Active Directory 2

Protokoll Nr. 8

Abteilung Höhere Technische Bundeslehranstalt

Fischergasse 30 A-4600 Wels IT

Protokoll

Übungs Nr.: 8 Titel der Übung: Übung 8

Katalog Nr.: 3 Verfasser: Christian Bartl Jahrgang: 4 AIT

An dieser Übung haben mitgearbeitet:

Thomas Fischl Gruppe: B

Datum der Übung: 27.10.2005

Abgabe Datum: 03.11.2005

Übungsleiter: Prof. Sander

Übungsmaterial:

Wechselfestplatte (B-19) Schulrechner Windows Server 2003 Enterprise Edition Installations-CD’s

Beurteilung:

NWSY Übung Nr.: 8 Seite 1

Autor: Christian Bartl , HTBLA Wels (c) Oktober 2012

Übung 8

Praxis 1.Aufgabe Angabe:

Erstellen, modifizieren und löschen sie eine Organisationeinheit mit Hilfe der ADS Tools "dsadd, dsmod und dsrm". Diese Tools sind über die Kommandozeile auszuführen.

Durchführung:

dsadd ou „ou=test, dc=local, dc=at“ dsmod ou „ou=test, dc=local, dc=at“ –desc “Beschreibung der Domäne” dsrm –subtree ou=test, dc=local, dc=at

//Organisationseinheit mit allen Objekten unterhalb der Einheit löschen 2.Aufgabe Angabe:

Erstellen, modifizieren und löschen Sie mit Hilfe des LDAP Tools "Ldifde" eine Organisationeinheit:

Verwenden Sie dazu das folgende Input File: dn: OU=........., DC=........, DC=........ changetype: add objectClass: organizationalUnit

Führen Sie das Werkzeug aus indem sie das Programm ldifde aufrufen.

Durchführung: dn: OU=test,DC=local,DC=at changetype: add objectClass: organizationalUnit Ldifde –i –f „C:\import.txt“

-i import -f file

3.Aufgabe Angabe: Erstellen Sie eine Organisationseinheit mit Hilfe eines Windows Script Host.

Erstellen sie eine Textdatei mit der Endung .vbs. Mit folgendem Inhalt: Set objDom = GetObject("LDAP://dc=.........,dc=..........") Set objOU = objDom.Create("OrganizationalUnit","ou=.........") objOU.SetInfo Die Datei wird mit dem Befehl wscript Dateiname ausgeführt.

Durchführung: Set objDom = GetObject("LDAP://dc=local,dc=at")

Set objOU = objDom.Create("OrganizationalUnit","ou=test.") objOU.SetInfo



wscript ou.vbs 4.Aufgabe Angabe: Verschaffen sie sich einen Überblick über den net Befehl Durchführung:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/6c0a1e0b-ea5d-4a38-9682-944d17cfe11c.mspx

net accounts

Aktualisiert die Benutzerkontendatenbank und ändert Kennwort- und Anmeldevoraussetzungen für alle Konten.

net computer Bewirkt, dass Computer einer Domänendatenbank hinzugefügt bzw. aus ihr

entfernt werden. net config

Zeigt die konfigurierbaren Dienste an, die derzeit ausgeführt werden. Zeigt die Einstellungen für einen Serverdienst oder eine Arbeitsstation an oder ändert sie. Ohne Parameter zeigt net config eine Liste der konfigurierbaren Dienste an.

net continue Setzt einen Dienst fort, der durch net pause angehalten wurde.

net file Zeigt die Namen aller geöffneten freigegebenen Dateien auf einem Server und die Anzahl der Dateisperren pro Datei an (falls vorhanden). Dient außerdem zum Schließen einzelner freigegebener Dateien und zum Aufheben von Dateisperren. Bei Verwendung ohne Parameter zeigt net file eine Liste der geöffneten Dateien auf einem Server an.

net group Fügt lokale Gruppen zu Domänen hinzu, zeigt sie an oder ändert sie. net continue

Zeigt eine Liste von Netzwerkbefehlen und Themen an, zu denen Sie Hilfe erhalten können. Stellt Hilfe zu einem bestimmten Befehl zur Verfügung. Bei Verwendung ohne Parameter zeigt net help eine Liste der Befehle und Themen an, zu denen Sie Hilfe erhalten können.

net file Erklärt, warum ein Fehler aufgetreten ist und stellt Informationen zur Problemlösung bereit.

