中國銀行活動目錄預(yù)案建議書

46/46中國銀行活動目錄部署建議書中國銀行活動目錄部署建議書上海賽衛(wèi)思信息技術(shù)有限公司客戶服務(wù)部上海賽衛(wèi)思信息技術(shù)有限公司客戶服務(wù)部上海賽衛(wèi)思信息技術(shù)有限公司

客戶服務(wù)部2007-03-28V1.0上海浦東向城路15號錦城大廈11E電話：（86-21）51029886傳真：（86-21）58312457文檔說明中國銀行網(wǎng)絡(luò)基礎(chǔ)服務(wù)和活動目錄方案建議書制作者孫可可審核者制作日期2007．3更新日期版本1.0密級散發(fā)范圍中國銀行說明 本文檔中所包含的內(nèi)容是上海賽衛(wèi)思信息技術(shù)有限公司為中國銀行提供的活動目錄部署方案，其中可能用到了賽衛(wèi)思公司產(chǎn)品和技術(shù)的專有信息。這些信息僅在中國銀行活動目錄部署過程中使用，不應(yīng)該被擴散到中國銀行以外，同樣也不應(yīng)該在參考此手冊的前提下，復(fù)制、使用和擴散本手冊。 MicrosoftWindowsServer、InternetSecurityandAccelerationServer2006、MicrosoftSQLServer或其它本手冊中提及的Microsoft產(chǎn)品，是Microsoft的商標(biāo)或注冊商標(biāo)。本文檔所提到的真實的公司和產(chǎn)品名稱可能是其各自所有者的商標(biāo)。

項目概況隨著中國銀行業(yè)務(wù)的擴展和IT應(yīng)用的增加，維護整個網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定、安全、高效越來越重要。微軟是企業(yè)IT基礎(chǔ)架構(gòu)領(lǐng)域的技術(shù)領(lǐng)先者，其活動目錄技術(shù)被業(yè)界廣泛認(rèn)可，世界財富五百強的跨國公司大多采用活動目錄技術(shù)來提供IT基礎(chǔ)架構(gòu)服務(wù)。中國銀行和微軟有著良好的合作關(guān)系，在IT應(yīng)用的各個領(lǐng)域都有很多微軟的解決方案。為利用新技術(shù)全面提升IT管理能力，決定在此次項目中全面部署基于WindowsServer2003的網(wǎng)絡(luò)基礎(chǔ)服務(wù)和活動目錄服務(wù)。Windows2003操作系統(tǒng)集成了IT基礎(chǔ)架構(gòu)所需要的各種網(wǎng)絡(luò)服務(wù)，讓企業(yè)來建立和管理網(wǎng)絡(luò)、連接遠程工作人員、連接分支機構(gòu)并且建立兄弟單位的外部網(wǎng)。Windows2003Server在開放的平臺上遵循標(biāo)準(zhǔn)的協(xié)議，它提供了增強的安全性和策略控制，同時提高性能并且簡化了系統(tǒng)的安裝、管理和使用。此次項目將以建立完善的網(wǎng)絡(luò)基礎(chǔ)服務(wù)，集中統(tǒng)一規(guī)劃結(jié)構(gòu)合理的基于WindowsServer2003活動目錄為目標(biāo)，賽衛(wèi)思將幫助中國銀行建立更加強大的IT基礎(chǔ)架構(gòu)，以適應(yīng)業(yè)務(wù)的高速發(fā)展。二、項目方案 下文中將就網(wǎng)絡(luò)基礎(chǔ)服務(wù)、活動目錄服務(wù)、遠程安裝服務(wù)三個方面進行詳細介紹。2.1網(wǎng)絡(luò)基礎(chǔ)服務(wù)2.1.1背景簡介WindowsServer2003的基礎(chǔ)的網(wǎng)絡(luò)服務(wù)包括以下兩大方面：地址分配地址分配即IP地址的分配和管理。目前中國銀行的ip地址是靜態(tài)的，其添加和維護工作由IT人員在現(xiàn)場手工完成。根據(jù)中國銀行的安全策略，在此次項目中仍然使用靜態(tài)ip地址。名稱解析名稱解析是指在訪問網(wǎng)絡(luò)資源（包括文件服務(wù)器和打印機）時，如何將資源的名稱轉(zhuǎn)換成對應(yīng)的IP地址的服務(wù)。通過DNS和WINS的服務(wù)，相關(guān)的服務(wù)器會自動將某個名稱轉(zhuǎn)換成實際的IP地址，用戶只需記住容易辨識的資源名稱即可進行相應(yīng)的訪問。這樣網(wǎng)絡(luò)資源的共享和使用效率將得到很大程度的提高。下文將對相關(guān)的部分進行詳細的介紹。2.1.2地址分配這次項目不牽涉對中國銀行現(xiàn)有ip地址分配方法的改動。Ip地址的劃分和分配，還沿用原有的設(shè)計。