ad域认证
1. 大哥,请教一下AD域SSL认证问题
你好,你的证书应该由AD域服务器发放的.
也就是说,你应该向AD域服务器申请.
如果服务器是你自已做的.
那你在配置服务器SSL时证书生成工具会生成两个证书,
一个用于服务器,一个用于客户端.
把用于客户端的COPY到你本地就可以了.
2. 认证系统,如活动目录AD、LDAP、Radius这些,究竟是做什么用的。谢谢你。
AD、LDAP提供目录服务,即类似于企业、人员黄页的东西,用户和组织的信息都被存放在上面,查找起来十分快捷,也可以理解成一种特殊的数据库。
RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Server)服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活,可以采用PAP、 CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account- Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。
3. 请问AD域密码是MD5加密的吗如果是MD5加密的,那该如何使用md5加密后的密码进行ldap向AD域认证呢
AD加密协议是 kerberos吧?
linux下有专门的软件,好像叫
krb5*
配置文件
/etc/krb5.conf
希望对你有帮助。
4. 终端AD域检测与无线认证有什么区别
AD域认证是指AD系统终端代理使用第三方库执行主要认证业务。
TSM系统的AD域认证过程主要涉及到三个角色,分别是:TSM服务器、AD域控、终端代理。
TSM和AD的联动认证是基于标准的Kerberos协议,标准的Kerberos认证流程如下:
从上面的交互流程图可以看出来,整个交互过程分为3个阶段分别是:AS(Authentication Service Exchange )、TGS(Ticket Granting Service Exchange )、AP(Client/ServerExchange )。 在AS阶段,主要验证的是当前用于进行AD域认证的用户是当前AD域控上的合法用户。所以一般如果用户名或者密码错误时将会在这个阶段得到AD返回的错误信息。此外如果出现TSM服务器和AD上的时间偏差较大的时候也会在这个阶段出错。
在TGS阶段,主要是终端代理获取其要请求的认证服务的票证的过程,如果这个时候请求的认证服务不存在,则在第4步返回的错误信息中指示
KDC_ERR_S_PRINCIPAL_UNKNOWN,表明当前请求的服务不存在。之前在大足的AD域联动测试中就出现了这个问题。
在AP阶段,服务器将会验证终端代理发送的TGS,来决定当前认证用户是否具有访问当前请求的认证服务的权限。
5. 关于AD域的概念性问题
参见至维基网络:
Active Directory(AD)的结构是一种由对象构成的分级框架结构。其中的对象分为三大类——资源(如印表机)、服务(如电子邮件)、和人物(即帐户或用户,以及组)。 AD 提供这些对象的信息,组织这些对象,控制访问,并且设置安全等级。
每个对象代表一个单个实体——无论是一个用户、一台电脑、一台印表机、或者一个共享数据源——及该实体的各种属性。对象也可以是其它对象的容器。每个对象都由其名字唯一地标识,并拥有一个属性集(即该对象可包含的特徵和信息),它由该对象的类型定义并依赖於该类型。这些属性,即对象自身的基本结构,由一个对象模型(schema)来定义,该对象模型也确定了可存储於 AD 中的该对象的种类。
对象模型本身由两类对象构成:模型的类对象和模型的属性对象。一个单个的模型类对象定义了一个可被 AD 创建的对象类型(例如使一个用户对象被创建);一个模型的属性对象则定义了模型所定义的对象所具有的一种属性。
每个属性对象都可用於多个不同的模型类对象中。这些对象一般被称作模型对象,或者元数据,它们的存在是为了在需要时对模型进行扩展或修改。然而,由於每个模型对象都是集成於 AD 对象的定义内部的,停用或改变这些对象会导致严重的后果,因为这会从根基上改变 AD 自身的结构。一个模型对象在被改变后会自动通过 AD 来传播,且一旦被创建,就只能被停用——而不是删除。除非是有一定的计划,一般情况下不会对对象模型进行修改。
[编辑] 林、树和域
可以从不同的层次上来「看」这个包含了各个对象的框架。在机构的最顶端是林,它是AD中所有对象及其属性、以及规则(即属性的构造方式)的全集。林中含有一或多个相互联系并可传递信任关系的树。一个树又含有一或多个域和域树,它们也以一种可传递的信任等级相互联系。每个域由其在 DNS 中的域名结构(即命名空间)来标识。一个域具有单一的 DNS 域名。