net localgroup Fügt lokale Gruppen hinzu, zeigt sie an oder ändert sie. Bei Verwendung ohne Parameter zeigt net localgroup den Servernamen und die Namen der lokalen Gruppen auf dem Computer an.

net group Fügt lokale Gruppen zu Domänen hinzu, zeigt sie an oder ändert sie. net help

Zeigt eine Liste von Netzwerkbefehlen und Themen an, zu denen Sie Hilfe erhalten können. Stellt Hilfe zu einem bestimmten Befehl zur Verfügung. Bei Verwendung ohne Parameter zeigt net help eine Liste der Befehle und Themen an, zu denen Sie Hilfe erhalten können.

net helpmsg



Erklärt, warum ein Fehler aufgetreten ist und stellt Informationen zur Problemlösung bereit. net localgroup

Fügt lokale Gruppen hinzu, zeigt sie an oder ändert sie. Bei Verwendung ohne Parameter zeigt net localgroup den Servernamen und die Namen der lokalen Gruppen auf dem Computer an.

net name Fügt einen Nachrichtennamen (d. h. einen Alias) hinzu oder löscht ihn bzw. zeigt eine Liste aller Namen an, für die Nachrichten empfangen werden können. Bei Verwendung ohne Parameter zeigt net name eine Liste der aktuellen Namen an.

net pause Hält Dienste an, die aktuell ausgeführt werden. net print

Zeigt Informationen zu einer angegebenen Druckerwarteschlange oder zu einem angegebenen Druckauftrag an oder steuert einen angegebenen Druckauftrag. Bei Verwendung ohne Parameter zeigt net print die Befehlszeilenhilfe für den Befehl net print an.

net send Sendet Nachrichten an andere Benutzer-, Computer- oder Nachrichtennamen im Netzwerk. net session

Verwaltet Server-Computer-Verbindungen. Bei Verwendung ohne Parameter zeigt der Befehl net session Informationen zu allen Sitzungen am lokalen Computer an.

net share Verwaltet freigegebene Ressourcen. Bei Verwendung ohne Parameter zeigt net share Informationen zu allen auf dem lokalen Computer freigegebenen Ressourcen an.

net start Startet einen Dienst. Bei Verwendung ohne Parameter zeigt net start eine Liste der aktuell ausgeführten Dienste an.

net statistics Zeigt das Statistikprotokoll des lokalen Arbeitsstations- oder Serverdienstes bzw. der aktuell ausgeführten Dienste an, für die Statistiken verfügbar sind. Bei Verwendung ohne Parameter listet net statistics die ausgeführten Dienste auf, zu denen Statistiken angezeigt werden können.

net stop Beendet einen ausgeführten Dienst. net time

Synchronisiert die Systemzeit des Computers mit der eines anderen Computers oder einer Domäne. Bei Verwendung ohne Parameter zeigt net time die Systemzeit eines anderen Computers oder einer Domäne an.

net use Verbindet einen Computer mit einer freigegebenen Ressource oder trennt die Verbindung und zeigt Informationen zu Verbindungen eines Computers an. Der Befehl steuert außerdem ständige Netzwerkverbindungen. Bei Verwendung ohne Parameter zeigt net use eine Liste der Netzwerkverbindungen an.

net user Fügt Benutzerkonten hinzu, ändert sie oder zeigt Informationen über Benutzerkonten an.



net view Zeigt eine Liste der Domänen, Computer oder Ressourcen an, die auf dem angegebenen Computer freigegeben sind. Bei Verwendung ohne Parameter zeigt net view eine Liste der Computer in der aktuellen Domäne an.

5.Aufgabe Angabe: Versende Nachrichten Durchführung: 1. Nachrichtendienst aktivieren

2. net send IP-Adresse Message 5.Aufgabe Angabe: Wie kann man den Empfang von Nachrichten unterbinden Durchführung:

Nachrichtendienst deaktivieren 6.Aufgabe Angabe: Stelle mit net … ein Netzlaufwerk zum Server her,

verwende zum Erstellen der Ordner md und für die Freigaben ebenfalls net … Durchführung:

md freigabe net share freigabe1=“C:\freigabe“ net use z: \\serveradresse\freigabename Abfrage von Benutzername und Passwort folgt 7.Aufgabe Angabe: 1) zeige die erstellten Verbindungen am Server und Client mit netstat an 2) wann wird eine Verbindung wirklich getrennt? 3) Trenne Verbindungen vom Server aus mit net … Durchführung: 1) nestat microsoft-ds Portnummer: 445 tcp und udp 2) Wenn ich diese explizit beende 3) Net share freigabe1 /delete 8.Aufgabe Angabe: Starte und stoppe Dienste mit net… Durchführung:

z.B. den Dienst zum Empfang von Nachrichten net start Nachrichtendienst net stop Nachrichtendienst