2.1.3名稱解析DNS內(nèi)部名稱解析建議在域內(nèi)每一個站點都設(shè)一臺DNS服務(wù)器。該服務(wù)器同時也是域控制器。換而言之，所有的域控制器同時也都將是DNS服務(wù)器。建議中國銀行內(nèi)部網(wǎng)絡(luò)的域名為：boc.DNS服務(wù)器都將DNS數(shù)據(jù)放在本地的AD數(shù)據(jù)庫中，但是作為獨立的ApplicationPartition來參與域控制器之間的目錄復(fù)制(DirectoryReplication)從而同步DNS數(shù)據(jù)庫。中國銀行內(nèi)部目前使用linux的DNS服務(wù)，該DNS上面有銀行內(nèi)部一些應(yīng)用程序需要的特有的服務(wù)紀(jì)錄。在部署過程中，我們建議在活動目錄的DNS服務(wù)器上設(shè)置轉(zhuǎn)發(fā)，當(dāng)用戶需要查詢這些特有的紀(jì)錄時，域的DNS服務(wù)器會將解析的請求自動轉(zhuǎn)發(fā)到linux上。這樣既可以實現(xiàn)活動目錄內(nèi)資源的地址解析，也可以實現(xiàn)原有l(wèi)inux上提供的紀(jì)錄的解析。預(yù)期效果所有內(nèi)網(wǎng)的客戶端都將通過域DNS來進行名稱解析。包括登入域和訪問文件服務(wù)器或其他客戶端。每一個加入域的客戶端都通過動態(tài)注冊在DNS服務(wù)器上注冊自己的主機紀(jì)錄(A)和指針紀(jì)錄(PTR)。管理員在服務(wù)器上可以輕松的了解所有客戶端的注冊情況。2.2活動目錄服務(wù)2.2.1背景簡介Windows2003的活動目錄(ActiveDirectory)服務(wù)是Windows2003網(wǎng)絡(luò)結(jié)構(gòu)的一個必要和不可分離的部分，該服務(wù)是特別為分布式的網(wǎng)絡(luò)環(huán)境而設(shè)計的?；顒幽夸浛梢宰屍髽I(yè)有效地共享和管理網(wǎng)絡(luò)資源和用戶的信息。此外，活動目錄扮演著網(wǎng)絡(luò)安全性的主要權(quán)威的角色，它讓操作系統(tǒng)準(zhǔn)備好驗證用戶的身份并且控制他或她對網(wǎng)絡(luò)資源的訪問。同等重要的是，活動目錄起到了把系統(tǒng)集成到一起的結(jié)合點并且鞏固管理任務(wù)的作用。新版Windows2003的活動目錄服務(wù)在Windows2000版本的基礎(chǔ)上，保留了大部分體系結(jié)構(gòu)，但在安全性，穩(wěn)定性和擴展性上又有很大的進步。設(shè)計Windows2003活動目錄服務(wù)主要包括以下幾方面：域結(jié)構(gòu)組織單元結(jié)構(gòu)賬號和口令管理站點結(jié)構(gòu)FSMO角色2.2.2域結(jié)構(gòu)和DC位置規(guī)劃域結(jié)構(gòu)設(shè)計是活動目錄中最重要，也是最基礎(chǔ)的工作，是多種因素權(quán)衡的結(jié)果，它既要盡可能貼近用戶的管理模式和組織結(jié)構(gòu)，也要考慮網(wǎng)絡(luò)情況及今后的各種變化。建議此次在中國銀行的IT環(huán)境內(nèi)采用單域結(jié)構(gòu)，域名：BOC.以下是單域結(jié)構(gòu)相對于其他結(jié)構(gòu)的優(yōu)點：使用EnterpriseAdministrators組集中管理整個集團的安全策略。利用域里的組織單元反映具體的企業(yè)內(nèi)部組織結(jié)構(gòu)。當(dāng)機構(gòu)重組時可以非常靈活的進行調(diào)整。當(dāng)資源和用戶需要在組織機構(gòu)內(nèi)遷移時可以非常靈活的調(diào)整。2.2.3組織單元結(jié)構(gòu)一個組織單元是一個容器對象，用于管理域中的對象，例如：用戶賬號、組、計算機、打印機和其他的組織單位。可以使用組織單位在一個邏輯層次中組織各種對象，這樣能夠體現(xiàn)企業(yè)基于部門的或基于地理分界的結(jié)構(gòu)?？梢栽谟蛑袆?chuàng)建組織單位的層次結(jié)構(gòu)。組織單位可包含用戶、組、計算機、打印機、共享文件夾以及其他組織單位。組織單位是目錄容器對象。它們表現(xiàn)為“ActiveDirectory用戶和計算機”中的文件夾。組織單位簡化了域中目錄對象的視圖以及這些對象的管理。可將每個組織單位的管理控制權(quán)委派給特定的人。這樣，您就可以在管理員中分配域的管理工作，以更接近指派的單位職責(zé)的方式來管理這些管理性職責(zé)工作。