Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
Jmenne´ a adresa´rˇove´ sluzˇby Sˇa´rka Vavrecˇkova´ ´ stav informatiky, FPF SU Opava U http://fpf.slu.cz/~vav10ui
Poslednı´ aktualizace: 1. srpna 2011
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
Jmenne´ a adresa´rˇove´ sluzˇby Jmenne´ (na´zvove´) sluzˇby prˇeklad jmenny´ch na´zvu˚ (textovy´ch rˇeteˇzcu˚) na cˇı´selne´ adresy typicky´ prˇ´ıklad: DNS nebo WINS (prˇeklad NetBIOS na IP) naprˇ. www.google.com prˇelozˇ´ı na IP adresu 209.85.148.105
Adresa´rˇove´ sluzˇby usporˇa´da´nı´, zabezpecˇenı´ a spra´va prostrˇedku˚ (objektu˚) typicky´ prˇ´ıklad: Active Directory
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
DNS (Domain Name System) Za´kladnı´ princip DNS distribuovana´ jmenna´ sluzˇba slouzˇ´ıcı´ k prˇekladu dome´novy´ch jmen (hostname) na IP adresy jmenne´ sluzˇby jsou hierarchicke´, tedy distribuovanost se zde osveˇdcˇuje
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
DNS (Domain Name System) Struktura dome´n hierarchicky´ syste´m dome´n, kde kazˇda´ dome´na ma´ sve´ jme´no dome´ny prvnı´ u´rovneˇ (TLD, Top Level Domain) = korˇeny stromu˚, naprˇ. .cz, .com, .org prˇ´ıklad: mail.seznam.cz ma´ trˇi u´rovneˇ dome´ny: na´rodnı´ (.cz) nebo genericke´ (.com, .edu, .org, .net) dome´ny majı´ take´ spolecˇny´ korˇen = korˇenovou dome´nu (oznacˇuje se tecˇkou)
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
DNS jme´na Na´lezˇitosti de´lka jme´na dome´ny je max. 63 znaku˚ pouze pı´smena anglicke´ abecedy, cˇı´slice a pomlcˇky cele´ dome´nove´ jme´no prˇes vsˇechny dome´ny max. 255 znaku˚ tato omezenı´ neplatı´ pro ne-dome´nove´ soucˇa´sti URL ne-ascii znaky v na´zvech dome´n: IDN (International Domain Names) prˇeklad znaku˚ probı´ha´ v klientske´ aplikaci, nevyskytujı´ se v zo´novy´ch souborech mu˚zˇe pu˚sobit proble´my, pokud klientska´ aplikace nepodporuje IDN pro danou znakovou sadu
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
DNS servery (jmenne´ – name – servery) prˇeklad ze jmenne´ adresy na IP reverznı´ prˇeklad: naopak sı´t’ je rozdeˇlena na zo´ny, DNS server ma´ informace zejm. o sve´ zo´neˇ korˇenovy´ server dome´ny prvnı´ u´rovneˇ (neˇkolik v dome´neˇ): poda´va´ info o subdome´na´ch ve sve´ dome´neˇ dotaz je distribuovany´
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
DNS zo´na Zo´na je oblast spravovana´ jednı´m spra´vcem (organizacı´), obsahuje jednu nebo vı´ce dome´n neˇktere´ u´rovneˇ info o zo´neˇ poskytuje autoritativnı´ DNS server pro danou zo´nu info je ulozˇeno v zo´nove´m souboru – textovy´ (DNS pro Windows) nebo bina´rnı´ (BIND) v ra´mci organizace: zo´ny mohou by´t take´ v hierarchicke´ strukturˇe (korˇenova´ zo´na (dome´na prˇideˇlena´ organizaci) a da´le dalsˇ´ı podrˇ´ızene´ zo´ny, podle toho, jak je delegova´na jejich spra´va
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
Cela´ struktura DNS korˇen: (bezejmenna´) dome´na potomci jsou TLD (Top Level Domain), jejich potomci jsou SLD (Second Level Domain), atd. struktura zo´n – v jedne´ zo´neˇ je jedna nebo vı´ce dome´n, zo´ny se tvorˇ´ı podle odpoveˇdnosti za spra´vu dome´n struktura DNS serveru˚ – pro kazˇdou dome´nu je jeden nebo vı´ce DNS serveru˚, jeden z nich je v dome´neˇ prima´rnı´