9.Aufgabe Angabe: Lege Benutzer mit net… an Durchführung: Net user TestUser password /add 10.Aufgabe Angabe: Ändere die Rechte von Benutzerlaufwerken mit cacls Durchführung:

cacls C:\freigabe /G testUser:r 11.Aufgabe Angabe: Verwende die Erkenntnisse aus den Aufgaben 6 bis 10 und erstelle eine Batchdatei

Die einen Benutzer mit Homelaufwerk und entsprechenden Rechten anlegt Durchführung:

net user batchuser asdf!2§4 /add md c:\home\batchuser cacls c:\home\batchuser /G batchuser:F

12.Aufgabe Angabe: Erstelle eine Batchdatei, die aus einer Textdatei mehrere User anlegt Durchführung:

@echo off

FOR /f %%f IN (%1) DO echo net user %%f asdf!2§4 /add FOR /f %%f IN (%1) DO net user %%f asdf!2§4 /add

13.Aufgabe Angabe: Delegieren sie die administrative Kontrolle ihres Servers auf einen anderen Benutzer. Durchführung:

http://www.microsoft.com/germany/technet/datenbank/articles/600542.mspx#E4E http://www.gruppenrichtlinien.de/index.html?/HowTo/Objektverwaltung.htm

auf local.at -> Objektverwaltung zuweisen -> Objekt auswählen

14.Aufgabe Angabe:



Legen sie Benutzer mit dem Csvde Werkzeug an. Dazu benötigen Sie eine Textdatei mit folgenden Inhalt: Datei Users

Durchführung: DN,objectClass,samAccountName,member,userAccountControl

"cn=CiscoUser,dc=local,dc=at",user,CiscoUser,,512 Csvde –i –f users.csv 15.Aufgabe Angabe:

1) Machen sie sich mit dem Csvde Werkzeug vertraut und spielen sie die Datei ins ADS. 2) Was bedeuten die Werte 512 und 514 in der Datei?

Durchführung:

1) userAccountControl - 514 / 512 This another optional LDAP attribute. Trust me and initially set the value of this field to 514 for user accounts. While you could try other values such as 512, you may find that your import fails. My strategy is to create disabled accounts (514), then enable them later with a VBScript (512).

http://www.computerperformance.co.uk/Logon/Logon_CSVDE_import.htm http://www.faq-o-matic.net/content/view/45/45/ http://www.computerperformance.co.uk/Logon/Logon_CSVDE_Bulk.htm

2)

dn: cn= CiscoUser2,dc=local,dc=at changetype: add CN: CiscoUser2 objectClass: user sAMAccountName: Cisco User2

15.Aufgabe Angabe: Legen Sie Benutzer mit dem Ldifde Werkzeug an.

Verwenden sie dazu folgende Import Datei. #Create User dn: CN=........., OU=........ dc=........,dc=.......... changetype: add objectClass: user sAMAccountName: ...... userPrinicipalName: .......... displayName: ........ userAccountControl: ......

Durchführung:

DN: CN=Beispielbenutzer,DC=Domänenname changetype: add CN: Beispielbenutzer description: Dateibeschreibung objectClass: Benutzer



sAMAccountName: Beispielbenutzer http://www.zdnet.de/enterprise/os/0,39023493,20000246-3,00.htm https://s.microsoft.com/germany/technet/datenbank/articles/600549.mspx#E1LAC http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/32872283-3722-4d9b-925a-82c516a1ca14.mspx

dn: CN=New User,OU=newusers,DC=slowe,DC=com changetype: add cn: New User objectClass: user samAccountName: NewUser

ldifde –v -i -f import.ldf

16.Aufgabe Angabe: Erstellen Sie einen Benutzer mit Hilfe eines Windows Host Scripts.

