ad域認證
1. 大哥,請教一下AD域SSL認證問題
你好,你的證書應該由AD域伺服器發放的.
也就是說,你應該向AD域伺服器申請.
如果伺服器是你自已做的.
那你在配置伺服器SSL時證書生成工具會生成兩個證書,
一個用於伺服器,一個用於客戶端.
把用於客戶端的COPY到你本地就可以了.
2. 認證系統,如活動目錄AD、LDAP、Radius這些,究竟是做什麼用的。謝謝你。
AD、LDAP提供目錄服務,即類似於企業、人員黃頁的東西,用戶和組織的信息都被存放在上面,查找起來十分快捷,也可以理解成一種特殊的資料庫。
RADIUS是一種C/S結構的協議,它的客戶端最初就是NAS(Net Access Server)伺服器,現在任何運行RADIUS客戶端軟體的計算機都可以成為RADIUS的客戶端。RADIUS協議認證機制靈活,可以採用PAP、 CHAP或者Unix登錄認證等多種方式。RADIUS是一種可擴展的協議,它進行的全部工作都是基於Attribute-Length-Value的向量進行的。RADIUS也支持廠商擴充廠家專有屬性。用戶接入NAS,NAS向RADIUS伺服器使用Access-Require數據包提交用戶信息,包括用戶名、密碼等相關信息,其中用戶密碼是經過MD5加密的,雙方使用共享密鑰,這個密鑰不經過網路傳播;RADIUS伺服器對用戶名和密碼的合法性進行檢驗,必要時可以提出一個Challenge,要求進一步對用戶認證,也可以對NAS進行類似的認證;如果合法,給NAS返回Access-Accept數據包,允許用戶進行下一步工作,否則返回Access-Reject數據包,拒絕用戶訪問;如果允許訪問,NAS向RADIUS伺服器提出計費請求Account- Require,RADIUS伺服器響應Account-Accept,對用戶的計費開始,同時用戶可以進行自己的相關操作。
3. 請問AD域密碼是MD5加密的嗎如果是MD5加密的,那該如何使用md5加密後的密碼進行ldap向AD域認證呢
AD加密協議是 kerberos吧?
linux下有專門的軟體,好像叫
krb5*
配置文件
/etc/krb5.conf
希望對你有幫助。
4. 終端AD域檢測與無線認證有什麼區別
AD域認證是指AD系統終端代理使用第三方庫執行主要認證業務。
TSM系統的AD域認證過程主要涉及到三個角色,分別是:TSM伺服器、AD域控、終端代理。
TSM和AD的聯動認證是基於標準的Kerberos協議,標準的Kerberos認證流程如下:
從上面的交互流程圖可以看出來,整個交互過程分為3個階段分別是:AS(Authentication Service Exchange )、TGS(Ticket Granting Service Exchange )、AP(Client/ServerExchange )。 在AS階段,主要驗證的是當前用於進行AD域認證的用戶是當前AD域控上的合法用戶。所以一般如果用戶名或者密碼錯誤時將會在這個階段得到AD返回的錯誤信息。此外如果出現TSM伺服器和AD上的時間偏差較大的時候也會在這個階段出錯。
在TGS階段,主要是終端代理獲取其要請求的認證服務的票證的過程,如果這個時候請求的認證服務不存在,則在第4步返回的錯誤信息中指示
KDC_ERR_S_PRINCIPAL_UNKNOWN,表明當前請求的服務不存在。之前在大足的AD域聯動測試中就出現了這個問題。
在AP階段,伺服器將會驗證終端代理發送的TGS,來決定當前認證用戶是否具有訪問當前請求的認證服務的許可權。
5. 關於AD域的概念性問題
參見至維基網路:
Active Directory(AD)的結構是一種由對象構成的分級框架結構。其中的對象分為三大類——資源(如印表機)、服務(如電子郵件)、和人物(即帳戶或用戶,以及組)。 AD 提供這些對象的信息,組織這些對象,控制訪問,並且設置安全等級。
