Windows Server 2003 R2, что нового в Active Directory?

Опубликовано: 25 Марта, 2023


«Чтобы получить полное руководство по безопасности, ознакомьтесь с учебным пособием Security+ Study Guide and DVD Training System на Amazon.com».


Службы федерации Active Directory (ADFS)


Службы федерации Active Directory, или сокращенно ADFS, — это новая технология веб-служб Microsoft, которая позволяет компаниям безопасно проводить веб-транзакции с деловыми партнерами (Business to Business или B2B). При работе с другими компаниями вам иногда нужно разрешить клиентам доступ к ресурсам в вашем домене или наоборот. Из-за природы Интернета совместное использование ресурсов всегда может быть изматывающим — необходимо реализовать дополнительные меры безопасности, и эта технология называется WS-Federation. В большинстве случаев выполнение веб-транзакций может быть сочтено небезопасным, и если вам необходимо хранить идентификационную информацию для внешних деловых партнеров и клиентов, ADFS для вас. Тесно интегрированная с Active Directory, ADFS помогает обеспечить безопасность веб-транзакций. Пример подключения B2B можно увидеть на следующем рисунке.



Как видно из этого примера, компании А и компании Б необходимо совместно использовать ресурс… Интранет-сервер компании А. Пользователь компьютера в компании B хочет использовать этот ресурс, и при нормальных обстоятельствах, если они вошли в домен компании A, могут использоваться доверительные отношения. Кроме того, никогда не забывайте о самом важном вопросе: как сделать это безопасно в общедоступном Интернете? Службы федерации Active Directory (ADFS) предоставляют безопасную инфраструктуру для создания федеративного решения по управлению идентификацией, которое может расширить существующие возможности вашей организации по управлению идентификацией в Интернете.


Требования и преимущества ADFS


Для ADFS требуется Active Directory или, что более важно, учетные записи пользователей, хранящиеся в Active Directory. Службы федерации используют эти учетные записи для проверки подлинности B2B. Как видите, ADFS тесно интегрирована с Active Directory. ADFS аутентифицирует пользователей в Active Directory и использует маркеры безопасности, созданные Active Directory. Он также использует аутентификацию интеграции с Windows. Что ADFS делает для вас? Развернув ADFS, вы можете безопасно расширить Active Directory до Интернета. Таким образом, вы сможете поддерживать безопасную инфраструктуру служб каталогов без необходимости использования других поставщиков услуг входа или единого входа (SSO). Вы также сможете разрешить своим клиентам и клиентам использовать систему единого входа и беспрепятственно получать доступ к ресурсам, включенным через доверие от одной организации к другой. Так что же дальше? Создание доверия федерации…


Доверие Федерации


Как и любые доверительные отношения в Windows, при правильной настройке вы сможете предоставлять свои услуги другим деловым партнерам, обеспечивать беспрепятственную аутентификацию и беспрепятственное использование ресурсов. Когда вы развертываете ADFS, вы, по сути, развертываете сервер федерации, который будет контролировать доступ к вашим системам на основе идентификации, аутентификации и авторизации через доверие федерации — помните, что вы имеете дело с общедоступным Интернетом, поэтому крайне важно, чтобы вы защищали и контролировали передачу через Это. Вы не можете отключить свой брандмауэр, но вы можете безопасно разрешить передачу данных через него, и если бы эти передачи также были безопасными и обеспечивали безопасный упрощенный доступ к ресурсам через Интернет… ADFS была создана для этого. С помощью доверия федерации вы можете расширить Active Directory, чтобы обеспечить безопасный обмен ресурсами в среде B2B. На следующем рисунке показано, как это будет выглядеть, если вы спланируете и развернете доверие федерации от компании A к компании B. Ресурсы находятся в компании A, а у компании B есть клиенты, которые хотят получить доступ к ресурсу.



Теперь, когда доверие запланировано от домена ресурсов к домену, в котором у вас есть ваши учетные записи, вы можете иметь безопасные онлайн-транзакции между компаниями A и компаниями B, связанными доверительными отношениями федерации. Доверие федерации между двумя серверами федерации показывает «направление» доверия, которое важно. На этом рисунке домен ресурса доверяет домену, на котором базируются учетные записи… домену пользователя. Стрелка указывает на сторону учетной записи доверия, вдали от ресурсного домена.