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
DNS servery Prima´rnı´ server obvykle autoritativnı´ server dome´ny, v zo´neˇ je pra´veˇ jeden du˚veˇryhodny´ jeho data musı´ by´t neusta´le aktua´lnı´ zde je zo´novy´ soubor s informacı´ o zo´neˇ
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
DNS servery Sekunda´rnı´ server i vı´ce nezˇ jeden obsahuje kopii dat prima´rnı´ho serveru aktualizace musı´ by´t velmi cˇasta´ (zone transfer) slouzˇ´ı jako za´lozˇnı´ prima´rnı´ server nebo pro rozlozˇenı´ za´teˇzˇe zone transfer se prova´dı´ v pravidelny´ch intervalech, prˇi zapnutı´ sekunda´rnı´ho serveru nebo prˇi upozorneˇnı´ o aktualizaci od prima´rnı´ho serveru
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
DNS servery Caching-only server pouze podpu˚rny´ neobsahuje vsˇechny informace dotazuje se prima´rnı´ho nebo sekunda´rnı´ho serveru, ale odpoveˇdi si necha´va´ v cache, vyuzˇ´ıva´ je u na´sledny´ch dotazu˚ odpoveˇd’ tohoto serveru nenı´ autoritativnı´, lze si vyzˇa´dat autoritativnı´ odpoveˇd’ od prima´rnı´ho nebo sekunda´rnı´ho serveru cache mu˚zˇe by´t i na prima´rnı´ch a sekunda´rnı´ch serverech (pro info o cizı´ch dome´na´ch)
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
Vyhleda´va´nı´ odpoveˇdi na dotaz doprˇedne´ vyhleda´va´nı´ (nalezenı´ IP adresy podle jme´na) zpeˇtne´ vyhleda´va´nı´ (reverznı´, naopak) – prˇes dome´nu in-addr.arpa, je slozˇiteˇjsˇ´ı oba typy adres jsou hierarchicke´, ale v opacˇne´m smeˇru
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
Vyhleda´va´nı´ odpoveˇdi na dotaz Typy dotazu˚ rekurzivnı´ dotazy – tazatel dostane jizˇ hotovou odpoveˇd’ iterativnı´ dotazy – tazatel zı´ska´ cˇa´stecˇnou odpoveˇd’ (odkaz na mı´sta, kde mu˚zˇe dostat odpoveˇd’)
Postup tazatel: jaka´ je IP pro www.abcd.cz? posˇle loka´lnı´mu DNS serveru (nejblizˇsˇ´ımu, ktery´ zna´) pokud server zna´ odpoveˇd’, poskytne ji pokud server nezna´ odpoveˇd’, podstupuje bud’ rekurzı´vneˇ nebo iterativneˇ:
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
Vyhleda´va´nı´ odpoveˇdi na dotaz Rekurzivnı´ dotazova´nı´ DNS server nezna´ odpoveˇd’ (adresa nenı´ z jeho dome´ny) ⇒ obra´tı´ se na korˇenovy´ server nebo DNS server te´ dome´ny z adresy, kterou jesˇteˇ zna´ dotazovany´ server zna´ odpoveˇd’: odpovı´ dotazovany´ server nezna´ odpoveˇd’: obra´tı´ se obvykle na DNS servery ve svy´ch subdome´na´ch konecˇneˇ nalezen server, ktery´ zna´ u´plnou informaci: odpoveˇd’ se rekurzı´vneˇ posı´la´ zpeˇt azˇ k prvnı´mu uzlu, ktery´ se ta´zal
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
Vyhleda´va´nı´ odpoveˇdi na dotaz Iterativnı´ dotazova´nı´ pokud dotazovany´ server nezna´ odpoveˇd’, neta´zˇe se da´l, ale odesˇle zpeˇt mı´sto odpoveˇdi seznam DNS serveru˚, ktere´ by mohly zna´t odpoveˇd’ „nevı´m, zeptej se serveru/u˚ xxxx“ doporucˇı´ bud’ korˇenovy´ server nebo servery ze svy´ch subdome´n Na desktopu obvykle nebeˇzˇ´ı DNS server, ale pouze resolver, ktery´ pouze prˇeda´va´ dotazy DNS serveru˚m, nerˇesˇ´ı je.
