Net OS Cíl kapitoly: Žák rozumí pojmu síťové služby, uvede příklady; umí popsat adresářové služby a zná jejich výhody pro provoz sítě. Klíčové pojmy: Síťový operační systém, síťová služba, adresářové služby, stromová struktura, kořen stromu, vnitřní uzly, koncové uzly, cesta, předchůdce a následovník, rodič a dítě, adresářová služba, adresářový objekt, objekty a jejich vlastnosti, databáze služeb, adresář služeb, kontejnerový objekt, koncový objekt, jméno objektu, úplné jméno objektu, dědičnost, Novell e Directory kořenový uzel, uzlový objekt, listový objekt, alias, group, user, server, volume, přístupová práva, práva k objektu, supervizor, browse, rename, delete, create, inheritable, důvěrník, access kontrol list, public, creator, self, inheritance rights filter, práva k atributům, supervizor, inheritable, compare, read, write, add self, efektivní práva, Active Directory, logická struktura Active Directory, doména, OU, administrační oprávnění, hierarchická struktura, strom, les, doménový řadič, souborová služba, atributy adresářů, atributy souborů, zabezpečení.
NET – OS (Network Operating Systems) Operační systém je obecně správce prostředků. Hlavním úkolem operačního systému je zajistit uživateli možnost ovládat počítač, vytvořit pro programy stabilní aplikační rozhraní a přidělovat jim systémové zdroje (RAM, HDD, procesor, vstupně – výstupní zdroje). Vstupně – výstupním zdrojem je i připojení k sítím. Téměř každý současný operační systém je navržen tak, aby tento zdroj uměl využít. Operační systémy umí běžně komunikovat pomocí TCP/IP a jsou vybaveny programy jako ping a traceroute. Také obsahují potřebné ovladače a další potřebný software k automatickému zprovoznění ethernetové síťové karty. Mobilní přístroje také poskytují programy potřebné k připojení pomocí Wi-Fi, Bluetooth, nebo jiné bezdrátové technologie. Termín síťový operační systém (NET – OS) se používá ve dvou významech: • Vestavěný operační systém v routrech (směřovačích) nebo v hardwarových firewallech – například Cisco IOS (Cisco Internetwork Operating System). • Operační systém umožňující sdílet soubory a přístup k tiskárnám mezi počítači v síti. Tento pojem se dříve používal k odlišení od starších verzí MS Windows, které ještě neposkytovaly podporu pro práci se sítí. Tímto pojmem byly označovány především tyto operační systémy:
24.2.2012
NET OS
1/9
o Unix o Novell Netware o Windows NT
Síťové služby Síťová služba je soubor funkcí, které jsou nabízeny aplikacím připojeným do sítě. Síťové služby lze rozdělit následovně: • adresářové služby a správa identity, • souborové služby, • tiskové služby (sdílení tiskáren), • komunikační služby (e-mail, ICQ, Skype…) • služby pro zabezpečení (šifrování spojení), • webové služby (web), • nástroje pro instalaci a správu, • podpora spolupráce uživatelů.
Adresářové služby Jedná se o hierarchicky uspořádanou databázi o vlastnostech objektů. Stromová struktura (strom) Způsob řazení prvků, kdy každý prvek může obsahovat libovolné množství prvků. V této struktuře nedochází ke smyčkám (cyklům). Strom je tvořen těmito základními prvky: Kořen stromu • Nejvyšší uzel ve stromu se nazývá kořen stromu (root) • Kořen stromu je jediným uzlem ve stromu bez rodiče • V každém stromu se nachází právě jeden kořen Vnitřní uzly Uzel, který není koncovým uzlem, se nazývá vnitřní uzel (internal node nebo inner node). Kořen stromu obvykle nebývá považován za vnitřní uzel. Koncové uzly Koncový uzel, někdy také list (leaf nebo leaf node), je takový prvek, který nemá žádného potomka.
Koncové uzly
Cesta Cesta k nějakému uzlu je definována jako posloupnost všech uzlů od kořene k uzlu. 24.2.2012
NET OS
2/9
Předchůdce a následovník Libovolný uzel na cestě od kořene do uzlu A se nazývá předchůdce (předek - ancestor) uzlu A. Uzel ležící na cestě z uzlu A do libovolného listu stromu se nazývá následovník uzlu (potomek - descendant).
