معرفی،توصیف و تشرح مفاهیم اولیه Active Directory بخش پنجم – فارست
در مقاله قبل در ادامه بحث شبکه های دامین به مفاهیم ساختار های منطقی و فیزیکی Active Directory پرداختیم و مفهوم OU را برای شما بیان کردیم.در ادامه این بحث قصد داریم شما را با مفهوم Forest آشنا کنیم. در این بین اصطلاحات دیگیری نیز به کار می بریم و در مورد آنها صحبت خواهیم کرد.
برای فهم Forest از اینجا شروغ می کنیم که ،فرض کنید به دلایل منطقی و علمی مجبوریم شبکه خود را به ۲ یا چند دامین تبدیل کنیم.(مطلوب این است که شبکه ما یک دامین داشته باشد.)
با یک مثال سعی می کنیم دلیل غیر موجه خود را بیان کنیم ،در مقالات بعدی درست و دقیقا بیان می کنیم در چه مواردی ممکن است این اتفاق رخ دهد.(پالیسی های Per Domain)
سیستم بانکی را درنظر بگیرین برخی قوانین در همان بانک یا حتی در همان شعبه پابرجاست مثلا لباس فرم در یک بانک با بانک دیگر متفاوت است اما اشتباه زدن تعداد رمز جهت عملیات بانکی در دستگاه ATM در تمام سیستم بانکی یکسان و روی عدد ۳ ثابت است.حال فرض کنید می گوییم بانک ما به گونه ای است که رمز را ۵ بار اشتباه بزنیم کارت را مسدود کند!برای به وقوع پیوستن چنین درخواستی باید یه سیستم بانکی جدید راه اندازی شود تا بتوان در این سیستم بانکی جدید یک پالیسی جدید که متفاوت از قبلی است پیاده سازی شود.در واقع مثلا شتاب ۱ وجود دارد حال می بایست شتاب ۲ جهت به وقوع پیوستن پالیسی جدید راه اندازی شود.(مطلوب ما نیست ولی مجبور به چنین کاری هستیم)
در این شرایط و به دلیل ۲یا چند دامین شدن شبکه تغییراتی ایجاد می شود و مسایلی پیش رو قرار می گیرد که هر کدام را برای شما بیان می کنیم.(فرض کنید دامین ما ۳ تا شده است)
اولین مورد این است که هر دامین DC و DNS خود را دارد و هر دامین اسم خود را نیز داراست.(فرض کنید دامین ها عبارتند از A.Com,B.Com,C.Com)
شرایط به این گونه است که برای کاربران برخی ها در A.Com یوزر ساخته شده و برخی در B.Com و برخی دیگر در دامین C.Com یوزر ساخته شده است.به همین ترتیب نیز برخی join در دامنه A.Com و برخی در دامنه B.Comوبرخی دیگر در C.Com جوین شده اند.حال اگر از شما بپرسند چرا کامپیوتر X را در B.Com جوین کرده اید؟می گوییم زیرا باید تحت قوانین یا پالیسی های B.Com قرار بگیرند.
در تصویر فوق فرض کنید در دامین B.Com یک FileServer و در دامین C.Com یک PrintServer وجود دارد.
تذکر:سناریو مورد نظر ما یک شبکه می باشد از نظر فیزیکی و تنها از نظر منطقی به ۳ دامنه تقسیم شده و File Server مورد نظر در دامین B.com متعلق به همین شبکه می باشد، همینطور PrintServer دامین C.Com و فقط از نظر Logical دردامین C.Com جوین شده است.