在中國銀行活動目錄部署中，組織單元的設(shè)計將遵循兩點原則：反映中國銀行內(nèi)部的組織結(jié)構(gòu)有利于通過組策略進行細化的終端管理由于用戶帳號（在這里包括用戶組賬號）和計算機賬號分?jǐn)?shù)兩種不同的資源類型，所以也需要分開管理。通常，應(yīng)該創(chuàng)建能反映組織單位的職能或商務(wù)結(jié)構(gòu)的單位。例如，您可以創(chuàng)建頂級單位，例如人事、設(shè)備管理和營銷等部門單位。在人事單位中，您可以創(chuàng)建其他的嵌套組織單位，例如福利和招聘單位。在招聘單位中，也可以創(chuàng)建另一級的嵌套單位。例如，內(nèi)部招聘和外部招聘單位?？傊?，組織單位可使您以一種更有意義且易于管理的方式來模擬本單位實際工作的情況，而且在任何一級指派一個適當(dāng)?shù)谋镜貦?quán)利機構(gòu)作為管理員。具體的組織單元結(jié)構(gòu)在進行后續(xù)部署時進行細化。組織單元示意圖：2.2.4賬號和口令管理賬號管理可以分為個人賬號管理、組賬號管理和機器賬號管理。個人賬號管理個人賬號可以分為兩類：第一類為普通賬號，采用一人一號的方式，為每一位員工建立自己的賬號。當(dāng)員工加入或者離開時，按照一定的規(guī)則增加或者刪除用戶的賬號。第二類為特殊賬號，通常不屬于某一位員工，而是為了滿足某些特殊的功能，比如系統(tǒng)管理、匿名訪問等等。特殊賬號有以下幾個：Administrator，系統(tǒng)管理員賬號，具有最高的權(quán)限，可以進行任何管理操作，該賬號不能被刪除，只能更改用戶名。為了提高系統(tǒng)的安全性，建議將管理員賬號的用戶名更改，比如hqadmin（僅僅是建議，系統(tǒng)管理員可以自行決定）。Guest，匿名登錄的賬號，為了提高系統(tǒng)的安全性，建議將Guest賬號禁止。服務(wù)的賬號，在Windows2003中，每一個服務(wù)都需要一個賬號，通常這些賬號采用系統(tǒng)賬號，無須關(guān)心，但有一些服務(wù)需要特殊的用戶賬號。每個個人賬號都有一個口令來保護，為了防止口令被盜用和攻擊，建議在整個域中啟用相應(yīng)的密碼策略以保證每個密碼都符合一定的復(fù)雜度，具體要求如下：長度不得小于7個字符必須包含大寫和小寫字母必須包含特殊字符（例如：~!@#$%^&*()_+）個人賬號的命名規(guī)則，用戶名稱將使用中文名，帳號名稱為:采用英文名稱，如有重復(fù)則在末尾加用戶所在部門名稱的首字母，若仍有重復(fù)則在末尾加數(shù)字以示區(qū)別。例如：姓名 英文名 帳戶名

張剛tony tony.zhang

計算機賬號管理所有加入到域中的計算機都需要一個計算機賬號，通過該帳號，可以對計算機的各種配置進行管理。建議的計算機命名規(guī)則為：部門+序號。例如：HR-001（人力資源部第一臺計算機）。組賬號管理分組管理是重要而有效的管理策略。在Windows2003中有三種組帳戶：通用組（UniversalGroup）、全局組（globalgroup）和域本地組（Domainlocalgroup），全局組可以包括本域的用戶帳戶（useraccount），域本地組可以包括本域和資源域的用戶帳戶和全局組帳戶，通用組的使用則沒有任何限制。良好的分組策略可以降低管理的復(fù)雜性，避免安全上的漏洞，大大提高管理的可靠性。采用這樣的分組策略：按照職位分組。按職能分組，例如所有的財務(wù)人員，所有的科技人員，所有的系統(tǒng)管理員等等。對員工分類，比如普通員工，臨時員工等等。由于維護用戶和組賬號是一項日常的工作，這項工作將由中國銀行的IT人員，依據(jù)管理的需求來創(chuàng)建。首先將所有用戶分到各個不同的組織單元(OU)下面。每個組織單元下還包含一個用戶組，該用戶組的成員即是該組織單元內(nèi)的所有用戶，這樣可以較為輕松的管理用戶資源。2.2.5管理控制委派總部集中的管理并不以為著所有與IT相關(guān)的操作、配置都必須由總部的IT人員完成，WindowsServer2003的活動目錄提供了很好的委派管理機制，可以有效地減少總部的管理負(fù)擔(dān)，實現(xiàn)既中央集權(quán)，又分布管理。對于一個大型的銀行而言，管理IT資源的人員不可能局限于一兩個人。在有多個管理員同時存在的情況下，如何分配管理權(quán)限是一個重要的問題。如果權(quán)限過于疏松，個別的人為誤操作或惡意攻擊將對整個企業(yè)的環(huán)境產(chǎn)生威脅；而權(quán)限過于嚴(yán)格，又會產(chǎn)生諸多不便，影響工作效率并增加管理負(fù)擔(dān)。