آشنایی با Active Directory

Active Directory Domain Services و سرویس های مرتبط آن، پیش نیاز و شکل دهنده ی شبکه های Enterprise بر اساس Microsoft Windows است. AD DS و سرویس های مشابه اطلاعاتی در مورد کاربران، کامپیوتر ها و سرویس های شبکه را نگه داری می کنند. این سرویس ها مکانیسمی برای Authenticate (شناسایی/ تشخیص هویت شدن) موارد ذکر شده را جهت دسترسی به منابع شبکه فراهم می آورند. در این بخش با مفاهیم اولیه آشنا می شویم.

در مهندسی نرم افزار، Directory یک راه حل هدایت کردن نام به مقدار است. به عنوان یک مثال ساده، می توان یک یک دیکشنری را یک دایرکتوری در نظر گرفت که در آن معنای یک لغت (اسم) به معانی واژه (مقدار) مربوط شده است. در یک دفترچه تلفن، اسامی اشخاص (نام-گره) به شماره تلفن های آن ها (مقدار-اطلاعات) مرتبط می شود و در DNS، نام DNS به IP address ها مرتبط می شوند. به عبارت دیگر می توان گفت؛ یک سرویس دایرکتوری تقریبا مشابه یک دیتابیس است.

در یک دایرکتوری اشیائی که به نوعی مرتبط اند، ذخیره می شوند و از طریق صفاتشان قابل دسترسی اند. در سرویس های مختلف و در سیستم عامل های مختلف، از یک سرویس دایرکتوری استفاده می شود. در سرویس دایرکتوری اطلاعات به صورت سلسه مراتبی نگه داری می شود همچنین سرویس دایرکتوری تمامی اطلاعات لازم را نگه داری می کند. با توجه به ارتباط میان اشیاء، دسترسی از طریق صفات و نگه داری تمامی اطلاعات لازم، مدیریت اطلاعات مرکزی و آسان تر می شود. بدیهی است عمکرد سرویس های دایرکتوری که در سرویس های مختلف استفاده می گردد، متفاوت است. با توجه به اهمیت این سرویس، باید مکانیسم های امنیتی و مدیریتی دیگر برای اثر بخشی، یکپارچگی و حفظ حریم خصوصی اتخاذ شود که در نتیجه باید از پروتکل ها و سرویس های دیگری نیز در کنار سرویس دایرکتوری استفاده شود.

در اینجا Directory Services عاملی برای Identity and Access یا IDA را فراهم می آورد. راهکار های IDA، راهکارهایی هستند که به سازمان ها کمک می کنند تا کاربرانشان را مدیریت کنند و حقوق دسترسی آن ها به منابع را معین کنند. مایکروسافت مجموعه ای از راهکار های مختلف را جهت IDA ارائه می دهد که مشهورترین آن ها Active Directory Domain Services است. اکتیو دایرکتوری دامین سرویسز در ۱۹۹۹ دیده شد و برای اولین بار همراه با ویندوز ۲۰۰۰ ارائه شد. پیش تر مایکروسافت نام NTDS را برای این سرویس انتخاب کرده بود.

یک IDA باید بتواند

۱٫ ذخیره سازی اطلاعات کاربران، گروه ها، کامپیوتر ها، وسایل سخت افزاری تحت شبکه و سایر هویت های لازم: در مفهوم جامع، هویت به هر شیئ فیزیکی یا منطقی که در شبکه نقش ایفا کند گفته می شود. بنابراین یکی از اجزای IDA باید محلی برای ذخیره سازی اطلاعات باشد که به آن Identity Store گفته می شود. Identity Store در اینجا همان Directory است. این دایرکتوری روی سرور هایی در شبکه نگه داری می شود که آن ها وظیفه اجرای AD DS را بر عهد دارند. به این سرور ها، دامین کنترلر گفته می شود. در محیط اکتیودایرکتوری گاهی، به دامین کنترلر ها به اختصار “سرور” گفته شود و سایر رول های سروری به صورت کامل گفته شود همانند DNS سرور.
۲٫ تشخیص هویت: سرور به کاربر یا هر هویت دیگری اجازه نمی دهد به منابع شبکه دسترسی پیدا کند مگر آنکه آن هویت تشخیص هویت شود. اطلاعاتی که توسط کاربر یا هر هویت دیگری به سرور داده می شود با دایرکتوری مقایسه می شود و در صورت داشتن مجوز جهت دسترسی به آن Resource (منابع – همانند فایل) هویت می تواند دسترسی پیدا کند.
۳٫ کنترل دسترسی: پس از تشخیص هویت میزان دسترسی هویت باید باید معین گردد.
۴٫ روش های بازبینی: سازمان باید بتواند تغییرات و فعالیت هایی که در استفاده از IDA صورت می گیرد را بازبینی و مانیتور کند، بنابراین IDA باید مکانیسمی برای Auditing (بازبینی) وقایع داشته باشد.