Erstellen sie eine Textdatei mit der Endung .vbs. Mit folgendem Inhalt: Set objDom = GetObject("LDAP://dc=.........,dc=..........") Set objUser = objOU.Create("User","cn=.........") objUser.Put "sAMAcountName", "........." ............ Setze alle ADS Eigenschaften siehe Ldifde ............ ojOU.SetInfo Die Datei wird mit dem Befehl wscript Dateiname ausgeführt.

Durchführung:

Set objDom = GetObject("LDAP://dc=local,dc=at") Set objUser = objDom.Create("User","cn=test") objUser.Put "sAMAcountName", "testanders"

wscript hostscript.vbs



Theorie Was ist der User Principal Name ?

Abkürzung: UPN This attribute contains the UPN that is an Internet-style login name for a user based on the Internet standard RFC 822. The UPN is shorter than the distinguished name and easier to remember. By convention, this should map to the user e-mail name. The value set for this attribute is equal to the length of the user's ID and the domain name. For more information about this attribute, see the Naming Properties topic in the Active Directory guide. User Principal Name (UPN) Besteht aus dem Anmeldenamen und dem DNS-Namen der Domäne. "Benutzerfreundlicher" Name, kann zur Anmeldung am Netzwerk verwendet werden. Müssen eindeutig sein, wird von AD jedoch nicht erzwungen. [email protected]

Was ist der Unterschied zwischen DNS und Active Directory Namespaces?

Der DNS Namespace besteht aus Datensätzen, welche in einer Zone gespeichert sind. Der Active Directory Namespace besteht aus Objekten, welche in den Domänen gespeichert sind.

Was ist der Zusammenhang zwischen DNS und Active Directory Namespaces?

Beide Namensräume sind hierarchisch aufgebaut und dienen zum ansprechen von Computern im Netzwerk.

Was sind FQDN? (Fully Qualified Domain Name)

Fully Qualified Domain Name (FQDN) dient der eindeutigen Bestimmung eines Knotens im Namensraum des hierarchisch aufgebauten DNS.

Aufbau Die gesamte Darstellung des DNS Namensraumes erfolgt als umgekehrter Baum ausgehend von einer Wurzel über Knoten (Astgabeln) bis zu den Blättern. Ein Blatt ist der Spezialfall eines Knotens. Es wird nur deshalb so genannt, weil es der (vorläufige) Endpunkt dieser Struktur ist. Ein Blatt kann jedoch jederzeit selbst Verzweigungspunkt für eine feinere Struktur werden. Ein Knoten besitzt einen Namen, der ohne die Angabe eines vollständigen Namens nicht eindeutig ist. So läßt sich die Position des Knotens 'wikipedia' nicht eindeutig bestimmen, da dieser Knotenname zum einen unter wikipedia.org und zum anderen unter wikipedia.de auftaucht. Noch anschaulicher wird das beim Knoten 'www', der erst in Verbindung mit einem eindeutigen Namen (z.B. www.wikipedia.de) identifizierbar ist. Jeder Knoten besitzt einen FQDN. Im Fall der Top Level Domain de lautet deren FQDN de. - der FQDN der Wurzel 'root' lautet . (genau ein Punkt). Notation



Die Notation eines FQDN erfolgt durch die Aneinanderreihung der Labels aller Knoten getrennt durch einen Punkt und von links nach rechts vom untersten Knoten bis zur Wurzel root. Das Label ist der Bezeichner eines Knotens. Jeder Knoten verfügt über einen Bezeichner; außer der Knoten root. Das Label von root ist eine leere Zeichenkette - auch Null-Label genannt. Der FQDN von www.wikipedia.de ergibt sich durch: label-www.label-wikipedia.label-de.label-root und lautet www.wikipedia.de. (mit abschließendem Punkt) Da root nur ein leeres Label besitzt, endet der FQDN also stets mit einem Punkt.

Was sind Active Directory Integrated DNS Zones?

Active Directory Integrated DNS verwendet das Verzeichnis, das zur Speicherung und Replikation von DNS-Zonendatenbanken eingesetzt wird. Falls Sie sich dafür entscheiden, mit Active Directory Integrated DNS zu arbeiten, wird DNS auf einem oder mehreren Domänencontrollern ausgeführt und Sie müssen keine separate DNS-Replikationstopologie einrichten.

Active Directory Integrated (primary) - DNS entries are stored with Active Directory data rather than a normal zone file. More than one of these Active Directory primary servers may exist due to Active directory replication. This term is used to refer to both the Active Directory Integrated zones and files that support the zone.