Windows2003提供了一種叫做管理控制委派(DelegationofAdministrativeControl)的機制來解決這一問題。通過對不同管理控制的委派，可以輕松的讓某一個或某一組普通用戶帳號管理一定的資源，同時又不放松對整個域和其他重要資源的控制。通過一定的委派，這些帳號都有權(quán)限管理自己分支機構(gòu)所對應(yīng)的OU下面所有的用戶帳號和計算機賬號，包括改名，改密碼，創(chuàng)建用戶和組，或加入計算機到域內(nèi)。但是，對于域內(nèi)的其他資源而言，這些帳號只是普通的用戶帳號，沒有權(quán)限進行任何改動。同時，這些帳號都將加入一個用戶組，名稱是admins。這個組將加入域內(nèi)每一臺客戶端的本地管理員組(administrators)中。這意味著這些帳號都可以登入到任何一臺客戶端上并具有本地管理員的權(quán)限。這樣，這些帳號就可以用來代替每一個客戶端的本地管理員賬號來管理本地資源。2.2.6活動目錄的備份和恢復(fù)活動目錄是一種事務(wù)性數(shù)據(jù)庫，它是一種預(yù)先寫入記錄的模式，使用了ESE97的技術(shù)。在磁盤上，AD顯示為幾個文件，它們是ntds.dit(AD數(shù)據(jù)庫)，一組交易記錄(即日志)和記錄數(shù)據(jù)庫最后一個緩沖區(qū)的檢查點文件。還有一個暫時性的數(shù)據(jù)庫文件。目錄服務(wù)是一個組合名詞，它包括有目錄數(shù)據(jù)存儲和可讓用戶或程序存取信息的相關(guān)服務(wù)的意思。

為什么要有目錄呢?目錄可提供企業(yè)網(wǎng)絡(luò)所有重要數(shù)據(jù)的一個集中存放區(qū)域，這些數(shù)據(jù)包括用戶帳戶、計算機、打印機、應(yīng)用程序、安全性與系統(tǒng)原則等各種資源。將大部分的重要的資源集中的放在某個共享的網(wǎng)絡(luò)資源中，這樣一來可以改善企業(yè)的效率與大幅減少網(wǎng)絡(luò)的總擁有成本(TCO)。WIN2K的目錄服務(wù)使用的是多控制器模式，也就是說，可以在任意的一個控制器上修改目錄資源。所以，從上我們可以得知，AD實際是個數(shù)據(jù)庫，而每個DC都是重要的數(shù)據(jù)庫服務(wù)器。當(dāng)AD環(huán)境中的某一臺DC出現(xiàn)災(zāi)難時，不影響用戶的訪問，因為其他的DC上面保存有同樣的活動目錄數(shù)據(jù)庫。AD的備份你不能單獨備份ActiveDirectory,Windows2003將ActiveDirectory做為系統(tǒng)狀態(tài)數(shù)據(jù)的一部分進行備份。系統(tǒng)狀態(tài)數(shù)據(jù)包括注冊表,系統(tǒng)啟動文件,類注冊數(shù)據(jù)庫,證書服務(wù)數(shù)據(jù),文件復(fù)制服務(wù),集群服務(wù),域名服務(wù)和活動目錄等,這幾部分都不能單獨進行備份,必須做為系統(tǒng)狀態(tài)數(shù)據(jù)的一部分進行備份。你可以在系統(tǒng)工具里找到備份工具來完成此工作，也可以使用第三方軟件來實現(xiàn)。但要注意備份AD的一些約束條件:AD只備份當(dāng)前有效的數(shù)據(jù)，對于已經(jīng)標(biāo)記刪除的對象，不備份。而AD中的對象刪除并不是立即的，需要有60天的刪除標(biāo)記時間。因此，應(yīng)避免恢復(fù)60天前的AD備份，以免導(dǎo)致AD不完整。要確保備份中同時包含系統(tǒng)狀態(tài)、系統(tǒng)盤的文件以及SYSVOL目錄的內(nèi)容。你只能用原服務(wù)器的備份來恢復(fù)該服務(wù)器，不能用另一臺服務(wù)器的備份恢復(fù)該服務(wù)器。AD的還原有兩種辦法可以恢復(fù)ActiveDirectory。第一種是從域的其它DC上恢復(fù)數(shù)據(jù),前提是域內(nèi)必須還有一臺DC是可用的,這時當(dāng)損壞的DC重新安裝并加入到它原來的域時,DC之間會自動進行數(shù)據(jù)復(fù)制,ActiveDirectory隨之會恢復(fù)。另一種方法就是從備份介質(zhì)進行恢復(fù)。通常情況下,對于大多數(shù)小型公司來說,整個公司只有一個域,由于資金等諸方面的限制也只有一臺DC,因此從介質(zhì)恢復(fù)ActiveDirectory是經(jīng)常遇到的事情。使用備份來還原活動目錄分為兩種方式：授權(quán)還原方式和非授權(quán)還原方式從備份介質(zhì)進行ActiveDirectory恢復(fù)有兩種方式可以選擇:驗證方式(authoritativerestore)和非驗證方式(nonauthoritativerestore)。