سوال؟ آیا کاربری که در A.com جوین شده است و به این دامین LogOn کرده است می تواند از FileServer شبکه استفاده کند؟
هنگامیکه User به دامین A.com لاگین می کند Dns آدرس Dc همان دامین را می دهد.سپس DC پیدا شده و پروسه احراز هویت یا Authentication توسط متد Kerberos انجام می شود. سپس User مورد نظر Ticket خود را که SId آن درآنجا قرار دارد(هویت) و به صورت پیش فرض ۱۰ ساعت اعتبار دارد را دریافت می کند. نکته مورد نظر اینجاست که Ticket ارایه شده توسط DC فقط در همین دامین یعنی A.Com اعتبار دارد.در نتیجه اگر User به سراغ FileServer که در دامین B.Com قرار دارد برود توسط آن شناسایی نمی شود و قادر به ارایه سرویس به User مورد نظر نیست.دراین حالت تیکت مورد نظر برای FileServer و PrintServer قابل قبول نیست!
سعی می کنیم با یک مثال مسله را برای شما روشن تر کنیم:
ما یک ایرانی هستیم و پاسپورت داریم(نقش همان Ticket رابازی می کند)حال اگر سفری به کشورX انجام بدهیم ممکن است مار ا قبول یا رد کنند و احتیاج به ویزا داشته یا نداشته باشیم.حال اگر قرار باید جهت مسافرت به کشورX ویزا تهیه کنیم درواقع کشور مورد نظر پاسپورت مارا (همان Ticket ) قبول ندارد و می گوید پاسپورت شما در این منطقه یا کشور اعتبار ندارد و باید ویزا تهیه کنید. برای این منظور می بایست به سفارت کشور X مراجعه کرد و مدارک و هویت خود(SID)را ارایه دهیم تا بررسی شود ودرنهایت Authenticate شویم.اما همانطورکه می دانید با پاسپورت کشور عزیزمان در خیلی از کشور ها بدون ویزا و پروسه Authenticate می توان وارد کشوزهای مختلف شد.(البته پروسه احراز هویت و Authenticate یکبار در هنگام صدور پاسپورت انجام شده است) در واقع کشور Y مارا بدون احرازهویت قبول دارند و می توانیم به کشور موردنظر وارد شویم.یعنی پاسپورت مادرکشور Y اعتباردارد.
با توضیحات مثال بالا با خودتصور کنید که ما جهت استفاده از فایل سرور که در دامین B.Com قرار دارد می خواهیم یک تیکت جدید بگیریم تا در آنجا شناسایی شویم یا با همان تیکتی که به ازا لاگین به دامین A.Com دریافت کرده ایم بتوانیم از فایل سرور استفاده کنیم و Authenticate شویم؟
پاسخ روشن است ما می خواهیم با همان User که دردامین A.com ساخته شده و به ازا آن تیکت دریافت کرده ایم از فایل سرور موجود در دامین B.Com استفاده کنیم.برای این منظور یک توافقی بین DC دامین A.com و دامین B.Com ایجاد می شود و می گوید هر آنچه که DC دامین A.Com قبول دارد ما نیز آن را قبول داریم(این رو DC دامین B.Com می گوید).اینجاست که اصطلاح Trust معنا پیدا می کند.
درواقع برای دسترسی بین چندین دامن از Trust استفاده می شود.به بیان دیگرارتباطی است که شما بین دامنه ها برقرار می کنید، که به کاربران یک دامنه امکان احراز هویت به وسیله یک دامین کنترلر در دامنه دیگر را می دهد. در سیستم عامل ویندوز NT 0.4، trust ها محدود به دامنه ها بودند، و این ارتباط یک طرفه و غیر مجازی بود.(درمقالات بعدی در این سری از آموزشها مفصل در مورد مفهوم Trust صحبت می کنیم و نحوه پیاده سازی و انواع آن را بیان می کنیم )
همان مثال پاسپورت را اگر بخوایم با Trust بازگو کنیم می گوییم تمام کشور هایی که به ایران Trust دارند بدون پروسه مجدد احراز هویت اجازه ورود به کشورشان را می دهند چون بین آنها Trust برقرار است.
بنابراین با وجود Trust بین دامنه A.Com و B.Com کاربرانی که در دامنه A قرار دارند می توانند به شرط داشتن دسترسی به فایل سرور از آن بهره مند شوند.(فایل سرور تیکتی که کاربر به آن ارایه می دهد را قبول می کند)