域中包含的对象可以被编组到成为「组织单位」(Organizational Unit,OU)的容器中。 OU 给域提供了一个便於管理的层次,也提供了一个对 AD 中的公司的逻辑组织结构和实际地理结构的较直观一些的表示。 OU 还可以再包含子 OU (其实从这个角度说域就是一些容器),进而可以包含多层级嵌套的 OU。微软推荐在 AD 中尽量少建立域,而通过OU来建立结构关系及完善策略和管理的实施。 OU 是应用组策略(也称为组策略对象,GPO,本身也是 AD 对象)时常用的层次,尽管组策略也可应用在域或站点(见下)中。OU是可进行管理许可权委派的最低的层次。
进一步细化, AD 支持站点的创建,站点是由一或多个IP子网定义的一个更倾向於物理的(而非逻辑的)分组。站点可以分属於通过低速连接(如WAN、VPN[1])和高速连接(如 LAN)相连的不同地点间。
各个站点可包括一或多个域,各个域也可包括一或多个站点。这对於控制因复制产生的网路流量来说是个重要的概念。
如何将公司的信息基础结构划实际地划分为一个有著一或多个域和顶级 OU 的层次结构是一项非常关键的决定,通常可根据业务、地理位置、在信息管理结构中的角色等因素来建立不同的管理结构模型,很多情况下也会将这些模型组合起来应用。
^ 译注:这里,原文作者中将虚拟专用网路(VPN)和广域网(WAN)作为同层次的概念来说明低速连接,其实是不妥当的。作者似乎将VPN当作了基於公众电话网路的远程拨号连接(remote access via dial-up connection over PSTN),虽然VPN本身也是一种远程访问服务(remote access service, RAS)所提供的访问方式,并且在实际中为了应用和管理的方便、以及安全方面的原因,确实有相当多的用户在通过PSTN远程访问公司的内部网路时,需要在拨号连接后进一步再建立一个VPN连接,但其实上VPN是和网路的物理连接方式无关的概念。喜欢的话在区域网连接也可用来能建立VPN连接,只不过这样做通常并没有实际意义,除非需要使用为VPN用户特别提供的管理性的功能,例如将某些VPN用户单独划分到一个安全组内以控制对某些资源的访问。renda 14:01 2006年2月23日 (UTC)
[编辑] 物理结构与复制
从物理角度来说 AD 的信息是存储於一或多个相互对等的域控制器(DC)中的,使用这种对等 DC 的结构取代了以前在 NT 主域控制器/备份域控制器(PDC/BDC)的方式(尽管有一种用於某些操作的「更具平等性」的FSMO伺服器可模仿一个 PDC)。每个 DC 上都有一个单独的域分区和一个 AD 的可读写复本,通过多主机复制机制将在一台 DC 上发生的变更(以汇聚方式)同步到所有的 DC 上。没有存储 AD 的伺服器称为成员伺服器。
与早先使用NetBIOS通信的 Windows 版本不同,Active Directory是与 DNS 及 TCP/IP 完全整合在一起的,实际上 DNS 是「必须的」。为使所有的功能都能正确工作,这个 DNS 伺服器必须支持SRV资源记录或服务记录。
AD 复制更多地来说是以「拉」(pull)而不是「推」(push)的方式工作。 AD 会创建一个使用已定义的「站点」来管理通信的复制拓扑。站点内的复制频繁且自动地通过一种「知识一致性检测器」(Knowledge Consistency Checker,KCC)来完成的;而站点间的复制是可根据每个站点连接的质量(通过给每个连接定义不同的「成本」值,如 DS3、T1、ISDN 等)来进行配置的,并据此限制、安排及路由站点间复制的通信活动。虽然 AD 会自动将直接相连的站点到站点的连接的成本计算为低於中转方式的连接,但只要涉及的站点间连接的「成本」被认为足够低,复制的数据也可通过中转方式来传递给处在相同协议的「站点连接桥」(site link bridges)上的其它多个站点。站点到站点的复制是在每个站点中的「桥头伺服器」(bridgehead server)之间进行的,该桥头伺服器将内容的变更复制给站点中的其它 DC。
在多於一个域时是不跨林复制 AD 的;而是创建一个全局编目(global catalog,GC),其中包含林中所有对象及它们的(部分)属性,即一个 AD 的部分副本。这个编目存储於定义好的全局编目伺服器中,用於处理域间查询或传递跨域的请求。域内的汇集是通过使用 IP 进行的 RPC 机制来完成,而林范围内的 AD 汇集则通过 SMTP 完成。
