Τ.Ε.Ι ΔΥΤΙΚΗΣ ΜΑΚΕΔΟΝΙΑΣ ΠΑΡΑΡΤΗΜΑ ΓΡΕΒΕΝΩΝ ΤΜΗΜΑ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ ΥΠΗΡΕΣΙΕΣ ΚΑΤΑΛΟΓΟΥ ACTIVE DIRECTORY KAI OPENLDAP

ΤΕΙ ΔΥΤΙΚΗΣ ΜΑΚΕΔΟΝΙΑΣ ΠΑΡΑΡΤΗΜΑ ΓΡΕΒΕΝΩΝ ΤΜΗΜΑ ΕΠΙΧΕΙΡΗΣΙΑΚΗΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ ΥΠΗΡΕΣΙΕΣ ΚΑΤΑΛΟΓΟΥ ACTIVE DIRECTORY KAI OPENLDAP Επιβλέπων Καθηγητής: Κοντογιάννης Σωτήρης Εισηγητής: Αχμέτ Μουμίν Ογλού, ΑΜ: 006 Γρεβενά 2015 [1]

ΥΠΕΥΘΥΝΗ ΔΗΛΩΣΗ Βεβαιώνω ότι είμαι συγγραφέας αυτής της πτυχιακής εργασίας και ότι κάθε βοήθεια την οποία είχα για την προετοιμασία της, είναι πλήρως αναγνωρισμένη και αναφέρεται στην πτυχιακή εργασία Επίσης έχω αναφέρει τις όποιες πηγές από τις οποίες έκανα χρήση δεδομένων, ιδεών ή λέξεων, είτε αυτές αναφέρονται ακριβώς είτε παραφρασμένες Επίσης βεβαιώνω ότι αυτή η πτυχιακή εργασία προετοιμάστηκε από εμένα προσωπικά ειδικά για τις απαιτήσεις του προγράμματος σπουδών του Τμήματος Επιχειρησιακής Πληροφορικής του ΤΕΙ Δυτικής Μακεδονίας Παράρτημα Γρεβενών [2]

ΕΥΧΑΡΙΣΤΙΕΣ Μετά την ολοκλήρωση της Πτυχιακής μου Εργασίας θα ήθελα να ευχαριστήσω τους ανθρώπους οι οποίοι με στήριξαν και συνέβαλλαν στην περάτωση αυτής Αρχικά, θα ήθελα να ευχαριστήσω τον επιβλέπων καθηγητή μου κ Κοντογιάννη Σωτήρη, ο οποίος με στήριξε καθ όλη την διάρκεια της πτυχιακής μου εργασίας και μου παρείχε πολύτιμη βοήθεια σε κάθε πρόβλημα που προέκυπτε καθώς και με έφερε σε επαφή με νέες τεχνολογίες όπως υπηρεσίες καταλόγου Active Directory (Ενεργός Κατάλογος) και OpenLDAP (Lightweight Directory Access Protocol) Τέλος θα ήθελα να ευχαριστήσω την οικογένεια μου, καθώς και όλους αυτούς που βρίσκονταν κοντά στην προσπάθεια που κατέβαλλα και έδειξαν κατανόηση καθ όλη την διάρκεια της πτυχιακής μου εργασίας [3]

ΠΕΡΙΕΧΟΜΕΝΑ ΥΠΕΥΘΥΝΗ ΔΗΛΩΣΗ 1 ΕΥΧΑΡΙΣΤΙΕΣ 3 ΠΕΡΙΛΗΨΗ 5 ΕΙΣΑΓΩΓΗ 6 Κεφάλαιο I: Εισαγωγικές έννοιες υπηρεσιών7 Τι είναι το Active Directory7 Τι είναι το OpenLDAP (Lightweight Directory Access Protocol)8 Τι είναι τα Organizational Units9 Τι είναι η Samba 9 Τι είναι το DNS (Domain Name Server)10 Τι είναι ο Domain Controller (Ελεγκτής Τομέα)13 Κεφάλαιο II: Σύγκριση Υπηρεσιών 13 Σύγκριση Active Directory και LDAP14 Σύγκριση LDAP και DAP X50014 Σύγκριση Samba και Active Directory15 Κεφάλαιο ΙΙΙ: Εγκατάσταση του Active Directory16 Κεφάλαιο IV: Εγκατάσταση και Παραμετροποίηση προφίλ Χρηστών20 Ανάθεση πολιτικών ομάδας (Group Policies) στους χρήστες22 Σύνδεση σταθμού εργασίας σε τομέα26 Εισαγωγή πολλαπλών χρηστών στο Active Directory27 27 Κεφάλαιο V: Εγκατάσταση Υπηρεσίας FTP 30 Κεφάλαιο VI: Συμπεράσματα34 Βιβλιογραφικές Αναφορές36 [4]

ΠΕΡΙΛΗΨΗ Το Active Directory παίζει δύο βασικούς ρόλους σε ένα δίκτυο Πρώτων το ρόλο μιας υπηρεσίας καταλόγου που περιέχει μια λίστα ιεραρχίας για όλα τα αντικείμενα σε ένα δίκτυο και το ρόλο μιας υπηρεσίας ελέγχου ταυτότητας και ασφάλειας που ελέγχει τους πόρους του δικτύου και παρέχει πρόσβαση σε αυτούς Έτσι ώστε για να μπορέσουμε να έχουμε πρόσβαση σε αυτούς τους καταλόγους και να μπορέσουμε να διαχειριστούμε ή απλά να προσπελάσουμε το περιεχόμενο, που απλά είναι μία ταξινομημένη λίστα από αντικείμενα, πρέπει να χρησιμοποιήσουμε το πρωτόκολλο επικοινωνίας OpenLDAP(Lightweight Directory Access Protocol), που μας δίνει την δυνατότητα αυτή το οποίο πρωτόκολλο είναι ανοικτού πρότυπο και βασίζεται στο πρωτόκολλο DAP(Directory Access Protocol) ή αλλιώς X500 Για την κοινή χρήση αρχείων και περιφερειακών συσκευών σε διαφορετικά λειτουργικά συστήματα χρησιμοποιούμε τη Samba Η Samba είναι ένα ελεύθερο λογισμικό που τρέχει στα λειτουργικά συστήματα Linux και Unix και κάνει χρήση των δυο εξής πρωτοκόλλων: Το πρωτόκολλο SMB και το και το πρωτόκολλο CIFS Τα οποία πρωτόκολλα μας δίνουν την δυνατότητα να μοιράσουμε αρχεία, να έχουμε κοινόχρηστους εκτυπωτές/σαρωτές, να βλέπουμε τους κοινόχρηστους φακέλους, μεταξύ των δυο διαφορετικών λειτουργικών συστημάτων (Windows - Linux) Τέλος, για την εξ αποστάσεως πρόσβαση των φοιτητών στον εικονικό τους δίσκο, στο οποίο θα έχουν τα προσωπικά τους δεδομένα θα χρησιμοποιήσουμε την υπηρεσία FTP (File Transfer Protocol) είναι ένα ευρέως χρησιμοποιημένο πρωτόκολλο σε δίκτυα τα οποία υποστηρίζουν το πρωτόκολλο TCP/IP Ο υπολογιστής που τρέχει εφαρμογή FTP client μόλις συνδεθεί με τον Server (Εξυπηρετητή), μπορεί να εκτελέσει ένα πλήθος διεργασιών, όπως ανέβασμα αρχείων στον Server, κατέβασμα αρχείων από τον Server, μετονομασία ή διαγραφεί αρχείων από τον Server κά [5]

ΕΙΣΑΓΩΓΗ Ο σκοπός της πτυχιακής εργασίας είναι η σύνδεση όλων των σταθμών εργασίας και περιφερικών συσκευών με έναν κεντρικό εξυπηρετητή Έτσι η διαχείριση και η παροχή δικαιωμάτων στους ηλεκτρονικούς υπολογιστές και στους χρήστες να γίνεται κεντρικά και από συγκεκριμένο σημείο πρόσβασης Κάθε χρήστης που θα έχει πρόσβαση σε κάποιο σταθμό εργασίας, θα έχει το δικό του χώρο αποθηκεύσεις και το δικό του ξεχωριστό περιβάλλον εργασίας από οποιονδήποτε σταθμό εργασίας επιθυμεί και κάνει είσοδο Με το που γίνει τερματισμός λειτουργίας του ηλεκτρονικού υπολογιστή, ο χρήστης δεν θα χάνει τα αρχεία του πλέον Θα μπορεί να τα αποθηκεύει οπουδήποτε επιθυμεί, επίσης θα έχει και έναν εικονικό δίσκο αποθήκευσης, στο οποίο θα μπορεί να έχει πρόσβαση και εκτός του δικτύου του πανεπιστημίου Στο πρώτο κεφάλαιο θα αναφερθούμε σε κάποιες βασικές έννοιες και υπηρεσίες Όπως για παράδειγμα το τι είναι ο Ενεργός Κατάλογος Active Directory, τι είναι το πρωτόκολλο LDAP, τι είναι το DNS κλπ Στο δεύτερο κεφάλαιο θα γίνουν κάποιες συγκρίσεις μεταξύ κάποιον προτύπων και υπηρεσιών Όπως για παράδειγμα την υπηρεσία Samba, το πρωτόκολλο LDAP, την υπηρεσία Ενεργού καταλόγου Active Directory κλπ Στο τρίτο κεφάλαιο θα γίνει η εγκατάσταση του ενεργού καταλόγου Active Directory Στο τέταρτο κεφάλαιο θα δείξουμε πως γίνεται η εγκατάσταση και παραμετροποίηση των προφίλ χρηστών στον ενεργό κατάλογο Active Directory Στο πέμπτο κεφάλαιο θα γίνει η εγκατάσταση της υπηρεσίας FTP Sites, έτσι ώστε οι φοιτητές να μπορούν να έχουν πρόσβαση στον εικονικό δίσκο τους και εξ αποστάσεως Τέλος, στο έκτο κεφάλαιο θα είναι τα συμπεράσματα και η βιβλιογραφική αναφορά [6]

