2012년 4월 17일 화요일

Active Directory

디렉터리란?
사용자 ,컴퓨터 파일 등과 같은 개체에 대한 정보를 말한다.

디렉터리서비스
-사용자가 검색하고자 하는 개체의 특성중 일부를 제공하면 네트워크에서 해당 개체를 찾을수 있도록 해주는 서비스를 말하며
Active Directory는 Windows기반의 디렉터리 서비스

Active Directory는 다음에 설명하는 도메인 및 포리스트로 구성된 Windows기반의 네트워크에 산재한 개체에 대한 정보를 저장하며
사용자가 이정보를 손쉽게 검색 할수 있도록 한다. 사용자는 한번 로그인하면 네트워크에서 사용자에게 허용된 모든 자원에 접근
할수 있으며 네트워크 관리자는 네트워크의 모든 개체를 한곳에서 관리할수있다

도메인 컨트롤러는 해당 도메인의 Active Directory를 실행하는 컴퓨터를 말한다.
각 도메인 컨트롤러가 도메인 내의 네트워크 자원에 대한 정보를 저장하는 Active Directory의 데이터베이스를 데이터저장소라고한다

데이터베이스의 내용은 스키마에 의해 정의된다. 스키마는 클래스와 클래스에 포함되는 특성들에 대한 정의를 가지는데,Active Directory의 디렉터리에 저장되는 개체들은 스키마에 정의되어 있는 클래스의 인스턴스다.

Active Directory구조
Active Directory 서비스는 데이터 모델,스키마,보안모델,관리모델의 주요 요소로 구성된다.

데이터모델 : Active Directory의 데이터모델은 X.500의 데이터모델을 기반으로 만들어졌다. 디렉터리에는 네트워크의 여러개체에 대한 정보가 저장되며 각 개체는 스키마에서 정의한다.

스키마 : Active Directory의 디렉터리에 저장되는 개체의 클래스에 대한 정의로 구성된다.

보안모델 : Active Directory의 디렉터리에 대한 접근은 ACL에 의해 제어된다

관리모델 : 인증된 사용자에 대하여 Active Directory의 관리를 수행할 수 있도록 한다.
상위관리자가 하위 관리자에게 관리를 위임할 수 있다.

Active Directory 서비스에 대한 접근
Active Directory는 기본적으로 LDAP(Lightweight Directory Access Protocol)를 사용하여 클라이언트 및 도메인 컨트롤러 사이의 통신을
수행한다. LDAP는 TCP/IP네트워크에서 사용할 수 있도록 IETF그룹에서 제정한 표준 통신 프로토콜로,복잡성을 배제하고 디렉터리 서비스에 효율적으로 접근할 수 있도록 개발된 개방형 인터넷표준이다.

Active Directory 서비스 구조
DSA(디렉터리 시스템 에이전트) : 디렉터리에 저장된 부모자식 관계에 의한 계층구조를 정의한다
데이타베이스계층 : 응용프로그램과 데이터베이스 사이의 추상화를 지원한다.
ESE(확장 가능한 저장소 엔진) : 데이터 저장소의 각 레코드에 직접 접근한다.
데이터 저장소 : ESE가 관리하는 디렉터리의 데이터를 저장한 파일로서 이름은 Ntds.dit

데이터저장소 구성요소
도메인데이터 : 도메인 데이터는 도메인에 있는 개체에 대한 정보가 저장된다
구성데이터 : 디렉터리의 토폴리지에 관한 정보를 저장한다.
스키마데이터:스키마 데이터에는 도메인에 속한 모든 개체에 대한 정의가 저장된다.
응용프로그램데이터 : 관리자 혹은 응용 프로그램이 만들고 관리한다.

디렉터리 파티션의 할당량
사용자가 고의로 계속 개체를 만들어서 도메인 컨트롤러의 데이터 저장소 공간이 부족해지는것을 방지할 수 있다.

구성원 서버
구성원서버는 기타서비스를 제공하는 컴퓨터를 의미한다(웹서버,인증서버,방화벽 및 원격 액세스 서버)

이름체계
연속적인이름공간 : 자식 개체의 이름에 부모 도메인의 이름이 포함된다. 도메인 트리는 연속적인 이름 공간이다.
불연속적인이름공간 : 부모개체와 자식 개체의 이름이 서로다르다. 포리스트는 불연속 적인 이름공간이다.

Active Directory와 DNS는 이름 공간을 공유 하지만 서로 다른 서비스다.Active Directory 클라이언트는 단지
도메인 컨트롤러를 찾기위해 DNS서비스를 이용하는 것이다. 따라서 Active Directory가 동작하기 위해서는 DNS가 작동하고있어야된다.

DN(공유이름)
  • CN = 일반이름
  • OU = 조직 구성 단위 이름
  • DC = 부분 도메인 이름
RDN(상대 고유 이름)
특정 부모 컨테이너 내의 개체를 고유하게 식별하는 데 사용하는 이름이다.

보안사용자
보안 사용자는 Active Directory 자원으로의 접근을 제어하기 위한 SID(보안식별자)를 할당받는 사용자를 말한다.

GUID(전역 고유 식별자)
Active Directory는 관리자가 입력하는 정보를 바탕으로 SID(보안 식별자)와 보안사용자를 식별하는 데 사용되는 GUID(전역 고유 식별자)를 만든다.
[출처] Active Directory|작성자 JYP

댓글 없음:

댓글 쓰기