Skip to content

7. Imeniške storitve - LDAP, Active Directory, domene in GPO

7.1 Kaj je imeniška storitev

Imeniška storitev je specializiran sistem za hranjenje in poizvedovanje po strukturiranih podatkih o: - uporabnikih, - skupinah, - računalnikih, - napravah, - pravilih, - organizacijskih enotah, - storitvah.

To ni isto kot splošna relacijska podatkovna baza. Imenik je optimiziran za: - pogosto branje, - hierarhično strukturo, - centralizirano identiteto, - replikacijo, - upravljanje pravic.

7.2 Zakaj organizacije sploh potrebujejo imenik

Ko je uporabnikov malo, lahko vsak strežnik vodi svoje račune. Ko okolje zraste, to postane slabo: - isto osebo moraš ustvariti večkrat, - gesla so nepovezana, - pravice niso usklajene, - ob odhodu uporabnika ga moraš odstraniti na več mestih, - ni centralnega pregleda.

Imeniška storitev to centralizira.

7.3 LDAP

LDAP je protokol za dostop do imenika. To je pomembna konceptualna ločitev: - LDAP ni nujno ime strežnika, - LDAP ni isto kot Active Directory, - LDAP je protokol, ki ga uporablja več imeniških rešitev.

Ključni pojmi: - DN, - RDN, - atributi, - objectClass, - DIT, - bind, - schema.

7.4 Zakaj je imenik drevesen

Organizacije so naravno hierarhične. Imenik to izkoristi: - organizacijske enote, - oddelki, - lokacije, - skupine, - uporabniki, - računalniki.

To vpliva na: - dedovanje pravil, - delegacijo administracije, - preglednost, - lažje iskanje in upravljanje.

7.5 Active Directory

Active Directory je Microsoftova imeniška storitev za domenska okolja. Ni samo shramba uporabnikov, ampak širša platforma za: - identitete, - avtentikacijo, - centralizirano upravljanje, - skupinske politike, - integracijo z drugimi strežniškimi storitvami.

7.6 Domena in delovna skupina

To je ena najbolj pomembnih razlik pri pouku: - delovna skupina - vsak računalnik upravlja svoje lokalne račune in pravice, - domena - obstaja centralna baza identitet in pravil.

Prednosti domene: - centralizacija, - enotna prijava, - upravljanje pravic, - lažja uvedba politik, - večji nadzor.

Slabosti: - večja kompleksnost, - večja odvisnost od kritične infrastrukture, - potreba po dobrem načrtovanju.

7.7 Kerberos in prijava

V domenskih okoljih je pogosto v ozadju Kerberos. Dijakom ni nujno treba znati podrobne konfiguracije, zelo koristno pa je, da razumejo idejo: - identiteta se preverja centralno, - storitve lahko zaupajo dokazu identitete, - ni treba vsaki storitvi znova pošiljati enakih poverilnic na primitiven način.

7.8 Group Policy (GPO)

GPO omogoča centralno uveljavljanje nastavitev in pravil. To lepo pokaže, da imenik ni le zbirka računov, ampak mehanizem upravljanja okolja.

Z GPO lahko tipično določaš: - varnostne nastavitve, - pravila gesel, - pravice prijave, - skripte ob prijavi, - nameščanje programske opreme, - preslikave omrežnih map, - omejitve uporabe sistema.

7.9 Dobre prakse pri imeniških storitvah

  • strukturo OU načrtuj po administrativnem smislu,
  • pravice dodeljuj skupinam, ne neposredno uporabnikom,
  • loči administratorske in navadne račune,
  • dokumentiraj shemo poimenovanja,
  • načrtuj redundanco in replikacijo,
  • sinhroniziraj čas,
  • imenik in njegove povezave zaščiti s TLS, kjer je to smiselno,
  • redno preverjaj privilegije in izjeme.

7.10 Pogosti problemi

  • napačno zasnovana hierarhija,
  • preveč izjem v pravicah,
  • nedelujoča replikacija,
  • časovna neskladja,
  • napačna vezava aplikacij na LDAP,
  • konflikt med lokalnimi in domenimi pravicami,
  • nepregledne skupine.

7.11 Kaj mora dijak razumeti

  • identiteta je infrastruktura,
  • LDAP je protokol, AD pa ena od imeniških rešitev,
  • imenik ni le prijava, ampak tudi politika, struktura in upravljanje storitev.