Předchůdce a následovník
Rodič a dítě Bezprostředně následující uzel ve směru z kořene do uzlu se nazývá dítě uzlu (child); uzel bezprostředně předcházející je rodič uzlu (parent). Kořen stromu nemá rodiče a list stromu nemá žádné potomky.
Rodič a dítě
Adresářová služba - DS (Directory Service) Adresářovou službou se rozumí aplikace, která umožňuje uchovávat informace o daných objektech informačního systému, dále pak tyto data organizovat, přistupovat k nim a provádět s nimi různé operace. Pro uživatele je výhodné např. jedno přihlášení do adresářových služeb, které jsou schopny na základě určitých pravidel předávat jeho autentizaci aplikacím či sdíleným zařízením sítě, které chce uživatel používat, takže se k nim nemusí znovu přihlašovat. Uživatel nemusí znát fyzickou strukturu sítě, jména serverů a podobně, síť je z jeho pohledu inteligentní celek. Stejně tak adresářové služby mohou znát uživatelova nastavení, která budou použita, ať se přihlásí odkudkoliv. Pro adresářové služby se adresářových služeb LDAP.
používá
univerzální
standardizovaný
protokol
Adresářový objekt (Entry) Pod názvem adresářové objekty jsou myšleny entity reprezentující konkrétní komponenty počítačové sítě. Jsou to například objekty reprezentující tiskárny, počítače, uživatelé, uživatelské skupiny, servery, aplikace, atd.
24.2.2012
NET OS
3/9
Objekty a jejich vlastnosti (Attributes), Adresářový objekt má spoustu vlastností, které popisují jeho chování. Objekty a jejich atributy spolu s konkrétními hodnotami jsou uloženy v globální systémové databázi, označované jako databáze služeb nebo adresář služeb. V uvedené databázi jsou uloženy všechny informace, které daný systém služeb potřebuje ke své činnosti.
Příklad vztahu objektu-atributu-hodnoty
Koncové uzly mohou být objekty představující skutečné fyzické zařízení nebo osoby (například objekt User reprezentuje skutečného uživatele, objekt Printer představuje skutečnou tiskárnu, objekt Computer skutečný počítač atd.) nebo logické objekty nepředstavující žádné fyzické zařízení (například Print Queue). Vnitřní uzly jsou objekty logického charakteru, které organizují ostatní objekty (Country, Organization, Organizational Unit, atd.). Slouží k lepší orientaci v síti, ve které mohou představovat například určitou část podniku, region nebo zemi. Jména objektů a vztah k jejich organizaci v adresářích Entity v adresářových službách jsou členěny do hierarchických stromových struktur (Tree). Je to základní vlastnost adresářové služby, která umožňuje definovat mezi jednotlivými objekty jednoznačné logické vztahy. Kontejnerové objekty (Container Objects) Zpravidla nepředstavují fyzické součásti sítě, ale jejich typickou úlohou je sdružovat koncové objekty s podobným významem do skupin. Kontejnerový objekt umožňuje řídit hromadně vlastnosti celé skupiny objektů. Bez této podpory by bylo nutné nastavit množinu vlastností každého z objektů zvlášť. Za pomoci tohoto nástroje, se zmíněná operace provede pouze jednou, a to na kontejneru. A potom stačí vytvořit pouze logickou návaznost objektů s kontejnerem. Koncové objekty (Leaf Objects) Koncové objekty většinou představují konkrétní prvky sítě. Každý objekt má své jméno (Object Name), které je jedinečné v rámci větve stromu, do které spadá. Bývá zvykem volit tato jména tak, aby co nejvíce popisovala daný objekt. Objekt kromě tohoto jména má přiřazeno i úplné jméno (Complete Name), vyjadřující jeho polohu v rámci stromu. Toto jméno již není unikátní pouze ve své větvi, ale v celém stromu. Pro úplné jméno objektu se v anglicky psané literatuře ustálil název Distinguished Name (DN). Pro tvorbu úplného jména objektu se zavedla konvence určující cestu stromem od objektu až ke kořeni stromu. Dědičnost Dědičnost znamená, že se jednotlivá práva kontejnerů dědí směrem ke koncovým objektům v jednotlivých větvích adresářového stromu.
