RSS

Active Directory Server Roles

18 พ.ย.

มาดู Role ทางด้าน AD บ้างครับ AD นะครับมันมีอยู่ทั้งหมด 5 ตัว

Active Diretory Domain Services (AD DS)

Active Diretory Certificate Services (AD CS)

Active Diretory Federation Services (AD FS)

Active Diretory Lightweight Diretory Services (AD LDS)

Active Diretory Rights Management Services (AD RMS)

ตัวแรกเลย Active Diretory Domain Services (AD DS) มันเอาไว้ในการจัดการ Domain ภายในองค์กรนั้นเอง Domain คืออะไร Domain คือขอบเขตในการจัดการระบบยกตัวอย่างห้องนี้มีเครื่องคอมพิวเตอร์จำนวนเท่านี้ นั้นล่ะคือ 1 Domain มีเครื่องคอมพิวเตอร์แค่นี้ มี user แค่นี้ เพราะว่าองค์กรขนาดใหญ่ก็มี Domain ที่มีขนาดใหญ่ภายใน Domain ก็มีเครื่องคอมพิวเตอร์ มี user ในการจัดการมี printer เป็นทรัพยากรในระบบ นี้คือconceptของคำว่า Domain  Domain จะเล็กจะใหญ่ขึ้นอยู่กับองค์กร resourceมันเยอะ เพราะฉะนั้นมันจะต้องมีตัวที่ค่อยจัดการDomain นั้นคือ DC ที่นี้ใน DC ที่ผมทำการพูดถึงอย่างเช่นตัวนี้ Domain ชื่อว่า Microsoft ภายใต้ Domain ก็มีเครื่องหนึ่งที่เรียกว่า DC  DC จะเอาไว้จัดการ user,computer,other,resource ต่างๆทั้งหมดเลยอย่างเช่นพนักงานมาใหม่ก็ต้องทำการสร้าง user computer ใหม่คุณก็ทำการ join Domain เข้ามาที่นี้ Reset password คุณก็ทำที่นี้ ไม่ต้องไปทำที่เครื่องเหมือนเดิมอีกแล้ว

Active Diretory Domain Services (AD DS) มันค่อนข้างที่จะใช้งานค่อนข้างง่าย ความรู้ในการใช้งานก็มีเยอะในส่วนของ Domainไม่ได้มีแค่ของค่าย Microsoft อย่างเดียว มี novell directory,mac directoryและทำไมบ้านเราถึงใช้แต่ Microsoft เพราะว่า novell directory,mac directory join Domain หนึ่งเครื่องก็คิดค่าลิขสิทธิ์แต่ของ Microsoft คือมันฟรีหมดเลยซึ่งเนื้อหาถ้าท่านเรียนในคอร์ส 6425C นั้นเยอะมาก ถ้าจะรู้ทุกอย่างของ AD เลย ใส่ฟีเจอร์เข้าไปเยอะมากทุกอย่างของAD แน่นอนและในส่วนถัดมาคือ Active Diretory Certificate Services (AD CS)มีท่านไหนที่ใช้ Active Diretory Certificate Services (AD CS)ในองค์กรบ้างครับ เด๋วผมเล่าให้ฟังคราวๆนะครับ อย่างเช่นทุกท่านคงเคยเข้าเว็บที่เป็น https ถูกไหมครับ ถ้ามองในมุมมองของคน มันก็เปรียบเสมือนสำนักงานเขตออกบัตรประชาชน ทำไมเขาต้องออกให้เราเพื่อที่จะสามารถพิสูจน์ได้ว่าเป็นคนไทยจริงๆ สิ่งที่มันออกให้คือ digital certificate จะมีหมายเลข seri คล้ายๆบัตรประชาชนเราเลยและเราก็มีหมายเลขบัตรประชาชนเหมือนกัน

