco de dados distribudo no
genrico usado pelas aplicaes Internet,
pricipalmente, para converso de um nome
de mquina para seu endereo IP e
tambm usado pelos programas de correio
eletrnico para pesquisar a mquina que
recebe o correio para determinado domnio.

DNS(Domain Name System)

Histrico

No nicio da Internet, quando era chamada

de Arpanet, a converso entre o nome da
mquina e o seu IP era realizada usando-se
um arquivo denominado de hosts.txt.
Os administradores enviavam via e-mail as
alteraes dos seus domnios e buscavam
via FTP tal arquivo para atualizar-se.

DNS(Domain Name System)

Histrico

Com o crescimeto da Internet tal

mecanismo tornou-se completamente
invivel, surgindo o DNS, um sistema
descentralizado, fornecendo as
caractersticas necessrias em relao aos
problemas de carga gerada no trfego na
rede, de coliso de nomes e de
consistncia dos dados.

DHCP

( Dynamic Host Configuration Protocol)

O DHCP um servio utilizado para
automatizar as configuraes do protocolo
TCP/IP nos dispositivos de rede
(computadores, impressoras, hubs,
switchs, ou seja, qualquer dispositivo
conectado rede e que esteja utilizando o
protocolo TCP/IP).

DHCP

(Dynamic Host Configuration Protocol)

Sem o uso do DHCP, o administrador e
sua equipe teriam que configurar,
manualmente, as propriedades do
protocolo TCP/IP em cada dispositivo de
rede (genericamente denominados
hosts).

DHCP

Implementao da Microsoft
A implementao do DHCP no Windows
2000 Server e no Windows Server 2003
baseada em padres definidos pelo
IETF.
Estes padres so definidos em
documentos conhecidos como RFCs
(Request for Comments).

DHCP
As RFCs que definem os padres do
DHCP so as seguintes:
# RFC 2131: Dynamic Host Configuration
Protocol (substitui a RFC 1541)
# RFC 2132: DHCP Options and BOOTP
Vendor Extensions
http://www.rfc-editor.org/

Kerberos
No Windows 2000, a verso 5 do
Kerberos o principal protocolo de
segurana.
O Kerberos verifica tanto a identidade do
usurio como a integridade dos dados
da sesso.

Kerberos
Os servios Kerberos esto instalados
em cada controlador de domnio, e um
cliente Kerberos instalado em cada
estao de trabalho e servidor do
Windows 2000.
A autenticao inicial do Kerberos
garante ao usurio um nico logon aos
recursos da empresa.

Kerberos
Vantagens

Alm de melhorar a segurana, permite:

Relaes de confiana transitiva para
autenticao entre domnios.
As credenciais de autenticao emitidas por
um servio Kerberos so aceitas por todos os
servios Kerberos dentro da rvore do domnio.
Alm disso, as credenciais emitidas por um
servio Kerberos em uma floresta de rvores
de domnio so aceitas por todos os
servios Kerberos da floresta.

Kerberos
Autenticao mtua de cliente e servidor
Tanto o cliente como o servidor so
autenticados em uma sesso Kerberos.
Processos eficientes de autenticao
O Windows 2000 Server pode verificar as
credenciais do cliente sem consultar o
servio Kerberos no controlador de domnio.

Kerberos

Implementao no WIN 2K
A implementao do Kerberos no Windows 2000
compatvel com qualquer outra implementao
da verso 5 do Kerberos que seja compatvel
com IETF RFCs 1510 e 1964.
Os clientes e servidores do Windows 2000 podem
autenticar e, portanto, se comunicar com vrias
outras plataformas que implementam o pacote de
autenticao Kerberos.

Kerberos

Microsoft Win 2k x Unix

H duas formas em que o Windows
2000 pode funcionar com KDCs
baseados em Kerberos MIT.

Kerberos

Microsoft Win 2k x Unix

Primeiro, a estao de trabalho do Windows
2000 pode ser configurada para usar um KDC
Unix. Os usurios podem efetuar logon no
Windows 2000 usando uma conta definida no
KDC Unix. Isso igual ao suporte de estao de
trabalho Unix para logon Kerberos. Qualquer
aplicativo do Windows 2000 ou Unix que s
requer autenticao baseada em nomes pode
usar um KDC Unix como servidor Kerberos.