24.2.2012
NET OS
4/9
Novell eDirectory (NDS) Server adresářové služby od firmy Novell. První verze se objevila v roce 1985. Dříve se tento produkt nazýval NDS - NetWare Directory Services (systémové adresářové služby). Uživatel se nepřihlašuje ke konkrétním serverům, chce-li využívat jejich prostředky, ale do stromu eDirectory - pak může využívat všechny prostředky, ke kterým má práva, bez ohledu na to, který konkrétní server či jiné zařízení je poskytuje. Všechny zdroje sítě, například uživatelé, servery, uživatelské skupiny atd. jsou v síti definovány jako objekty eDirectory. Tyto objekty pak obsahují řadu vlastností, ve kterých jsou uchovávány všechny informace o objektu a jeho chování v síti. Objekty mohou být: • kořenovým uzlem (Root) - je automaticky vytvořen při instalaci eDirectory na prvním serveru v síti a nelze ho zrušit. • uzlové (kontejnerové - container objects) Počet položek v kontejneru bývá omezen (1000). • listové (koncové - leaf objects) Nejběžnějšími koncovými objekty jsou: o Alias je pouze logickým objektem, slouží k odkazování na jiný existující objekt ve stromě eDirectory. o Group se používá k vytváření skupin uživatelů. Všem uživatelům svázaných s takto definovanými skupinami lze přiřazovat přístupová práva společně. o User reprezentuje uživatele sítě. o Server představuje fyzický server NetWare. o Volume představuje svazek síťového disku. Přístupová práva Práva k objektu v eDirectory jsou • supervisor - všechna práva k objektu i atributům • browse - vidět objekt při prohlížení eDirectory (nezahrnuje právo vidět atributy) • rename - přejmenovat objekt • delete - zrušit objekt • create - pouze u kontejnerových objektů, umožňuje vytvořit objekt na nižsí úrovni • inheritable - opět pouze u kontejnerových objektů, zdali se má nastavení pro daného nositele práva dědit i objektům na nižší úrovni Pokud má daný objekt přístupová práva k jinému objektu, pak je jeho tzv. důvěrníkem (trustee). Pokud jsou přidělena objektu User přístupová práva k tiskárně, pak je tento objekt důvěrníkem tiskárny. Seznam všech důvěrníků daného objektu se nachází v atributu objektu nazvaném Access Control List (ACL). Tento seznam však obsahuje pouze objekty s přímými přístupovými právy, nikoli objekty, které přístupová práva zdědily. V tomto atributu kromě běžných objektů mohou být uvedeny i speciální objekty: • Public reprezentující kohokoliv na síti (i neautentizovaného uživatele), • Creator - objekt, kterým byl daný objekt vytvořen, • Self - objekt sám
24.2.2012
NET OS
5/9
• Inheritance rights filter (IRF) - filtru dědění práv, omezuje dědění. Obsahuje seznam právě těch práv k objektu či jeho atributům, která není možné zdědit. Těmto objektům pak lze přiřazovat práva jak k objektu samotnému, tak k jeho atributům. Práva k atributům lze definovat zvlášť pro každý atribut objektu, zahrnují: • supervizor - práva k objektu i atributům • inheritable - pouze u kontejnerových objektů, zdali se má nastavení pro daného nositele práva dědit i objektům na nižší úrovni • compare - porovnávat hodnotu atributu s nějakou hodnotou, nezahrnuje čtení hodnoty (vrátí se true/false) • read - čtení hodnoty atributu • write - zapisovat • add self - přidat či ubrat sebe sama jako atribut - pouze u atributů, které. to umožňují. To však jsou pouze explicitně (přímo) zadaná práva. Objekt má navíc i práva získaná v rámci Security Equivalence, bezpečnostní ekvivalence s jinými objekty eDirectory. Objekt má tedy i práva všech kontejnerových uzlů na cestě ve stromu eDirectory od kořene (včetně) až k objektu, což je nazýváno dědičností. Efektivní práva, tedy taková, kterými objekt opravdu disponuje (explicitně zadaná i zděděná). V praxi to funguje tak, že efektivní práva se určují za běhu, což sice snižuje redundanci informace o děděných právech a zvyšuje určitou pružnost systému, ale naopak o něco více zatěžuje systém.
