Microsoft TechNet
Česká republika (Česky) Přihlásit
Hlavní Knihovna Certifikace Download Podpora Komunita Fóra
Knihovna TechNet
MTPS TechNet 10 Migration
Automatická distribuce aplikace Internet Explorer 7
Ctyri technologie zabezpecení, které jsou nutností pro každou organizaci
Desktop Deployment pomocí Microsoft technologií (díl I.)
EPAL – zo “skrytých” archívov Microsoftu
Exchange 12: Novinky (první seznámení)
IAG (Intelligent Application Gateway) 2007
Jak chránit zamestnance pred hrozbami sociálního engineeringu
Malware Removal Starter Kit
Microsoft Exchange Server 2007
Microsoft Exchange Server 2007 cást IV.
Microsoft Exchange Server 2007 – cást III.
Microsoft SQL Server 2005 Service Pack 1
Microsoft System Center Operations Manager 2007
Microsoft System Center v roce 2007
Microsoft TechNet program
Microsoft Unified Communications
Microsoft Windows Antispyware (Beta)
Monitorování služby Active Directory pomocí produktu MOM
Nová funkce UM (Unified Messaging)
Nové sítové funkce v systémech Windows Server „Longhorn“ a Windows Vista
O tomto pruvodci
Part I – Overview and file/registry based access
Podpora Microsoft SQL Serveru na nových operacních systémech
Porovnání verzí služby Windows SharePoint Services
Predstavení Windows Mobile 6 („Crossbow“)
Publikování serveru Exchange Server 2007 pomocí serveru ISA Server 2006
SharePoint technologie
Správa informacních technologií v malých a stredních podnicích
Správa nejen bezpecnostních aktualizací pomocí WSUS 3.0
Struktura Zákaznického centra spolecnosti Microsoft
System Center Configuration Manager 2007
Systém Microsoft Office 2007
Terminálové služby
Vista security
Web Microsoft TechNet: Windows Sysinternals
Windows Vista – ako to vyzerá s výkonom?
Windows Vista – jaký skutecne nabízí výkon?
Zabezpecení bezdrátových sítí pomocí certifikátu
Úvodní prírucka nástroje Antigen Enterprise Manager
Úvodní prírucka nástroje Microsoft Antigen Enterprise Manager: Instalace
Úvodní prírucka nástroje Microsoft Antigen Enterprise Manager: Protokoly událostí
Úvodní prírucka nástroje Microsoft Antigen Enterprise Manager: Sestavy
Úvodní prírucka nástroje Microsoft Antigen Enterprise Manager: Souhrn
Úvodní prírucka nástroje Microsoft Antigen Enterprise Manager: Správa výstrah
Úvodní prírucka nástroje Microsoft Antigen Enterprise Manager: Správa úloh
Úvodní prírucka nástroje Microsoft Antigen Enterprise Manager: Úvod
„Skryté“ technologie v produktu Windows Small Business Server 2003 R2
Expand Minimize
Toto téma nebylo dosud ohodnoceno - Ohodnotit toto téma

O tomto průvodci

Průvodce adresářovými službami a zabezpečením systému Windows pro uživatele systému UNIX – verze 1.0

Publikováno: 27. června 2006
Obsah této stránky

Úvod Úvod
Přehled průvodce Přehled průvodce
Materiály Materiály
Poděkování Poděkování

Úvod

Průvodce adresářovými službami a zabezpečením systému Windows pro uživatele systému UNIX je zaměřen na použití adresářové služby Active Directory® v systémech Microsoft® Windows Server™ 2003 nebo Windows® 2000 Server k centralizovanému ověřování a autorizaci uživatelů v sítích, do kterých jsou připojeny jak počítače se systémem Windows, tak se systémem UNIX.

Ověřování (kontrola identity uživatele) a autorizace (udělení přístupu k datům) jsou důležitou součástí zabezpečení dat. Stále větší část světa je propojena prostřednictvím sítí a neustále se tak přibližujeme k uskutečnění cíle zpřístupnit informace kdykoli a odkudkoli. Organizace však takovému propojenému prostředí mohou důvěřovat pouze v případě, že lze ověřit identitu každého uživatele, který požádá o přístup k jejich datům. Navíc žádná organizace nemůže povolit uživateli, byť identifikovanému, neomezený přístup ke všem svým informačním aktivům.