通常情況下,Windows2000使用非授權(quán)方式恢復(fù):ActiveDirectory從備份介質(zhì)中恢復(fù)以后,域內(nèi)其它的DC會在復(fù)制過程中使用新的數(shù)據(jù)覆蓋舊的恢復(fù)過來的舊的數(shù)據(jù)。舉個例子,假設(shè)今天是星期五,你使用了星期三的備份對ActiveDirectory進行了恢復(fù),那么從星期三以來已經(jīng)更改了的數(shù)據(jù)會復(fù)制到你正在恢復(fù)ActiveDirectory的DC上,也就是新數(shù)據(jù)會覆蓋你使用備份恢復(fù)的數(shù)據(jù)。授權(quán)模式則完全不同,它會將從備份介質(zhì)恢復(fù)過來的數(shù)據(jù)強行復(fù)制到域內(nèi)所有的DC上,無論從備份以后數(shù)據(jù)是否發(fā)生了變化。還拿上面的例子來說,當(dāng)你在星期五使用星期三的備份恢復(fù)了ActiveDirectory后,這些恢復(fù)過來的數(shù)據(jù)會復(fù)制到域內(nèi)所有的DC上,強行將備份后發(fā)生改變的所有數(shù)據(jù)覆蓋掉,域內(nèi)數(shù)據(jù)就恢復(fù)到了備份時的狀態(tài)。驗證模式恢復(fù)ActiveDirectory通常用于這種情況:ActiveDirectory在域內(nèi)某臺DC上發(fā)生了嚴(yán)重的錯誤,而且這種錯誤通過復(fù)制擴散到了域內(nèi)的其它DC上,這時就需要在某臺DC上使用驗證方式恢復(fù)ActiveDirectory,強制使域恢復(fù)到原來的好的狀態(tài)。應(yīng)該說這種方式是用的比較多的一種恢復(fù)ActiveDirectory的方式。三、關(guān)于遠程安裝什么是RIS服務(wù)RIS服務(wù)是一種從Windows2000時代開始的技術(shù)，它的全名是Remoteinstallationservice,我們可以實用他來對WindowsXP進行遠程安裝使用RIS服務(wù)的優(yōu)點RIS主要提供了以下優(yōu)點：它可以為我們提供WindowsXP的遠程安裝，而不用到每臺機器面前去一個一個安裝簡單化的服務(wù)器管理支持在計算機出現(xiàn)故障時對操作系統(tǒng)進行恢復(fù)即使目標(biāo)計算機重新啟動，也可保持它的WindowsXP的安全性在什么時候使用RIS安裝WindowsXP系統(tǒng)在以下情況下選擇使用RIS來安裝WindowsXP是比較合適的：要在多臺計算機上安裝WindowsXP系統(tǒng)，但不想通過手動安裝每一臺機器。企業(yè)或機構(gòu)部署大量的計算機時，可以選擇RIS進行自動部署。網(wǎng)絡(luò)中配置了DHCP、DNS、ActiveDirectory。（實現(xiàn)RIS的必要條件）注意上面條件中列出。如果要使用RIS服務(wù)進行WindowsXP的遠程安裝，DHCP服務(wù)是必須要條件。但是由于中國銀行內(nèi)部的安全策略中禁止使用DHCP服務(wù)，所以在本次實施用我們依然采用DHCP服務(wù)，同時使用基于802.1x的網(wǎng)絡(luò)訪問認(rèn)證技術(shù)。這樣只有通過了身份驗證的用戶才能通過網(wǎng)絡(luò)中的DHCP服務(wù)器得到ip地址。關(guān)于802.1x網(wǎng)絡(luò)訪問認(rèn)證技術(shù)802.1x協(xié)議起源于802.11協(xié)議，后者是IEEE的無線局域網(wǎng)協(xié)議，制訂802.1x協(xié)議的初衷是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認(rèn)證，只要用戶能接入局域網(wǎng)控制設(shè)備(如LANSwitch)，就可以訪問局域網(wǎng)中的設(shè)備或資源。這在早期企業(yè)網(wǎng)有線LAN應(yīng)用環(huán)境下并不存在明顯的安全隱患。但是隨著移動辦公及駐地網(wǎng)運營等應(yīng)用的大規(guī)模發(fā)展，服務(wù)提供者需要對用戶的接入進行控制和配置。