Was sind SRV (Service) Resource Records?

Ein Resource Record ist die kleinste Informationseinheit einer DNS-Zonendatei. Er hat folgende Struktur:

<name> [<ttl>] [<class>] <type> <rdata> <name> Der Domänenname des Objekts, zu dem der Resource Record gehört <ttl> time to live (in Sekunden). Gültigkeit des Resource Records (optional) <class> Protokollgruppe zu der der Resource Record gehört. Üblicherweise wird IN (Internet) verwendet. Es sind aber auch die Klassen CH (Chaosnet) oder HS (Hesiod) sowie CS (CSNET, wird nicht mehr verwendet und wird lediglich noch als Beispiel in einigen obsoleten RFCs genannt) möglich. <type> beschreibt den Typ des Resource Records. Hier die wichtigsten Typen:

A IPv4-Adresse eines Hosts AAAA IPv6-Adresse eines Hosts A6 Resource Record des Verfahrens A6 zur teilweisen Adressauflösung unter IPv6, inzwischen veraltet CNAME Aliasname für einen Host DNAME Ähnlich CNAME, aber für IPv6 GPOS Geographische Position, veraltet HINFO Host information ISDN ISDN-Nummer, wird nur selten verwendet LOC Lokation KEY enthält einen dem Namen zugeordneten Public-Key MB Mailbox domain name (Experimentell) MD Mail destination (nicht mehr in Gebrauch - heutzutage wird MX verwendet)



MF Mail forwarder (nicht mehr in Gebrauch - heutzutage wird MX verwendet) MG Mail group member (Experimentell) MINFO Mailbox oder mail list information MR Mail rename domain name (Experimentell) MX Mail Exchange - der für diese Domain zuständige Mailserver NAPTR Naming Authority Pointer -> Erweiterung/Alternative des PTR-Resource Record, siehe RFC2915. Wird u.a verwendet von ENUM (tElephone NUmber Mapping)) NSAP Network Service Access Point NULL Null Resource Record (Experimentell) NS Hostname eines autoritativen Nameservers PTR Domain Name Pointer (für das Reverse Mapping, um IP Adressen Namen zuzuweisen) RP Verantwortliche (responsible) Person SIG enthält eine digitale Unterschrift (wird von DNSSEC (=DNS Security) verwendet) SOA Start of Authority SRV angebotener Dienst (Service) TXT freidefinierbarer Text, wird etwa für Sender Policy Framework (SPF) verwendet WKS Well known service description X25 X.25-Adresse, wird nur selten verwendet

<rdata> (resource data) Daten die den Resource Record näher beschreiben (zum Beispiel eine IP Adresse für einen A-RR, oder einen Hostnamen für einen NS-RR)

Was sind Vertrauensstellungen und welche gibt es?

Um über Domänengrenzen hinweg auf Objekte zugreifen zu können müssen Vertrauensstellungen zwischen den Domänen definiert werden.

MS Windows NT3/4-Sicherheitsdomänen haben eine nicht-hierarchische Sicherheitsstruktur. Die Einschränkungen dieser Architektur und die Tatsache, wie sie die Skalierbarkeit von MS Windows- Netzwerken in großen Organisationen betreffen, sind wohl bekannt. Dazu schränkt der flache Namensraum, der aus diesem Design resultiert, auch die Verteilung von administrativen Aufgaben in großen Netzwerken sehr ein. Microsoft entwickelte Active Directory Service (ADS), das auf Kerberos und LDAP basiert, um die Einschränkungen der älteren Technologien zu umgehen. Nicht jede Organisation ist gewillt oder bereit, ADS einzusetzen. Für kleinere Unternehmen ist das alte NT4-Domänensicherheitsmuster eher angebracht; es bleibt eine feste Benutzerbasis, für die es keinen Grund gibt, eine mit Betriebsunterbrechungen einhergehende Umstellung der Technologie durchzuführen, um ADS zu adaptieren. Mit MS Windows NT hat Microsoft die Fähigkeit eingeführt, unterschiedlichen Sicherheitsdomänen einen Mechanismus zu erlauben, mit dem Benutzern einer Domäne Anmelderechte und Privilegien in einer anderen Domäne gegeben werden können. Dies wird als Vertrauensstellung (Trust) bezeichnet. So vertraut beispielsweise eine Domäne den Benutzern einer anderen Domäne. Die Domäne, deren Benutzer einer anderen Domäne zur Verfügung stehen, nennt man vertraute Domäne. Die Domäne, in der diese Benutzer gewisse Rechte und Privilegien haben, ist die vertrauende Domäne. Mit NT3.x/4.0 gehen alle Vertrauensstellungen immer nur in eine Richtung, d.h., wenn Benutzer beider Domänen in der jeweils anderen Domäne Rechte und Privilegien haben sollen, muss man zwei Vertrauensstellungen aufbauen: eine in jede Richtung.