Κεφάλαιο I: Εισαγωγικές έννοιες υπηρεσιών Τι είναι το Active Directory Το Active Directory είναι μια υπηρεσία που δημιουργήθηκε από την γνωστή εταιρία Microsoft το 1999, και πρωτοεφαρμόστηκε στα Windows Server 2000 Επεκτάθηκε και βελτιώθηκε η διαχείριση του με τα Windows Server 2003 Πρόσθετες βελτιώσεις και λειτουργίες ήρθαν με τα Windows Server 2003 R2, Windows Server 2008 και με τα Windows Server 2008 R2 Με την κυκλοφορία της τελευταίας έκδοσης, η Microsoft μετονόμασε το ρόλο Domain Controller(Ελεγκτής Τομέα) ως Active Directory Domain Services(Υπηρεσίες Τομέα Ενεργού Καταλόγου) Επίσης περιλαμβάνεται και στα Windows Server 2012- Windows Server 2012 R2 Το Active Directory (Ενεργός Κατάλογος) είναι μια κατάλληλα δομημένη βάση δεδομένων, οι οποία περιέχει πληροφορίες και στοιχεία για όλα τα αντικείμενα του δικτύου, Πχ χρήστες, υπολογιστές, εκτυπωτές κλπ, και όλα αυτά τα στοιχεία είναι ταξινομημένα με κάποιο λογικό και ιεραρχικό τρόπο, όπως για παράδειγμα ένας τηλεφωνικός κατάλογος Ούτος ώστε η πρόσβαση και η προσπέλαση τους να μην είναι περίπλοκη Όπως μπορούμε να υποβάλουμε ερωτήματα σε ένα ηλεκτρονικό κατάλογο με ένα όνομα χρήστη για να αποκτήσουμε πληροφορίες, όπως τον αριθμό τηλεφώνου ή την διεύθυνση ηλεκτρονικού ταχυδρομείου του χρήστη, έτσι μπορούμε να υποβάλουμε ερωτήματα και στο Active Directory Οι υπηρεσίες καταλόγου είναι αρκετά ευέλικτες ώστε να δέχονται ερωτήσεις γενικής φύσεως όπως, ( πού είναι οι εκτυπωτές; ή ποια είναι τα ονόματα διακομιστών; ), έτσι ώστε να μπορέσουμε και προβάλουμε μια συνοπτική λίστα των διαθέσιμων εκτυπωτών και διακομιστών Παραπάνω αναφέραμε την πρώτη λειτουργία του ενεργού καταλόγου Active Directory Ο δεύτερος ρόλος του ενεργού καταλόγου Active Directory είναι να λειτουργεί ως μια υπηρεσία έλεγχου ταυτότητας και ασφάλειας δηλαδή σαν ένας Domain Controller Ο Domain Controller πιστοποιεί και εξουσιοδοτεί όλους τους χρήστες και υπολογιστές του δικτύου Αναθέτει και επιβάλει πολιτικές ασφαλείας για όλους τους υπολογιστές Για παράδειγμα, όταν ένας χρήστης συνδέεται σε έναν υπολογιστή που είναι μέλος ενός τομέα των Windows, ελέγχει και καθορίζει εάν ο χρήστης είναι ο διαχειριστής του συστήματος ή απλός χρήστης [7]

Τι είναι το OpenLDAP (Lightweight Directory Access Protocol) Το OpenLDAP (Lightweight Directory Access Protocol) είναι ένα πρωτόκολλο επικοινωνίας ανοικτού πρότυπου, το οποίο μας δίνει την δυνατότητα να έχουμε πρόσβαση σε καταλόγους, έτσι ώστε να μπορούμε να διαχειριστούμε, να προσπελάσουμε ή ακόμη να αλλάξουμε να δεδομένα μέσα στο κατάλογο Βασίζεται στο πρωτόκολλο DAP (Directory Access Protocol) επίσης γνωστό και ως X500 ή αλλιώς ISO 9594, για να εκπληρώσει αυτές τις απατήσεις Ωστόσο το πρότυπο X500 έχει και κάποια μειονεκτήματα Όπως για παράδειγμα, για να χρησιμοποιήσουμε το πρότυπο X500, πρέπει να εφαρμόσουμε όλοι την στοίβα πρωτοκόλλου OSI Το οποίο είναι πολύ βαρύ και δαπανηρές Ως εκ τούτου, είναι δύσκολο να εφαρμοστεί η στοίβα πρωτοκόλλου OSI στους χρήστες στην κλίμακα ενός προσωπικού υπολογιστή Το Lightweight Directory Access Protocol αναπτύχτηκε ως εναλλακτική λύση για το DAP Το OpenLDAP απλοποιεί την επικοινωνία μεταξύ του Server (εξυπηρετητή) και του Client (Χρήστης), και το πετυχαίνει αυτό αφήνοντας έξω τα σπάνια χρησιμοποιημένα και απόκρυφα χαρακτηριστικά του πρότυπου DAP Το πιο σημαντικό πλεονέκτημα του πρωτοκόλλου OpenLDAP είναι ότι τρέχει στην κορυφή της στοίβας πρωτοκόλλου TCP/IP Το οποίο TCP/IP κατατάσσεται στο επίπεδο μεταφοράς Στην πρώτη LDAP εφαρμογή που υλοποιήθηκε, χρησιμοποιήθηκε μια πύλη ανάμεσα στον χρήστη και στο Directory Server, όπως φαίνεται και στο διάγραμμα 1 Η πύλη ονομάστηκε "LDAP Server" Για την επικοινωνία ανάμεσα στο "LDAP Server" και στο Client (Χρήστη), καταναλώθηκαν λιγότεροι πόροι, ήταν λιγότερο δαπανηρές, διότι χρησιμοποιήθηκε το πρωτόκολλο LDAP Όμως για την επικοινωνία του "LDAP Server" και του "Directory Sever" συνεχίζεται να βασίζεται στο πρότυπο DAP, το οποίο σημαίνει πώς ο χρήστης είναι αναγκασμένος να χρησιμοποιήσει όλοι την στοίβα πρωτοκόλλου OSI, αντί του πρωτοκόλλου LDAP για να επιτευχτεί η επικοινωνία Έτσι τώρα ο Server (Εξυπηρετητής), έπρεπε να γνωρίζει πότε θα ενεργοποιήσει το TCP/IP του πρότυπου LDAP, για να επικοινωνήσει με τον Client (Χρήστη) και πότε την στοίβα πρωτοκόλλου OSI του πρότυπου DAP, για να έχει πρόσβαση στο Directory (Κατάλογο) Στην λύση Gateway (Πύλη), το πρόβλημα ήταν το εξής, δεν ήταν δυνατόν να υποστήριξη το πρωτόκολλο LDAP, σε ένα περιβάλλον που δεν υποστήριζε την στοίβα πρωτοκόλλου OSI Επίσης υπήρχαν και μια σειρά από επιχειρήσεις που απλά δεν επιθυμούσαν να εγκαταστήσουν έναν DAP ή X500 Server (Εξυπηρετητή) στο δίκτυο τους, απλά για να μπορέσουν να χρησιμοποιήσουν το πρότυπο LDAP [8]

Για να δώσουμε λύση σε αυτό το πρόβλημα, αναπτύχτηκε ένας LDAP Server, όπως φαίνεται και στο παρακάτω διάγραμμα, ο οποίος λειτουργούσε σε ένα καθαρό περιβάλλον TXP/IP και αντί να ενεργεί ως μια πύλη, χρησιμοποιήθηκε LDAP στο εμπρόσθιο άκρο της και η πρόσβαση στον κατάλογο γινόταν από το πίσω άκρο της [9]

Τι είναι τα Organizational Units Τα Organizational Units (Οργανωτική Μονάδα), είναι ειδικά containers (δοχεία) που βρίσκονται μέσα στο Active Directory ή αλλιώς μια υποδιαίρεση μέσα σε έναν ενεργό Κατάλογο Μέσα σε αυτά τα δοχεία (containers) περιλαμβάνονται αντικείμενα του δικτύου, όπως για παράδειγμα, χρήστες, ομάδες, υπολογιστές, εκτυπωτές, επίσης και άλλες οργανωτικές μονάδες και όλα αυτά τα αντικείμενα είναι σε μια ιεραρχική και λογική δομή Τα αντικείμενα που διαχειριζόμαστε πιο συχνά, μπορούμε να τα τοποθετήσουμε όλα σε ένα δοχείο (container) και να τα διαχειριστούμε ομαδικά Μπορούμε επίσης να ορίσουμε την κατάλληλη πολιτική ομάδα ανά δοχείο Κάθε οργανωτική ομάδα έχει ένα δικό της domain Το οποίο σημαίνει πως δεν μπορεί να προσθέσει αντικείμενα από ξεχωριστώ domain Μπορούμε να χρησιμοποιήσουμε τις οργανωτικές μονάδες για να δημιουργήσουμε ένα διοικητικό μοντέλο που μπορεί να προσαρμοστεί σε οποιοδήποτε μέγεθος Ένας απλός χρήστης μπορεί να έχει διοικητική εξουσία για όλες τις οργανωτικές μονάδες σε έναν τομέα ή για μια ενιαία οργανωτική μονάδα Ένας διαχειριστής μιας οργανωτικής μονάδας δεν χρειάζεται να έχει διοικητική εξουσία για οποιοδήποτε άλλη οργανωτική μονάδα σε ένα τομέα [10]

Τι είναι η Samba Η Samba, εκτός από βραζιλιάνικος χορός, είναι το δωρεάν λογισμικό το οποίο επιτρέπει την κοινή χρήση αρχείων και εκτυπωτών ανάμεσα στα Windows και υπολογιστές που τρέχουν λειτουργικά συστήματα βασισμένα στο Unix, όπως οι διανομές Linux αλλά και το Mac Os Το όνομα Samba προέρχεται από το πρωτόκολλο SMB (Server Message Block), που είναι το πρωτόκολλο του δικτυακού συστήματος αρχείων Windows Το Server Message Block είναι μια εφαρμογή δικτύου, που επιτρέπει την κοινή χρήση πόρων, όπως ένας διακομιστείς αρχείων ή εκτυπωτών Το SMB δεν παρέχει συνδέσεις δικτύου Στηρίζεται στις υπηρεσίες δικτύου για την μεταφορά της κυκλοφορίας του, οι οποίες συνήθως ακολουθούν το πρότυπο δικτύωσης TCP/IP Το SMB έχει εξελιχθεί σε άλλα συστήματα δικτύωσης, τα όποια ονομάζονται «ιδιώματα» Το SMB δημιουργήθηκε στις αρχές του ογδόντα Αυτό προοριζόταν αρχικά να τρέξει πάνω από ένα δίκτυο NetBIOS Οι χρήστες συνδέονται στον εξυπηρετητή κάνοντας χρήση το πρωτόκολλο TCP/IP (Για την ακρίβεια το NetBIOS πάνω από το TCP/IP, όπως ορίζεται στο RFC1001 και RFC1002) NetBEUI ή IPX/SPX Μόλις δημιουργήσουν μια σύνδεση, οι χρήστες μπορούν στην συνεχεία να στείλουν εντολές στο διακομιστεί, που θα τους επιτρέψει να έχουν πρόσβαση σε κοινόχρηστους φάκελους, στα ανοιχτά αρχεία, σε φακέλους που έχουν δικαιώματα read and write και γενικά με όλα τα είδη πραγμάτων που έχουν να κάνουν με ένα σύστημα αρχείων Όταν έχουμε Windows και Linux στον ίδιο υπολογιστή, τα Windows δεν μπορούν να δουν τα δεδομένα στα partition του Linux, λόγο του διαφορετικού συστήματος αρχείων Όμως με την εγκατάσταση της Samba, έχουμε ένα τοπικό δίκτυο υπολογιστών με Windows και Linux, με πλήρη πρόσβαση στα μοιρασμένα αρχεία και από τα δυο λειτουργικά συστήματα Όμως η Samba δεν περιορίζεται μόνο στο SMB, αλλά υποστηρίζει πολλαπλές υπηρεσίες και πρωτόκολλα δικτύωσης, συμπεριλαμβανομένων των NetBIOS, CIFS, MSRPC, WINS, NT Domain, Security Accounts Manager (SAM) Satabase, Local Security Authority (LSA) service, Active Directory Logon και άλλων [11]