Kerberos

Microsoft Win 2k x Unix

A segunda forma em que o Windows
2000 funciona com Kerberos MIT
atravs de confiana entre um ambiente
Unix e um domnio do Windows 2000. A
confiana entre ambientes a melhor
forma de se oferecer suporte aos
servios do Windows 2000 que usam a
personificao e controle de acesso.

Kerberos
Concluso

Os clientes do Windows 2000 no podem usar um

KDC Unix para autenticao no Active Directory.
O modelo de segurana distribuda do Windows
2000 depende em mais do que uma lista de SIDs
para autorizao de dados em tickets Kerberos, e
esses protocolos vo bem alm dos servios de
autenticao fornecidos pelo servidor Kerberos
MIT.

Active Directory(Microsoft)
O Active Directory tem o objetivo criar e
manipular facilmente informaes de um
diretrio.
O Active Directory implementa um espao
de nomes. Um espao de nomes uma
rea em que um determinado nome pode
ser resolvido, isto , transformado em um
objeto ou nas informaes que representa.

Active Directory(Microsoft)
A resoluo do nome depende do tipo de
objeto que o nome representa. Nesse
procedimento, um cliente active directory
realiza requisies a um servidor active
directory(tambm denominado de
controlador de domnio) atravs de um
protocolo especfico: o LDAP(Lightweight
Directory Access Protocol).

Active Directory(Microsoft)
Objetivo

O objetivo principal do Active Directory

facilitar a administrao da rede.

Active Directory(Microsoft)
Componentes

Os principais componentes que

formam o Active Directory so:
Objeto
Esquema
Continer

Active Directory(Microsoft)
Objeto

Um objeto qualquer usurio, sistema

recurso ou servio existente dentro do AD.
Os objetos so descritos por seus atributos,
como por exemplo, nome de uma mquina
e seu endereo IP.

Active Directory(Microsoft)
Esquema

O conjunto de atributos para

qualquer tipo particular de objeto
chamado de esquema.

Active Directory(Microsoft)
Conteiner

Um continer um tipo especial de objeto

utilizado para organizar o Active Directory.
Sua idia similar a de pastas do Windows,
isto , se uma pasta contem arquivos e
outras pastas, um continer armazena
objetos e outros continers. Os trs tipos
possveis de continers so domnios, sites
e unidades organizacionais.

Active Directory(Microsoft)
Conteiner - Domnios

Um domnio um grupo de
usurios e computadores que
formam uma unidade
administrativa isolada.

Active Directory(Microsoft)
Conteiner - Sites

Um site consiste em uma localizao geografica

empregada para distinguir localizaes remotas
de localizaes locais.
Os sites podem ser comparados a subredes, isto
, uma estrutura pode ser empregada por
aplicativos para localizar um determinado
servidor mais prximo dessa subrede, reduzindo
assim o trfego em redes remotas.
- Contm ao menos um Domain Controller

Active Directory(Microsoft)

Conteiner Unidade Organizacional

Uma unidade organizacional um
continer para agrupar objetos com
polticas de acesso idnticas, podendo
ser criadas com base em vrios critrios,
como funo, localizao, recursos, etc.

Active Directory(Microsoft)

Conteiner Unidade Organizacional

As unidades organizacionais existem
dentro de um domnio.
Uma caracterstica das grandes
organizaes a necessidade de criar
vrios domnios para controlar de forma
mais apropriada os recursos de um
determinado setor, departamento, filial e
etc.