每個對象代表一個單個實體——無論是一個用戶、一台電腦、一台印表機、或者一個共享數據源——及該實體的各種屬性。對象也可以是其它對象的容器。每個對象都由其名字唯一地標識,並擁有一個屬性集(即該對象可包含的特徵和信息),它由該對象的類型定義並依賴於該類型。這些屬性,即對象自身的基本結構,由一個對象模型(schema)來定義,該對象模型也確定了可存儲於 AD 中的該對象的種類。
對象模型本身由兩類對象構成:模型的類對象和模型的屬性對象。一個單個的模型類對象定義了一個可被 AD 創建的對象類型(例如使一個用戶對象被創建);一個模型的屬性對象則定義了模型所定義的對象所具有的一種屬性。
每個屬性對象都可用於多個不同的模型類對象中。這些對象一般被稱作模型對象,或者元數據,它們的存在是為了在需要時對模型進行擴展或修改。然而,由於每個模型對象都是集成於 AD 對象的定義內部的,停用或改變這些對象會導致嚴重的後果,因為這會從根基上改變 AD 自身的結構。一個模型對象在被改變後會自動通過 AD 來傳播,且一旦被創建,就只能被停用——而不是刪除。除非是有一定的計劃,一般情況下不會對對象模型進行修改。
[編輯] 林、樹和域
可以從不同的層次上來「看」這個包含了各個對象的框架。在機構的最頂端是林,它是AD中所有對象及其屬性、以及規則(即屬性的構造方式)的全集。林中含有一或多個相互聯系並可傳遞信任關系的樹。一個樹又含有一或多個域和域樹,它們也以一種可傳遞的信任等級相互聯系。每個域由其在 DNS 中的域名結構(即命名空間)來標識。一個域具有單一的 DNS 域名。
域中包含的對象可以被編組到成為「組織單位」(Organizational Unit,OU)的容器中。 OU 給域提供了一個便於管理的層次,也提供了一個對 AD 中的公司的邏輯組織結構和實際地理結構的較直觀一些的表示。 OU 還可以再包含子 OU (其實從這個角度說域就是一些容器),進而可以包含多層級嵌套的 OU。微軟推薦在 AD 中盡量少建立域,而通過OU來建立結構關系及完善策略和管理的實施。 OU 是應用組策略(也稱為組策略對象,GPO,本身也是 AD 對象)時常用的層次,盡管組策略也可應用在域或站點(見下)中。OU是可進行管理許可權委派的最低的層次。
進一步細化, AD 支持站點的創建,站點是由一或多個IP子網定義的一個更傾向於物理的(而非邏輯的)分組。站點可以分屬於通過低速連接(如WAN、VPN[1])和高速連接(如 LAN)相連的不同地點間。
各個站點可包括一或多個域,各個域也可包括一或多個站點。這對於控制因復制產生的網路流量來說是個重要的概念。
如何將公司的信息基礎結構劃實際地劃分為一個有著一或多個域和頂級 OU 的層次結構是一項非常關鍵的決定,通常可根據業務、地理位置、在信息管理結構中的角色等因素來建立不同的管理結構模型,很多情況下也會將這些模型組合起來應用。
^ 譯註:這里,原文作者中將虛擬專用網路(VPN)和廣域網(WAN)作為同層次的概念來說明低速連接,其實是不妥當的。作者似乎將VPN當作了基於公眾電話網路的遠程撥號連接(remote access via dial-up connection over PSTN),雖然VPN本身也是一種遠程訪問服務(remote access service, RAS)所提供的訪問方式,並且在實際中為了應用和管理的方便、以及安全方面的原因,確實有相當多的用戶在通過PSTN遠程訪問公司的內部網路時,需要在撥號連接後進一步再建立一個VPN連接,但其實上VPN是和網路的物理連接方式無關的概念。喜歡的話在區域網連接也可用來能建立VPN連接,只不過這樣做通常並沒有實際意義,除非需要使用為VPN用戶特別提供的管理性的功能,例如將某些VPN用戶單獨劃分到一個安全組內以控制對某些資源的訪問。renda 14:01 2006年2月23日 (UTC)
[編輯] 物理結構與復制