После установления доверия федерации запросы проверки подлинности, которые отправляются на сервер интрасети в ресурсном домене, могут проходить через доверие федерации от пользователей, находящихся в домене, где расположены учетные записи, без проблем. Ошибки конфигурации и установка доверия в неправильном направлении не позволят вам установить успешные доверительные отношения.



Примечание:
Вы можете использовать оснастку служб федерации Active Directory для настройки доверия федерации; это будет рассмотрено в следующей статье.


Давайте используем эту последнюю иллюстрацию как краткое изложение того, что необходимо запланировать:



  • Если у вас есть соединение B2B, которое вы хотите использовать для межорганизационного использования ресурсов, и чтобы ваши учетные записи и ресурсы были бесшовными благодаря доверительным отношениям, из-за природы общедоступного Интернета вы хотели бы создать безопасный способ достижения совместное использование этих ресурсов
  • Развернув серверы федерации, которые позволяют доверию преодолевать брандмауэры и общедоступный Интернет, вы можете создавать доверительные отношения, совместно использовать ресурсы и все это за счет расширения возможностей Active Directory и ADFS.



Примечание:
Убедитесь, что вы подготовились к доверию федерации. Вы должны подготовить свою сеть к принятию федеративного доверия, поэтому знание портов и т. д., а также предварительное проектирование необходимо для обеспечения правильного развертывания ADFS. Если одна сторона доверия федерации (либо партнер по учетным записям, либо партнер по ресурсам) не настроена или неправильно настроена администратором любой организации, доверие федерации не может быть успешно создано.


Серверы федерации


Как вы видели на двух последних иллюстрациях, при развертывании ADFS вы будете развертывать новые серверы федерации на каждом сайте, для которого вы хотите создавать доверительные отношения федерации. Проще говоря, на серверах федерации размещается компонент службы федерации ADFS, который называется WS-Federation. Эти серверы играют очень важную роль… они направляют все запросы на аутентификацию от пользователей в партнерских (B2B) организациях через общедоступный Интернет, даже от клиентов, находящихся за пределами общедоступного Интернета. Серверы федерации будут иметь разные роли в зависимости от того, где они размещены… например, если вы думаете о компании A и компании B, ресурсы были в компании A, поэтому у этого сервера будет другая роль просто потому, что он основан на ресурсе. домен. Сервер федерации, расположенный в домене с учетными записями, будет иметь еще одну роль сервера. Роли легко запомнить: если у вас есть сервер федерации в домене без ресурсов, для входа используются локальные учетные записи пользователей в Active Directory. Серверы федерации в домене ресурсов проверяют маркеры безопасности, выдаваемые серверами федерации в домене учетных записей.


Не забывайте, что ADFS является новой для R2, поэтому, если вы хотите ее развернуть, вы должны убедиться, что R2 правильно установлена в ваших системах Windows Server 2003. Чтобы построить сервер федерации, этот сервер необходимо правильно масштабировать. Используйте требования, перечисленные в разделе ссылок этой статьи, чтобы узнать больше о R2 и его особых требованиях. Поскольку ADFS может работать только на серверах на базе R2, убедитесь, что вы сначала настроили его. Кроме того, к «дизайну» серверов федерации, размещенных на каждой стороне доверия, предъявляются особые требования, поэтому уделите особое внимание дизайну, когда решите развернуть ADFS.


Резюме


Решение ADFS помогает администраторам справляться с проблемами управления федеративными удостоверениями, позволяя организациям безопасно обмениваться информацией об удостоверениях пользователя через доверительные отношения федерации. ADFS поддерживает сценарии федеративной идентификации, в которых используются спецификации безопасности веб-служб (WS-Security) и основной компонент доверительных отношений федерации — WS-Federation. В этой статье мы рассмотрели основы служб федерации Active Directory (ADFS), появившихся в выпуске Windows Server 2003 R2. Воспользуйтесь ссылками на ресурсы, чтобы найти дополнительную информацию, а также загрузить и протестировать R2 и доверительные отношения федерации для себя, чтобы вы могли увидеть силу, которую они имеют для вашей организации или ваших клиентов. Следите за новостями о R2 в следующих статьях.


Ссылки и справочные материалы


Ресурсный центр R2
http://www.microsoft.com/windowsserver2003/R2/default.mspx


Бета-версия программного обеспечения Windows Server 2003 R2
http://www.microsoft.com/windowsserver2003/R2/trial/default.mspx


Системные требования R2
http://www.microsoft.com/windowsserver2003/evaluation/sysreqs/default.mspx

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023