{"id":283,"date":"2016-07-05T08:35:21","date_gmt":"2016-07-05T07:35:21","guid":{"rendered":"http:\/\/darko-keric.from.hr\/?p=283"},"modified":"2016-07-05T13:05:50","modified_gmt":"2016-07-05T12:05:50","slug":"ldap-servisi","status":"publish","type":"post","link":"http:\/\/darko-keric.from.hr\/?p=283","title":{"rendered":"LDAP servisi"},"content":{"rendered":"

AD replikacija
\n<\/strong>Povezati sve replike imenika koje se moraju replicirati
\nKontrolirati cijenu i latenciju replikacije
\nPreusmjeravati replikaciju izme\u0111u site-ova
\nUtjecati na afinitete klijenata
\n<\/strong>
\n<\/strong><\/p>\n

Unutar site-a<\/strong> replikacija je optimizirana za brzinu<\/strong>:
\n– Konekcije izme\u0111u domain kontrolera unutar iste domene su uvijek organizirane u obliku prstena
\n– Replikacija unutar site-a se pokre\u0107e pomo\u0107u mehanizma koji detektira promjene u AD-u, doga\u0111a se s konfigurabilnim zaka\u0161njenjem jer se naj\u010de\u0161\u0107e nekoliko promjena doga\u0111a odjednom
\n– Podaci nisu kompresirani
\nIzme\u0111u site-ova<\/strong> replikacija je optimizirana za \u0161to manje tro\u0161enje bandwitha<\/strong>:
\n– Podaci su kompresirani
\n– Svaka promjena samo jednom prelazi preko linka
\n– Replikacija se doga\u0111a u konfigurabilnim intervalima
\n– Intersite topologija ima jednu konekciju za bilo koja dva site-a za svaku imeni\u010dku particiju i u praksi ne sadr\u017ei redundantne konekcije<\/p>\n

Multimaster replikacija – svi DCi prihva\u010daju zahtjeve za izmjenom atributa AD objekata za koje su autoritativni<\/p>\n

Pull replikacija<\/p>\n

Store-and-forward replikacija<\/p>\n

State-based replikacija<\/p>\n

resetiranje passworda
\n<\/strong>Replikacija lozinki
\n– Replikacije je druk\u010dija i od normalne i hitne replikacije
\n– Promjena lozinke se uvijek prvo odmah i bez obzira na sve intervale replicira na PDC
\n– Replikacija na ostale DC ove u domeni ide normalnim putem
\n– Ako je iz nekog razloga nemogu\u0107e replicirati odmah na PDC, replikacija ide normalnim putem
\n– Group Policy postavka \u201cContact PDC on logon failure\u201d mo\u017ee biti \u201eDisabled\u201d da bi smanjili promet prema PDC-u koji je u drugom site-u, u tom slu\u010daju replikacije ide normalnim putem
\n<\/strong><\/p>\n

powershell kada se user zadnji put ulogirao\r\nGet-ADUser -identity Administrator -properties * | FT Name, LastLogonDate\r\n<\/strong>koliko se puta logirao\r\nGet-ADUser -Filter * -Properties logonCount -Server LON-DC1 | Select Administrator, logonCount\r\nkoliko je puta failo login\r\nGet-ADUser -Filter {Name -eq \"Administrator\"} -Properties * | Select-Object Name, msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon\r\nzadnji put postavljan password\r\nGet-ADGroupMember -Identity \"Domain Admins\" | Get-ADUser -Properties PasswordLastSet | Select-Object -Property Name, PasswordLastSet<\/pre>\n
tipovi openLDAP servera?<\/strong><\/p>\n
Samba4 vs Samba3<\/strong><\/p>\n
Samba 3 – file\/print\/old style NT domains
\nSamba 4 – AD controller<\/p>\n
vCenter Single Sign On (v5)<\/strong>
\n– pona\u0161a se kao autentikacijski servis za sv eVMWare aplikacije
\n– aplikacije me\u0111usobno komuniciraju preko tokena
\nKori\u0161tenje vCenter Single Sign-On ima slijede\u0107e benefite:
\n-Br\u017ea autorizacija, autentifikacija, pojednostavljenje procesa
\n-Mogu\u0107nost VMware aplikacijama da \u201evjeruju jedna drugoj\u201d
\n-Arhitektura koja je spremna za multi-instance i multi-site konfiguracije za kompletno autentifikacijsko rje\u0161enje kroz cijelu VMware-based IT infrastrukturu
\nvCenter Single Sign-On ima slijede\u0107e mogu\u0107nosti:
\n-Podr\u017eava otvorene standarde
\n-Podr\u017eava vi\u0161estruke \u201erepozitorije\u201d za autentifikaciju, kao AD i OpenLDAP
\n-Pru\u017ea mogu\u0107nost za spajanje vi\u0161e vCenter Server instanci
\nvCenter Single Sign On (v6)<\/strong>
\n– nije vi\u0161e servis, postaje dio op\u0107enitog servia PSC (Platform Services Controller)<\/p>\n
LDAP<\/strong>
\nLDAP \u2013 imeni\u010dki servis, nije klasi\u010dna \u201ebaza podataka\u201d
\n– nema naprednih mogu\u0107nosti za roll-back, komplicirane transakcije kao baze \u2013 za kompleksne update procedure
\n– kod direktorija nije bitno ako se prilikom sinhronizacije pojave nekonzistentnosti, ali na kraju se moraju sinhronizirati u konzistentno stanje
\n– optimizacija za operacije tipa read, browse i search<\/strong>
\n– LDAP \u2013 Lightweight Directory Access Protocol, lightweight protokol za pristup imeni\u010dkim servisima po X.500-based direktorijima (RFC 2251,…)
\n– LDAP koristi TCP\/IP i op\u0107enito konekcijski orijentirane protokole za komunikaciju
\n– LDAP model bazira se na zapisima \u2013 kolekcija atributa bazirana na unikatnom DN-u (Distinguished Name)
\n– svaki atribut ima tip i jednu ili vi\u0161e vrijednosti \u2013 npr. cn za Common Name, mail za e-mail adrese
\n– informacije su organizirane u stablastim strukturama
\n– strukture su obi\u010dno prilago\u0111ene odjelima, lokacijama, …
\n– postoje i stand-alone implementacije LDAP-a na Linuxu \u2013 slapd (lightweight X.500 directory server)
\n– razli\u010dite verzije \u2013 LDAPv2 i v3 \u2013 v2 obsolete
\nKoristimo za:
\n– Autentifikacija i security \u2013 za razli\u010dite servise
\n– Standalone ili connected na neki drugi imeni\u010dki servis
\n– Access control \u2013 po IP-u, imenu domene, …
\n– Replikacija (HA, pouzdanost) uz kori\u0161tenje slurpd-a uz slapd
\nVrste konfiguracije:
\n– lokalni directory service \u2013 bez interakcije sa drugim directory serverima
\n– lokalni directory service with referrals \u2013 lokalni uz referral za sve upite izvan na\u0161e domene
\n– replicirani directory service \u2013 koristimo slurpd za propagaciju promjena izme\u0111u master i slave nodeova
\n– distribuirani \u2013 mije\u0161ani model, vi\u0161e servera, superior\/subordinate serveri, ….
\nNIS\/NIS+<\/strong>
\n– NIS\/NIS+ (Network Information Service) \u2013 client-server directory protokol koji se koristi u UNIX-oidnim okolinama
\n– \u010desto ga zovu i Yellow Pages ili YP
\n– mo\u017ee imati master i slave servere
\n– NIS+ – pobolj\u0161ana verzija sa podr\u0161kom za enkripciju i autentifikaciju preko sigurnog kanala
\n– da bi NIS+ radio, moraju biti podignuti i pode\u0161eni servisi portmap\/rpcbind i ntp\/time servis
\n– potrebno poinstalirati yp* pakete
\n– nakon instalacije, klijenti koriste zajedni\u010dke passwd, shadow, i sli\u010dne datoteke
\nOpenLDAP vs NIS\/NIS+<\/strong>
\n– LDAP nije samo UNIX-specific, podr\u017ean je od vi\u0161e operacijskih sustava
\n– Active Directory je LDAP-based
\n– dosta jednostavna implementacija Kerberos autentifikacije kod LDAP-a
\n– NIS nema skalabilnosti, u osnovnoj verziji nema enkripcije
\n– integracija \u2013 mail, address bookovi, replikacija BIND servera, SAMBA autentifikacija
\n– NIS\/NIS+ su obsolete, samo u rijetkim corporate mre\u017eama
\n– LDAP se mo\u017ee pro\u0161iriti dodatnim funkcijama
\n– LDAP se nakon osnovne konfiguracije lako integrira sa ostalim servisima
\nSSH i LDAP<\/strong>
\n– SSH je kao secure protokol za terminalnu komunikaciju (i FTP) idealan kandidat za LDAP autentifikaciju
\n– koristimo LDAP kao centralni imeni\u010dki servis kroz koji dijelimo korisni\u010dka imena i lozinke (kao AD)
\n– ukoliko imamo pode\u0161en LDAP server i na njemu sve potrebne podatke \u2013 korisni\u010dka imena, lozinke i sl., konfiguracija LDAP klijenata je trivijalan zadatak
\n– requirementi \u2013 poinstaliran SSH server, authconfig* paketi (ako \u017eelimo automatski mountati korisni\u010dke home direktorije, i autofs)
\n– uobi\u010dajeno se koristi sa autofs-om, servisom koji mo\u017ee automatski mountati korisni\u010dke home direktorije preko NFS-a (UNIXoidni file\/folder sharing protokol)<\/p>\n","protected":false},"excerpt":{"rendered":"
AD replikacija Povezati sve replike imenika koje se moraju replicirati Kontrolirati cijenu i latenciju replikacije Preusmjeravati replikaciju izme\u0111u site-ova Utjecati na afinitete klijenata Unutar site-a replikacija je optimizirana za brzinu: – Konekcije izme\u0111u domain kontrolera unutar iste domene su uvijek … Continue reading →<\/span><\/a><\/p>\n","protected":false},"author":348,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0},"categories":[6],"tags":[],"yoast_head":"\n\n\n\n\n\n\n\n\n\n\n\n\n\t\n\t\n\t\n