Active Directory Active Directory je implementace adresářových služeb firmou Microsoft pro použití v prostředí systému Microsoft Windows. Active Directory umožňuje administrátorům instalovat programy na mnoho počítačů nebo aplikovat kritické aktualizace v celé organizační struktuře. Active Directory ukládá své informace a nastavení v centrální organizované databázi. Adresářová služba Active Directory je rozšiřitelná a škálovatelná adresářová služba, která umožňuje efektivně uspořádat síťové prostředky. • vyžaduje instalaci služby DNS • je založena na standardních internetových protokolech • jednoznačně definuje strukturu sítě • organizuje skupiny počítačů a domén Pro objekty je použita statická dědičnost, což znamená, že práva jsou duplicitně uváděna u všech objektů, což zvyšuje velikost databáze. Výhodou tohoto řešení je vyšší rychlost vyhodnocení efektivních práv, nevýhodou kromě velikosti databáze je i vyšší zatížení sítě při změně. Termín Active Directory je velice rozsáhlý a ukrývá se pod ním celé řešení správy počítačové sítě ve firemním prostředí podle Microsoftu. Active Directory, ve své podstatě, je distribuovaná adresářová služba od MS a je součástí Windows Server od verze 2000. Active Directory je silně provázáno s DNS a používá stejnou hierarchickou strukturu jako DNS. 24.2.2012
NET OS
6/9
Logická struktura Active Directory Logická struktura Active Directory je tvořena pomocí lesa, stromů, domén a organizačních jednotek OU (Organizational Unit). Na vrcholu struktury je les (forest). Ten může obsahovat jeden nebo více stromů (trees). Strom je tvořen jednou či více doménami (domains). Uvnitř domén již máme jednotlivé organizační jednotky, ve kterých se nachází jednotlivé objekty (počítače, uživatelé, tiskárny, apod.). Doména (domain) Doména (domain) je základním prvkem logické struktury Active Directory. V doméně jsou přímo uloženy objekty (může se jednat o milióny), které do dané domény patří. Active Directory je tvořena jednou nebo více doménami. Doména není omezena na fyzickou lokaci a může se rozprostírat přes všechny pobočky. Doména je bezpečnostní hranicí, přístup k doménovým objektům je řízen pomocí ACL, které má nastaveno oprávnění (permissions). Bezpečnostní nastavení a oprávnění nemohou přecházet mezi doménami. OU (Organizational Unit) OU (Organizational Unit) je kontejner, který se uvnitř domény používá k seskupování/organizování objektů do logických administračních skupin. OU je nejmenší jednotka, na kterou můžeme delegovat administrační oprávnění. OU můžeme zanořovat do sebe a vytvářet libovolnou hierarchickou strukturu. Hierarchie OU je lokální uvnitř domény a neovlivňuje jiné domény. OU se většinou vytváří tak, že odráží strukturu organizace (tedy třeba podle divizí a oddělení). Podle potřeby můžeme uživatelské a počítačové účty umísťovat do stejných OU či vytvářet oddělenou strukturu. Strom Strom je seskupení nebo hierarchická organizace jedné nebo více domén. Vytvoří se tak, že k rodičovské doméně (parent domain), která se nazývá kořenová doména (Root Domain), přidáme podřízenou doménu (child domain). Domény ve stromě sdílí souvislý jmenný prostor (namespace), schéma a hierarchické spojení doménových jmen. Používá se DNS standard, takže doménové jméno potomka (child domain) vznikne použitím jeho relativního jména doplněné za tečkou jménem jeho rodičovské domény. Les Les je seskupení jednoho nebo více oddělených nezávislých stromů. Všechny domény v lese sdílí stejné schéma, globální katalog a jsou propojeny implicitním dvoucestným vztahem důvěry (trust). Stromy v lese mají vlastní pojmenování - DNS