ที่นี้Active Diretory Certificate Services (AD CS)มีหน้าที่อะไร? ทำได้หลายอย่างเช่นในส่วนของการ encry ของ SQL ทำเรื่องของการ encry ที่เป็น IPsecทำเรื่องของ EFS ทำเรื่องของ Domain login ต้องบอกว่า Active Diretory Certificate Services (AD CS) มันเป็นCertificate Server ที่เป็น Privateไม่ใช่ในลักษณะของ Public คำว่า Private คือใช้งานภายในแต่บ้างองค์กรก็นำเอาไปประยุกต์ใช้งานภายนอก เช่น exchange ใช้ exchange เข้า owa เวลาที่สมมมุติว่าเครื่องๆหนึ่งเป็น exchange server มีเครื่อง Client เปิดขึ้นมาเป็น IE คุณเข้าเป็น https://abc.net/owa  เข้าไป คอนเชปเราจะต้องเอา ADCS ติดตั้งบน serverขึ้นมาแล้วออกตัวCertificateขึ้นมาหนึ่งใบ ใบนั้นนะครับจะมีอัลกอริทึมและSSL ไว้ จะบอกว่าใช้อัลกอริทึมอะไรในการเข้ารหัส และเข้ารหัสกี่บิต จากนั้นเราเอา Certificateนั้นไปimport เข้าexchange ในroleของตัว outlook ที่เข้าผ่านหน้าเว็บเป็น mail process ที่ติดต่อครั้งแรกนี้มันจะถูก  Certificate เข้ารหัสเอาไว้แต่จะให้เครื่องนี้มันถูก import Certificateg เข้าไปก่อนถูกไหมตอน import Certificate ทุกท่านเคยเจอะไหมครับ Certificate Error แล้วก็ import เข้าไปอันนั้นมันทำได้อยู่แล้วในฝั่ง Client พอใส่เข้าไปเสร็จแล้วมันก็จะมี Certificate 2 ใบล่ะเอาไว้คุยกันหรือเอาไว้แลกเปลี่ยนกัน ใช้ติดต่อสื่อสารกันบ้าง temple มันจะใช้ public Certificateในการเข้ารหัสที่ต้องเก็บ public key เอาไว้เนี่ย บ้างประเภทจะใช้ private key ถอดรหัส ยกตัวอย่างเช่นคุณทำการเข้ารหัส EFS เช่น File Folder อยู่ในเครื่องคุณใช่ไหมครับใคร copy ไปก็แล้วแต่จะเปิดดูไม่ได้เพราะว่ามันคนล่ะ user แต่ถ้าคุณเข้ารหัสไว้แล้วมันจะใช้ public key นั้นทำการเข้ารหัสและตอนถอดคุณจะต้องมีการ backup Certificate ที่เป็น private key เอาไว้อย่างนี้เขาเรียกว่าkey pair หรือ key คู่ เพราะฉะนั้นเครื่องไหนที่ไม่มี Certificate ประเภท SSL แบบนี้มันติดต่อกับ exchange ไม่ได้มันไม่ให้คุยเลยหรืออีกมุมมองหนึ่งเครื่องๆนี้เป็น serverของbank เช่น kbank คุณเข้าไปทำธุรกรรมออนไลน์กรอกหมายเลขบัตรเครดิต กรอกหมายเลขสมาชิกกด submit เสร็จข้อมูลมันวิ่งผ่าน อินเตอร์เน็ตเข้ามาจะทำอย่างไรให้ปลอดภัย ต้อง implement Certificate แต่ของ bank นะครับเขาไม่ได้ใช้ ADCS ของ Microsoftเพราะว่าเขาใช้ Public Certificateของ Microsoft เขาเรียก Private ต้องออก Certificate เอง import Certificate เข้าไปเองจัดการดูแลเองและต้องจัดการเรื่อง Certificate หมดอายุด้วยเพราะว่า Certificate มีอายุการทำงานของมันกี่ปีกี่เดือนถ้าหมดอายุเราต้อง renew ให้ใหม่ แต่ของ bank เขาไม่ได้ใช้ลักษณะนี้เขาต้องใช้Public Certificate ที่ต้องเสียตังค์ภายนอกexchangeของต่างประเทศก็ต้องใช้ของภายนอกเหมือนกัน ข้อดีเราไม่ต้องทำการตั้ง serverเองไม่ต้อง issue Certificate subscribe เสร็จเขาจะส่ง Certificate มาให้ และข้อดีคือเขาจะไม่บอกว่าใช้อัลกอริทึมอะไร อย่างตัวนี้นะครับสำหรับถ้าใครเคยimplement Certificateขึ้นมาเองของMicrosoft นะเขาจะบอกว่าใช้ SSL ใช้อะไรในการเข้ารหัสถามว่าเรารู้ แล้ว hacker รู้ไหม ก็รู้ ถ้าเป็น Public Certificate ข้อดีของเขาคือจะไม่บอกจะบอกเฉพาะเขาและก็ลูกค้าเอง มันไม่ได้ public หรือทำการเปิดเผย ถ้าเป็นของ Microsoft มันจะเปิดเผย hacker มันดูออก ใช้ 2048 ใช้อัลกอริทึมอะไร ไปหาtool มาทำการเจาะอย่างเดียวถ้าใช้ Certificate ที่เป็นภายนอกเรื่องความปลอดภัยมันจะดีกว่าและอีกอย่างเราไม่ต้องไปจัดการเรื่องการหมดอายุเพราะ Certificate จะหมดอายุเขาจะ mail มาเตือน