In einer NT4-artigen MS-Sicherheitsdomäne sind alle Vertrauensstellungen nicht-transitiv. Das bedeutet: Wenn wir drei Domänen haben (nennen wir sie ROT, WEISS und BLAU), in der ROT und WEISS in einer Vertrauensstellung zueinander stehen und WEISS und BLAU in einer Vertrauensstellung zueinander stehen, dann bedeutet das nicht, dass ROT und BLAU automatisch eine Vertrauensstellung zueinander haben. Vertrauensstellungen sind explizit und nicht transitiv. Neu im MS Windows 2000-ADS-Sicherheitskontext ist die Tatsache, dass Vertrauensstellungen per Voreinstellung in beiden Richtungen verlaufen. Zusätzlich sind alle Inter-ADS-Domänen-Vertrauensstellungen transitiv. Im Fall der Domänen ROT, WEISS und BLAU und Windows 2000 mit ADS würde das bedeuten, dass ROT und BLAU sich vertrauen würden. Dies ist eine Eigenschaft, die nur ADS-Domänen haben. Samba-3 implementiert MS Windows NT4-artige Domänen-Vertrauensstellungen und verkehrt mit MS Windows 200x-ADS-Sicherheitsdomänen in einer ähnlichen Weise wie mit MS Windows NT4-artigen Domänen.

Was ist LDAP? Wie ist ein Verzeichnisbaum organisiert? (OU, DC, usw.)

LDAP = Lightweight Directory Access Protocol Das Lightweight Directory Access Protocol (LDAP) ist in der Computertechnik ein Netzwerkprotokoll, das die Abfrage und die Modifikation von Informationen eines Verzeichnisdienstes (eine im Netzwerk verteilte hierarchische Datenbank) erlaubt. Die aktuelle Version ist in RFC 2251 spezifiziert.

Überblick

LDAP ist ein Netzwerkprotokoll, das bei so genannten Verzeichnisdiensten (engl. directories) zum Einsatz kommt. Es vermittelt die Kommunikation zwischen dem LDAP-Client (beispielsweise einem Mailserver oder digitalem Adressbuch) mit dem Directory Server. Dabei werden alle Protokoll-spezifischen Funktionen geboten, die für eine solche Kommunikation notwendig sind: Anmeldung am Server (sog. bind), die Suchabfrage (Suche mir bitte alle Informationen zum Benutzer mit dem Namen 'Joe User'!) und die Modifikation der Daten (Beim Benutzer 'Joe Cool' ändere bitte das Passwort!). Neuere Implementierungen, die über RFC 2251 hinaus gehen und Gegenstand für eine mögliche Erweiterung des Protokolls sind, berücksichtigen die Replikation der Daten zwischen verschiedenen Directories.

Geschichte

LDAP wurde an der Universität von Michigan entwickelt und 1993 erstmals in einem RFC vorgeschlagen. Es stellt eine vereinfachte Form des Directory Access Protocol (DAP) dar, welches im X.500-Standard definiert ist. Der X.500-Standard ist sehr umfangreich und setzt auf einem vollständigen ISO/OSI-Stack auf, was die Implementierung schwierig und rechenintensiv machte und damit einen Erfolg verhinderte. LDAP wurde mit dem Ziel entwickelt, Verzeichnisdienste einfacher und somit populärer zu machen. Aus diesem Grund setzt LDAP auf einem TCP/IP-Stack auf und implementiert nur einige der DAP-Funktionen und Datentypen. Trotzdem lassen sich mit den vorhandenen LDAP-Funktionen alle anderen emulieren.