尤其是WLAN的應(yīng)用和LAN接入在電信網(wǎng)上大規(guī)模開展，有必要對端口加以控制以實現(xiàn)用戶級的接入控制，802.lx就是IEEE為了解決基于端口的接入控制(Port-BasedNetworkAccessContro1)而定義的一個標(biāo)準(zhǔn)。IEEE802.1X是根據(jù)用戶ID或設(shè)備，對網(wǎng)絡(luò)客戶端(或端口)進行鑒權(quán)的標(biāo)準(zhǔn)。該流程被稱為“端口級別的鑒權(quán)”。它采用RADIUS(遠程認(rèn)證撥號用戶服務(wù))方法，并將其劃分為三個不同小組:請求方、認(rèn)證方和授權(quán)服務(wù)器。820.1X標(biāo)準(zhǔn)應(yīng)用于試圖連接到端口或其它設(shè)備(如CiscoCatalyst交換機或CiscoAironet系列接入點)(認(rèn)證方)的終端設(shè)備和用戶(請求方)。認(rèn)證和授權(quán)都通過鑒權(quán)服務(wù)器(如CiscoSecureACS)后端通信實現(xiàn)。IEEE802.1X提供自動用戶身份識別，集中進行鑒權(quán)、密鑰管理和LAN連接配置。如上所屬，整個802.1x的實現(xiàn)設(shè)計三個部分，請求者系統(tǒng)、認(rèn)證系統(tǒng)和認(rèn)證服務(wù)器系統(tǒng)。一下分別介紹三者的具體內(nèi)容:請求者系統(tǒng)請求者是位于局域網(wǎng)鏈路一端的實體，由連接到該鏈路另一端的認(rèn)證系統(tǒng)對其進行認(rèn)證。請求者通常是支持802.1x認(rèn)證的用戶終端設(shè)備，用戶通過啟動客戶端軟件發(fā)起802.lx認(rèn)證，后文的認(rèn)證請求者和客戶端二者表達相同含義。認(rèn)證系統(tǒng)認(rèn)證系統(tǒng)對連接到鏈路對端的認(rèn)證請求者進行認(rèn)證。認(rèn)證系統(tǒng)通常為支持802.Lx協(xié)議的網(wǎng)絡(luò)設(shè)備，它為請求者提供服務(wù)端口，該端口可以是物理端口也可以是邏輯端口，一般在用戶接入設(shè)備(如LANSwitch和AP)上實現(xiàn)802.1x認(rèn)證。倎文的認(rèn)證系統(tǒng)、認(rèn)證點和接入設(shè)備三者表達相同含義。認(rèn)證服務(wù)器系統(tǒng)認(rèn)證服務(wù)器是為認(rèn)證系統(tǒng)提供認(rèn)證服務(wù)的實體，建議使用RADIUS服務(wù)器來實現(xiàn)認(rèn)證服務(wù)器的認(rèn)證和授權(quán)功能。請求者和認(rèn)證系統(tǒng)之間運行802.1x定義的EAPO(ExtensibleAuthenticationProtocoloverLAN)協(xié)議。當(dāng)認(rèn)證系統(tǒng)工作于中繼方式時，認(rèn)證系統(tǒng)與認(rèn)證服務(wù)器之間也運行EAP協(xié)議，EAP幀中封裝認(rèn)證數(shù)據(jù)，將該協(xié)議承載在其它高層次協(xié)議中(如RADIUS)，以便穿越復(fù)雜的網(wǎng)絡(luò)到達認(rèn)證服務(wù)器;當(dāng)認(rèn)證系統(tǒng)工作于終結(jié)方式時，認(rèn)證系統(tǒng)終結(jié)EAPoL消息，并轉(zhuǎn)換為其它認(rèn)證協(xié)議(如RADIUS)，傳遞用戶認(rèn)證信息給認(rèn)證服務(wù)器系統(tǒng)。認(rèn)證系統(tǒng)每個物理端口內(nèi)部包含有受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPoL協(xié)議幀，可隨時保證接收認(rèn)證請求者發(fā)出的EAPoL認(rèn)證報文;受控端口只有在認(rèn)證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。