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
DNS za´znam cname ke kazˇde´ IP adrese existuje nejme´neˇ jedna jmenna´ adresa jedna ze jmenny´ch adres je nejdu˚lezˇiteˇjsˇ´ı = kanonicke´ jme´no, cname dalsˇ´ı jmenne´ adresy = aliasy
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
Za´znamy v zo´nove´m souboru SOA (Start of Authority) – administrativnı´ info o dome´neˇ, A – za´znam urcˇujı´cı´ vztah mezi konkre´tnı´ IPv4 adresou a k nı´ prˇ´ıslusˇejı´cı´m kanonicky´m jme´nem, AAAA – tote´zˇ jako za´znam typu A, ale pro IPv6, CNAME – definice aliasu ke kanonicke´mu jme´nu, dvojice alias–cname, PTR – pouzˇ´ıva´me prˇi reverznı´m prˇekladu (ma´me IP adresu, potrˇebujeme jmennou adresu), NS (Name Server) – informace o autoritativnı´m DNS serveru pro danou dome´nu, MX (Mail eXchanger) – uda´va´ cestu k mail serveru pro danou dome´nu, KEY obsahuje verˇejny´ klı´cˇ pouzˇ´ıvany´ prˇi autorizaci, atd. Soucˇa´stı´ za´znamu˚ je hodnota TTL (sta´rˇ´ı za´znamu)
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
Protokol DNS PDU zapouzdrˇuje se obvykle do UDP paketu struktura: Header (za´hlavı´) obsahuje identifikacˇnı´ cˇı´slo (pa´rova´nı´ dotazu a odpoveˇdi), typ PDU (dotaz/odpoveˇd’), zda ma´ by´t dotaz rekurzivnı´, vyzˇa´da´nı´ si autoritativnı´ odpoveˇdi, atd. Question (pole dotazu) – jmenna´ adresa a dodatecˇne´ informace, Answer (pole odpoveˇdi) – informace souvisejı´cı´ s odpoveˇdı´ vcˇetneˇ TTL, Authority – autoritativnı´ jmenne´ servery (jejich jmenne´ adresy) ze za´znamu˚ NS, Additional – dodatecˇne´ informace (naprˇ´ıklad take´ IP adresy autoritativnı´ch jmenny´ch serveru˚).
