Domény a jejich vztahy

V minulém díle seriálu o Windows NT jsme se zmínili o doménové architektuře, dnes se na ni podíváme blíže. Jedním ...


V minulém díle seriálu o Windows NT jsme se zmínili o doménové architektuře,
dnes se na ni podíváme blíže. Jedním z jejích velkých kladů je možnost
logického spojování domén. Správce sítě tak může vytvářet rozsáhlé části sítí a
definovat pro ně směry přístupů. V nejjednodušším případě si můžeme představit
takovouto situaci podle obr. 1.
Tady si správce rozdělil svou organizaci na dvě logické části domény A a B, a
potom nadefinoval jejich spojení tak, aby z domény A šlo přistupovat na data
domény B, obráceně však nikoli. Toto směrování tak funguje jako určitý filtr
práv. Správce se může spolehnout na směr mezi doménami a i když nebude mít
správně ošetřená práva, uživatelé z B se na data v A nikdy nedostanou. Podobný
postup může aplikovat mezi každou dvojicí domén zvlášť.
Ale teď popořadě. Proč mít více domén? Nestačilo by mít jen 1 doménu a ušetřit
si tím práci s nastavováním směrů a koneckonců i peníze za NT Server?
Odpověď zní: většinou ne, zejména ve větších organizacích. Více domén mi
nabídne: rychlejší provoz (ověřování, zálohování, zátěž sítě), různé třídy
bezpečnosti (v každé doméně nastavuji různé požadavky na délky hesel, blokování
účtů apod.), dělení dat a tiskáren (jak jsme popsali v úvodu), dělení
uživatelských účtů (v jedné doméně budou obyčejní uživatelé a v druhé jen
specialisté), členění správcovských kompetencí (jeden spravuje obyčejné
uživatele, druhý i ty specialisty).
Jaké platí pro spojování zásady?
Logické spojení domén se nazývá Trust, v překladu tedy důvěra. Vždycky se
navazuje mezi dvojicí domén. Každá dvojice si je nastavuje sama, nezávisle na
ostatních. Záleží na směru důvěry. Vztah nemusí být žádný, nebo v jednom či v
druhém směru, případně obousměrný (viz obr. 2).
Jedná se o čistě logický svazek, který nemá žádný vztah k fyzické topologii
sítě. Domény, které jsou takto logicky spojeny, si vzájemně zpřístupní síťové
zdroje a uživatelské účty. (Ve výjimečných případech může administrátor umožnit
přístup na sdílené zdroje i bez navázání trustu. Potom použije účet "Guest" bez
hesla. Z hlediska bezpečnosti je ale vhodnější tento přístup nepovolovat).
Trust musí uzavřít administrátoři obou dvou stran. Pokud jej jakákoli strana
zruší, přestává platit. Základní směry důvěry se určují jenom těmi šipkami,
mohou se však nastavovat i další důsledky vztahů. Například jestli chci dovolit
mezi doménami vzájemnou administraci, nebo jak chci definovat přístupová práva
pro lidi z jiných domén.
Jak se trust nastavuje?
Jednoduše. Správci obou stran si spustí User Manager a tam zadají navzájem
jména svých domén. Ustanovení trustu je hlídáno heslem, které se určuje zvlášť
pro každý směr trustu. Na obrázku 3 vidíme jednoznačnou důvěru mezi doménami X
a Y.
Jak se trusty realizují v praxi?
Nejčastěji se důvěra nastavuje podle tzv. modelů. Jsou odzkoušené, popsané a
přehledné. A najdete je vysvětlené v každé slušnější publikaci k Windows NT
Serveru.
Například můžete chtít použít Master Domain Model (viz obr. 4). Zde Domény B,
C, D, E, důvěřují áčku. Ta se proto nazývá Trusted tedy důvěryhodnou doménou.
Někdy najdeme i označení Master Domain. Ostatní jsou jakoby podřízené. Může to
využít třeba celostátní firma, která má centrálu v Praze (doména A), a pobočky
v místech B, C, D a E. Potom se všichni pracovníci firmy hlásí na uživatelské
účty z A, i když sedí kdekoli. Znamená to centrální evidenci všech uživatelů,
včetně přehledu kdy, kde, kdo či co dělá. Ale své zdroje (data, programy,
tiskárny) mají pracovníci u sebe v B, C, D, E a na áčkové zdroje nemohou!
Naopak lidé z A mají přístup na své zdroje i zdroje všech ostatních domén.
Způsobí to, že z centrály mohou na pobočkách tisknout oběžníky, aktualizovat
data, programy atd. Jedná se tedy o klasický centristický model: ústředí versus
podřízené sekce. Jestli jsou pobočky ve zcela jiném městě než ústředí nebo ve
stej-né budově, je principiálně jedno.
Takový model se ho-dí pro středně velké organizace centrálního typu, kde je
potřeba členit přístupy pro jednotlivá pracoviště. Není výhodný pro obrovské
počty uživatelů, protože by všechny jejich účty byly v jedné databázi Master
domény, což by zpomalovalo a ztěžovalo správu uživatelů, ověřovací proces i
synchronizace a aktualizace této databáze.
8 1730 / pen

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.