整個802.1x的認(rèn)證過程可以描述如下(1)客戶端向接入設(shè)備發(fā)送一個EAPoL-Start報文，開始802.1x認(rèn)證接入;(2)接入設(shè)備向客戶端發(fā)送EAP-Request/Identity報文，要求客戶端將用戶名送上來;(3)客戶端回應(yīng)一個EAP-Response/Identity給接入設(shè)備的請求，其中包括用戶名;(4)接入設(shè)備將EAP-Response/Identity報文封裝到RADIUSAccess-Request報文中，發(fā)送給認(rèn)證服務(wù)器;(5)認(rèn)證服務(wù)器產(chǎn)生一個Challenge，通過接入設(shè)備將RADIUSAccess-Challenge報文發(fā)送給客戶端，其中包含有EAP-Request/MD5-Challenge;(6)接入設(shè)備通過EAP-Request/MD5-Challenge發(fā)送給客戶端，要求客戶端進行認(rèn)證(7)客戶端收到EAP-Request/MD5-Challenge報文后，將密碼和Challenge做MD5算法后的Challenged-Pass-word，在EAP-Response/MD5-Challenge回應(yīng)給接入設(shè)備(8)接入設(shè)備將Challenge，ChallengedPassword和用戶名一起送到RADIUS服務(wù)器，由RADIUS服務(wù)器進行認(rèn)證(9)RADIUS服務(wù)器根據(jù)用戶信息，做MD5算法，判斷用戶是否合法，然后回應(yīng)認(rèn)證成功/失敗報文到接入設(shè)備。如果成功，攜帶協(xié)商參數(shù)，以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán)。如果認(rèn)證失敗，則流程到此結(jié)束;(10)如果認(rèn)證通過，用戶通過標(biāo)準(zhǔn)的DHCP協(xié)議(可以是DHCPRelay)，通過接入設(shè)備獲取規(guī)劃的IP地址;四、附錄：術(shù)語和概念3.1目錄服務(wù)（directoryservice）目錄服務(wù)是一種存儲網(wǎng)絡(luò)信息的層次結(jié)構(gòu)。目錄是用來存儲有用對象的信息源，例如電話目錄存儲關(guān)于電話用戶的信息。在文件系統(tǒng)中，目錄存儲關(guān)于文件的信息。在分布式計算機系統(tǒng)或者象Internet這樣的公用計算機網(wǎng)絡(luò)中，有許多有用的對象，例如打印機、傳真機、應(yīng)用軟件、數(shù)據(jù)庫和其它用戶。用戶希望尋找并使用這些對象。而管理員則希望管理這些對象的使用。這份文檔中，術(shù)語directory（目錄）和directoryservice（目錄服務(wù)）指在公用和專用網(wǎng)絡(luò)中的目錄?！澳夸浄?wù)”不同于“目錄”在于它既是目錄信息源，也是使用戶可以使用這些信息的服務(wù)者。3.2活動目錄(activedirectory)活動目錄是包含了Windows

2000Server的目錄服務(wù)。它擴展了以前基于Windows的目錄服務(wù)的功能，并增加了一些全新的功能?；顒幽夸浭前踩?、分布式、可分區(qū)和可復(fù)制的。它的設(shè)計保證能在任何規(guī)模的安裝中正常工作，從只有幾百個對象，一臺服務(wù)器的小系統(tǒng)到擁有數(shù)百萬對象，上千臺服務(wù)器的龐大系統(tǒng)它都支持?；顒幽夸浽黾恿嗽S多新功能，這些功能使瀏覽并管理大量信息變得更容易，為管理員和終端用戶都節(jié)約了時間。3.3域（domain）基于WindowsNT的計算機網(wǎng)絡(luò)的安全邊界?；顒幽夸浻梢粋€或多個域組成。在一個獨立的工作站上，域就是計算機自身。域可以跨越多個物理區(qū)域。每一個域都有自己的安全策略和與其他域的安全關(guān)系。當(dāng)多個域通過信任關(guān)系連接起來，并且共享一個模式、配置和全局目錄的時候，它們組成一個域樹。多個域樹可以組成一個森林。參見"域控制器，局部域小組"。域控制器(domaincontroller)--一個基于WindowsNT的服務(wù)器擁有一個活動目錄分區(qū)。3.4樹（tree）通過可傳遞、雙向信任關(guān)系連接在一起的WindowsNT域的集合，它們共享相同的模式、配置和全局目錄。域必須組成層次式的名字空間，例如，是樹根，是的孩子，是的孩子等等?；顒幽夸浭且粋€或多棵域樹的組合。3.5森林（forest）相互信任的一個或多個活動目錄樹形成的小組。森林中的所有樹共享一個模式、配置和全局目錄。當(dāng)一個森林包括多個樹的時候，所有的樹不是形成連續(xù)的名字空間。給定森林中的所有樹通過信任關(guān)系的雙向傳遞相互彼此信任。與樹不同的是，森林不需要一個可分辨的名稱(DN)。森林作為一組交叉引用的對象和成員樹之間的信任關(guān)系而存在。森林中的樹形成一層次信任關(guān)系。3.6組織單元（organizationalunit，簡稱OU）一個容器對象，它是活動目錄可管理的劃分。OU可以包含用戶、小組、資源和其他OU。組織單元可以管理權(quán)限委托給目錄中的子樹。組織單元的結(jié)構(gòu)限制在一個域內(nèi)。3.7站點(site)站點是網(wǎng)絡(luò)中一個包含活動目錄服務(wù)器的位置。站點定義為一個或多個連接良好的TCP/IP子網(wǎng)?！斑B接良好”指網(wǎng)絡(luò)連接非?？煽亢涂焖伲ɡ?0兆比特每秒或更高速的LAN）。定義站點為一組子網(wǎng)則允許管理員快速輕松地配置活動目錄訪問和復(fù)制拓?fù)?，以便充分利用物理網(wǎng)絡(luò)。當(dāng)用戶登錄上網(wǎng)時，活動目錄客戶機將以用戶的身份在同一個站點找到活動目錄服務(wù)器。由于網(wǎng)絡(luò)中同一個站點的機器彼此鄰近，所以它們之間的通訊可靠、快速并且高效。由于用戶的工作站已經(jīng)知道位于哪一個TCP/IP子網(wǎng)上并且能將子網(wǎng)直接轉(zhuǎn)變?yōu)榛顒幽夸浾军c，所以在登錄時確定本地站點就變得很容易。3.8域名系統(tǒng)（DomainNameSystem，簡稱DNS）一種層次分布式數(shù)據(jù)庫，用來進行域名/地址轉(zhuǎn)換。域名系統(tǒng)是Internet上使用的名字空間，用來將計算機和服務(wù)名稱轉(zhuǎn)換成為TCP/IP地址。活動目錄在它的定位服務(wù)中使用DNS，以便客戶端可以通過DNS查詢找到域控制器。3.9可傳遞信任關(guān)系（transitivetrust）Windows2000域樹或森林中的域、森林中的樹、森林之間固有的存在信任關(guān)系。當(dāng)一個域加入到一個已有的森林或域樹時，自動的建立可傳遞關(guān)系?？蓚鬟f信任一般時雙向的關(guān)系。在域樹中的父子域、森林中域樹的根域這一系列信任關(guān)系允許森林中的所有域相互之間彼此信任，這樣的目的是授權(quán)。例如，如果域A信任域B，域B信任域C，那么域A可以信任域C。3.10局部域小組(domainlocalgroup)可以包含森林、通用小組和本域中的其他局部小組中的用戶和全局小組。一個局部域小組只能在本域的ACL中使用。3.11通用小組（universalgroup）組的最簡單的形式。通用組可以出現(xiàn)在森林ACL的任何地方。小型安裝可以專有的使用通用小組而不要去關(guān)心全局和局部小組3.12模式（schema）整個數(shù)據(jù)庫的定義；可以存儲在數(shù)據(jù)庫中的全局對象定義在模式中。對于每一個對象類而言，模式定義了類實例必須具有的屬性、可能有的附加屬性和當(dāng)前對象的父親是基于什么類的。3.13復(fù)制（replication）在數(shù)據(jù)庫管理系統(tǒng)中，通過例行公事的將整個數(shù)據(jù)庫或數(shù)據(jù)庫的子集拷貝到網(wǎng)絡(luò)中的其他服務(wù)器上而使分布式數(shù)據(jù)庫同步的功能。有幾種拷貝的方法，包括主站點復(fù)制、共享或傳輸所有權(quán)的復(fù)制、對稱復(fù)制（也稱為隨時更新或?qū)Φ葟?fù)制）和失敗恢復(fù)復(fù)制。參見不同復(fù)制方法的完整定義"百科全書"。3.14輕型目錄訪問協(xié)議（LDAP）用來訪問目錄服務(wù)的一種協(xié)議。目前的Web瀏覽器和電子郵件程序中都實現(xiàn)了LDAP，這樣就可以查詢一個LDAP目錄。LDAP是目錄訪問協(xié)議（DirectoryAccessProcotol，簡稱DAP）的一個簡化版本，可以用來訪問X.500目錄。編寫LDAP查詢代碼比DAP簡單，但是LDAP的功能不是十分完善。例如，如果沒有找到地址，DAP可以在其他的服務(wù)器上進行初始化尋找，但是LDAP就不具備這個功能。LDAP是活動目錄的主要的訪問協(xié)議3.15Kerberos一種用來授權(quán)用戶的安全系統(tǒng)。對于服務(wù)或數(shù)據(jù)庫，Kerberos不提供授權(quán)；它在登錄時授權(quán)用戶身份，這在整個會話中都是要使用的。Kerberos協(xié)議是Windows2000操作系統(tǒng)中的主要授權(quán)機制。3.16組策略(GroupPolicy)指將策略應(yīng)用到活動目錄容器中的計算機組和/或用戶。所包括的策略類型不僅是出現(xiàn)在WindowsNT服務(wù)器4.0中的基于注冊的策略，還可以是目錄服務(wù)所允許的用來存儲策略數(shù)據(jù)的多種類型，例如：文件配置、應(yīng)用程序配置、登錄和注銷腳本、啟動和關(guān)機腳本、域安全、Inte