V Průvodci adresářovými službami a zabezpečením systému Windows pro uživatele systému UNIX najdete tipy pro výběr nejlepšího řešení, které bude vyhovovat požadavkům vaší organizace na ověřování a autorizaci uživatelů. Tento průvodce popisuje také doporučené postupy a hlavní problémy, se kterými se při implementaci nejvhodnějšího řešení ve vaší organizaci můžete setkat.

Cílová skupina

Průvodce je určen firemním a počítačovým odborníkům, kteří odpovídají za plánování, návrh a implementaci řešení pro spolupráci v oblasti zabezpečení a adresářových služeb. Jde tedy například o následující funkce:

  • Obchodní analytici a manažeři, kteří rozhodují o tom, které změny v síti jsou opodstatněné a budou zahrnuty do rozpočtu.

  • Architekti a plánovači, kteří v organizaci odpovídají za strukturu sítí, včetně návrhu spolupráce mezi pracovními stanicemi a servery s operačními systémy Windows a UNIX.

  • Specialisté na zabezpečení IT zabývající se zabezpečením všech platforem, které se v organizaci používají.

  • Konzultanti, zaměstnaní v organizaci Microsoft Worldwide Services i v partnerských společnostech, kteří se podílejí na vývoji řešení pro integraci systémů Windows a UNIX pro velké zákazníky a partnerské organizace.

  • IT specialisté, například manažeři informačních technologií (CIO), IT ředitelé, vedoucí datových center a vedoucí síťoví inženýři, kteří analyzují možnosti ověřování a autorizace v organizaci nebo vyvíjejí a nasazují nové či aktualizované řešení.

Požadované znalosti

Tento průvodce předpokládá znalost operačních systémů Windows a UNIX nebo Linux a také dobré znalosti terminologie a technologií z oblasti informačního zabezpečení. Jak je uvedeno dále v části Přehled průvodce, měli byste se také seznámit s Průvodcem projektem migrace ze systému UNIX (UNIX Migration Project Guide, UMPG), který je k dispozici na adrese http://go.microsoft.com/fwlink/?LinkId=20012.

Tento průvodce předpokládá, že váš odborný tým jako celek ovládá tyto konkrétní dovednosti:

  • Znalost správy systému UNIX.

  • Znalost správy systému Windows včetně služby Active Directory.

  • Znalost služby DNS v prostředí Windows i UNIX.

  • Zkušenost z práce se službou Windows Services for UNIX v případě, že zvolíte řešení vyžadující službu Services for UNIX. Služba Windows Services for UNIX je vyžadována v rámci některých řešení, která využívají autorizaci klientů se systémem UNIX pomocí služby Active Directory. Není vyžadována v řešeních, která využívají pouze ověřování pomocí služby Active Directory.

  • Znalost protokolu LDAP.

  • Znalost protokolu Kerberos.

Rozhodnete-li se implementovat některé ze dvou komerčních řešení nabízených v tomto průvodci, budou nároky na úroveň dovedností nižší než v případě, že zvolíte implementaci některého z uvedených svépomocných řešení.

Rozsah

Hodláte-li vyvinout a nasadit centralizované řešení ověřování a autorizace založené na službě Active Directory systému Windows, které bude zahrnovat počítače s operačním systémem Windows i UNIX, je nutné se nejprve seznámit s dostupnými možnostmi. V tomto průvodci najdete několik možností, přičemž každá používá jinou metodu ověřování nebo autorizace a poskytuje konkrétní postup k dosažení požadovaného konečného stavu.

Možnosti konečného stavu

V tomto průvodci budeme výrazem konečný stav označovat model, který definuje konkrétní sadu možností ověřování a autorizace, respektive pouze ověřování, v prostředí spolupracujících systémů Windows a UNIX.

Průvodce obsahuje návod k implementaci pěti konečných stavů, které se navzájem podstatně liší:

  • Konečný stav 1: Klientské počítače se systémem UNIX využívají k ověřování protokol Kerberos a službu Active Directory, ale k autorizaci nadále využívají stávající datové úložiště v systému UNIX.

  • Konečný stav 2: Klientské počítače se systémem UNIX využívají k ověřování protokol Kerberos a službu Active Directory a k autorizaci využívají protokol LDAP a službu Active Directory.