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
Obvykle´ servery Windows Server: role DNS Server jinde: BIND (program je pojmenova´n named), TinyDNS nebo DJBDNS
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Program nslookup nslookup www.google.com Server: decsu.fpf.slu.cz Address: 193.84.192.10 Neautorizovana odpoved: Na ´zev: www.l.google.com Addresses: 209.85.148.105 209.85.148.106 209.85.148.147 209.85.148.99 209.85.148.103 209.85.148.104 Aliases: www.google.com
Adresa´rˇove´ sluzˇby
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Program nslookup Vyzkousˇejte v interaktivnı´m rezˇimu: ? www.google.com set all ls fpf.slu.cz ls -t ns fpf.slu.cz ls -t aaaa slu.cz ls slu.cz > vystup view vystup
Adresa´rˇove´ sluzˇby
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
Adresa´rˇove´ sluzˇby Princip Adresa´ˇr = hierarchicky orientovana´ databa´ze cı´lem je zajisˇt’ova´nı´ funkcˇnosti adresa´rˇe a bezpecˇne´ho prˇ´ıstupu k neˇmu adresa´rˇova´ sluzˇba je autentizacˇnı´ autorita (podobneˇ jako naprˇ´ıklad RADIUS server nebo Windows LSA)
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
Protokol LDAP (Lightweight Directory Access Protocol) aplikacˇnı´ protokol pracujı´cı´ nad TCP/IP vy´hoda LDAP: snadna´ prˇenositelnost, pracuje nad protokoly TCP/IP Active Directory ve Windows je implementace protokolu LDAP pro Windows od verze 2000 vyuzˇ´ıva´ dome´ny DNS, ale AD dome´ny nejsou totozˇne´ s dome´nami DNS (i kdyby se stejneˇ jmenovaly)
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
Active Directory Pojmy adresa´ˇrova´ databa´ze (adresa´rˇ) je hierarchicka´ databa´ze objektu˚, ktere´ jsou v syste´mu spravova´ny, objekty – uzˇivatele´, skupiny, pocˇı´tacˇe, dome´ny, kazˇdy´ objekt ma´ sve´ vlastnosti (naprˇ´ıklad prˇ´ıstupova´ pra´va), mohou se deˇdit, kontejner je objekt, ktery´ mu˚zˇe obsahovat dalsˇ´ı objekty, AD sche´ma popisuje objekty, ktere´ mohou by´t ulozˇeny v adresa´rˇi Active Directory (jake´ mohou mı´t atributy, obdoba trˇ´ıdy), dome´na je skupina pocˇı´tacˇu˚ sdı´lejı´cı´ch spolecˇnou adresa´rˇovou databa´zi, organizacˇnı´ jednotka (OU) je podskupina dome´ny oddeˇlena´ za urcˇity´m u´cˇelem, OU mohou by´t i vnorˇene´.
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
Active Directory Struktura sı´teˇ dome´nove´ rˇadicˇe (domain controller) = dome´nove´ AD servery, musı´ existovat nejme´neˇ jeden (prima´rnı´ rˇadicˇ dome´ny) a prˇ´ıp. dalsˇ´ı v sı´ti je nejme´neˇ jeden Globa´lnı´ katalog (na prima´rnı´m ˇradicˇi, mu˚zˇe by´t i na jiny´ch) v Globa´lnı´m katalogu jsou souhrny informacı´ obsazˇeny´ch v dalsˇ´ıch dome´novy´ch serverech sı´teˇ, slouzˇ´ı prˇi vyhleda´va´nı´ informacı´, prˇi autentizaci (prˇihlasˇova´nı´) a autorizaci (prˇ´ıstup k objektu˚m)
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
Na´zvy v AD Typy na´zvu˚ podle zanorˇenı´ v dome´na´ch DC (Domain Component, uzel dome´ny) OU (Organization Unit, organizacˇnı´ jednotka), Active Directory Container CN (Common Name) – objekt
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
dc=firma,dc=cz
ou=pocitace
ou=zamestnanci
cn=novak
Adresace DN (Distinguished Name): cn=novak,ou=zamestnanci,dc=firma,dc=cz
Adresace UNC (Universal Naming Conventions): firma.cz/zamestnanci/novak
Za´sady
Pojmy
DNS
Dotazy v DNS
DNS za´znam
Adresa´rˇove´ sluzˇby
Za´sady (policies) a implementace v OS Windows na desktopu nenı´ AD nainstalova´na, pracujeme se za´sadami (policies) v Mı´stnı´ za´sady zabezpecˇenı´ a Za´sady skupiny v sı´ti se zprovozneˇny´m AD na serveru jsou za´sady skupiny napojeny na AD, na objekty AD jsou napojeny objekty za´sad
Jine´ OS, heterogennı´ sı´t’ protokoly, ktere´ zprostrˇedkova´vajı´ komunikaci LDAP je implementova´n i v Linuxu a dalsˇ´ıch OS pro prˇ´ıstup k datu˚m se pouzˇ´ıva´ protokol SMB, resp. jeho implementace SAMBA
Za´sady