Τι είναι το DNS (Domain Name Server) Κάθε φορά που χρησιμοποιούμε το Internet είτε για να στείλουμε e-mail είτε για να περιηγηθούμε στο Web, χρησιμοποιούμε κάποιους domain name servers, χωρίς ίσως να το αντιλαμβανόμαστε Οι domain name servers (DNS) αποτελούν ένα πολύ σημαντικό αλλά άγνωστο κομμάτι του Internet Το σύστημα DNS αποτελεί μια από τις μεγαλύτερες και πιο ενεργές κατανεμημένες βάσεις δεδομένων που υπάρχουν στον κόσμο και χωρίς αυτό το Internet θα είχε καταρρεύσει Όπως αναφέραμε νωρίτερα, όταν χρησιμοποιούμε το Internet για να περιηγηθούμε στο Web ή για να στείλουμε ένα μήνυμα e-mail, χρησιμοποιούμε ένα domain name (όνομα χώρου) προς τον σκοπό αυτό Για παράδειγμα, το URL http://ba-gteiwmgr περιέχει το domain name ba-gteiwmgr, όπως και η διεύθυνση e-mail: webmail@teikozgr, περιέχει το domain name teikozgr Τα ονόματα που είναι κατανοητά από τους ανθρώπους, όπως είναι το ba-gteiwmgr, μπορούμε να τα θυμόμαστε εύκολα και να καταλαβαίνουμε αμέσως σε τι αναφέρονται, αλλά δεν έχουν κανένα νόημα για τα μηχανήματα Όλα τα μηχανήματα χρησιμοποιούν αντί για ονόματα τις λεγόμενες IP διευθύνσεις για να μπορούν να επικοινωνούν μεταξύ τους Για παράδειγμα, το μηχάνημα στο οποίο εμείς αναφερόμαστε ως http://ba-gteiwmgr έχει την IP διεύθυνση 708487103 Κάθε φορά που χρησιμοποιούμε ένα όνομα χώρου (domain name), στην ουσία κάνουμε χρήση των domain name servers (DNS) του Internet για να μεταφράσουμε το κατανοητό από τους ανθρώπους domain name στην κατανοητή από το μηχάνημα IP διεύθυνση Η εργασία των domain name servers είναι να μεταφράσουν (αντιστοιχίσουν) τα domain names με IP διευθύνσεις Αν και αυτή η εργασία ακούγεται απλή, όμως δεν είναι για τους εξής λόγους : * Υπάρχουν δισεκατομμύρια IP διευθύνσεων που χρησιμοποιούνται σήμερα και τα περισσότερα μηχανήματα διαθέτουν και ένα κατανοητό από τους ανθρώπους όνομα * Κάθε μέρα λαμβάνουν χώρα δισεκατομμύρια από αιτήσεις (requests) για πληροφορίες DN Ένας μόνο χρήστης μπορεί να κάνει μερικές εκατοντάδες ή και περισσότερες DNS requests σε μια μέρα και υπάρχουν εκατοντάδες εκατομμύρια χρηστών και μηχανημάτων που χρησιμοποιούν το Internet καθημερινά * Τα domain names και οι IP διευθύνσεις αλλάζουν κάθε μέρα * Καινούργια domain names δημιουργούνται κάθε μέρα * Πάρα πολλοί άνθρωποι απασχολούνται καθημερινά με την τροποποίηση [12]

και τη δημιουργία domain names και IP διευθύνσεων Το σύστημα DNS είναι στην ουσία μια βάση δεδομένων και δεν υπάρχει άλλη βάση δεδομένων στον κόσμο που να δέχεται τόσες πολλές αιτήσεις (requests) σε καθημερινή βάση και καμία άλλη βάση δεδομένων στον κόσμο δεν δίνει δικαίωμα σε εκατομμύρια χρήστες να την τροποποιούν Αν θα ήμασταν υποχρεωμένοι να θυμόμαστε τις IP διευθύνσεις όλων των Web sites που επισκεπτόμαστε καθημερινά, σίγουρα θα είχαμε τρελαθεί Προφανώς δεν είναι δυνατόν να απομνημονεύσουμε ατέλειωτες σειρές από τυχαίους αριθμούς, αλλά είμαστε καλοί στο να θυμόμαστε λέξεις και εδώ είναι που αναλαμβάνουν ρόλο τα ονόματα χώρου (domain names) Οι καταλήξεις com, edu, uk, gr κά των domain names είναι γνωστές με τον όρο top-level domain (domain ανωτάτου επιπέδου) ή και first-level domain (domain πρώτου επιπέδου) Υπάρχουν αρκετές εκατοντάδες top-level domain names, όπως είναι τα com, edu, gov, mil, net, org και int, αλλά και μοναδικοί συνδυασμοί δύο γραμμάτων για να μπορεί να ξεχωρίζει η κάθε χώρα, όπως gr για την Ελλάδα, dk για τη Δανία Μέσα σε κάθε top-level domain υπάρχει μια τεράστια λίστα από second-level domains, δηλ από domains δευτέρου επιπέδου, που αναφέρονται σε συγκεκριμένες εταιρείες, υπηρεσίες κοκ Το κάθε όνομα που υπάρχει σ ένα top-level domain πρέπει να είναι μοναδικό, αλλά μπορεί να υπάρχουν ίδια ονόματα που να ανήκουν σε διαφορετικά domains, όπως για παράδειγμα τα mydomaincom και mydomainorg, που δεν έχουν καμία σχέση μεταξύ τους Το domain prespesflorinagr είναι ένα domain τρίτου επιπέδου (third-level domain) αν και μέχρι 127 επίπεδα είναι δυνατό να υλοποιηθούν, παραπάνω από 4 συναντιούνται σπάνια Η τελευταία αριστερά λέξη, όπως www ή prespes, είναι γνωστή με τον όρο host name και προσδιορίζει το όνομα ενός συγκεκριμένου μηχανήματος (που έχει μια συγκεκριμένη IP διεύθυνση) σένα domain Ένα συγκεκριμένο domain μπορεί να περιέχει εκατομμύρια από host names εφόσον όλα είναι μοναδικά μέσα σ αυτό το domain Για να μπορούν να ξεχωρίσουν όλα τα μηχανήματα που υπάρχουν στο Internet, στο καθένα απ αυτά έχει δοθεί (εκχωρηθεί) μια μοναδική διεύθυνση που είναι γνωστή με τον όρο IP διεύθυνση (IP address), όπου το IP σημαίνει Internet Protocol, και αυτές οι διευθύνσεις είναι αριθμοί των 32 bits που αναφέρονται συνήθως ως 4 octets που χωρίζονται με τελείες Μια τυπική IP διεύθυνση έχει την εξής μορφή : 1951308048 Οι 4 αριθμοί σε μια IP διεύθυνση αποκαλούνται octets επειδή μπορούν να έχουν τιμές μόνο από 0 έως και 255, δηλ 2 8=256 δυνατές τιμές ανά octet Το κάθε μηχάνημα που είναι συνδεδεμένο στο Internet έχει τη δική του IP διεύθυνση Ένας server διαθέτει μια στατική (σταθερή, static) IP διεύθυνση η οποία δεν αλλάζει [13]

συχνά Ένας οικιακός υπολογιστής που κάνει κλήσεις μέσω ενός modem αποκτά μια IP διεύθυνση που δίνεται από τον παροχέα υπηρεσιών Internet (ISP) και που είναι διαφορετική κάθε φορά που κάνει κλήση για σύνδεση στο Internet (dial in) Αυτή η IP διεύθυνση είναι μοναδική για κάθε σύνοδό μας (session) και είναι πολύ πιθανό να είναι διαφορετική την επόμενη φορά που θα συνδεθούμε με dial in Μ αυτόν τον τρόπο, ένας ISP χρειάζεται μία μόνο IP διεύθυνση για κάθε modem που υποστηρίζει και όχι για τον κάθε πελάτη του (συνδρομητή) Αν εργαζόμαστε με τα Windows, μπορούμε να δούμε την τρέχουσα IP διεύθυνσή μας με την εντολή winipcfg ή με την ipconfig αν έχουμε Windows 2000/XP Σ ένα μηχάνημα Unix, πρέπει να γράψουμε την εντολή nslookup με το όνομα ενός μηχανήματος, όπως για παράδειγμα http://ba-gteiwgr και για να εμφανισθεί η IP διεύθυνση του μηχανήματος μπορούμε με την εντολή hostname να μάθουμε το όνομα του μηχανήματος Όσον αφορά τα μηχανήματα του Internet, η IP είναι όλα όσα χρειαζόμαστε για να μπορέσουμε να επικοινωνήσουμε με έναν server Για παράδειγμα, μπορούμε να γράψουμε στον φυλλομετρητή μας το URL http:// 1951308048 για να συνδεθούμε με το μηχάνημα που περιέχει τον Web server για την ιστοσελίδα http://ba-gteiwgr Τα domain names αποτελούν μια ευκολία μόνο και μόνο για να είναι κατανοητά από τους ανθρώπους Οι name servers κάνουν τα εξής δυο πράγματα όλη την ημέρα: Δέχονται αιτήσεις (requests) από προγράμματα για να μετατρέψουν domain names σε IP διευθύνσεις Δέχονται αιτήσεις (requests) από άλλους name servers για να μετατρέψουν domain names σε IP διευθύνσεις Όταν λαμβάνει μια αίτηση (request) ο name server, μπορεί να κάνει κάτι από τα τέσσερα πράγματα : Μπορεί να απαντήσει στην αίτηση με μια IP διεύθυνση επειδή γνωρίζει ήδη την IP διεύθυνση του domain Μπορεί να έρθει σε επαφή μ έναν άλλον name server και να προσπαθήσει να βρει την IP διεύθυνση του ζητούμενου ονόματος Η διαδικασία αυτή μπορεί να επαναληφθεί πολλές φορές Μπορεί να πει το εξής : Δεν γνωρίζω την IP διεύθυνση για το domain που ζητήσατε, αλλά δοκιμάστε με την εξής IP διεύθυνση ενός name server που γνωρίζει περισσότερα από εμένα Μπορεί να επιστρέψει ένα μήνυμα λάθους (error message) επειδή το ζητούμενο domain name δεν είναι έγκυρο ή δεν υπάρχει Όταν καταχωρούμε ένα URL στον φυλλομετρητή μας, η πρώτη ενέργεια του browser είναι να μετατρέψει το domain name και το host name σε μια διεύθυνση IP έτσι ώστε ο φυλλομετρητής να είναι σε θέση να ζητήσει μια ιστοσελίδα από το μηχάνημα που αντιστοιχεί σε εκείνη την IP διεύθυνση Για να γίνει αυτή η [14]