  • Konečný stav 3: Klientské počítače se systémem UNIX využívají k ověřování protokol LDAP a službu Active Directory, ale k autorizaci nadále využívají stávající datové úložiště v systému UNIX.

  • Konečný stav 4: Klientské počítače se systémem UNIX využívají k ověřování i autorizaci protokol LDAP a službu Active Directory.

  • Konečný stav 5: Infrastruktury se systémy UNIX a Windows zůstávají odděleny: Klientské počítače se systémem UNIX využívají k ověřování protokol Kerberos v systému UNIX a klientské počítače se systémem Windows využívají k ověřování protokol Kerberos a službu Active Directory, přičemž vztah důvěryhodnosti mezi sférami zpřístupňuje uživatelům systémů UNIX i Windows (za předpokladu, že jde o obousměrný vztah důvěryhodnosti mezi sférami) služby na druhé straně.

K dosažení konečných stavů 1–4 je třeba provést migraci dat potřebných k ověřování, případně i autorizaci uživatelů systému UNIX do adresáře Active Directory v systému Windows. K dosažení konečného stavu 5 není migrace informací o uživatelích systému UNIX nutná.

Technická řešení implementující jednotlivé konečné stavy

Implementace každého konečného stavu je v tomto průvodci označována jako řešení či technické řešení. Důvodem rozlišování mezi technickým řešením a konečným stavem je skutečnost, že kteréhokoli konečného stavu lze dosáhnout různými prostředky.

Centralizované funkce pro ověřování a autorizaci, které jsou v tomto průvodci prezentovány pro konečné stavy 1-4, jsou založeny na protokolech LDAP a Kerberos služby Active Directory, které jsou provozovány na řadiči domény se systémem Windows Server 2003 nebo Windows 2000 Server.

Poznámka:   Postupy pro všechna řešení navrhovaná v tomto průvodci byly vyvinuty a testovány na serverech se systémem Windows Server 2003.

Ke konfiguraci řešení pro jednotlivé konečné stavy lze přistupovat těmito způsoby:

  • Vlastní neboli svépomocná technická řešení:

    • Řešení založená na nativním operačním systému: Nativní součásti operačních systémů UNIX nebo Linux (konečný stav 1–4). V tomto průvodci budou označována jako řešení založená na nativním operačním systému.

      UPOZORNĚNÍ: Nedoporučujeme do vašeho provozního prostředí nasadit řešení založené na nativním operačním systému Red Hat 9, neboť s tímto řešením jsou spojena rizika zabezpečení. Další informace najdete pod titulkem Use Red Hat 9 with Native OS Components for End States 1 and 2 (Použití nativních součástí systému Red Hat 9 pro konečné stavy 1 a 2) v části 2, kapitole 4, "Developing a Custom Solution" (Vývoj vlastního řešení). (Toto omezení se netýká řešení založeného na nativním operačním systému Solaris ani na řešení open source se systémem Red Hat.)

    • Řešení open source: Nativní součásti operačních systémů UNIX nebo Linux použité zároveň se softwarem open source (konečný stav 1–4). V tomto průvodci budou označována jako řešení open source.

      Mezi softwarové produkty open source, které přicházejí v úvahu, patří například MIT Kerberos (k dispozici na webu http://web.mit.edu/kerberos/www/), moduly PAM od společnosti Certified Security Solutions (k dispozici na webu http://www.css-security.com) nebo moduly LDAP od společnosti PADL (k dispozici na webu http://www.padl.com).

    • Vztah důvěryhodnosti mezi sférami (pouze konečný stav 5).

  • Komerční technická řešení:

    • Produkt Quest Software Vintela Authentication Services (VAS – pouze konečný stav 2), k dispozici na webu http://www.vintela.com.

    • Produkt Centrify DirectControl (pouze konečný stav 2), k dispozici na webu http://www.centrify.com.

Tento průvodce doporučuje postup pro zjištění, který z těchto přístupů k implementaci některého konečného stavu nejlépe odpovídá potřebám a cílům vaší firmy.

Přehled průvodce

V tomto průvodci najdete podrobné pokyny k realizaci projektu adresářových služeb a zabezpečení systému Windows pro uživatele systému UNIX. Jsou určeny různým cílovým skupinám čtenářů, kteří budou odpovídat za jednotlivé aspekty projektu.

Struktura průvodce je založena na dvou východiscích:

  • Rozdělení podle struktury projektu: Obsah průvodce je obecně strukturován podle široce uznávaného modelu životního cyklu řešení, který se skládá z fází plánování, vývoje, nasazení a provozu. Popis tohoto modelu je součástí specifikací Microsoft Solutions Framework (MSF) a Microsoft Operations Framework (MOF). Podrobnější informace o specifikacích MSF a MOF a jejich vzájemném vztahu najdete v následující části tohoto textu.

  • Rozdělení do částí: Průvodce popisuje několik různých řešení ověřování a autorizace (tzv. konečné stavy), a proto se některé jeho části nebudou týkat toho řešení konečného stavu, které si zvolíte k implementaci. Pod titulkem Rozdělení průvodce do částí najdete postup určení, které části byste si měli prostudovat.

Rozdělení průvodce podle struktury projektu

V tabulce na obrázku 0.1 je znázorněn vztah mezi fázemi IT řešení a fázemi MSF a MOF, ze kterých vychází struktura tohoto průvodce. V následujícím textu najdete podrobnější informace o specifikacích MSF a MOF.

Obrázek 0.1: Vztah mezi fázemi životního cyklu projektu a fázemi MSF a MOF

Obrázek 0.1: Vztah mezi fázemi životního cyklu projektu a fázemi MSF a MOF
MSF a skutečné situace

Průvodce vychází z osvědčené metodiky Microsoft Solutions Framework (MSF), která popisuje řízení IT projektů. MSF 3.0 je lineární rámec IT projektů s předem stanovenými milníky a definuje pět různých fází projektu: Vize, plánování, vývoj (v tomto případě vývoj řešení pro vzájemnou funkční spolupráci), stabilizace a nasazení. Části, ze kterých se skládá růvodce adresářovými službami a zabezpečením systému Windows pro uživatele systému UNIX odpovídají těmto fázím a pro každé řešení poskytují konkrétní technické informace potřebné k dokončení projektu.

Průvodce navíc obsahuje skutečné situace, které demonstrují abstraktní principy a pojmy formou praktických rad a doporučení. Jednotlivé kapitoly reprezentují kroky nutné k vývoji, testování a stabilizaci, nasazení, provozování a inovaci každého technického řešení prezentovaného v průvodci.

Pokyny UMPG a MOF

Průvodce adresářovými službami a zabezpečením systému Windows pro uživatele systému UNIX byl připraven pro současné použití s další publikací, totiž Průvodcem projektem migrace ze systému UNIX (UNIX Migration Project Guide, UMPG). Struktura obou publikací vychází z pěti fází projektu dle MSF, ale UMPG je zaměřen na doporučení týkající se lidských zdrojů a procesů. V průvodci UMPG jsou popsány procesy relevantní v každé fázi MSF, včetně jejich výstupů, a role pracovníků, kteří jsou za každou fázi odpovědní, v týmovém modelu MSF. Obsahuje také stručný popis specifikace Microsoft Operations Framework (MOF), na které je v tomto průvodci založena kapitola Operations (Provoz).

Doporučení průvodce UMPG týkající se procesů jsou oddělena od technických doporučení týkajících se konkrétních projektů v tomto průvodci. Cílem tohoto rozhodnutí bylo pokud možno zredukovat rozsah tohoto průvodce. Manažerům projektů a vedoucím týmů doporučujeme prostudovat si průvodce UMPG a řídit se jeho doporučeními týkajícími se projektu jako celku. Mnoha členům týmu však postačí, zaměří-li se pouze na ty úkoly popsané v Průvodci adresářovými službami a zabezpečením systému Windows pro uživatele systému UNIX, za které jsou odpovědní.

Poznámka: Ačkoli tento průvodce a UMPG byly navrženy pro společné použití, může vaše organizace používat jinou metodiku řízení projektů. V takovém případě můžete použít průvodce UMPG k transformaci fází a struktury týmu podle MSF na metodiku vaší organizace. Začněte prosím seznámením s přehledem specifikace MSF v průvodci UMPG, který obsahuje model procesu MSF, týmový model MSF a terminologii používanou ve specifikaci MSF.