FSMO(flexible single master operation,灵活单主机操作)处理完整的多主机复制不能充分实现的情况。FSMO 有五个任务,包括:a)前面提到的进行 PDC 模拟、b)提供相对标识主机(RID master,Relative ID master)服务、c)作为在域范围内行使职能的结构内主机、以及作为在林范围内行使职能的 d)模型主机和 e)域命名主机。域中的 DC 中只有一台伺服器负责处理某个特定的 FSMO 任务。
AD 被分储在三个不同的存储空间或称「分区」中: a) 「模型」空间,包含整个 AD 的模版,定义了所有对象的类型、类、属性、和属性语法,林中的所有树是一起的,因为它们使用同一个模型; b) 配置空间,存储著 AD 中的林和树的结构; c) 「域」空间,存储了在该域中创建的对象的所有信息。前两者的内容会复制到所有的域控制器,而域空间的内容只是以全局编目的形式部分地和其它域控制器共享,这是因为对完整域对象的复制是限制在域边界之内进行的。
被称为「目录存储」的 AD 资料库在 Windows 2000 中是用基於JET Blue的可扩充存储引擎(ESE98)完成的,每个域控制器的资料库的容量限制为 16 TB、对象数量限制为 109 个(理论数值,实际只测试过约 108 个),而 NT4 的SAM (Security Account Manager,安全帐户管理程序)只支持不超过 40000 个对象。该目录存储也叫 NTDS.DIT,它包含两个重要的表:「数据表」和「连接表」。在 Windows 2003 中又加入了第三个主要表,用来存放安全描述符的单个实例。
[编辑] 命名
AD 支持使用反斜线(\)的UNC(Universal Naming Conversion)名称、使用斜线(/)的URL(Uniform Resource Locator)名称、以及LDAP URL名称来访问对象。在 AD 内部使用LDAP版本的X.500命名结构来工作。每个对象具有一个识别名(Distinguished name,DN), 例如一个在域名foo.org、组织单位名为Marketing的OU中的、名为HPLaser3的印表机对象的DN是: CN=HPLaser3,OU=Marketing,DC=foo,DC=org,这其中的 CN 表示一般名,DC 表示域对象的类。DN可以包含不止四个部分。对象还可拥有一个别名(Canonical Name,台湾译法为直接字面翻译的「正式名称」),基本是把DN的各部分倒过来、去掉表示符再加上斜线分开重新写一遍就是,对本例来说就是:foo.org/Marketing/HPLaser3。为在所属的容器内部辨识对象还使用相关识别名(Relative distinguished name,RDN):CN=HPLaser3。每个对象还有一个全局唯一标识码(Globally unique identifier,GUID),一个AD用来进行搜索和复制的唯一不变的128位字元串。某些对象还有个如objectname@domain name形式的用户主体名(User principal name,UPN)。
[编辑] 信任
AD 使用信任机制来允许一个域中的用户访问另一个域中的资源。在创建域时会自动创建信任关系。林一级的对象模型会为信任关系设置默认的边界,这并非是在域这个级别上进行的,隐含的信任是自动建立的。和双向可传递的信任一样,AD的信任可以是「捷径方式」(shortcut trust,连接不同的树种的两个域,可传递、可为单向或双向)、「林方式」(forest trust,可传递、单或双向)、「领域方式」(realm trust,可传递或不可传递、单或双向)、或者「外部方式」(external trust,不可传递、单或双向)这些种模式,用来连接到其它林或非 AD 架构的域。尽管也能支持NTLM鉴权,AD 使用的是版本5的Kerberos协议进行鉴权,而对浏览器客户是用 SSL/TLS 协议帮助鉴权的。
[编辑] Windows 2000中的信任机制
此条目或章节需要被修正为维基格式以符合质量标准。(2006年10月21日)
请协助添加相关的内部连结来改善这篇条目。
简单地说,AD 使用信任机制(原生模式下[2])来允许一个域中的用户访问另一个域中的文件。AD 的信任关系是这样一种机制,一个域中的用户可以由另一个域来验证身份并据此而允许(或拒绝)访问那个域中的资源。每个 Windows 域都与其它域有著隐含的、双向的、并且可传递信任关系。这种信任关系是在域之间自动维护的。例如,如果 A 域信任 B 域,且 B 域信任 C 域,则:
由於信任关系的可传递性,A 域也信任 C 域,因此 A 域的用户也能访问 C 域中的文件;
由於信任关系的双向性,C 域也信任 A 域,因此 C 域的用户也能访问 A 域中的文件。
域之间也可存在明确指定、人工创建的信任关系。这种明确指定的信任关系可以是:
捷径方式的信任:连接的是同一个林中的任何两个域,以减少访问资源时所需的等待时间。这种捷径方式的信任关系是可传递的、但单向的;
外部信任:连接的是不同的林中的两个域,以允许一个林中的用户访问另一个林中的文件。这种外部信任关系是不可传递的、不能用Kerberos鉴权方式验证、并且是单向的。
^ 译注:在创建AD时,可以将 AD 创建为原生模式(native mode)或混合模式(mixed mode),这两种模式是该 AD 的运行方式。原生模式是指 AD 完全基於 AD 架构运行,它要求 AD 中所有的域控制器(不含成员伺服器)都是采用了 AD 架构的 Windows 2000 以上的作业系统,而混合模式则允许使用老的 NT Domain 架构的 NT Server 作为域控制器。当然,除非网路是从原有 NT 域上升级而来,否则应该使用原生模式,它会比混合模式提供更好的安全性。
[编辑] 相关数据库档案
Active Directory的所有数据都储存在 ntds.dlt 这个档案里,一般会储存在%systemroot%\NTDS里。系统预设会隔每12小时为数据库进行清除垃圾(garbage collection)的动作,包括为数据库进行defragmentation。进行defragmentation时,系统需要预留约是数据库档案大小的1.5倍的可用空间。 所有交易都会储存在 Edb*.log 里,预设的档案名称是 edb.log,之后的会加上数字,例如:edb0001.log。
Edb.chk是交易的checkpoint档案。
Res1.log和Res2.log是系统保留的交易档案。
若数据库所在的目录没有足的可用空间,就要把数据库移往其他地方去。然而,由於Win2K与Win2K3在磁碟区阴影复制服务(VSS)的机制有所不同,使这移动过程有可能失败。对於Win2K,log files与数据库可以分别存放在不同的磁碟上,但Win2K3则必须放在同一个磁碟上。要移动数据库,必须重新启动伺服器,并进入 Active Directory Restore Mode 里,利用ntdsutil工具进行移动。
[编辑] 应用方式的Active Directory
应用方式的Active Directory(Active Directory Application Mode,ADAM)是Active Directory的一个轻量级实现。ADAM是运行为单用户服务的一个功能。由於对资源的低要求,可在同一台伺服器上运行多个ADAM的实例。它使用和AD的完整实现版本相同的API(应用程序介面),因此开发人员无须学习新知识即可使用。
6. 什么是ad域认证
AD域认证是指系统终端代理使用第三方库执行主要认证业务,TSM系统的AD域认证过程主要涉及到三个角色,分别是:TSM服务器、AD域控、终端代理。AD是原Protel软件开发商Altium公司推出的一体化的电子产品开发系统,运行在Windows XP、Windows7操作系统。
TSM的核心功能是提供集中的数据备份管理,能够为大型的企事业单位提供可靠的集中数据备份管理,是业界最主要的备份软件之一。TSM能够提供稳定先进的架构,强大的备份功能支持,和更好的可扩展性。
AD主要是原Protel软件开发商Altium公司推出的一体化的电子产品开发系统,运行在Windows XP、Windows7操作系统。这套软件通过把原理图设计、电路仿真、PCB绘制编辑、拓扑逻辑自动布线、信号完整性分析和设计输出等技术的完美融合。
(6)ad域认证扩展阅读:
AD域认证TSM系统基本功能:
一、企业级的存储数据管理
TSM是一个功能非常全面的解决方案,能够提供企业级的存储数据管理功能。从信息生命周期的角度来看,TSM能够提供数据保护,数据归档,分级存储以及数据的销毁等一系列功能。因此,TSM不仅仅是一个数据备份软件,能够提供以数据备份为主的更多的数据管理功能。
二、集中的数据备份与恢复管理
TSM存储管理软件能够为用户提供专业的数据备份功能,能够提供多种级别的数据备份,如文件系统备份,应用系统备份,数据库备份,邮件系统备份,操作系统备份等不同的备份类别。TSM能够支持绝大多数主流操作系统平台,主流的应用。
根据用户需求为不同的用户定制合适的备份解决方案。由于用户绝大多数的存储数据管理需求主要集中在集中备份方面,所以TSM更多的是被作为一个备份软件介绍给大家,因此,在本文中也主要介绍TSM的备份管理功能。
三、专业的数据归档管理功能
TSM存储管理软件提供专业的文件系统数据归档功能,TSM的数据归档功能构建于TSM基础架构之上,不需要额外安装其他软件模块,也不需要用户单独付费。TSM提供独立的归档策略,能够为不同的数据对象指定不同的归档保存时间。
四、高效的分级存储功能
TSM存储管理软件能够提供专业的文件系统分级存储功能,能够将磁带等存储设备作为文件系统的二级存储,定制策略将访问较少的文件从服务器的文件系统迁移到TSM所管理的磁带库中,并在本地保留一个存根文件,整个过程可以自动完成,也可以手动迁移。
五、流程化的灾难恢复管理
TSM存储管理软件提供流程化的灾难恢复管理功能,TSM内置一个灾难恢复管理模块(DRM),通过DRM能够对灾难恢复进行规范的流程管理,包括离线磁带的跟踪和回收,能够对磁带状态进行自动设置更新。
并能够对整个恢复流程提供所需要的配置信息,恢复脚本,可以指导管理员顺利的完成整个恢复过程。TSM还提供通过网络进行数据传输的容灾方式,能够将一套TSM系统的数据通过专业技术传输到另外一套TSM系统,从而完成基于网络的数据级容灾。
7. asp.net实现AD域认证登录,首次访问如何避免账号验证
您好,您这个128的地址是不是就是本机?如果是,则按以下操作进行:
IE选项——安全,再点击“本地Intranet”,然后再点击“站点”按钮,弹出窗口后点击“高级”,将你那192.168.30.128添加至列表,返回至安全选项卡,再点击“自定义级别”——弹出窗口后,如果是中文IE,一直拖到最后,查看“用户身份验证”——登录,查看是否为选中了“在Intranet区域自动登录”或“自动使用当前用户名密码登录”。
或者直接将192.168.20.128更改为机器名(不能带有.号)即可。
8. 请问域是什么意思,以及与AD域想结合的认证方式是怎样实现的
1、AD域名:域是复制的单位。特定域中的所有域控制器可接收更改内容并将这些内容复制到域中的所有其他域控制器中。Active Directory 中的每个域用域名系统 (DNS) 域名标识,并且需要一个或多个域控制器。如果您的网络需要一个以上的域,那么您可以轻松创建多个域。
2、AD:Active Directory =>
Active Directory® 目录服务可安装在运行 Microsoft® Windows Server™ 2003 Standard Edition、Windows Server 2003 Enterprise Edition 和 Windows Server 2003 Datacenter Edition 的服务器上。Active Directory 存储有关网络上的对象的信息,并使管理员和用户更方便地查找和使用这种信息。Active Directory 使用结构化的数据存储作为目录信息的逻辑化、分层结构的基础。
3、AD架构:Active Directory 架构包含目录中所有对象的定义。每个新创建的目录对象都会在写入该目录之前针对架构中的相应对象定义进行验证。架构由对象类和属性组成。基础(或默认)架构包含一组丰富的对象类别和属性以满足大多数单位的需要,并遵循目录服务的国际标准化组织 (ISO) X.500 标准进行建模。由于这是可扩展的,因此可以在基础架构中修改和添加类别和属性。但是,应仔细考虑所做的每个更改,因为扩展架构会影响整个网络。
9. AD域控是什么意思
第一、微软基于AD的域模式,最大的优点是实现了集中式管理。以前在无数客户端要重复多次的内设置,容只要在域控制器上做一次设置就可以了。减少了管理员的工作量,甚至可以裁员了,减少了维护企业网络的开支,降低了总体拥有成本。方便了管理员。
第二、对于域中的普通用户来说可能不是一件好事了,原来是工作组每个人都是本地计算机的管理员,想装QQ装QQ,想装迅雷装迅雷,人人都是土皇帝。在域模式后。普通的域用户对于客户机的权限少的可怜,可以说管理员让干什么才能干什么,失去了对主机的控制。对平常工作时间炒个股、玩个游戏、装个乱七八糟的软件的人来说是没有任何实惠的。但是公司不是网吧,这样做可以提高工作的效率,是符合公司整体利益的。
第三、AD是一个大的安全边界,用户只要在登录时验证了身份,这个域林中所有允许访问资源都可以直接访问,不用再做身份验证,也提高的效率减少了维护成本。
第四、对于用户好处,通过文件夹的重定向我们可以将所有用户桌面的“我的文档”重定向到文件服务器上。一来可以集中备份,不用担心客户端重装和故障造成用户数据丢失;而来不管用户在域中哪台计算机登录都可以找到自己的“我的文档”,实现文档跟随用走。