μετατροπή, ο φυλλομετρητής πρέπει να επικοινωνήσει με έναν διακομιστεί ονομάτων χώρου Ο name server μπορεί να γνωρίζει ήδη την αιτούμενη IP διεύθυνση αν έγινε πρόσφατα μια άλλη αίτηση από τον φυλλομετρητή για το ίδιο URL, διότι οι name servers έχουν μια ειδική μνήμη που λέγεται μνήμη cache, για τις πρόσφατες IP διευθύνσεις που έχουν αναζητηθεί, έτσι ώστε για να επιταχύνεται όλη η διαδικασία Σε αυτήν την περίπτωση, o name server μπορεί να επιστρέψει αμέσως την IP διεύθυνση Ας πάρουμε όμως την άλλη περίπτωση, που ο name server πρέπει να ξεκινήσει όλη την διαδικασία από την αρχή Το πρώτο βήμα που πρέπει να κάνει είναι να επικοινωνήσει με έναν από τους κεντρικούς (Root) name servers, οι οποίοι γνωρίζουν τις IP διευθύνσεις όλων των name servers που διαχειρίζονται τα top-level-domains Ο δικός μας name server (default) θα ρωτήσει εάν γνωρίζει την IP διεύθυνση της ιστοσελίδας, http://ba-gteiwgr και ο root name server θα απαντήσει (Υπό την προϋπόθεση πως δεν υπάρχει caching) Δεν γνωρίζω την IP διεύθυνση του http://ba-gteiwgr, αλλά ορίστε η IP διεύθυνση του gr name server Ο δικός μας (default) name server γνωρίζοντας πλέον την IP διεύθυνση του gr name server, κάνει ένα ερώτημα (query) ζητώντας να μάθει την IP διεύθυνση Μια και την γνωρίζει, την επιστρέφει στον δικό μας name server, ο οποίος με την σειρά του την επιστρέφει στον φυλλομετρητή Ο οποίος φυλλομετρητής, εφόσον γνωρίζει την IP διεύθυνση της ιστοσελίδας, έρχεται σε επαφή με τον Web Server του http://ba-gteiwgr, για να λάβει την ιστοσελίδα Ένα από τα κλειδιά για να μπορέσει να επιτευχθεί αυτή η διαδικασία είναι το redundancy (εφεδρεία) Αυτό σημαίνει πως υπάρχουν πολλοί name servers σε κάθε επίπεδο, έτσι ώστε αν κάποιος name server πάθει βλάβη, υπάρχουν άλλοι για να διαχειριστούν τις αιτήσεις (requests) Το άλλο κλειδί είναι το caching (μνήμη) Το οποίο σημαίνει πως όταν ένας name server αναλύσει μια αίτηση, κρατάει όλες τις διευθύνσεις IP που λαμβάνει σε μια ειδική μνήμη που cache Εφόσον έχει ήδη υποβληθεί μια αίτηση σε ένα root server για κάποιο gr domain, θα γνωρίζει την IP διεύθυνση για έναν name server που διαχειρίζεται το domain gr και έτσι δεν θα υπάρχει λόγος να ενοχλεί συνέχεια τους root servers για τις ίδιες πληροφορίες [15]

Οι name servers δεν κάνουν βέβαια απεριόριστες καταχωρήσεις στην μνήμη cache και η διαδικασία του caching διαθέτει ένα συστατικό, που είναι γνωστό ως Time To Live (TTL) Το οποίο συστατικό ελέγχει για πόσο διάστημα ένας server θα κρατάει μια πληροφορία, η οποία πληροφορία σε αυτή τη φάση είναι μια IP διεύθυνση, στην μνήμη cache Όταν ο server λαμβάνει μια IP διεύθυνση, ταυτόχρονα λαμβάνει το TTL της Ο name server θα αποθηκεύσει στην μνήμη cache την IP διεύθυνση για την συγκεκριμένη χρονική περίοδο, που μπορεί να κυμαίνεται από λεπτά έως και ημέρες και μετά θα την διαγράψει [16]

Τι είναι ο Domain Controller (Ελεγκτής Τομέα) Πριν μάθουμε λοιπόν τι είναι ο Domain Controller (Ελεγκτής Τομέα), γνωρίζοντας το τι είναι ένας Domain (Tομέας), θα μας βοηθήσει να κατανοήσουμε καλύτερα τι είναι ένας Domain Controller (Ελεγκτής Τομέα) Η απάντηση σε αυτήν την ερώτηση είναι απλή Ένας τομέας είναι ένα σύνολο διασυνδεμένων πόρων σε μια πλατφόρμα που βασίζεται σε Windows, όπως εκτυπωτές, εφαρμογές κλπ για μια ομάδα χρηστών Οι χρήστες που αποτελούν μέρος ενός τομέα, στους οποίους παραχωρούνται ονόματα χρηστών και κωδικούς πρόσβασης για να συνδεθούν με τον τομέα, χορηγούνται επίσης ειδικά δικαιώματα για να προσχωρήσουν σε πόρους, που μπορεί να βρίσκονται σε έναν ή περισσότερους Servers (Εξυπηρετητές) στο δίκτυο Με άλλα λόγια, ένας τομέας είναι μια λογική ομάδα από υπολογιστές που μοιράζονται μια κεντρική βάση δεδομένων, που ονομάζεται Active Directory Η βάση δεδομένων περιέχει την ασφάλεια του χρήστη και πληροφορίες λογαριασμών για τους πόρους σε εκείνο τον τομέα Κάθε πρόσωπο που χρησιμοποιεί υπολογιστές σε έναν τομέα, αποκτά τον δικό του λογαριασμό, στον οποίο λογαριασμό έχει ανατεθεί πρόσβαση στους πόρους εντός αυτού του τομέα Τι είναι λοιπόν ο Domain Controller? Ένας Ελεγκτής Τομέα (Domain Controller) ή ελεγκτής τομέα του δικτύου, είναι ένα σύστημα υπολογιστών που βασίζεται στην πλατφόρμα Windows και χρησιμοποιείται για την αποθήκευση των δεδομένων του λογαριασμού χρήστη σε μια κεντρική βάση δεδομένων Ένας ελεγκτής τομέα σε ένα δίκτυο υπολογιστών είναι το κεντρικό στοιχείο των υπηρεσιών Active Directory, το οποίο παρέχει κάποιες υπηρεσίες στους χρήστες, όπως η επιβολή της πολιτικής ασφάλειας, την ταυτοποίηση και εξουσιοδότηση του χρήστη, καθώς και την πρόσβαση στους πόρους Με άλλα λόγια, όταν ένας χρήστης συνδέεται με το όνομα χρήστη που του έχει ανατεθεί σε έναν υπολογιστή που είναι μέλος ενός τομέα, το Actice Directory καθορίζει εάν είναι απλός χρήστης (user), ή διαχειριστής (administrator), αν μπορεί να εγκαταστήσει προγράμματα ή όχι, σε ποιους πόρους του δικτύου μπορεί να έχει πρόσβαση, Πχ αρχεία, εκτυπωτές κα Ο διακομιστής (server) που έχει εγκατεστημένο το Active Directory και επιτελεί αυτές τις λειτουργίες έχει το ρόλο του Domain Controller (Ελεγκτής Τομέα) στο δίκτυο [17]

Ο Domain Controller (Ελεγκτής Τομέα) είναι ένα εξαιρετικό εργαλείο για τους διαχειριστές του συστήματος, δεδομένου ότι τους επιτρέπει να χορηγήσουν ή να αρνηθούν την πρόσβαση των χρηστών στο ευρύ σύνολο των πόρων όπως, εκτυπωτές, έγγραφα, φακέλους, θέσεις δικτύου κλπ μέσω ενός μόνο ονόματος χρήστη και κωδικό πρόσβασης Μόλις ένας ελεγκτής τομέα ρυθμιστεί σε μια εταιρία, γραφείο ή κτίριο, αναλαμβάνει την ευθύνη για την απάντηση στις αιτήσεις ελέγχου ταυτότητας ασφάλειας των χρηστών όπως, ο έλεγχος δικαιωμάτων, την σύνδεση κλπ Όταν ένας υπολογιστής συμμετέχει σε έναν τομέα, κάθε χρήστης μπορεί να συνδεθεί στον ελεγχτεί τομέα, χρησιμοποιώντας τον ίδιο υπολογιστή Το πλεονέκτημα είναι ότι, ανεξάρτητα από πιο μέλος τομέα (Υπολογιστή) κάνει την είσοδο, είναι σε θέση να έχει πρόσβαση και να προσχωρήσει σε όλους στους προσωπικούς του πόρους, συμπεριλαμβανόμενων των αρχείων που έχει τοποθετήσει ή αποθηκεύσει στην επιφάνεια εργασίας, τα αρχεία σε έγγραφα, εκτυπωτές και επίσης προσωπικές προτιμήσεις στην επιφάνεια εργασίας Ένας ελεγκτής τομέα μπορεί να επικοινωνεί με όλα τα μέλη του τομέα ή θέσεις εργασίας, αλλά υπάρχει και περιορισμός στο σύστημα του Active Directory Ο περιορισμός είναι ότι, ο ελεγκτής τομέα πρέπει να φιλοξενεί ένα λειτουργικό σύστημα που βασίζεται στην πλατφόρμα Windows Αυτό σημαίνει πως όλα τα μέλη του τομέα, δηλαδή όλοι η σταθμοί εργασίας πρέπει να ανήκουν σε έναν τομέα, πρέπει να χρησιμοποιούν το λειτουργικό σύστημα που βασίζεται στα Windows Ευτυχώς όμως, ο περιορισμός αυτός μπορεί να ξεπεραστεί με την χρήση της Samba Η Samba, είναι ένα λογισμικό ανοιχτού κώδικα που επιτρέπει στους σταθμούς εργασίας που τρέχουν διαφορετικά λειτουργικά συστήματα, όπως λειτουργικά συστήματα που βασίζονται στα Unix, τα οποία είναι τα Linux και Mac OS ή και OpenVMS, IBM System 390, να αλληλεπιδρούν με τον ελεγκτή τομέα Αυτό αποτελεί πλεονέκτημα, διότι η διαχειριστές του δικτύου αποκτούν μεγαλύτερη ευελιξία για την δημιουργία ενός δικτύου ηλεκτρονικών υπολογιστών Επίσης, είναι ιδιαίτερα πολύ χρήσιμο στις μεγάλες επιχειρήσεις και οργανισμούς, οι οποίοι μπορεί να έχουν σταθμούς εργασίας, που βασίζονται σε διαφορετικά λειτουργικά συστήματα [18]

Κεφάλαιο II: Σύγκριση Υπηρεσιών Σύγκριση Active Directory και LDAP Το Active Directory (Ενεργός Κατάλογος) είναι μία υπηρεσία καταλόγου που περιλαμβάνει ένα ευρύ φάσμα δικτυακών υπηρεσιών και πληροφοριών σχετικά με μια υποδομή δικτύου Δημιουργήθηκε από τη Microsoft το 1999 και σχεδιάστηκε για να κεντροποιεί τη διαχείριση και για να εξασφαλίζει μία ολόκληρη δικτυακή υποδομή με ανάθεση εξουσίας Σύμφωνα με τον ορισμό που δίνει η Microsoft το LDAP είναι ένα βιομηχανικό πρότυπο πρωτόκολλο πρόσβασης καταλόγου που κάνει το Active Directory ευρέως προσβάσιμο στη διαχείριση και την αναζήτηση εφαρμογών Με ποιο απλούς όρους το LDAP είναι ένα πρωτόκολλο εφαρμογής που τραβά ή τροποποιεί συγκεκριμένες πληροφορίες από τον καθολικό κατάλογο του Active Directory του Για παράδειγμα, μια εφαρμογή όπως η Systems Management Services θα χρησιμοποιήσει το LDAP για να αναζητήσει αρχεία μέσα στον παγκόσμιο κατάλογο του Active Directory για να ανακαλύψει όλους τους υπολογιστές σε ένα domain Το Active Directory έχει χτιστεί στην κορυφή του LDAP, όπως ακριβώς το HTTP έχει χτιστεί στην κορυφή του TCP Ουσιαστικά δεν μπορεί να γίνει σύγκριση που να έχει κάποια σημασία, καθώς το Active Directory είναι μία βάση δεδομένων παροχής υπηρεσιών καταλόγου και το LDAP είναι ένα από τα πρωτόκολλα που μπορεί κανείς να χρησιμοποιήσει για να του μιλήσει Παρόλα αυτά κάποιες συγκρίσεις που μπορούν να γίνουν έχουν τα εξής αποτελέσματα: Το LDAP είναι ένα πρωτόκολλο για ανάκτηση πληροφοριών από μία υπηρεσία καταλόγου, όπως το Active Directory Το LDAP είναι πολύ παλιότερο από το Active Directory και ένα μεγάλο μέρος του Active Directory προέρχεται από αυτό Το Active Directory είναι της Microsoft ενώ το LDAP είναι αποτέλεσμα μίας βιομηχανικής προσπάθειας Το Active Directory συνήθως βρίσκεται σπάνια σε λειτουργικό σύστημα διαφορετικό από τα Windows [19]

Σύγκριση LDAP και DAP X500 Τα δύο αυτά πρωτόκολλα μοιάζουν πολύ στη δομή των δεδομένων αλλά διαφέρουν σε δύο περιοχές Πρώτων το LDAP χρησιμοποιεί το πανταχού παρών υπόστρωμα TCP/IP ενώ το Χ500 χρησιμοποιεί το λιγότερο κοινό OSI υπόστρωμα και δεύτερον το Χ500 αναπαριστά τις πληροφορίες καταλόγου ως μία μονολιθική άποψη ενώ το LDAP αναπαριστά τις πληροφορίες καταλόγου ως μια κύρια άποψη με πιθανές παραπομπές Η μέτρηση της απόδοσης μπορεί να γίνει με δύο τρόπους Ο πρώτος αφορά την ταχύτητα συναλλαγής στην οποία το LDAP θα έχει συνεχώς πλεονέκτημα εξαιτίας της ελαφριάς δομής του Ο δεύτερος τρόπος σχετίζεται με την έκταση και το μέγεθος της συναλλαγής Αν η έκταση της συναλλαγής περιορίζεται στον τοπικό διακομιστή του LDAP αυτό θα έχει πάλι πλεονέκτημα απέναντι στο DAP Αν όμως ο στόχος της συναλλαγής είναι σε άλλο διακομιστή ο DAP θα έχει το πλεονέκτημα Αυτό συμβαίνει γιατί το LDAP θα επιστρέψει μια απάντηση παραπομπής στον πελάτη και εκείνος με τη σειρά του θα την προωθήσει στον αναφερόμενο διακομιστή Αντίθετα το πρωτόκολλα Χ500 θα προωθήσει την αίτηση αυτόματα Όσον αφορά την επεκτασιμότητα αυτή δεν είναι τόσο πολύ παράγοντας σύγκρισης ανάμεσα στα πρωτόκολλα γιατί εξαρτάται περισσότερο από τον προμηθευτή του προϊόντος Κάποια βασικά προϊόντα LDAP έχουν μικρότερη χωρητικότητα αλλά τα περισσότερα προϊόντα LDAP και Χ500 μπορούν να υποστηρίξουν εκατομμύρια ή ακόμα και δισεκατομμύρια εισαγωγών με αρκετές χιλιάδες χρήστες Το κόστος βασίζεται και εξαρτάται από το προϊόν του διακομιστή, την υλοποίηση και την υποστήριξη Σε αυτό το επίπεδο ο LDAP έχει ξεκάθαρα το πλεονέκτημα Τα προϊόντα LDAP είναι είτε δωρεάν και συμπεριλαμβάνονται στο λειτουργικό σύστημα είτε είναι λιγότερο ακριβά από τους servers Χ500 Το LDAP είναι ακόμα φθηνότερο στην υλοποίηση Αυτό συμβαίνει γιατί τα έγγραφα των προδιαγραφών του είναι δωρεάν και γιατί η εγκατάσταση του γίνεται πιο γρήγορα Το LDAP χρησιμοποιείται περισσότερο οπότε υπάρχει αφθονία πηγών για πληροφορίες με τη μορφή βιβλίων, ιστοσελίδων και φόρουμ Αντίθετα η υποστήριξη για το Χ500 συνήθως είναι διαθέσιμη μέσα από συμβούλους ή πληρωμένα συμβόλαια τεχνικής υποστήριξης [20]

Μια δημοφιλής εφαρμογή που συνδυάζει και τα δύο είναι να χρησιμοποιείται το Χ500 σαν τη ραχοκοκαλιά του καταλόγου και το LDAP να χρησιμοποιείται σαν την front-end διεπαφή Αυτή είναι μια δημοφιλής εφαρμογή γιατί έτσι επιτρέπεται μια καλύτερη και πιο ολοκληρωμένη απόδοση του πελάτη μαζί με ένα πιο ολοκληρωμένο δίκτυο Διακομιστή Το LDAP έχει 4 πλεονεκτήματα κλειδιά σε σύγκριση με το DAP Καταρχήν τρέχει κατευθείαν πάνω σε TCP, ελαχιστοποιώντας με τον τρόπο αυτό ένα μεγάλο μέρος της εγκατάστασης σύνδεσης και των πακέτων χειρισμού γενικά της συνόδου OSI και των υποστρωμάτων προβολής που απαιτούνται από το DAP Ακόμα το γεγονός ότι οι εφαρμογές TCP/IP είναι διαθέσιμες σχεδόν σε παγκόσμιο επίπεδο σημαίνει ότι το LDAP μπορεί να τρέχει στα περισσότερα συστήματα Δεύτερον, το LDAP απλοποιεί το λειτουργικό μοντέλο του DAP με δύο τρόπους Αφήνει απέξω τις λειτουργίες ανάγνωσης και ομαδοποίησης γιατί στις μιμείται μέσα από τη διαδικασία αναζήτησης Επίσης, αφήνει απέξω κάποιους από τους πιο εσωτερικούς και λιγότερο συχνά χρησιμοποιούμενους ελέγχους και τα πιο εσωτερικά και λιγότερο χρησιμοποιούμενα χαρακτηριστικά ασφαλείας της πλήρους έκδοσης του Χ500 αυτό απλοποιεί τις εφαρμογές του LDAP Τρίτον και το Χ500 και το LDAP περιγράφουν και κωδικοποιούν στοιχεία των πρωτοκόλλων χρησιμοποιώντας ASN1 και BER Το LDAP όμως χρησιμοποιεί κωδικοποίηση συμβολοσειράς για διακεκριμένα ονόματα και στοιχεία των δεδομένων Το Χ500 χρησιμοποιεί περίπλοκη και υψηλής δομής κωδικοποίηση ακόμα και για απλά στοιχεία των δεδομένων Τα στοιχεία των δεδομένων LDAP είναι τύπου συμβολοσειράς Αυτό είναι μεγάλη νίκη όταν αναφερόμαστε σε σημαντικά ονόματα που έχουν σημαντική δομή η οποία οδηγεί σε περίπλοκη κωδικοποίηση-αποκωδικοποίηση και σε μεγάλο μέγεθος κωδικοποίησης-αποκωδικοποίησης Το LDAP παραπέμπει τη γνώση της σύνταξης τιμών στο πρόγραμμα εφαρμογής και όχι στο χαμηλότερο επίπεδο του πρωτοκόλλου ρουτίνας Τέλος, το LDAP απελευθερώνει τους πελάτες από τον περιορισμό να «κυνηγάνε» παραπομπές Ο διακομιστής LDAP είναι υπεύθυνος να αναζητήσεις οποιαδήποτε παραπομπή που επιστρέφεται από τον Χ500 και να επιστρέψει στον πελάτη είτε αποτελέσματα είτε ένδειξη σφάλματος Έτσι οι πελάτες θεωρούν ότι πρόκειται για ένα ενιαίο μοντέλο σύνδεσης στο οποίο το Χ500 φαίνεται σαν ένας ενιαίος λογικός κατάλογος [21]

Σύγκριση Samba και Active Directory Το πρώτο χαρακτηριστικό που θα συγκριθεί είναι η επεκτασιμότητα Μπορεί δηλαδή πραγματικά η Samba να κλιμακωθεί επεκτεινόμενη στις ανάγκες κάθε περιβάλλοντος; Η απάντηση είναι καταφατική Το ίδιο καλά μπορεί να κλιμακωθεί και να επεκταθεί και το Microsoft Active Directory αλλά το Active Directory Domain Services, στα Windows Server 2012 περιλαμβάνει διασφαλίσεις για τρέξιμο σε εικονικές μηχανές Αυτό το κάνει για να εξασφαλίσει την συνοχή των εικονικών Active Directory Domain Services περιβαλλόντων Σημαντικό επίσης για κάθε διαχειριστή συστήματος δικτύου είναι το πόσο καλά δουλεύουν με τους αυτοματισμούς τα εργαλεία διαχείρισης Η Samba 40 αντιμετωπίζει το ζήτημα αυτό με την Python Support που είναι μια εφαρμογή η οποία χρησιμοποιείται εκτενώς για τον πελάτη και τα εργαλεία διαχείρισης Το Microsoft Active Directory αντιμετωπίζει το ζήτημα με πολλούς άλλους τρόπους εκτός από αυτόν που δηλώνει Δηλαδή την υποστήριξη Μόχλευσης της Ισχύς του Κελύφους των Windows (Leverage Windows PowerShell LWPS) για όλες σχεδόν τις εργασίες που εκτελεί το Active Directory και επιπλέον επωφελείται από το πρόγραμμα προβολής του ιστορικού του Windows PowerShell στο Κέντρο Διαχείρισης του Active Directory προκειμένου να είναι εύκολη η υιοθέτηση του από το Windows PowerShell Σημαντικό χαρακτηριστικό ακόμα δεν είναι το ίδιο το active directory αλλά το Domain Name Service (DNS) που πρέπει από προεπιλογή να χρησιμοποιείται με αυτό Το Microsoft Active Directory έχει ένα αποδεδειγμένο DNS διακομιστή που είναι αξιόπιστος και επεκτάσιμος Η Samba 40 έχει έναν εσωτερικό διακομιστή DNS με υποστήριξη για δυναμικό updating Έχει ακόμα ενσωματωμένο ένα Bind9 για υποστήριξη Active Directory Domain Nanme Services (με DLS) το οποίο επιτρέπει στο χρήστη να επιλέξει το εσωτερικό DNS το οποίο πουθενά δεν έχει δοκιμαστεί καλύτερα απ όσο στο Bind που είναι ένας από τους παλιότερους διακομιστές για Linux Το μόνο στοιχείο που πρέπει ακόμα να αποδειχτεί είναι το πόσο καλά θα λειτουργήσει αυτό το σύστημα της Samba 40 σε παραγωγικά περιβάλλοντα [22]