LDAP und X.500

Während X.500 eine sehr strenge Implementierung der Directory-Daten erfordert und von der Protokollseite her mit DAP einen viel größeren Funktions- und Kontrollumfang als LDAP besitzt, hat sich gezeigt, dass diese Architektur gerade



deswegen einer breiteren Verteilung in vielen Unternehmen im Wege steht. Die Entscheidung, eine „lightweight“-Version des DAP-Protokolls zu implementieren, führte zu einer hohen Flexibilität in den Netzwerken, so dass solche Verzeichnisse zum ersten Mal „Internet-tauglich“ wurden.

LDAP-Directory-Eintrag Jedes LDAP-Verzeichnis hat eine bestimmte Struktur. Die Struktur wird durch die verwendeten Schemata definiert. Ein LDAP Schema definiert jeweils Objekt-Klassen mit ihren Attributen, z.B. die Klasse person oder die Klasse organisation. Die Verzeichniseinträge heißen bei LDAP Objekte. Jedes Objekt gehört zu mindestens einer, in der Regel aber zu mehreren Klassen. So sind für die Daten einer Person, ihrer E-Mail-Adresse und ihrer Passwörter nicht etwa drei Objekte notwendig, sondern dasselbe Objekt gehört zu drei Klassen. Diese könnten in diesem Beispiel person, inetOrgPerson und posixAccount heißen. Jedes Objekt ist eigenständig und aus Attributen zusammengesetzt. Ein einzelnes Objekt wird eindeutig durch den Distinguished Name (DN) identifiziert. Jedes Attribut eines Objekts hat einen bestimmten Typ und einen oder mehrere Werte. Die Typenbezeichnung eines Attributs sind meist einfach zu merkende Kürzel wie z.B. cn für common name, ou für organizational unit, s für state, c für country oder mail für e-mail address. Die erlaubten Werte eines Attributs sind vom Typ abhängig. So könnte ein mail-Attribut die Adresse [email protected] enthalten, ein jpegPhoto-Attribut dagegen würde ein Foto als binäre Daten im JPEG-Format speichern. Die Objekte werden in einer hierarchischen Struktur gespeichert, die politische, geographische oder organisatorische Grenzen widerspiegelt. Die größten Einheiten werden an die Spitze des Verzeichnisbaumes gestellt, der sich nach unten immer weiter auffächert.

LDAP Directory Information Tree Einzelne LDAP-Server sind für einzelne Teile des Verzeichnisbaumes zuständig, seine Partition. Stellt ein Client eine Anfrage, für die der Server nicht zuständig ist, kann der Server den Client an einen anderen Server verweisen. LDAP-Server lassen sich redundant aufbauen. Hierzu wird oft eine Master-Slave-Konfiguration verwendet. Versucht ein Client Daten auf einem Slave-Server zu ändern, wird er an den Master verwiesen. Die Änderungen auf dem Master-Server werden dann an alle Slave-Server weitergegeben. Da viele verschiedene Schemata in verschiedenen Versionen in Benutzung sind, ist die Vorstellung eines „globalen“ alles umfassenden LDAP-Verzeichnisses nicht real.



LDAP-Server werden als zentraler Verzeichnisdienst für verschiedene Zwecke in verschiedenen Größen eingesetzt, die Objekthierarchie bleibt aber in der Regel auf eine Organisation beschränkt.

Unterstützung von LDAP

Viele Anbieter von Verzeichnisdiensten unterstützen LDAP, z.B.: Apple (durch Open Directory) AT&T Banyan Vines credativ Critical Path Hewlett-Packard GONICUS IBM/Lotus Microsoft (durch ADS) Novell (durch NDS) Oracle (durch Oracle Internet Directory) SGI openLDAP (openSource Variante für eine Vielzahl unterschiedlicher Plattformen, so z.B. auch Linux) Siemens (durch Siemens DirX Directory Server) Sun (durch Sun ONE Directory Server) Auch Client- und Server-Software kann LDAP-Dienste benutzen: Mozillas E-Mail-Programm Thunderbird, IBMs Lotus Notes, Novell Evolution oder Microsoft Outlook können für das Adressbuch LDAP verwenden. Die Mailserver postfix, qmail, exim, Lotus Domino und sendmail können LDAP zur Authentifizierung oder zur Verwaltung von Aliasen verwenden. Squid, Lotus Domino und apache können LDAP als Authentifizierungssystem verwenden usw. GQ [1] und Luma [2] ermöglichen das direkte Betrachten und Bearbeiten von LDAP-Verzeichnissen. Der Export und Import erfolgt mittels LDIF.

Active Directory 2

Documents

Transcript of Active Directory 2