從物理角度來說 AD 的信息是存儲於一或多個相互對等的域控制器(DC)中的,使用這種對等 DC 的結構取代了以前在 NT 主域控制器/備份域控制器(PDC/BDC)的方式(盡管有一種用於某些操作的「更具平等性」的FSMO伺服器可模仿一個 PDC)。每個 DC 上都有一個單獨的域分區和一個 AD 的可讀寫復本,通過多主機復制機制將在一台 DC 上發生的變更(以匯聚方式)同步到所有的 DC 上。沒有存儲 AD 的伺服器稱為成員伺服器。
與早先使用NetBIOS通信的 Windows 版本不同,Active Directory是與 DNS 及 TCP/IP 完全整合在一起的,實際上 DNS 是「必須的」。為使所有的功能都能正確工作,這個 DNS 伺服器必須支持SRV資源記錄或服務記錄。
AD 復制更多地來說是以「拉」(pull)而不是「推」(push)的方式工作。 AD 會創建一個使用已定義的「站點」來管理通信的復制拓撲。站點內的復制頻繁且自動地通過一種「知識一致性檢測器」(Knowledge Consistency Checker,KCC)來完成的;而站點間的復制是可根據每個站點連接的質量(通過給每個連接定義不同的「成本」值,如 DS3、T1、ISDN 等)來進行配置的,並據此限制、安排及路由站點間復制的通信活動。雖然 AD 會自動將直接相連的站點到站點的連接的成本計算為低於中轉方式的連接,但只要涉及的站點間連接的「成本」被認為足夠低,復制的數據也可通過中轉方式來傳遞給處在相同協議的「站點連接橋」(site link bridges)上的其它多個站點。站點到站點的復制是在每個站點中的「橋頭伺服器」(bridgehead server)之間進行的,該橋頭伺服器將內容的變更復制給站點中的其它 DC。
在多於一個域時是不跨林復制 AD 的;而是創建一個全局編目(global catalog,GC),其中包含林中所有對象及它們的(部分)屬性,即一個 AD 的部分副本。這個編目存儲於定義好的全局編目伺服器中,用於處理域間查詢或傳遞跨域的請求。域內的匯集是通過使用 IP 進行的 RPC 機制來完成,而林范圍內的 AD 匯集則通過 SMTP 完成。
FSMO(flexible single master operation,靈活單主機操作)處理完整的多主機復制不能充分實現的情況。FSMO 有五個任務,包括:a)前面提到的進行 PDC 模擬、b)提供相對標識主機(RID master,Relative ID master)服務、c)作為在域范圍內行使職能的結構內主機、以及作為在林范圍內行使職能的 d)模型主機和 e)域命名主機。域中的 DC 中只有一台伺服器負責處理某個特定的 FSMO 任務。
AD 被分儲在三個不同的存儲空間或稱「分區」中: a) 「模型」空間,包含整個 AD 的模版,定義了所有對象的類型、類、屬性、和屬性語法,林中的所有樹是一起的,因為它們使用同一個模型; b) 配置空間,存儲著 AD 中的林和樹的結構; c) 「域」空間,存儲了在該域中創建的對象的所有信息。前兩者的內容會復制到所有的域控制器,而域空間的內容只是以全局編目的形式部分地和其它域控制器共享,這是因為對完整域對象的復制是限制在域邊界之內進行的。
被稱為「目錄存儲」的 AD 資料庫在 Windows 2000 中是用基於JET Blue的可擴充存儲引擎(ESE98)完成的,每個域控制器的資料庫的容量限制為 16 TB、對象數量限制為 109 個(理論數值,實際只測試過約 108 個),而 NT4 的SAM (Security Account Manager,安全帳戶管理程序)只支持不超過 40000 個對象。該目錄存儲也叫 NTDS.DIT,它包含兩個重要的表:「數據表」和「連接表」。在 Windows 2003 中又加入了第三個主要表,用來存放安全描述符的單個實例。
[編輯] 命名