Το χαρακτηριστικό που αποτελεί κλειδί για κάθε διακομιστή active directory είναι η ικανότητά του να διαχειρίζεται αλλά και να χρησιμοποιεί συσκευές ταυτόχρονα με τους διακομιστές και τους σταθμούς εργασίας της εταιρείας Η Samba 40 δηλώνει ότι παρέχει υποστήριξη για τη σύνδεση Active Directory και τη διαχείριση των πρωτοκόλλων που υποστηρίζουν τα Windows XP, Windows 7 και τους πελάτες των Mac OS X και ακόμη δηλώνει ότι παρέχει υποστήριξη για προσδιορισμούς της Ομάδας Πολιτικής (Group Policy) Το αν το Microsoft Active Directory έχει αυτή την ικανότητα έχει ήδη αποδειχτεί και δεν χρειάζεται ανάλυση Το μόνο που μένει είναι να αποδειχτεί αν η Samba 40 μπορεί να υποστηρίξει tablets και κινητές συσκευές όπως το Windows Phone 8 και το Microsoft Windows 8 Tablet για να μην αναφέρουμε και τα παλιότερα λειτουργικά συστήματα όπως είναι το Windows 2000 και το Windows ΝΤ Υπάρχει ένα ακόμα ερώτημα σχετικά με το κατά πόσο μπορεί η Samba 40 να συμβαδίσει με την Κοινή Χρήση Αρχείων και Εκτυπωτών (File and Printer Sharing) Το Microsoft Active Directory έχει ένα αποδεδειγμένο ιστορικό στην κοινή χρήση Αρχείων και Εκτυπωτών αν και αν βασιστούμε στο αποδεδειγμένο ιστορικό της Samba 30 που μπορεί να συνδεθεί με αξιοπιστία σε διαμοιρασμούς και εκτυπωτές Active Directory, φαίνεται ότι υπάρχει μεγάλη πιθανότητα ότι και η Samba 30 δεν θα αποτύχει σε αυτήν την απαίτηση Το πραγματικά σημαντικό ερώτημα είναι το πώς θα καταφέρει να διαχειριστεί την κοινή χρήση αρχείων και εκτυπωτών Επειδή έχει ένα πλήρες NTFS semantics για το μοίρασμα των Backends χρειάζεται πραγματικά υποστήριξη για την κοινή χρήση εκτυπωτών οπότε το πώς θα αναπτυχθεί αυτή είναι κάτι που πρέπει να περιμένουμε να δούμε Οι περιοχές στις οποίες η Samba 40 έχει την υπεροχή από το Microsoft Active Directory είναι δύο Πρώτα είναι ο τομέας της ασφάλειας Τα Linux μπορούν λόγω της κατασκευής τους να ασφαλίσουν το άλμα και τα όρια καλύτερα από οποιοδήποτε λειτουργικό Σύστημα των Windows Η μόνη εξαίρεση είναι τα Windows 8 και ο Windows Server 2012 Στο ιστορικό της Microsoft για ην ασφάλεια όμως φαίνεται ότι τα Linux είναι ακόμα το καλύτερο λειτουργικό σύστημα όσον αφορά την παροχή ασφάλειας Αυτό συμβαίνει όχι μόνο γιατί δεν συγκρατεί το 95% του λειτουργικού συστήματος από το μοίρασμα στην αγορά αλλά και γιατί αποτελεί μία εντελώς ανοιχτή πηγή και έτσι πολλοί περισσότεροι άνθρωποι έχουν εξετάσει και έχουν συνεισφέρει στην κρυπτογράφηση [23]

Η δεύτερη περιοχή σχετίζεται με το γεγονός ότι περισσότερο από το 50% της κρυπτογράφησης στη Samba 40 γίνεται αυτόματα Η ιδέα της αυτόματης δημιουργίας κώδικα μπορεί να είναι συντριπτική αλλά και να δημιουργεί σύγχυση Όμως, με μια γεννήτρια κωδικών μπορεί κανείς να πάρει μία ενιαία αναπαράσταση κάποιου κομματιού γνώσης και να το μετατρέψει σε όλες τις μορφές που χρειάζονται οι εφαρμογές του Ουσιαστικά δεν πρόκειται για αντιγραφή καθώς οι παραγόμενες μορφές είναι αναλώσιμες (μιας χρήσης) και δημιουργούνται σύμφωνα με τις ανάγκες από τη γεννήτρια κωδικών Έτσι αν κάποιο τμήμα του κώδικα έχει ιό μπορεί κανείς να το επισκευάσει με τη γεννήτρια κωδικών παντού σε όλο το πρόγραμμα και όχι μόνο για τον περιορισμένο σκοπό της συγκεκριμένης λειτουργίας Η γεννήτρια κωδικών εξασφαλίζει ότι ο ίδιος κωδικός λειτουργεί με τον ίδιο τρόπο σε κάθε απόσταση και παράγει ακριβώς τον ίδιο τύπο απόκρισης Μακροπρόθεσμα αυτό δίνει στη Samba 40 ένα μεγάλο πλεονέκτημα Συμπερασματικά μπορεί να ειπωθεί ότι η Samba 40 φέρνει αυτό που χρειάζονται οι περισσότερες μικρές και μεσαίου μεγέθους επιχειρήσεις αλλά το μεγαλύτερο μειονέκτημα της είναι η υποστήριξη Κάτι που στην Εγγύηση της Microsoft έχει αποδεδειγμένο ιστορικό Το μόνο σημείο στο οποίο πραγματικά χάνει το Microsoft Active Directory είναι στο γεγονός ότι δεν είναι δωρεάν, ανοιχτή πηγή και δεν χρησιμοποιεί γεννήτρια κωδικών Τελικά όλα συνοψίζονται σε αναλύσεις κόστους οφέλους καθώς μερικές επιχειρήσεις μπορεί να μην ανησυχούν τόσο για όποια άλλα θέματα μπορεί να προκύψουν και να μπορούν να τα χειριστούν χωρίς να επηρεάσουν την επιχείρηση σε κρίσιμο επίπεδο Η Samba 40 ακόμα και με το αποδεδειγμένο ιστορικό της Samba 30 είναι ακόμα ένα μεγάλο ρίσκο για οποιαδήποτε μεγάλη επιχείρηση καθώς προσθέτει μονοπάτια σε πολλά αδοκίμαστα χαρακτηριστικά της Η Samba 40 έχει το πλεονέκτημα της ασφάλειας καθώς τα Linux είναι μια καλύτερη πλατφόρμα ασφαλείας αν ρυθμιστούν σωστά σε σύγκριση με τα Windows Όσο περισσότερο βρίσκεται η Samba 40 στην αγορά τόσο πιο βιώσιμη θα γίνεται για τις επιχειρήσεις καθώς θα αρχίσει να έχει αποδεδειγμένο ιστορικό, μεγαλύτερη υποστήριξη για την ανάποδη συμβατότητα και θα έχει επιπλέον το πλεονέκτημα της γεννήτριας κωδικών [24]

Κεφάλαιο ΙΙΙ: Εγκατάσταση του Active Directory Η εγκατάσταση του Active Directory σε έναν Server (Εξυπηρετητής), μετατρέπει τον Server σε Domain Controller (Ελεγκτής Τομέα) Δηλαδή σε έναν εξυπηρετητή που φιλοξενεί μια κεντρική βάση δεδομένων με όλους τους χρήστες και τις ομάδες στον τομέα και ο οποίος διαχειρίζεται όλες τις λειτουργίες που σχετίζονται με τον τομέα, όπως ο έλεγχος ταυτότητας κατά την σύνδεση ενός χρήστη και οι σχέσεις εμπιστοσύνης Αυτή η διαδικασία μπορεί να υλοποιηθεί σε ένα ήδη υπάρχων Server NT ή σε ένα πρόσφατα εγκατεστημένο Server Βήμα I: Ο πιο ασφαλής και ίσως ο ευκολότερος τρόπος για να εγκαταστήσουμε το Active Directory είναι με το Manage Your Server Όταν κάνουμε μια νέα εγκατάσταση των Windows Server 2003, το Manage Your Server ανοίγει αυτόματα με το που κάνουμε τα πρώτα αρχικά βήματα στην επιφάνεια εργασίας των Windows Εάν για οποιοδήποτε λόγο όμως, το Manage Your Server δεν ανοίξει, τότε πηγαίνοντας στο μενού Start Administrative Tools Manage Your Server, θα μας εμφανίσει ένα παράθυρο διαλόγου με το οποίο μπορούμε να προσθέσουμε τις υπηρεσίες που επιθυμούμαι, πατώντας στην επιλογή Add ή Remove a Role [25]

Βήμα II: Μετά θα μας εμφανίσει ένα παράθυρο όπου θα κάνει έναν έλεγχο στο σύστημα, πατάμε στο κουμπί Next (Επόμενο) για να συνεχίσουμε και θα μας εμφανίσει ένα άλλο παράθυρο, το οποίο θα έχει κάποιες υπηρεσίες Από τις υπηρεσίες που θα μας εμφανίσει, εμείς θα επιλέξουμε το Domain Controller (Active Directory) και θα πατήσουμε Next Στο επόμενο παράθυρο, θα μας εμφανίσει την επιλογή που κάναμε και την υπηρεσία που θα εγκαταστήσουμε, συνεπώς πατάμε Next [26]

[27]

Βήμα III: Στο παρακάτω παράθυρο θα μας εμφανίσει τον οδηγό εγκατάστασης του Active Directory, πατάμε Next Το αμέσως επόμενο παράθυρο θα μας δίνει κάποιες πληροφορίες για την συμβατότητα του λειτουργικού συστήματος, πατάμε Next Στο τρίτο παράθυρο μας λέει να επιλέξουμε έναν τύπο Domain (Τομέα) Αφήνουμε την αρχική επιλογή, διότι θέλουμε να δημιουργήσουμε ένα καινούργιο Domain (Τομέα) και πατάμε Next Στο τέταρτο παράθυρο πρέπει να προσδιορίσουμε τον ρόλο του Server (Εξυπηρετητή) Κρατάμε την αρχική επιλογή, που μας λέει ότι θα λειτουργεί σαν Domain Controller (Ελεγκτής Τομέα), σε έναν καινούργιο τομέα και πατάμε Next [28]

[29]

[30]

Βήμα IV: Στο επόμενο παράθυρο που θα μας εμφανίσει, πρέπει να πληκτρολογήσουμε ένα όνομα για το Domain (Τομέα) και πατάμε Next Στο δεύτερο παράθυρο που θα μεταβούμε, πρέπει να ορίσουμε ένα NetBIOS Name, το οποίο NetBIOS Name είναι ένα μοναδικό αναγνωριστικό, που μπορεί να αποτελείται μέγιστα από 15 χαρακτήρες και χρησιμοποιείτε για την αναγνώριση και εντοπισμό πόρων σε ένα δίκτυο που τρέχει NetBIOS μέσω TCP/IP και τέλος στην τρίτη εικόνα επιλέγουμε την διαδρομή όπου να βρίσκεται η βάση δεδομένων του Active Directory [31]

[32]

Βήμα V: Στο επόμενο παράθυρο που θα μας εμφανιστεί, πρέπει να επιλέξουμε την διαδρομή για τον φάκελο SYSVOL Ο φάκελος SYSVOL είναι ένας φάκελος, ο οποίος μοιράζεται στον τόμο NTFS, σε όλους τους ελεγκτές τομέα σε ένα συγκεκριμένο τομέα Συνήθως χρησιμοποιείται για την παράδοση πολιτικών (Policy) και δέσμες ενεργειών σύνδεσης (Logon Scripts) για τα μέλη του τομέα Στο δεύτερο παράθυρο αφήνουμε την αρχική επιλογή, η οποία επιλογή μας λέει να εγκαταστήσουμε και να ρυθμίσουμε το DNS Server σε αυτόν τον σταθμό εργασίας και να τον ορίσουμε σαν προτεινόμενο DNS Server και πατάμε Next και τέλος ορίζουμε δικαιώματα χρηστών και ομάδων, τα οποία πρέπει να είναι συμβατά με Windows Server 2000 και Windows Server 2003 [33]

[34]

Βήμα VI: Στο επόμενο παράθυρο πρέπει να πληκτρολογήσουμε έναν κωδικό πρόσβασης, το οποίο θα το χρησιμοποιούμε κάθε φορά που θα κάνουμε Log In (Σύνδεση), στα Windows Server 2003 και πατάμε Next Στο δεύτερο παραθυράκι θα μας ενημερώνει για τις επιλογές που έχουμε κάνει στις προηγούμενες καρτέλες σχετικά με τo Active Directory Τα επιβεβαιώνουμε και πατάμε Next και τέλος γίνεται η εγκατάσταση [35]

[36]

Βήμα VII: Τέλος, μας εμφανίζεται το παραθυράκι που μας ενημερώνει για την ολοκλήρωση της εγκατάστασης και πατάμε Finish Σε αυτή την φάση έχουμε ολοκληρώσει την εγκατάσταση της υπηρεσίας Active Directory Ο σταθμός εργασίας μας πλέον λειτουργεί σαν ένας Domain Controller (Ελεγκτής Τομέα) Το μόνο πράγμα που μας μένει να ελέγξουμε, είναι η IP διευθύνσεις Η οποία IP διεύθυνση πρέπει να είναι Static (Στατική) και όχι δυναμική Επίσης, η διεύθυνση IP μαζί με την διεύθυνση του Prefered DNS πρέπει να είναι ίδια, διότι πλέον ο υπολογιστής μας, λειτουργεί σαν ένας Domain Controller Ελεγκτής Τομέα Πηγαίνουμε λοιπόν, Start Control Panel Network Conections Local Area Conection και πατάμε Properties, επιλέγουμε το Internet Protocol (TCP/IP) και πατάμε εκ νέου το Properties και εμφανίζεται το παράθυρο με τις IP διευθύνσεις [37]

[38]

Κεφάλαιο IV: Εγκατάσταση και Παραμετροποίηση προφίλ Χρηστών Όλα τα σύγχρονα εργαστήρια που βρίσκονται σε AEI ή ΤΕΙ, επίσης οργανώσεις ή επιχειρήσεις που έχουν εγκατεστημένο μεγάλο δίκτυο υπολογιστών, βασίζονται στην υπηρεσία του Active Directory της Microsoft Αυτό δίνει την δυνατότητα δημιουργίας χρηστών, οι οποίοι μπορούν να συνδέονται από οποιονδήποτε ηλεκτρονικό υπολογιστή του εργασιακού χώρου, χωρίς να χάνουν τα έγγραφα τους ή τις ρυθμίσεις των προγραμμάτων Μπορεί λοιπόν ο κάθε χρήστης να αποθηκεύει τα έγγραφα και τα προγράμματα του σε κάποιον εικονικό δίσκο, ο οποίος εικονικός δίσκος θα τον συνοδεύει σε οποιοδήποτε υπολογιστή του τομέα και αν συνδεθεί Για να γίνουν τα παραπάνω λοιπόν, πρέπει να πραγματοποιηθούν κάποιες ρυθμίσεις Αρχικά πρέπει να δημιουργήσουμε έναν νέο φάκελο, μέσα στον οποίο θα αποθηκεύονται οι ρυθμίσεις κάθε χρήστη, καθώς επίσης και τον εικονικό δίσκο που θα τον ακολουθεί σε κάθε του σύνδεση στο τομέα Τον φάκελο λοιπόν θα τον ονομάσουμε Users και καλό θα την να τον δημιουργήσουμε σε έναν ευρύχωρο [39]

δίσκο, διότι εκεί θα αποθηκεύονται όλες οι ρυθμίσεις των χρηστών Ένα ικανοποιητικό μέγεθος δίσκου θα ήταν στα 150 GB Μόλις δημιουργήσουμε τον φάκελο Users, πρέπει λοιπόν να ορίσουμε κάποια δικαιώματα Το πρώτο πράγμα που θα κάνουμε είναι να τον διαμοιράσουμε, δίνοντας πλήρη πρόσβαση του διαμοιραζόμενου φακέλου σε όλους Αυτό δεν πρέπει να μας ανησυχεί, διότι τα δικαιώματα διαμοιρασμού είναι διαφορετικά από τα δικαιώματα ασφαλείας Τα δικαιώματα ασφαλείας, στην καρτέλα Security, θα πρέπει να δίνουν πλήρη πρόσβαση στους διαχειριστές του συστήματος και περιορισμένα δικαιώματα στους υπόλοιπους Τα δικαιώματα για τους υπόλοιπους είναι, Read & Execute, List Folder Contents, Read Για να μπούμε στην καρτέλα με τα δικαιώματα λοιπόν, πηγαίνουμε πάνω στον φάκελο, πατάμε δεξί-κλίκ και από την λίστα που θα μας εμφανίσει επιλέγουμε τα Properties [40]

[41]

[42]

Τα παραπάνω επιτρέπουν σε όλους τους χρήστες να ανοίξουν τον διαμοιρασμένο φάκελο Users, αλλά δεν τους δίνει το δικαίωμα να αλλοιώσουν τα περιεχόμενα του, ούτε να προσθέσουν καινούργια αρχεία ή φακέλους Επίσης, τα παραπάνω δικαιώματα επιτρέπουν στους διαχειριστές του συστήματος να δημιουργούν νέους φακέλους και να αποδώσουν σε κάθε ένα από αυτούς, τα απαραίτητα δικαιώματα σε κάθε χρήστη ώστε κάθε χρήστης να μπορεί να ανοίγει και να τροποποιεί μόνο τον φάκελο του Εφόσον τελειώσαμε με την δημιουργία του φακέλου και ορίσαμε τα απαραίτητα δικαιώματα, μπορούμε πλέον να συνεχίσουμε με την δημιουργία του χρήστη Για να δημιουργήσουμε τον χρήστη, πρέπει να ακολουθήσουμε την εξής διαδρομή Start Administrative Tools Active Directory Users and Computers Κάνοντας κλικ λοιπόν στο Active Directory Users and Computers, θα μας ανοίξει ένα νέο παράθυρο, στο οποίο παράθυρο στην αριστερή πλευρά θα μας εμφανίσει κάποιους φακέλους Θα εντοπίσουμε τον φάκελο Users και θα πατήσουμε δεξί-κλίκ New User Μόλις επιλέξουμε τον User, θα μας ανοίξει ένα νέο παράθυρο, στο οποίο πρέπει να συμπληρώσουμε κάποια στοιχεία του χρήστη Με το που τα συμπληρώσουμε πατάμε Next και στην επόμενη καρτέλα θα μας ζητήσει να ορίσουμε κάποιο κωδικό για τον χρήστη Πριν λοιπόν πατήσουμε Next, πρέπει τσεκάρουμε την επιλογή User must change password at next logon Το οποίο θα επιβάλει τον χρήστη στην πρώτη του σύνδεση να αλλάξει τον Default κωδικό και να εισάγει κάποιον άλλον της προτίμησης του Βέβαια, θα μπορούσαμε σε αυτήν την περίπτωση να είχαμε τσεκάρει τις επιλογές User cannot change password και Password never expires Έτσι θα μπορούσαμε πάντα να ξέρουμε τον κωδικό του κάθε φοιτητή/εργαζόμενου, ακόμη και στην περίπτωση που ξεχαστεί από τον χρήστη Η οποία λογική έχει ένα πρόβλημα ασφαλείας, εάν η φοιτητές/εργαζόμενοι κάποιας επιχείρησης μάθαιναν την λογική απόδοσης κωδικού (Password), θα μπορούσαν να την χρησιμοποιήσουν και να συνδεθούν με τα πιστοποιητικά κάποιου άλλου φοιτητή/εργαζόμενου Εφόσον δεν θέλουμε να επιτευχτεί όλο αυτό, δεν τσεκάρουμε αυτές τις δύο επιλογές [43]

[44]

[45]