jméno (oddělený jmenný prostor podle domén). Domény v lese pracují nezávisle, ale díky lesu je umožněna vzájemná komunikace přes celou organizaci (autorizace). Root domain je důležitá pro les, protože je standardně držitelem dvou speciálních rolí. Doménový řadič DC Doménový řadič (Domain Controller), je počítač (server), na kterém běží operační systém Windows Server 2003 (nebo 2000) a obsahuje repliku doménového adresáře (lokální doménovou databázi). V doméně může být více doménových řadičů a každý obsahuje úplnou repliku adresáře pro danou doménu. Na jednom řadiči může být pouze jedna doména. Doménový řadič také slouží k autentizaci uživatelů. 24.2.2012
NET OS
7/9
Souborové služby Sdílení souborů po síti. Jedná se o síťové disky (disk, který se tváří jako hardware uživatelova počítače, ale data jsou umístěna na server). Souborové služby umožňují vytvořit strukturu mezi více fyzickými disky. Pro přístup k souborům jsou používána práva přidělená pomocí adresářové služby. Atributy souborů bývají rozšířeny oproti standardním (read only, hidden, system, archive, datum poslední změny). Atributy adresářů Supervisor - všechna práva, nelze blokovat pomocí IRF, dědí se dál Read - čtení souborů v adresáři Write - zápis do souborů v adresáři Create - umožňuje tvořit soubory Erase - mazání adresáře a souborů v něm Modify - umožňuje měnit atributy adresáře i souborů, nikoli však obsah File Scan - dovolí soubor zobrazit pomocí příkazů dir apod. Access Control - umožňuje měnit ACL a IRF Atributy souborů Supervisor - všechna práva, nelze blokovat pomocí IRF Read - čtení Write - zápis Create - obnova souboru po jeho logickém zrušení, u nás nemá smysl Erase - smazání souboru Modify - umožňuje měnit atributy souboru, nikoli však obsah File Scan - dovolí soubor zobrazit pomocí příkazů dir apod. Access Control - umožňuje měnit ACL a IRF
Zabezpečení Základním, leč málo dodržovaným pravidlem je nepoužívat k běžné práci s počítačem identitu správce počítače (administrator, root). Druhým důležitým bodem je zálohování všech důležitých dat. Kdo nezálohuje svá data, ten si zaslouží, aby o ně přišel. Pro zabezpečení sítě je vhodné zakázat veškerý příchozí (může ohrozit počítače ve vnitřní síti) a odchozí (může ohrozit ostatní počítače v síti) síťový provoz a povolit jen ty služby, které se mají na vnitřní síti používat.
Kontrolní otázky Co je to síťový operační systém? Vysvětlete pojem stromová struktura. Co je to adresářový objekt? Z čeho se skládá? K čemu jsou vhodné kontejnerové objekty? Jaká jsou přístupová práva v eDirectory? Vysvětlete pojem les. K čemu se používá Domain Controller?
24.2.2012
NET OS
8/9
Co je to doména v Active Directory? Co je ACL? Jaké jsou rozšířené síťové atributy souborů a adresářů?
Použitá literatura BRADLEY, M. The Network OS - Operating Systéme and Computer Network [online]. [cit. 2010-9-21]. Dostupný z
Network operating system - Wikipedia, the free encyclopedia [online]. poslední revize 15. 9. 2010 [cit. 2010-9-21]. Dostupný z Active Directory - Wikipedie [online]. poslední revize 11. 6. 2010 [cit. 2010-9-21]. Dostupný z Web o adresarovych službách [online]. [cit. 2010-9-21]. Dostupný z Web o adresarovych sluzbach [online]. [cit. 2010-9-21]. Dostupný z < SAMURAJ. Active Directory komponenty - domain, tree, forest, site < články -> SAMURAJ-cz.com [online]. 8. 2. 2008 [cit. 2010-9-21]. Dostupný z BENÁK, K. Použití adresářových služeb v informačních systémech. Praha, 2004. 81 s. Diplomová práce na Stavební fakultě ČVUT na katedře systémového inženýrství. Vedoucí diplomové práce doc. RNDr. Jiří Demel, CSc.
24.2.2012
NET OS
9/9