 

ADFS ประโยชน์ของมันคือถ้าองค์กรของท่านมี Microsoft sharepoint อยู่อาจจะไม่จำเป็นต้องใช้ ADFS ก็ได้ยกตัวอย่างเช่นผมมี 2 domain  domain ชื่อว่า Microsoft กับ domain isonet 2 บริษัทนี้เป็นคู่ค้ากันเพราะว่าisonet เป็นศูนย์ Trin ของ Microsoft รายแรกในประเทศก็ต้องทำธุรกิจร่วมกันอยู่แล้ว สมมุติว่า Microsoft มีทรัพยากรเป็น web application ซึ่งปกติ web application ของภายในองค์กรคนข้างนอกไม่สามารถทำการเข้าถึงได้แต่ Microsoft ต้องการให้คู่ค้าเข้าไปดูได้ เพราะว่าทำธุรกิจร่วมกัน มีความไว้ใจกันระดับหนึ่ง เพราะฉะนั้นสังเกตว่าเขา provaides web sso technologies นั้นคือมันเกี่ยวข้องกับ web application แน่นอน concept คือต้องการให้ Domain ของ isonet เข้าไป access ได้แต่เราสามารถทำการ limit ได้ว่าใครบ้างใน domain นี้เช่นผมคนเดียวที่เขาไป access ที่ microsoft web app ได้อย่างนี้ก็ทำได้เว็บ app อันนี้ อาจจะคอร์สที่เปิดใหม่ต้องการให้อาจารย์เข้าไปดู ADFS Trust เราจะต้องทำการ Trust กันระหว่าง 2 Domain เพราะปกติแล้วมันจะติดต่อสื่อสารกันระหว่าง 2 Domain นี้ไม่ได้หลายๆท่านอาจจะเคย config Trust มา ถามว่าทำไมไม่ทำ Trust ปกติ เพราะว่า Trust ปกติมันจะไปทำการ Access Trust อะไรก็ได้ถูกไหมครับอีกอย่างไปทำการlogonอีกฝั่งหนึ่งได้ด้วยนั้นคือ Trust ปกติ อันนั้นคือ Trust ปกติ แต่อันนี้คือ ADFS Trust ใช้ในการ Trust แค่ web app อย่างเดียวเพราะฉะนั้นเว็บที่ทำ trust กันเสร็จนี้ท่านให้ลูกค้าแล้วก็ลอง test นี้ มันจะเปิด url ขึ้นมาแล้วเข้าเว้บ app ได้อย่างเดียวเลยอย่างอื่นมันทำไม่ได้จะเข้ากี่url ก็ทำได้หมดขึ้นอยู่กับว่าเราทำการ config เข้าไปมากน้อยแค่ไหนเช่นมี url ก็กรอกเข้าไปที่ ADFD Trust มันเป้น SSO Web อยู่แล้วแต่เน้น web app ภายใน จะให้เข้าไปแค่2 เว็บ app ก็ทำได้เข้าไปทำที่ ADFDทั้ง2 ฝั่ง เพราะฉะนั้นทั้ง 2 ฝั่งจะต้องติดตั้ง role ที่ชื่อว่า ADFS ลงมันทั้ง 2 ฝั่งจากนั้นก็ทำการ Trust การ Trust นะครับถ้าเป็นลักษณะคือ Microsoft ทำการ TrustISONET ฝั่ง ISONET ก็จะเป็นฝั่งเข้าไปใช้งาน Microsoft จะต้องสร้าง Trust ADFS มาที่ ISONET ตอนที่ Config เสร็จนี้เขาเรียกว่า Trust Policy เสร็จแล้วก็Export Trust Policy มาทำการ Import ที่ ISONET ด้วย ถ้าเป็น ADFS Trust นะ ไม่ได้สร้าง Trust ปกติ เหมือนAD ที่คุณเคยเรียนมา เคย Config มา อันนั้นมันง่าย อันนี้จะ Config ยากกว่ากันเยอะเพราะว่ามันทำการแลกเปลี่ยนข้อมูลทั้งสอง Domain ไง ต้องมีเรื่อง ADCS เข้ามาเกียวข้างอันนี้คือ Concept คราวๆADFS

