Глоссарий
- Active Directory
-
Cлужбы каталогов Microsoft для операционных систем семейства Windows Server.
- Conditional DNS Forwarding
-
Технология, позволяющая настраивать условное разрешение DNS-имен в зависимости от запрошенного имени, IP-адреса и местоположения клиента, времени суток и других параметров.
- Kerberos
-
Протокол сетевой аутентификации, который реализует систему совместно используемых секретных ключей для защищенной аутентификации пользователя в незащищенной сетевой среде.
- Security Identifier (SID)
-
Уникальный идентификатор безопасности, который присваивается каждому объекту в Active Directory, включая пользователей, группы и компьютеры. При передаче SID между доменами система делает проверки, чтобы гарантировать, что пользователь или группа, имеющие данный SID, имеют соответствующие разрешения на доступ к ресурсам в другом домене. Эти проверки основаны на установленных правилах и настройках безопасности, которые определяют, какие пользователи и группы имеют доступ к каким ресурсам в различных доменах. Таким образом, передача SID между доменами позволяет пользователям и группам получать доступ к ресурсам в других доменах без необходимости повторной аутентификации или создания новых учетных записей.
- SID Filtering
-
Механизм обеспечения безопасности, который используется для защиты от атак типа «спуфинг» (SID spoofing). Он позволяет контролировать передачу SID между доменами и фильтровать неправильные SID.
- Single Sign-On
-
Технология единого входа, обеспечивающая возможность использования одного идентификатора для доступа ко всем разрешенным информационным ресурсам и системам.
- SRV-запись (Service Record)
-
Запись, указывающая расположение (имя хоста, номер порта) серверов для определенных сервисов.
Формат записи:
_service._proto.name. ttl IN SRV priority weight port target
Описание элементов записи:
-
service
— символическое имя запрашиваемого сервиса; -
proto
— транспортный протокол запрашиваемого сервиса (как правило, TCP или UDP); -
name
— заканчивающееся точкой имя домена, в рамках которого действует запись; -
ttl
— стандартное поле DNS, задающее время жизни записи в секундах до актуализации информации о ее значении; -
IN
— стандартное поле, задающее класс DNS (всегда имеет значение IN); -
SRV
— тип записи (всегда имеет значениеSRV
); -
priority
— приоритет целевого хоста (чем меньше значение, тем выше приоритет); -
weight
— относительный вес для записей с одинаковым приоритетом (чем больше значение, тем выше вероятность выбора записи); -
port
— TCP- или UDP-порт, на котором доступен сервис; -
target
: — заканчивающееся точкой каноническое имя хоста, на котором доступен сервис.Пример записи:
_ldap._tcp.INNOSAMBA.inno.tech 86400 IN SRV 0 100 389 dc1.innosamba.inno.tech
-
- SysVol
-
Набор файлов и папок, которые находятся на локальном жестком диске каждого контроллера домена в домене и реплицируются службой репликации файлов (FRS).
- Билет (Kerberos)
-
Данные, используемые клиентом для аутентификации на сервере, у которого клиент запрашивает службу. Он содержит имя сервера, имя клиента, адрес клиента, дату, время жизни и произвольный ключ сессии. Все эти данные зашифрованы с использованием ключа сервера.
- Внешнее доверительное отношение
-
Доверительное отношение, в рамках которого домен, работающему на базе Samba, может обмениваться информацией и ресурсами с доменом, работающим на базе Microsoft Active Directory.
- Группа
-
Объект, являющийся контейнером для других объектов. Может быть самостоятельным субъектом доступа при проверке прав доступа к какому-либо объекту
- Групповая политика
-
Набор правил, применяемых к объектам. Назначается группе (или, как частный случай, любому объекту, который может быть включен в группу — пользователю, компьютеру), организационной единице или узлу.
- Дерево доменов
-
Иерархическая система доменов, имеющая единый корень (корневой домен) и использующая непрерывное пространство имен.
- Доверие, доверительное отношение
-
Связь между двумя доменами, в рамках которой пользователи и компьютеры из одного домена получают доступ к ресурсам другого домена. Доверительные отношения могут быть односторонними (один домен получает доступ к ресурсам другого домена, но не наоборот) и двусторонними (оба домена получают доступ к ресурсам друг друга). У домена может быть доверие с другим лесом, доменом в том же лесу, доменом в другом лесу и с зоной доверия Kerberos.
- Домен
-
Группа компьютеров, совместно использующих общую базу данных каталога.
- Зона DNS (DNS Zone)
-
Логическое пространство, служащее для объединения доменных имен ресурсов и содержащее требуемые ресурсные записи.
- Контакт
-
Объект, включающий контактную информацию о пользователе или организации
- Контроллер домена
-
Сервер, хранящий копию каталога ресурсов домена и обслуживающий запросы пользователей к каталогу.
- Пул DHCP
-
Набор IP-адресов, доступных для распределения пользователям в конфигурациях хоста с DHCP.
- Режим обслуживания (Maintenance Mode)
-
Режим работы, в котором контроллер Samba подключен к домену и полностью или частично настроен, но на него не поступают клиентские запросы.
- Лес доменов
-
Множество деревьев доменов, находящихся в различных формах доверительных отношений.
- Операции с одним исполнителем (FSMO)
-
Типы выполняемых контроллерами домена Active Directory операций, требующие обязательной уникальности сервера, который выполняет данные операции.
В зависимости от типа операции уникальность FSMO подразумевается в пределах или леса доменов, или домена.
Различные типы FSMO выполняются одним или несколькими контроллерами домена. Выполнение FSMO сервером называют «ролью» сервера.
Типы FSMO (ролей):
-
владелец схемы (Schema master);
-
владелец доменных имен (Domain naming master);
-
владелец относительных идентификаторов (RID master);
-
эмулятор первичного (основного) контроллера домена (PDC emulator);
-
владелец инфраструктуры домена (Infrastructure master);
-
хозяин зон DNS домена (Domain DNS Zone Master);
-
хозяин зон DNS леса (Forest DNS Zone Master).
-
- Ресурсная запись
-
Единица информации в DNS, с помощью которой перенаправляются запросы, поступающие на определенные доменные имена. Ресурсная запись имеет следующие параметры:
-
доменное имя;
-
тип записи;
-
время жизни записи (TTL, Time to live) в секундах до актуализации информации о ее значении;
-
значение записи.
-
- Сайт
-
Единица топологии сервиса каталогов; способ физической группировки на основе сегментов сети.
Сайты подразделяются на имеющие подключения по низкоскоростным каналам (например, по каналам глобальных сетей, с помощью виртуальных частных сетей) и по высокоскоростным каналам (например, через локальную сеть). Сайт может содержать один или несколько доменов, а домен может содержать один или несколько сайтов.
- Служба каталогов
-
Сетевая служба, обеспечивающая централизованное хранение информации о сетевых ресурсах (пользователи, компьютеры, группы и т. д.) в виде иерархически упорядоченной структуры, управление данной информацией и ее использование для контроля доступа к ресурсам в рамках сети, применения к ним групповых политик и т. д.
- Служба разрешения имен
-
Сетевая служба, обеспечивающая преобразование доменных имен в IP-адреса и наоборот.
- Транзитивное доверие
-
Отношение доверия между тремя или более доменами, где выполняется условие: если первый домен доверяет второму, а второй доверяет третьему, то первый также доверяет третьему.
Все домены дерева поддерживают транзитивные двухсторонние доверительные отношения с другими доменами в этом дереве.
Транзитивное доверие между несколькими лесами не поддерживается. Между лесами могут быть настроены двусторонние или односторонние доверительные отношения.