Εφόσον δημιουργήσαμε και τον χρήστη, μας μένει λοιπόν να δημιουργήσουμε τον εικονικό δίσκο ο οποίος θα τον ακολουθεί στην κάθε του σύνδεση Πηγαίνοντας πάνω στον χρήστη που μόλις δημιουργήσαμε, πατάμε διπλό-κλικ Θα μας εμφανίσει ένα νέο παράθυρο, στο οποίο θα μεταβούμε στην καρτέλα Profile Εδώ πρέπει να ορίσουμε την διαδρομή για το προφίλ του χρήστη και να κάνουμε μια αντιστοίχηση για τον δίσκο που θα τον ακολουθεί σε κάθε του σύνδεση Οπότε, στο Profile Path γράφουμε την διαδρομή του δικτύου του διαμοιρασμένου φακέλου με την λογική, \\Όνομα Server\Όνομα Διαμοιρασμένου Φακέλου\Όνομα Χρήστη\Profile Με το που τελειώσουμε με το Profile Path πατάμε Apply Στην συνέχεια μεταβαίνουμε πιο κάτω και αντί για Local Path εμείς επιλέγουμε το Connect και γράφουμε την εξής διαδρομή \\Όνομα Server\Όνομα Διαμοιρασμένου Φακέλου\Όνομα Χρήστη Με το που πληκτρολογήσουμε την εξής διαδρομή πατάμε Apply για να μπορέσουν τα Windows να δημιουργήσουν τον φάκελο με το όνομα του χρήστη και να αποδώσουν τα απαραίτητα δικαιώματα Μόλις κάναμε την αντιστοίχηση του δίσκου, αλλά η λογική της δεν είναι σωστή Εάν σταματήσουμε εδώ, κάθε φορά που θα συνδέεται ο χρήστης, θα βλέπει έναν εικονικό δίσκο Z, και μέσα στον δίσκο έναν φάκελο με το όνομα Profile Στον φάκελο αυτό θα βρίσκονται όλες οι απαραίτητες ρυθμίσεις, έτσι ώστε ο χρήστης να μπορεί να νιώθει οικία με το περιβάλλον, στην κάθε του σύνδεση και σε οποιονδήποτε σταθμό εργασίας και αν συνδεθεί, όμως θα έχει την δυνατότητα να διαγράψει τον φάκελο, πράγμα το οποίο δεν θέλουμε να γίνει Για να το αποφύγουμε όλο αυτό, πρέπει να αλλάξουμε ελάχιστα την μορφή τις διαδρομής Η οποία διαδρομή θα έχει την εξής μορφή \\Όνομα Server\Όνομα Διαμοιρασμένου Φακέλου\Όνομα Χρήστη\Z Πρέπει να είμαστε ιδιαίτερα προσεκτική, διότι πρέπει να πατήσουμε Apply, πριν προσθέσουμε το γράμμα Z Αλλιώς τα Windows δεν θα μπορέσουν να δημιουργήσουν τον φάκελο με το όνομα του χρήστη μέσα στο διαμοιρασμένο φάκελο, οπότε και δεν θα μπορέσουν να δημιουργήσουν τον φάκελο Ζ, ο οποίος και θα αντιστοιχιστεί τελικά στο εικονικό δίσκο Ζ, όπως δηλώσαμε παραπάνω [46]

[47]

Ανάθεση πολιτικών ομάδας (Group Policies) στους χρήστες Οι πολιτικές ομάδες, είναι ένα χαρακτηριστικό της Microsoft Windows NT, οι οποίες ελέγχουν τον εργασιακό χώρο τον χρηστών και των ομάδων Ουσιαστικά οι πολιτικές ομάδες είναι ένα σύνολο ρυθμίσεων, που καθορίζουν το πώς θα μοιάζει και το πώς θα συμπεριφέρεται το σύστημα για μια συγκεκριμένη ομάδα χρηστών Για να αναθέσουμε λοιπόν κάποιες πολιτικές ομάδες στους χρήστες μας, πρέπει πρώτα να δημιουργήσουμε την πολιτική ομάδα που θα απευθύνεται στους χρήστες Για να το κάνουμε αυτό λοιπόν, πηγαίνουμε στον φάκελο με τους χρήστες, ο οποίος βρίσκεται στην κατηγορία Active Directory Users and Computers, πατάμε δεξί-κλίκ και επιλέγουμε Properties Μετέπειτα, μεταβαίνουμε στην καρτέλα Group Policy και πατάμε New για να δημιουργήσουμε μια νέα πολιτική ομάδα [48]

[49]

Με το που ολοκληρωθεί η διαδικασία δημιουργίας της πολιτικής ομάδας, πατάμε διπλό-κλίκ ή Edit για να μεταβούμε στην καρτέλα διαχείρισης πολιτικών ομάδας Επισημαίνεται πως οι πολιτικές ομάδας επηρεάζουν σε μεγάλο βαθμό το περιβάλλον εργασίας του χρήστη και γι'αυτό θα πρέπει να γνωρίζει ο υπεύθυνος εργαστηρίου τον τρόπο λειτουργίας τους και να είναι σε θέση να τροποποιήσει τις εφαρμοζόμενες πολιτικές, προκειμένου να διαμορφώσει το εργαστήριο σύμφωνα με τις απατήσεις των χρηστών Στον παρακάτω πίνακα λοιπόν, φαίνονται οι ρυθμίσεις που έχουνε εφαρμοστεί για τους χρήστες του τομέα [50]

Policy path (User) Full Policy Name Seeting Administrative Templates\Desktop Remove properties from the My Computer context menu Enable Administrative Templates\Desktop Remove properties from the Recycle Bin context menu Enable Administrative Templates\Desktop Hide My Network Places icon on desktop Enable Administrative Templates\Desktop Hide Internet Explorer icon on desktop Enable Administrative Templates\Desktop Prohibit user changing Documents path from My Enable Administrative Templates\Desktop Remove the Desktop Cleanup Wizard Enable Administrative Templates\Desktop\Active Desktop Enable Active Desktop Enable Administrative Templates\Desktop\Active Desktop Prohibit changes Enable Administrative Templates\Desktop\Active Desktop Prohibit adding items Enable Active Desktop Wallpaper Enable Administrative Templates\Desktop\Active Desktop Administrative Templates\Desktop\Active Desktop Administrative Templates\Network\Network Connections Allow only bitmap wallpaper Prohibit TCP\IP advanced configuration Disable Enable [51]

Administrative Templates\Network\Network Prohibit access to properties of a LAN connection Enable Administrative Templates\System Don t display the Getting Started welcome screen at logon Enable Administrative Templates\System Prevent access to registry editing tools Enable Remove lock Computer Enable Connections Administrative Templates\System\Ctrl+Alt+Del Options Administrative Templates\System\Ctrl+Alt+Del Options Remove Change Password Enable Οι ρυθμίσεις που ορίσαμε παραπάνω ήταν στο επίπεδο του χρήστη, δηλαδή στην κατηγορία User Configuration Παρακάτω θα ορίσουμε κάποιες άλλες πολιτικές ομάδες, οι οποίες θα αναφέρονται στα μηχανήματα, δηλαδή στους σταθμούς εργασίας των χρηστών και θα ρυθμιστούν για την βέλτιστη απόδοση τους Οι ρυθμίσεις θα γίνουν στο επίπεδο Computer Configuration Policy Path (Machine) Administrative Templates\System Administrative Templates\System\Logon Full Policy Name Seeting Turn off Autoplay Enable Don t display the Getting Started welcome screen at logon Enable [52]

Administrative Templates\Windows Components\Security Center Turn on Security Center(Domain PCs Only) Administrative Templates\Windows Components\Terminal Services Allow users to connect remotely using Terminal Services Enable Administrative Templates\Windows Components\Windows Installer Allow admin to install from Terminal Services session Enable Administrative Templates\Windows Components\Windows Messenger Do not allow Windows Messenger to be run Administrative Templates\Windows Components\Internet Explorer Security Zones: Do not allow users to change policies Enable Enable Enable Administrative Templates\Windows Components\Internet Explorer Disable showing the splash screen Enable Administrative Templates\Windows Components\Internet Explorer Do not allow users to enable or disable add-ons Enable Configure Automatic Updates Enable Administrative Templates\Windows Components\Windows Update [53]

Administrative Templates\Windows Components\Windows Update Allow Automatic Updates immediate installation Enable Administrative Templates\Windows Components\Windows Media Player Do Not Show First Use Dialog Boxes Enable Administrative Templates\Windows Components\Windows Media Player Prevent Desktop Shortcut Creation Enable [54]

Σύνδεση σταθμού εργασίας σε τομέα Πριν δημιουργήσουμε λοιπόν την σύνδεση του σταθμού εργασίας μας με τον τομέα πρέπει να καταχωρίσουμε κάποιες στατικές IP διευθύνσεις Ο καλύτερος τρόπος για να πάρει ένα μηχάνημα στατικές IP διευθύνσεις, είναι να τις παρέχει ο εξυπηρετητής, έτσι ώστε να μην γίνει καμία σύγκρουση των IP διευθύνσεων Για να λειτουργήσει όλο αυτό πρέπει ο εξυπηρετητής μας να λειτουργεί σαν DHCP Server Σε αυτή την περίπτωση οι IP διευθύνσεις θα καταχωρηθούν χειροκίνητα Πηγαίνοντας λοιπόν στο, Control Panel Network and Sharing Center Change adpter settings Local Area Connection Internet Protocol Version 4(TCP/IPv4), θα μας εμφανίσει το παραθυράκι όπου μπορούμε να καταχωρίσουμε τις IP διευθύνσεις, όπως φαίνεται και στην εικόνα παρακάτω Προσέχουμε στο πεδίο Default Gateway, διότι σε εκείνο το πεδίο πρέπει να εισάγουμε την IP διεύθυνση του εξυπηρετητή, έτσι ώστε να επιτευχτεί σωστά η σύνδεση [55]

Με το που τελειώσουμε με την καταχώρηση των στατικών IP διευθύνσεων, το αμέσως επόμενο βήμα είναι να συνδέσουμε τον σταθμό εργασίας μας με τον τομέα Πηγαίνουμε λοιπόν, My computer Properties Advance system settings Computer Name και πατάμε το κουμπί που λέει Change Όπως φαίνεται και παραπάνω ο υπολογιστής μας δεν ανήκει σε κάποιο τομέα, είναι μέλος WORKGROUP Με το που πατήσουμε λοιπόν στο κουμπί Change, θα μας ανοίξει ένα καινούργιο παράθυρο όπου πρέπει να επιλέξουμε Domain και να πληκτρολογήσουμε τον τομέα του εξυπηρετητή Εφόσον, θα έχουμε τελειώσει με τον τομέα, πατάμε OK και για να ολοκληρωθεί η σύνδεση, θα μας ζητηθεί ένα Username(Όνομα Χρήστη) και ένα Password(Κωδικός) Συνήθως πληκτρολογούμε τα στοιχεία του διαχειριστή Δηλαδή Administrator και τον κωδικό που εισάγαμε όταν τον δημιουργήσαμε [56]

[57]

Εισαγωγή πολλαπλών χρηστών στο Active Directory Εάν θέλαμε λοιπόν, να καταχωρίσουμε ένα μεγάλο αριθμό χρηστών στο Active Directory, θα ήταν αρκετά κουραστικό και χρονοβόρο εάν τους εισάγαμε έναν-έναν Αυτό που πρέπει να κάνουμε, είναι να ανοίξουμε ένα φύλλο Excel και να εισάγουμε τις πληροφορίες των χρηστών Μόλις τελειώσουμε με την εισαγωγή των πληροφοριών, αποθηκεύουμε το αρχείο σε μορφή csv, έτσι ώστε μετέπειτα να μπορέσουμε να το τρέξουμε μέσα στο script Για το script, θα χρησιμοποιήσουμε το πρόγραμμα PowerShell Το PowerShell, ουσιαστικά θα μας βοηθήσει να τρέξουμε το script, έτσι ώστε να πραγματοποιηθεί η εισαγωγή χρηστών στον ενεργό κατάλογο Active Directory Τέλος το script, πρέπει να είναι αποθηκευμένο σε μορφή ps, για να μπορέσει και να τρέξει στο PowerShell [58]