AD replikacija
Povezati sve replike imenika koje se moraju replicirati
Kontrolirati cijenu i latenciju replikacije
Preusmjeravati replikaciju između site-ova
Utjecati na afinitete klijenata
Unutar site-a replikacija je optimizirana za brzinu:
– Konekcije između domain kontrolera unutar iste domene su uvijek organizirane u obliku prstena
– Replikacija unutar site-a se pokreće pomoću mehanizma koji detektira promjene u AD-u, događa se s konfigurabilnim zakašnjenjem jer se najčešće nekoliko promjena događa odjednom
– Podaci nisu kompresirani
Između site-ova replikacija je optimizirana za što manje trošenje bandwitha:
– Podaci su kompresirani
– Svaka promjena samo jednom prelazi preko linka
– Replikacija se događa u konfigurabilnim intervalima
– Intersite topologija ima jednu konekciju za bilo koja dva site-a za svaku imeničku particiju i u praksi ne sadrži redundantne konekcije
Multimaster replikacija – svi DCi prihvačaju zahtjeve za izmjenom atributa AD objekata za koje su autoritativni
Pull replikacija
Store-and-forward replikacija
State-based replikacija
resetiranje passworda
Replikacija lozinki
– Replikacije je drukčija i od normalne i hitne replikacije
– Promjena lozinke se uvijek prvo odmah i bez obzira na sve intervale replicira na PDC
– Replikacija na ostale DC ove u domeni ide normalnim putem
– Ako je iz nekog razloga nemoguće replicirati odmah na PDC, replikacija ide normalnim putem
– Group Policy postavka “Contact PDC on logon failure” može biti „Disabled” da bi smanjili promet prema PDC-u koji je u drugom site-u, u tom slučaju replikacije ide normalnim putem
powershell kada se user zadnji put ulogirao
Get-ADUser -identity Administrator -properties * | FT Name, LastLogonDate
koliko se puta logirao
Get-ADUser -Filter * -Properties logonCount -Server LON-DC1 | Select Administrator, logonCount
koliko je puta failo login
Get-ADUser -Filter {Name -eq "Administrator"} -Properties * | Select-Object Name, msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon
zadnji put postavljan password
Get-ADGroupMember -Identity "Domain Admins" | Get-ADUser -Properties PasswordLastSet | Select-Object -Property Name, PasswordLastSet
tipovi openLDAP servera?
Samba4 vs Samba3
Samba 3 – file/print/old style NT domains
Samba 4 – AD controller
vCenter Single Sign On (v5)
– ponaša se kao autentikacijski servis za sv eVMWare aplikacije
– aplikacije međusobno komuniciraju preko tokena
Korištenje vCenter Single Sign-On ima slijedeće benefite:
-Brža autorizacija, autentifikacija, pojednostavljenje procesa
-Mogućnost VMware aplikacijama da „vjeruju jedna drugoj”
-Arhitektura koja je spremna za multi-instance i multi-site konfiguracije za kompletno autentifikacijsko rješenje kroz cijelu VMware-based IT infrastrukturu
vCenter Single Sign-On ima slijedeće mogućnosti:
-Podržava otvorene standarde
-Podržava višestruke „repozitorije” za autentifikaciju, kao AD i OpenLDAP
-Pruža mogućnost za spajanje više vCenter Server instanci
vCenter Single Sign On (v6)
– nije više servis, postaje dio općenitog servia PSC (Platform Services Controller)
LDAP
LDAP – imenički servis, nije klasična „baza podataka”
– nema naprednih mogućnosti za roll-back, komplicirane transakcije kao baze – za kompleksne update procedure
– kod direktorija nije bitno ako se prilikom sinhronizacije pojave nekonzistentnosti, ali na kraju se moraju sinhronizirati u konzistentno stanje
– optimizacija za operacije tipa read, browse i search
– LDAP – Lightweight Directory Access Protocol, lightweight protokol za pristup imeničkim servisima po X.500-based direktorijima (RFC 2251,…)
– LDAP koristi TCP/IP i općenito konekcijski orijentirane protokole za komunikaciju
– LDAP model bazira se na zapisima – kolekcija atributa bazirana na unikatnom DN-u (Distinguished Name)
– svaki atribut ima tip i jednu ili više vrijednosti – npr. cn za Common Name, mail za e-mail adrese
– informacije su organizirane u stablastim strukturama
– strukture su obično prilagođene odjelima, lokacijama, …
– postoje i stand-alone implementacije LDAP-a na Linuxu – slapd (lightweight X.500 directory server)
– različite verzije – LDAPv2 i v3 – v2 obsolete
Koristimo za:
– Autentifikacija i security – za različite servise
– Standalone ili connected na neki drugi imenički servis
– Access control – po IP-u, imenu domene, …
– Replikacija (HA, pouzdanost) uz korištenje slurpd-a uz slapd
Vrste konfiguracije:
– lokalni directory service – bez interakcije sa drugim directory serverima
– lokalni directory service with referrals – lokalni uz referral za sve upite izvan naše domene
– replicirani directory service – koristimo slurpd za propagaciju promjena između master i slave nodeova
– distribuirani – miješani model, više servera, superior/subordinate serveri, ….
NIS/NIS+
– NIS/NIS+ (Network Information Service) – client-server directory protokol koji se koristi u UNIX-oidnim okolinama
– često ga zovu i Yellow Pages ili YP
– može imati master i slave servere
– NIS+ – poboljšana verzija sa podrškom za enkripciju i autentifikaciju preko sigurnog kanala
– da bi NIS+ radio, moraju biti podignuti i podešeni servisi portmap/rpcbind i ntp/time servis
– potrebno poinstalirati yp* pakete
– nakon instalacije, klijenti koriste zajedničke passwd, shadow, i slične datoteke
OpenLDAP vs NIS/NIS+
– LDAP nije samo UNIX-specific, podržan je od više operacijskih sustava
– Active Directory je LDAP-based
– dosta jednostavna implementacija Kerberos autentifikacije kod LDAP-a
– NIS nema skalabilnosti, u osnovnoj verziji nema enkripcije
– integracija – mail, address bookovi, replikacija BIND servera, SAMBA autentifikacija
– NIS/NIS+ su obsolete, samo u rijetkim corporate mrežama
– LDAP se može proširiti dodatnim funkcijama
– LDAP se nakon osnovne konfiguracije lako integrira sa ostalim servisima
SSH i LDAP
– SSH je kao secure protokol za terminalnu komunikaciju (i FTP) idealan kandidat za LDAP autentifikaciju
– koristimo LDAP kao centralni imenički servis kroz koji dijelimo korisnička imena i lozinke (kao AD)
– ukoliko imamo podešen LDAP server i na njemu sve potrebne podatke – korisnička imena, lozinke i sl., konfiguracija LDAP klijenata je trivijalan zadatak
– requirementi – poinstaliran SSH server, authconfig* paketi (ako želimo automatski mountati korisničke home direktorije, i autofs)
– uobičajeno se koristi sa autofs-om, servisom koji može automatski mountati korisničke home direktorije preko NFS-a (UNIXoidni file/folder sharing protokol)