 AD LDS ถ้าเป็นใน Windows 2003 ทุกท่านอาจจะเคยใช้แล้วactive directory application mode (adam)นี้ชื่อเก่าใน windows 2003แต่ถ้าเป็นชื่อใน Windows 2008 มันจะเปลี่ยนชื่อใหม่เป็น AD LDS ตัวนี้มองว่าเป็น active directory เหมือนกันแต่ active directoryของตัวนี้มันไม่มี gpo ไม่มี dns ไม่ gobol catalog มีเฉพาะ user บ้าง user เท่านั้นถ้ามองอีกมุมหนึ่งนะเจ้าตัวนี้คือ LDAP Server ยกตัวอย่างเช่นผมมี AD ปกติเลย

AD CS ผมมีประเด็นต่อว่าผมมีเครื่องๆหนึ่งที่เป็น linux  linux ส่วนใหญ่ join Domain ได้ไหมครับไม่ค่อยได้ แต่ linux ใช้ ldap ได้ concpte คือเขามีการใช้web app แล้วเขาต้องการดึงรายชื่อจาก ADFS มาเป็นรายชื่อเป็นของ ADCS concept คือlinux จะต้องเป็น member ของ adds ก่อนแต่มันทำไม่ได้ไงมันไม่รองรับไงแต่มันรับรอง ldap ไง ldap เป็นภาษาที่ใช้ในการ ดึงข้อมูลของ AD ถ้ามันใช้ ldap ได้เราก็ติดตั้ง ldap ที่เป็น Client ไป แล้วจะทำอย่างไร ให้มันใช้ Ldap ได้เราก็ติดตั้งอีกตัวหนึ่งขึ้นมาเป็น AD LDS เจ้าตัวนี้มองอีกมุมองหนึ่งมันคือ ldap server เขียนข้อมูลใน ldap

 

AD RMS เสียค่าใช้จ่าย Server และ Client มันเกิดมาเพื่อ EXและ Sharepoint ประโยชน์สมมุติว่าผมเปิดอีเมล์ให้ท่านหนึ่งห้ามทำการส่งต่อ ห้ามปริ้น แต่มันยังมีช่องโหว่อยู่ถ้าไป copy ข้อมูลแล้วเอาไปแปะที่ outlook.com แล้วทำการส่งต่ออันนี้ยังแก้ไขไม่ได้

 
ใส่ความเห็น

Posted by บน พฤศจิกายน 18, 2012 in Computer

 

ป้ายกำกับ: , , , , , , , , ,

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

 
%d bloggers like this: