20120525 active directory가이드

Subject ActiveDirectory

최종 작성일 2012.05.21 작성자 윤석진

승인일 승인자

Version History 업데이트일 주요내용

V0.,1 2012.04.22 AD 개념 , 설정 , 2003~2008 에서의 변화 / JAVA 프로그래밍

ActiveDirectory guideWith windows2008 & J2EE

Subject 작성자 윤석진 최종작성일ActiveDirectory

2

X.500: 디렉터리 서비스를 전달하는 네트워크 표준인터넷이 가능한 경우에 누구라도 활용가능한 글로벌디렉토리의 일부가 될 수 있도록 전자적인디렉토리로 개발하기 위한 표준 방식

디렉토리 구성 국가 , 조직 , 조직단위 , 사람 등과 같은 트리 구조에 있는 루트 디렉토리 아래에 구성된다 .이러한 각 계층에 있는 엔트리는 일정한 속성을 갖는다 .분산글로벌 디렉토리는 등록과정과 많은 디렉토리를 관리하는 하나 이상의 중앙 지역을 통해 동작한다 DSA(directory System Agent) x.500 의 각 디렉토리를 DSA 라고 부른다 . 서비스제공자도메인이름등록 감시기관 interNIC / ESNEt

x.500


3

Directory information modelDIB

entry entry entry entryentry

attribute attribute attributeattribute

Attributetype

Attributevalues

DistinguishedAttribute value

Attribute value

Attribute value

DSA : Directory System Agent 디렉토리에 존재하는 정보관리

DUA: Directory user Agent 사용자가 디렉토리 서비스에 접근할 수 있게 함

DIB: Directory Infromation Base DIT(directory information tree) 를 이용하여 정보를 저장 엔트리 : 이름을 가지고 있는 객체 객체 : 속성들의 집합 속성 : 타입과 하나 이상의 값


4

Structure of Directory en-triesDc = domain

Ou = people

Ou = de-vices

cn = getrald cartercn = getrald carterObjectClass:personSn:cartertelephoneNumber:843-222

Dn: distinguished NameO: organizationcn = common namec:countryrdn: relative distinguished nameou: organizational unitsn: surname


5

Lightweight Direc-tory Access Protocol조직이나 객체 , 그리고 인터넷이나 기업 내의 인트라넷 등 네트윅 상에 있는 파일이나 장치들과 같은 자원등의 위치를 찾을 수 있게 해주는 소프트웨어 프로토콜네트윅 내의 디렉토리 서비스 표준인 X.500 의 일부로 DAP 의 경량판이다 .

포트사용 정보 LDAP : 389, 636 Global Domain : 3268, 3269 SMB: 139 CIFS: 445


6

Kerberos 인증

1

2

3

456

KDC(kerberos 분배센터 )

1.KRB_AS_REQ: kerberos 방식이 KDC 에 TGT( 티켓 허가 서비스 ) 를 위한 인증 서비스 요청2. KRB_AS_REP:

TGT(Ticket-Granting Ticket) 를 위한 인증 서비스 요청에 응답3. KRB_TGS_REQ: 어플리케이션서버에 접근하기 위해 KDC 에 TGT 를 바탕으로 한TGS(Ticket-Granting Service) 티켓 요청

4. KRB_TGS_REP: 어플리케이션 / 파일 서버에 접근하기 위한TGS 티켓에 대한 응답

5. KRB_AP_REQ: 어플리케이션 / 파일 서버에 TGS 티켓전달

6. KRB_AP_REP:어플리케이션 / 파일 서버가 TGS 확인Kerberos 인증 성립어플리케이션 서버에 접근 가능하게 됨


7

Directory Service

Layer

Database

NTFS

LDAP

MAPI

복제 RPC

C 기반의 LDAP APIRFC 1823

Message api

ActiveDirectory 구조도


8

Workgroup: 같은 레벨의 pc 가 같은 그룹으로 묶여있는 경우계정정보가 각 pc 별로 존재한다 . ( Set Account Manager)

GlobalCatalog

Domain( 도메인 ) DC 가 관리할 수 있는 영역

DomainController

GlobalCatalog: AD 트러스트 내에서 도메인들에 대한 정보를 수집하여 저장하는 저장소

pc 가 dc 에게 인증요청을 한다 . Kerberos 를 이용해 이용자 정보가 일치할 경우 access token 을 생성한다 .Token 을 가진 사용자는 로컬에 접속할 수 있게 된다 .

그룹의 구분


9

J2EE AND LDAPJSP

J2EE

EJBServlet

XML

JavaMail

JNDIJMS

JDBC

JTA

서비스 API

컨테이너

Naming Manager

JNDI SPI

JNDI API

SPI : 벤더에서 제공하는 영역

LDAP DNS NIS NDS

RMI CORBA

JNDIJAVA Naming Directory Interface다른 타입의 서비스에 대해서 이름을 통해 검색하고 등록할 수 있는 자바 j2ee 플랫폼의 인터페이스 입니다 .

JNDI 는 하단의 그림처럼 LDAP 을 비롯한 CORBA 등다양한 서비스객체를 지원합니다 .


10

그룹정책 스크립트 1

스크립트명 관리작업 비고

BackupAllGPOs.wsf 도메인에 모든 GPO백업

지정한 폴더에 백업

backupGPO.wsf GPO 백업 GPO 명 , GUID 를 지정하면 해당 GPO 를 지정한 폴더에 백업

CopyGPO.wsf GPO 복사 새 GPO 를 생성하고원본 GPO 의 설정을새 GPO 에 복사

CreateEnvironmentFromXML.wsf

Xml 을 이용해서GPO 동작환경생성

조직구성단위 , GPO보안그룹등을 저장한 xml파일을 읽어들여 스크립트로 개체들을 만들어 환경생성

CreateGPO.wsf GPO 생성 지정된 새 GPO 생성

CreateMigrationTable.wsf

마이그레이션테이블생성

도메인간 GPO 복사 및가져오기 작업을 할 경우 사용자 계정을매핑하는데 필요한마이그레이션 테이블

Download: http://www.microsoft.com/en-us/download/confirmation.aspx?id=14536

스크립트 실행Cscript 스크립트명 .wsf

http://www.microsoft.com/en-us/download/confirmation.aspx?id=14536




11

그룹정책 스크립트 2

스크립트명 관리작업 비고

CreateXMLFromEnvironment.wsf

GPO 동작환경을 저장하는 XML 파일 생성

조직단위 , GPO, GPO보안설정 등에 대한정보를 저장하는XML 파일 생성

DeleteGPO.wsf GPO 삭제 GPO 이름이나 GUID를 지정하면 해당 GPO 를 삭제SOM 의 연결 삭제

GrantPermissionOnAllGPOs.wsf

모든 GPO 에 대해사용권한 설정

도메인의 모든 GPO에 대한 지정한 사용권한 설정

ImportGPO.wsf GPO 의 정책 설정가져오기

지정된 백업에서 도메인에 있는 기존의GPO 로 정책설정 가져옴

ImportAllGPOs.wsf 다수의 gpo 정책설정가져오기

새 gpo 생성 후 지정한 경로에 저장된정보를 GPO 로 가져옴

20120525 active directory가이드

Documents

Transcript of 20120525 active directory가이드