Další informace o specifikacích MSF a MOF:

Průvodce UMPG je k dispozici ke stažení na webové stránce http://go.microsoft.com/fwlink/?LinkId=20012.

Rozdělení průvodce do částí

Průvodce je rozdělen do čtyř částí. Každý čtenář by si měl prostudovat část 1: Overview and Envisioning (Přehled a vize), která vám pomůže vybrat konečný stav vhodný pro vaši organizaci. Poté se stačí seznámit s jednou z částí 2, 3 nebo 4 v závislosti na zvoleném konečném stavu. Poznámka: Různé skupiny čtenářů bude pravděpodobně zajímat různý obsah jednotlivých částí. Manažeři si budou například chtít přečíst kapitolu věnovanou vytváření vize, vývojáře budou naproti tomu více zajímat kapitoly zabývající se vývojem. Dále jsou pro každý konečný stav k dispozici specifické dodatky.

V následující tabulce je znázorněno rozdělení průvodce na části. Rámeček s bílým pozadím ukazuje umístění části, kterou právě čtete, v rámci celého průvodce.

Obrázek 0.2: Struktura částí a kapitol v Průvodci adresářovými službami a zabezpečením systému Windows pro uživatele systému UNIX

Obrázek 0.2: Struktura částí a kapitol v Průvodci adresářovými službami a zabezpečením systému Windows pro uživatele systému UNIX

  • Část 1: Přehled a vize. Tato část je určena všem čtenářům, které by mohlo zajímat některé z řešení popisovaných v průvodci. Obsahuje stručné vysvětlení ověřování a autorizace a popis všech pěti konečných stavů a dále informace o fázi projektu věnované vytváření vize. V kapitole Envisioning (Vize) najdete i pomůcky, které lze použít při hodnocení a výběru konečného stavu.

  • Část 2: Řešení s ověřováním Kerberos (konečné stavy 1 a 2). Tato část obsahuje informace týkající se fází plánování, vývoje, stabilizace, nasazení, provozování a inovace pro konečné stavy 1 a 2. V části 2 jsou popsána dvě komerčně dostupná řešení a několik vlastních svépomocných řešení. Část 2, kapitola 1 “Choosing the Right Technology and Planning Your Solution” (Výběr vhodné technologie a plánování řešení) obsahuje pomůcky, které můžete využít při výběru konkrétního technického řešení, k jehož nasazení přistoupíte.

  • Část 3: Řešení s ověřováním LDAP (konečné stavy 3 a 4). Tato část obsahuje informace týkající se fází plánování, vývoje, stabilizace, nasazení, provozování a inovace několika svépomocných řešení implementujících konečné stavy 3 a 4. Část 3, kapitola 1 “Choosing the Right Technology and Planning Your Solution” (Výběr vhodné technologie a plánování řešení) obsahuje pomůcky, které můžete využít při výběru konkrétního technického řešení, k jehož nasazení přistoupíte. (Poznámka: Část 3 bude k dispozici v příští verzi tohoto průvodce.)

  • Část 4: Řešení využívající protokol Kerberos ke spolupráci (konečný stav 5). Tato část obsahuje informace týkající se fází plánování, vývoje, stabilizace, nasazení, provozování a inovace několika svépomocných řešení implementujících konečný stav 5. Část 4, kapitola 1 “Choosing the Right Technology and Planning Your Solution” (Výběr vhodné technologie a plánování řešení) obsahuje pomůcky, které můžete využít při výběru konkrétního technického řešení, k jehož nasazení přistoupíte. (Poznámka: Část 4 bude k dispozici v příští verzi tohoto průvodce.)

Všechny části, dodatky a pomůcky jsou k dispozici po stažení tohoto průvodce řešením.

Kapitoly v této části

V tomto oddílu najdete popis kapitol v části 1: Přehled a vize publikace Průvodce adresářovými službami a zabezpečením systému Windows pro uživatele systému UNIX. (Poznámka: V oddílu “About This Volume” (O této části) v části 2, 3 a 4 najdete souhrn všech kapitol příslušné části.)

  • O tomto průvodci: Obsahuje přehled cílů, obsahu a struktury tohoto průvodce a konvencí v něm používaných.

  • Kapitola 1: Overview of Authentication and Authorization Technologies and Solution End States. (Přehled technologií pro ověřování a autorizaci a konečných stavů jednotlivých řešení) Seznámí vás se službou Active Directory (kterou lze použít k ověřování a autorizaci uživatelů systému Windows i UNIX), pojmy ověřování a autorizace a hlavními technologiemi, například protokoly Kerberos v5 a LDAP. V této kapitole jsou také představeny konečné stavy a technická řešení nabízená dále v tomto průvodci.

  • Kapitola 2: Envisioning Your Windows Security and Directory Services Solution. (Vytváření vize pro řešení zabezpečení a adresářových služeb systému Windows) Obsahuje informace, které jsou užitečné při stanovení podnikových cílů a potřeb, vytváření strategických dokumentů a specifikací rozsahu, výběru nejvhodnějšího konečného stavu pro danou organizaci a posouzení rizika, které s projektem souvisí. Naleznete zde pomůcky a šablony dokumentů, které vám zmíněné úkoly usnadní.

Materiály

V tomto oddílu najdete popis materiálů, které jsou zahrnuty v Průvodci adresářovými službami a zabezpečením systému Windows pro uživatele systému UNIX, a informace usnadňující používání průvodce.

Přílohy

Průvodce obsahuje několik příloh, na které se odkazuje na různých místech v textu. Některé přílohy jsou určeny pro konkrétní řešení, jiné jsou obecnější: například seznam zkratek nebo bibliografie a reference.

Součástí tohoto průvodce řešením jsou následující přílohy:

  • Příloha A: Architectural Overview of UNIX and Windows Authentication and Authorization (Přehled architektury ověřování a autorizace v systémech UNIX a Windows)

  • Příloha B: Pertinent RFCs (Relevantní dokumenty RFC)

  • Příloha C: Kerberos and LDAP Error Messages (Chybové zprávy protokolů Kerberos a LDAP)

  • Příloha D: Kerberos and LDAP Troubleshooting Tips (Poradce při potížích s protokoly Kerberos a LDAP)

  • Příloha E: Relevant Windows and UNIX Tools (Relevantní nástroje v systémech Windows a UNIX)

  • Příloha F: Migrating Digital Identity Information to Active Directory (Migrace informací o digitální identitě do adresáře Active Directory)

  • Příloha G: Configuring DNS for a Heterogeneous UNIX and Windows Environment (Konfigurace služby DNS v heterogenním prostředí se systémy UNIX a Windows)

  • Příloha H: Configuring Time Services for a Heterogeneous UNIX and Windows Environment (Konfigurace služeb pro správu času v heterogenním prostředí se systémy UNIX a Windows)

  • Příloha I: Sample Configuration Files for Custom Solutions (Ukázka konfiguračních souborů pro vlastní řešení)

  • Příloha J: Custom Technology Solutions Capabilities Matrix (Tabulka funkcí vlastních technických řešení)

  • Příloha K: Acronym List (Seznam zkratek)

  • Příloha L: Installing and Configuring Active Directory and DNS in Your Lab (Instalace a konfigurace služeb Active Directory a DNS v laboratoři)

  • Příloha M: Bibliography/References (Bibliografie a reference)

Pomůcky

Součástí tohoto průvodce řešením jsou následující pomůcky:

  • Budget Plan Template. (Šablona rozpočtového plánu) Obsahuje souhrnný přehled odhadovaných nákladů, které organizace vynaloží na vývoj a nasazení řešení.

  • Current State Infrastructure Report Template. (Šablona zprávy o aktuálním stavu infrastruktury) Popisuje prostředí, do kterého má být řešení nasazeno. Obsahuje informace o starších systémech, které mohou ovlivnit návrh řešení nebo při něm musí být brány v úvahu.

  • Deployment Plan Template. (Šablona plánu nasazení) Definuje kroky nutné k bezproblémovému nasazení řešení do provozního prostředí a přechodu na ně.

  • Development Plan Template. (Šablona vývojového plánu) Popisuje vývojový proces, který bude na projektu použit.

  • End State Selection Tool. (Nástroj pro výběr konečného stavu) Porovná všechny konečné stavy podle jejich schopnosti řešit obvyklé obchodní a technické požadavky, které lze definovat jako cíle návrhu.

  • Operations Plan Template. (Šablona provozního plánu) Definuje kroky nutné k zajištění správného provozu řešení v provozním prostředí.

  • Pilot Plan Template. (Šablona plánu pilotního nasazení) Popisuje rozsah pilotního nasazení a obsahuje doporučení pro úspěšné dokončení pilotního nasazení. Vysvětluje, jak vyhodnotit pilotní nasazení, včetně rozhodování, zda je řešení připraveno pro provozní nasazení, nebo je nutné provést další pilotní nasazení.

  • Project Structure Template. (Šablona struktury projektu) Definuje přístup k organizaci a řízení projektu, včetně cílů, rozsahu práce, požadavků na členy týmu, procesů a rizik.

  • Project Team Skills Template. (Šablona přehledu dovedností v týmu) Obsahuje seznam požadovaných dovedností členů projektového týmu. Zahrnuje také školení.

  • Risk Assessment Tool. (Nástroj pro posouzení rizika) Pomáhá identifikovat, vyhodnotit a minimalizovat riziko související s projektem. Obsahuje rozsáhlý seznam rizikových faktorů, které obvykle souvisejí s jednotlivými konečnými stavy.

  • Security Plan Template. (Šablona plánu zabezpečení) Definuje kroky nutné k řádnému zabezpečení řešení v provozním prostředí.

  • Solaris_native_LDAP_config file. (Soubor Solaris_native_LDAP_config) Soubor se skriptem, který slouží ke konfiguraci hostitele se systémem Solaris jako klienta LDAP. Pro řešení konečného stavu 2 založené na nativním operačním systému Solaris.

  • Test Plan Template. (Šablona plánu testování) Definuje kroky potřebné k otestování řešení a jeho schválení do provozu.

  • Vision/Scope Template. (Šablona vize a rozsahu) Obsahuje souhrnný přehled řešení a strategie týkající se obchodních příležitostí, koncepce řešení, rozsahu a návrhu řešení.

Požadavky na software

V závislosti na zvoleném řešení je při implementaci řešení uvedených v průvodci vyžadován následující software:

  • Windows Server 2003

  • V závislosti na zvoleném řešení je vyžadováno prostředí se systémem UNIX nebo Linux, které zahrnuje některé z následujících položek:

    • Některé konečné stavy vyžadují vývojové prostředí, které musí být předem k dispozici nebo je nutné je vytvořit podle pokynů ke stažení a instalaci vývojového prostředí, které jsou součástí tohoto průvodce.

    • Některá vlastní řešení vyžadují verzi 1.3.5 (nebo novější) balíčku MIT Kerberos (krb5-1.3.5.tar), který je k dispozici na webu Kerberos V5 Release 1.3 Source Distributions na adrese http://web.mit.edu/kerberos/dist/historic.html#krb5-1.3-src. Vlastní řešení uvedená v části 2, kapitole 4 "Developing a Custom Solution" (Vývoj vlastního řešení) byla vyvinuta a testována pomocí balíčku MIT Kerberos 1.3.5.

      Poznámka: Konfigurace vlastních řešení popsaných v části 2, kapitole 4 "Developing a Custom Solution" (Vývoj vlastního řešení) není přímo kompatibilní s verzí 1.4.x balíčku MIT Kerberos a při použití této verze softwaru bude vyžadovat další úpravy.

    • Některá vlastní řešení open source zahrnují modul CSS pam_krb5.so a nástroj CSS ADKadmin. Tento software je k dispozici ke stažení z webu http://www.css-security.com.

    • Některá vlastní řešení vyžadují knihovnu Cyrus SASL, která je k dispozici ke stažení z webu projektu Cyrus na adrese http://asg.web.cmu.edu/cyrus/download/.

    • Některá vlastní řešení vyžadují knihovnu a klientské nástroje pro protokol LDAP, které jsou kompatibilní s protokolem LDAPv3.

    • Některá řešení vyžadují službu Windows Services for UNIX 3.5, která je k dispozici ke stažení z webové stránky pro stažení služby Windows Services for UNIX 3.5 na adrese http://www.microsoft.com/windowsserversystem/sfu/downloads/default.mspx.

    • Produkt Quest Software Vintela Authentication Services (VAS) je v případě, že se rozhodnete implementovat toto řešení, k dispozici na webu http://www.vintela.com.

    • Produkt Centrify DirectControl je v případě, že se rozhodnete implementovat toto řešení, k dispozici na webu http://www.centrify.com.

Konkrétní informace o požadavcích jednotlivých řešení na software naleznete v kapitolách týkajících se řešení, jejichž nasazení zvažujete, v částech 2, 3 a 4.

Konvence používané v tomto dokumentu

V tomto průvodci se používají konvence uvedené v následující tabulce.

Tabulka 0.1: Konvence používané v tomto dokumentu

Prvek v textu

Význam

Tučný text

Tučný text označuje příkazy, literály, které jsou argumentem příkazu (včetně cesty, pokud tvoří součást příkazu), přepínače a programátorské prvky, jako jsou metody, funkce, systémová volání v systémech UNIX a Linux, objektové třídy protokolu LDAP, názvy atributů protokolu LDAP, datové typy, datové struktury a názvy daemonů (programů). Prvky uživatelského rozhraní jsou rovněž vyznačeny tučným písmem.

Kurzíva

Kurzíva označuje proměnné, které má uživatel nahradit. Slouží také ke zvýraznění důležitých informací, například v případě prvního použití důležitého termínu.

Neproporcionální písmo

Označuje úryvky konfiguračních souborů, příklady kódu a terminálové relace.

Neproporcionální tučné písmo

Představuje příkazy nebo jiný text, který uživatel zadá přesně v uvedené podobě.

Neproporcionální kurzíva

V příkladech příkazového řádku a v terminálových relacích označuje proměnné, které zadá uživatel.

Poznámka

Označuje neutrální nebo pozitivní informace, které zdůrazňují nebo doplňují důležité aspekty hlavního textu.

Důležité

Upozorňuje na informace, které jsou nezbytné k provedení daného úkolu.

Upozornění

Slouží k upozornění uživatelů na skutečnost, že v případě neprovedení či nezabránění určité akci hrozí poškození softwaru, hardwaru nebo dat.

Poděkování

Oddělení Microsoft Interoperability and Migration Solutions (MIMS) děkuje týmu, který vytvořil Průvodce adresářovými službami a zabezpečením systému Windows pro uživatele systému UNIX. Následující osoby se na něm přímo podílely nebo podstatně přispěly k textu průvodce či k vývoji a testování řešení, která jsou v průvodci popsána.

Manažeři programu

Luis Camara Manoel (Microsoft Corporation)

Mark Short (Microsoft Corporation)

Technický architekt

Jason D. Zions (Microsoft Corporation)

Techničtí redaktoři

Sarah Duncan (Certified Security Solutions)

Peter Larsen (Microsoft Corporation)

Doug McDorman (Certified Security Solutions)

Doug Miller (Centrify)

Jason D. Zions (Microsoft Corporation)

Vedoucí tester

Sandor Kiss (Microsoft Corporation

Tester

Chris Edgin (Excell Data Corporation)

Manažer produktu

Dhilip Gopalakrishnan (Microsoft Corporation)

Vedoucí pro uživatelské prostředí

Gaile Simmons (Microsoft Corporation)

Vedoucí autor

Laurie McKnight (Volt Technical Services and Wadeware)

Autoři a odborní poradci

Arlene Berry (Certified Security Solutions)

Sarah Duncan (Certified Security Solutions)

David Eyes (Vintela)

Doug McDorman (Certified Security Solutions)

Doug Miller (Centrify)

Autoři

Thomas Olsen (Volt Technical Services)

Gaile Simmons (Microsoft Corporation)

Tatsuo Yamada (Volt Technical Services)

Redaktor

Patricia Rytkonen (Volt Technical Services)

Další přispěvatelé

Bill Miller (Interopsystems)

Soubory ke stažení

Stáhnout Průvodce adresářovými službami a zabezpečením systému Windows pro uživatele systému UNIX (US)

Oznámení o aktualizacích

Přihlášení k odběru aktualizací a nových verzí (US)

Zpětná vazba

Zašlete nám své připomínky a návrhy (US)


Byl tento obsah pro vás užitečný?
(Zbývající počet znaků: 1500)
© 2013 Microsoft
|
Podněty pro web
© 2013 Microsoft. Všechna práva vyhrazena.