AD 支持使用反斜線(\)的UNC(Universal Naming Conversion)名稱、使用斜線(/)的URL(Uniform Resource Locator)名稱、以及LDAP URL名稱來訪問對象。在 AD 內部使用LDAP版本的X.500命名結構來工作。每個對象具有一個識別名(Distinguished name,DN), 例如一個在域名foo.org、組織單位名為Marketing的OU中的、名為HPLaser3的印表機對象的DN是: CN=HPLaser3,OU=Marketing,DC=foo,DC=org,這其中的 CN 表示一般名,DC 表示域對象的類。DN可以包含不止四個部分。對象還可擁有一個別名(Canonical Name,台灣譯法為直接字面翻譯的「正式名稱」),基本是把DN的各部分倒過來、去掉表示符再加上斜線分開重新寫一遍就是,對本例來說就是:foo.org/Marketing/HPLaser3。為在所屬的容器內部辨識對象還使用相關識別名(Relative distinguished name,RDN):CN=HPLaser3。每個對象還有一個全局唯一標識碼(Globally unique identifier,GUID),一個AD用來進行搜索和復制的唯一不變的128位字元串。某些對象還有個如objectname@domain name形式的用戶主體名(User principal name,UPN)。
[編輯] 信任
AD 使用信任機制來允許一個域中的用戶訪問另一個域中的資源。在創建域時會自動創建信任關系。林一級的對象模型會為信任關系設置默認的邊界,這並非是在域這個級別上進行的,隱含的信任是自動建立的。和雙向可傳遞的信任一樣,AD的信任可以是「捷徑方式」(shortcut trust,連接不同的樹種的兩個域,可傳遞、可為單向或雙向)、「林方式」(forest trust,可傳遞、單或雙向)、「領域方式」(realm trust,可傳遞或不可傳遞、單或雙向)、或者「外部方式」(external trust,不可傳遞、單或雙向)這些種模式,用來連接到其它林或非 AD 架構的域。盡管也能支持NTLM鑒權,AD 使用的是版本5的Kerberos協議進行鑒權,而對瀏覽器客戶是用 SSL/TLS 協議幫助鑒權的。
[編輯] Windows 2000中的信任機制
此條目或章節需要被修正為維基格式以符合質量標准。(2006年10月21日)
請協助添加相關的內部連結來改善這篇條目。
簡單地說,AD 使用信任機制(原生模式下[2])來允許一個域中的用戶訪問另一個域中的文件。AD 的信任關系是這樣一種機制,一個域中的用戶可以由另一個域來驗證身份並據此而允許(或拒絕)訪問那個域中的資源。每個 Windows 域都與其它域有著隱含的、雙向的、並且可傳遞信任關系。這種信任關系是在域之間自動維護的。例如,如果 A 域信任 B 域,且 B 域信任 C 域,則:
由於信任關系的可傳遞性,A 域也信任 C 域,因此 A 域的用戶也能訪問 C 域中的文件;
由於信任關系的雙向性,C 域也信任 A 域,因此 C 域的用戶也能訪問 A 域中的文件。
域之間也可存在明確指定、人工創建的信任關系。這種明確指定的信任關系可以是:
捷徑方式的信任:連接的是同一個林中的任何兩個域,以減少訪問資源時所需的等待時間。這種捷徑方式的信任關系是可傳遞的、但單向的;
外部信任:連接的是不同的林中的兩個域,以允許一個林中的用戶訪問另一個林中的文件。這種外部信任關系是不可傳遞的、不能用Kerberos鑒權方式驗證、並且是單向的。
^ 譯註:在創建AD時,可以將 AD 創建為原生模式(native mode)或混合模式(mixed mode),這兩種模式是該 AD 的運行方式。原生模式是指 AD 完全基於 AD 架構運行,它要求 AD 中所有的域控制器(不含成員伺服器)都是採用了 AD 架構的 Windows 2000 以上的作業系統,而混合模式則允許使用老的 NT Domain 架構的 NT Server 作為域控制器。當然,除非網路是從原有 NT 域上升級而來,否則應該使用原生模式,它會比混合模式提供更好的安全性。
[編輯] 相關資料庫檔案