IDA و راهکارهای مایکروسافت

همانطور که پیش تر اشاره شد، اکتیو دایرکتوری، تنها مولفه موجود در راهکار های IDA نیست. همچنین اکتیو دایرکتوری نیز شامل ۵ تکنولوژی مختلف است که شاید تنها یک یا دو مورد از این تکنولوژی ها بسیار معروف شده باشند اما هر کدام عملکرد های متفاوتی دارند. این پنج تکنولوژی یک راهکاری جامع برای IDA را ارائه می دهند که عبارتند از:

۱) Active Directory Domain Services : این سرویس که توضیحاتی در خصوص آن پیش تر ارائه شد، برای مرکزی کردن فرآیند تشخیص هویت در شبکه استفاده می شود. همچنین با استفاده از Group Policy در AD DS می توان روی اشیاء گوناگون مدیریت کرد. با استفاده از جستجوی دایرکتوری، کاربران می توانند هر جزئی در شبکه را پیدا کنند؛ همانند File Server یا Print Server. این سرویس، اولین سرویسی است که باید در هر شبکه ی بر پایه Windows Server 2008 پیاده شود. مطالب مربوط به AD DS در آینده به طور کامل تحت پوشش قرار می گیرد. این سرویس نقش Identity را در مدل IDA مایکروسافت بر عهده می گیرد.

۲) Active Directory Lightweight Directory Services : این سرویس که به اختصار AD LDS گفته می شود یک نسخه Standalne (غیروابسته، بدون نیاز به کامپیوتر دیگر می تواند کار کند) از اکتیودایرکتوری است. پیش از این این رول با نام Active Directory Application Mode یا ADAM ارائه شده بود تا از نرم افزار های یکپارچه به اکتیودایرکتوری پشتیبانی شود. می توان گفت AD LDS واقعا یک تکه کوچک تر AD DS است چرا که هر دو روی یک اساس هستند. AD LDS تنها اطلاعات مربوط به نرم افزار را نگه داری می کند. معمولا از AD LDS زمانی استفاده می شود که نرم افزارهایی به سرویس دایرکتوری نیازمند هستند اما لازم نیست اطلاعات آن ها در دامین کنترلر های محیط (سازمان) قرار گیرد. استفاده از AD LDS برای نرم افزار های نیازمند به سرویس دایرکتوری بسیار زیاد است که در آینده بیشتر مورد بررسی قرار می گیرد.

۳) Active Directory Certificate Services : سازمان ها با استفاده از AD CS می توانند از امضای دیجیتال و زیرساخت های کلیذ عمومی برای تشخیص هویت استفاده کنند. پشتیبانی تشخیص هویت کاربران با استفاه از Smart Card (کارت هوشمند) و پشتیبانی از نرم افزار ها همانند Encrypted File System یا EFS؛ Internet Protocol Security یا IPSec و… به عمل می آید. AD CS یک روش موثر و ایمن برای مدیریت مجوز (Certificate) ها ارائه می دهد. این سرویس در آینده مورد بررسی قرار خواهد گرفت.

۴) Active Directory Rights Managment Services : این سرویس که به اختصار به آن AD RMS گفته می شود یک راهکار مناسب برای حفاظت از اطلاعات است. هرچند با استفاده از ACL روی اسناد سازمان (مجوزهای دسترسی به فایل ها و فلدر ها) می تواند به صورت محدودی سطوح دسترسی کاربران را معین کرد اما این سرویس توانایی های بیشتری دارد. به عنوان مثال می تواند وضعیت های دسترسی در زمان داخل و خارج firewall را معین کند.این سرویس در آینده مورد بررسی قرار خواهد گرفت.

۵) Active Directory Federation Services : این سرویس که به اختصار به آن AD FS گفته می شود،سازمان ها را قادر می سازد تا IDA را در پلتفرم های گوناگون بهره ببرند. به عنوان مثال در هر دو محیط ویندوزی و غیر ویندوزی. به عنوان مثال با استفاده از AD FS دو سازمان می توانند مدیریت کاربران جداگانه خود را داشته باشند اما به طور ایمن کاربران سازمان دیگر را برای دسترسی به برخی اطلاعات بپذیرند.
همانطور که مشاهده شد؛ تمام این ۵ تکنولوژی یک راهکار جامع برای IDA ارائه می دهند. هر کدام از این راهکار ها یک عملکرد معین و منحصر به فرد دارد و ممکن است به یکی از تکنولوژی های دیگر جهت عملکرد وابسته باشد. اساسی ترین جزء این راهکار IDA را می توان AD DS و AD LDS دانست که به صورت Standalone یا در Domain سرویس دایرکتوری را فراهم می آورند.