Administrator može da konfiguriše AD LDS instancu da koristi jednu startovanu kopiju AD LDS direktorijumskog servisa. Šema definiše svaki objekat i atribut unutar AD LDS direktorijumskog servisa. Dalje, Application Data su smešteni u Application Partition u instanci. Administrator može da prilagodi aplikaciju na način da ona ispunjava sve poslovne potrebe kreiranjem grupa i korisnika. Administrator može da koristi AD LDS Access Control za autentifikaciju korisnika i za određivanje da li korisnik poseduje dozvole za pristup specifičnim objektima.
Šta je AD LDS instanca?
Slika 14.1
-
AD LDS instanca je Single Running kopija AD LDS direktorijumskog servisa.
-
AD LDS instance koje drže kopije iste direktorijumske particije ili particija iz logičkog grupisanja koje se naziva konfiguracioni set.
-
Svaki AD LDS konfiguracioni set će imati specifičnu i nazavisnu šemu koja je smeštena unutar Schema Directory particije.
-
Više aplikativnih particija mogu da se izgrade u jednoj AD LDS instanci ako imaju kompatibnilne šeme.
-
Više kopija AD LDS direktorijumskog servisa mogu da rade konkurentski na istom kompjuteru, svaki koristi odvojeni Directory Data Store, i jedinstveno servis ime.
-
Kreiranje više instanci je bolje od kreiranja više aplikacionih particija (Application Partitions). Ovo je zato što više Application (aplikacija): Moraju održavati odvojene ili nekompatibilne šeme, potrebne su im različite konfiguracione postavke, potrebno je imati administratore koji ne bi trebalo da imaju pristup drugim AD LDS podacima.
Šta je AD LDS šema?
Slika 14.2
Šema definiše svaki objekat i atribut u direktorijumu. Za kreiranje tipa objekta u direktorijumu, moramo prvo da ga definišemo u šemi.
-
AD LDS šema definiše tipove objekata koristeći podatke koje smo kreirali i smestili unutar AD LDS instance, zajedno sa klasama objekta i atributima.
-
Za kreiranje tipa objekta u direktorijumu, moramo prvo da ga definišemo u šemi. šema definiše svaki objekat i atribut u direktorijumu.
-
Svaki AD DLS konfiguracioni set poseduje jedinstvenu i nezavisnu šemu koja je smeštena u šema Direktory particiji. Po defoltu, AD LDS sšema sadrži samo klase (Classes) i atribute koji su potrebni za startovanje instance.
-
Možemo da proširimo šemu tako da AD LDS može da zadrži specifične podatke koji su potrebni da bi se startovala određena aplikacija. Kada aplikacija zahteva različite šeme, odvojena AD LDS instanca treba da se izgradi za svaku aplikaciju.
-
AD LDS direktorijumi mogu da podrže aplikacije koje zavise od šema ekstenzija koje nisu poželjne u AD DS direktorijumu. Na primer, šema ektenzije koje su korisne za jednu aplikaciju (Single Application).
-
Administrator mora da importuje samo potrebne Schema definition fajlove za svaku instancu. Administrator takođe može da prilagodi i modifikuje šemu za aplikacije koje zahtevaju prilagođavanje šeme (Custom Schema). Slično kao AD DS šema, administrator može da proširi AD LDS šemu importovanjem LDAP Data Interchange Format (LDIF) (.ldf) fajlove unutar šeme.
Šta je Application particija?
Slika 14.3
AD LDS pruža fleksibilnu podršku za Directory-enabled Enterprise aplikacije, bez bilo kakvih AD DS restrikcija. Administrator može da kreira Application particiju u toku AD LDS podešavanja uloge servera ili nakon njenog završetka. Pre kreiranja objekata, objekat treba da bude definisan u šemi. Evo nekih ključnih aspekata AD LDS Application particije:
- AD LDS Application particija sadrži podatke koje koristi aplikacija.
- Application particija može lako da se identifikuje preko Fully Qualified Unique imena dodeljenog prilikom kreiranja particije.
- AD LDS top-level direktorijumska particija podržava DNS-style & X.500-style imena. Za razliku od AD DS, koji podržava samo DNS-style (DC=) imena za top level Direktory particije.
- AD LDS instanca podržava više aplikativnih particija koje dele istu šema particiju nezavisno. Ovo znači da promena šeme da podržava Application particiju, takođe utiče i na druge aplikacije koje se nalaze u instanci.
- U većini slučajeva, administrator može da upravlja podacima u odgovarajućoj Applications Directory particiji koristeći aplikaciju. Na primer, bilo koja promena koja je urađena u Directory-enabled aplikaciji, kao što je kreiranje novog korisničkog naloga ili modifikovanje application konfiguracije, su napisane kroz aplikaciju unutar Application directory particije.
AD LDS grupe i korisnici
Kada kreiramo AD LDS instancu, set korisnika i grupa je kreiran po defoltu. Ovi defoltni korisnici i grupe nude osnovnu funkcionalnost korisnika i administrativnih dozvola u AD LDS instanci. Ipak, administrator može da kreira dodatne korisnike i grupe da bi prilagodio aplikaciju tako da ona ispunjava sve potrebe i zahteve.
Administrator može da koristi Windows Security Principals za autentifikaciju i kontrolu pristupa (Access Control). Takođe, administrator može da doda lokalne Windows korisnike i grupe, i domenske korisnike u grupe, unutar AD LDS grupa kao članove koristeći AD LDS. Administrator može da kreira AD LDS korisnike importovanjem defolt User Object Class definicija koje nudi AD LDS unutar MSAdamSyncMetadata.LDF fajl.
Kako Access Control radi u AD LDS
Access Control u AD LDS sprečava korisnike od pristupanja informacijama. Access Control u AD LDS je veoma sličan Access Controlu u AD DS. AD LDS nudi kontrolu pristupa koja:
-
Autentifikuje identitet svih korisnika: Kada korisnik proba da se uloguje ili kada pokuša da pristupi podacima koji se nalaze u AD LDS direktorijumu, korisnik mora prvo da bude autentifikovan. Korisniku se dodeljuje sigurnosni token koji uključuje sigurnosni identifikator (SID). Tada, SID je dodeljen korisniku i svim AD LDS grupama kojim pripada korisnik.
-
Koristi Access Control Lista (ACLs) za adređivanje da li korisnik ima dozvole za pristup određenom objektu: Kada korisnik pokuša da pristupi objektu, klijentski kompjuter prezentuje sigurnosni token koji je kreiran u toku procesa autentifikacije. Ako se SID u sigurnosnim tokenu poklapa sa dozvolama koje su dodeljene unutar ACL, korisniku će biti odobren pristup objektu.