Active Directory(Microsoft)
Domnios

Limites para Segurana

Autenticao

Limites de Replicao
Limites do namespace DNS
Limites para administrao

COMPANY

Relaes de confiana:
Transitiva bidirecional
Tambm unidirecional no-transitiva para
compatibilidade com NT4

Active Directory(Microsoft)
rvores e Florestas

rvore: Hierarquia de domnios formando

um namespace contguo
Floresta: Hierarquia de domnios formando
um namespace contguo ou no
Formado por Relms de Confiana
COMPANY
DIVISION.COM

COMPANY

AMERICA.COMPANY
EUROPE.COMPANY

AMERICA.COMPANY

NICARAGUA.AMERICA.COMPANY

Active Directory(Microsoft)
rvores

O Active Directory permite que os

domnios sejam organizados
hierarquicamente na forma de uma rvore.
Essa organizao cria uma relao de
filiao entre os domnios com uma
relao de confiana, fazendo com que
essa relao de confiana permita que
recursos sejam compartilhados.

Active Directory(Microsoft)
Florestas

O conjunto de rvores, isto , de

espaos de nomes diferentes define o
que se denomina de uma floresta.

Exemplo de estrutura de
Active Directory
Floresta
Unidade
Organizacional

Microsoft.com

Division.com

Domnio
rvore
Microsoft.com

Southamerica

Northamerica

rvore
division.com

Canada

EUA

Active Directory
Segurana

Private / Public Key (Crypto API)

SSL
IPSec
Kerberos
Smart Card

Active Directory

Algumas Caractersticas
Tecnologia de armazenamento
Mx. objetos/partio

Indexada

Milhes

Limite de partio Geo/Poltica

Catlogos localmente ? Sim
Intervalo de atualizao Contnuo
Suporte a LDAP nativo ? Sim
Integrao com DNS nativo ? Sim
Suporte integrado Kerberos ?
Segurana no catlogo ?

Sim

Grupos inter-parties ?

Sim

Interface adm. global ? Sim

Suporte a ADSI ?

Sim

Suporte a Java ?

Sim (JADSI)

Sim

Active Directory

ADSI (Active Directory Service Interfaces)

ADSI um dos componentes do

Windows Open Services
Architecture (WOSA) e Open
Directory Service Interfaces
(ODSI).

Active Directory

ADSI (Active Directory Service Interfaces)

Directories NetWare
Bindery

APIs

NW3

X.500

Notes

NDS

XDS

Notes

NDS

NTS
DS

Win32

ADSI
Clients
&
Servers
Directory Challenge

Active Directory

ADSI (Active Directory Service Interfaces)

Client

Active Directory
Service Interfaces
Provider
Container Component Object

Visual
Basic
or
C/C++

COM
Object
Leaf Component Object
COM
Object

Active Directory Service

Interfaces

Underlying directory service

protocol

Namespace

Active Directory
o Active Directory baseado num
diretrio standard de protocolos de
acesso (assim como o Lightweight
Directory Acess Protocol LDAP) que
significa que pode interoperar com outro
diretrio de servios mostrando estes
protocolos, o mesmo como se processa
tudo na Internet.

Concluso
Com o aumento no tamanho das redes e
as constantes mudanas pelas quais as
redes passam, os usurios passam a
necessitar um servio que permita um
acesso transparente ao usurio aos
recursos da rede.

Concluso
Um Servio de Diretrios responsvel
por permitir que o usurio possa
consultar ou navegar em diretrios de
usurio, organizaes ou recursos, sem
ter a necessidade de conhecer detalhes
sobre os objetos armazenados nestes
diretrios.

O que ento o Active Directory ?

Usurios Windows
Info sobre contas
Privilgios
Perfis
Polticas
Outros
Diretrios
NDS, LDAP
E-Commerce
Outros NOS
Usurios
Segurana
Polticas

E-Mail Servers
Info mailbox
Address book

Clientes Windows
Perfil gerenciam.
Info de rede
Polticas

Active Um Ponto Focal para:

Directory Gerenciamento
Segurana
Interoperabilidade

Aplicaes
Server config
nico logon
Info especfica
Polticas

Servidores Windows
Perfil gerenciam.
Info de rede
Servios
Impressoras
Compartilhamentos
Polticas
Dispositivos Rede
Configurao
Poltica QoS
Poltica Segur.

Firewall Services
Configurao
Poltica Segur
. Poltica VPN
Internet