Active Directory的所有數據都儲存在 ntds.dlt 這個檔案里,一般會儲存在%systemroot%\NTDS里。系統預設會隔每12小時為資料庫進行清除垃圾(garbage collection)的動作,包括為資料庫進行defragmentation。進行defragmentation時,系統需要預留約是資料庫檔案大小的1.5倍的可用空間。 所有交易都會儲存在 Edb*.log 里,預設的檔案名稱是 edb.log,之後的會加上數字,例如:edb0001.log。
Edb.chk是交易的checkpoint檔案。
Res1.log和Res2.log是系統保留的交易檔案。
若資料庫所在的目錄沒有足的可用空間,就要把資料庫移往其他地方去。然而,由於Win2K與Win2K3在磁碟區陰影復制服務(VSS)的機制有所不同,使這移動過程有可能失敗。對於Win2K,log files與資料庫可以分別存放在不同的磁碟上,但Win2K3則必須放在同一個磁碟上。要移動資料庫,必須重新啟動伺服器,並進入 Active Directory Restore Mode 里,利用ntdsutil工具進行移動。
[編輯] 應用方式的Active Directory
應用方式的Active Directory(Active Directory Application Mode,ADAM)是Active Directory的一個輕量級實現。ADAM是運行為單用戶服務的一個功能。由於對資源的低要求,可在同一台伺服器上運行多個ADAM的實例。它使用和AD的完整實現版本相同的API(應用程序介面),因此開發人員無須學習新知識即可使用。
6. 什麼是ad域認證
AD域認證是指系統終端代理使用第三方庫執行主要認證業務,TSM系統的AD域認證過程主要涉及到三個角色,分別是:TSM伺服器、AD域控、終端代理。AD是原Protel軟體開發商Altium公司推出的一體化的電子產品開發系統,運行在Windows XP、Windows7操作系統。
TSM的核心功能是提供集中的數據備份管理,能夠為大型的企事業單位提供可靠的集中數據備份管理,是業界最主要的備份軟體之一。TSM能夠提供穩定先進的架構,強大的備份功能支持,和更好的可擴展性。
AD主要是原Protel軟體開發商Altium公司推出的一體化的電子產品開發系統,運行在Windows XP、Windows7操作系統。這套軟體通過把原理圖設計、電路模擬、PCB繪制編輯、拓撲邏輯自動布線、信號完整性分析和設計輸出等技術的完美融合。
(6)ad域認證擴展閱讀:
AD域認證TSM系統基本功能:
一、企業級的存儲數據管理
TSM是一個功能非常全面的解決方案,能夠提供企業級的存儲數據管理功能。從信息生命周期的角度來看,TSM能夠提供數據保護,數據歸檔,分級存儲以及數據的銷毀等一系列功能。因此,TSM不僅僅是一個數據備份軟體,能夠提供以數據備份為主的更多的數據管理功能。
二、集中的數據備份與恢復管理
TSM存儲管理軟體能夠為用戶提供專業的數據備份功能,能夠提供多種級別的數據備份,如文件系統備份,應用系統備份,資料庫備份,郵件系統備份,操作系統備份等不同的備份類別。TSM能夠支持絕大多數主流操作系統平台,主流的應用。
根據用戶需求為不同的用戶定製合適的備份解決方案。由於用戶絕大多數的存儲數據管理需求主要集中在集中備份方面,所以TSM更多的是被作為一個備份軟體介紹給大家,因此,在本文中也主要介紹TSM的備份管理功能。
三、專業的數據歸檔管理功能
TSM存儲管理軟體提供專業的文件系統數據歸檔功能,TSM的數據歸檔功能構建於TSM基礎架構之上,不需要額外安裝其他軟體模塊,也不需要用戶單獨付費。TSM提供獨立的歸檔策略,能夠為不同的數據對象指定不同的歸檔保存時間。
四、高效的分級存儲功能
TSM存儲管理軟體能夠提供專業的文件系統分級存儲功能,能夠將磁帶等存儲設備作為文件系統的二級存儲,定製策略將訪問較少的文件從伺服器的文件系統遷移到TSM所管理的磁帶庫中,並在本地保留一個存根文件,整個過程可以自動完成,也可以手動遷移。
五、流程化的災難恢復管理
TSM存儲管理軟體提供流程化的災難恢復管理功能,TSM內置一個災難恢復管理模塊(DRM),通過DRM能夠對災難恢復進行規范的流程管理,包括離線磁帶的跟蹤和回收,能夠對磁帶狀態進行自動設置更新。
並能夠對整個恢復流程提供所需要的配置信息,恢復腳本,可以指導管理員順利的完成整個恢復過程。TSM還提供通過網路進行數據傳輸的容災方式,能夠將一套TSM系統的數據通過專業技術傳輸到另外一套TSM系統,從而完成基於網路的數據級容災。
7. asp.net實現AD域認證登錄,首次訪問如何避免賬號驗證
您好,您這個128的地址是不是就是本機?如果是,則按以下操作進行:
IE選項——安全,再點擊「本地Intranet」,然後再點擊「站點」按鈕,彈出窗口後點擊「高級」,將你那192.168.30.128添加至列表,返回至安全選項卡,再點擊「自定義級別」——彈出窗口後,如果是中文IE,一直拖到最後,查看「用戶身份驗證」——登錄,查看是否為選中了「在Intranet區域自動登錄」或「自動使用當前用戶名密碼登錄」。
或者直接將192.168.20.128更改為機器名(不能帶有.號)即可。
8. 請問域是什麼意思,以及與AD域想結合的認證方式是怎樣實現的
1、AD域名:域是復制的單位。特定域中的所有域控制器可接收更改內容並將這些內容復制到域中的所有其他域控制器中。Active Directory 中的每個域用域名系統 (DNS) 域名標識,並且需要一個或多個域控制器。如果您的網路需要一個以上的域,那麼您可以輕松創建多個域。
2、AD:Active Directory =>
Active Directory® 目錄服務可安裝在運行 Microsoft® Windows Server™ 2003 Standard Edition、Windows Server 2003 Enterprise Edition 和 Windows Server 2003 Datacenter Edition 的伺服器上。Active Directory 存儲有關網路上的對象的信息,並使管理員和用戶更方便地查找和使用這種信息。Active Directory 使用結構化的數據存儲作為目錄信息的邏輯化、分層結構的基礎。
3、AD架構:Active Directory 架構包含目錄中所有對象的定義。每個新創建的目錄對象都會在寫入該目錄之前針對架構中的相應對象定義進行驗證。架構由對象類和屬性組成。基礎(或默認)架構包含一組豐富的對象類別和屬性以滿足大多數單位的需要,並遵循目錄服務的國際標准化組織 (ISO) X.500 標准進行建模。由於這是可擴展的,因此可以在基礎架構中修改和添加類別和屬性。但是,應仔細考慮所做的每個更改,因為擴展架構會影響整個網路。
9. AD域控是什麼意思
第一、微軟基於AD的域模式,最大的優點是實現了集中式管理。以前在無數客戶端要重復多次的內設置,容只要在域控制器上做一次設置就可以了。減少了管理員的工作量,甚至可以裁員了,減少了維護企業網路的開支,降低了總體擁有成本。方便了管理員。
第二、對於域中的普通用戶來說可能不是一件好事了,原來是工作組每個人都是本地計算機的管理員,想裝QQ裝QQ,想裝迅雷裝迅雷,人人都是土皇帝。在域模式後。普通的域用戶對於客戶機的許可權少的可憐,可以說管理員讓干什麼才能幹什麼,失去了對主機的控制。對平常工作時間炒個股、玩個游戲、裝個亂七八糟的軟體的人來說是沒有任何實惠的。但是公司不是網吧,這樣做可以提高工作的效率,是符合公司整體利益的。
第三、AD是一個大的安全邊界,用戶只要在登錄時驗證了身份,這個域林中所有允許訪問資源都可以直接訪問,不用再做身份驗證,也提高的效率減少了維護成本。
第四、對於用戶好處,通過文件夾的重定向我們可以將所有用戶桌面的「我的文檔」重定向到文件伺服器上。一來可以集中備份,不用擔心客戶端重裝和故障造成用戶數據丟失;而來不管用戶在域中哪台計算機登錄都可以找到自己的「我的文檔」,實現文檔跟隨用走。