Professional Documents
Culture Documents
เสนอ
ดร.อรรจน์ โกญจนาท
จัดทาโดย
นายวรพล ทองพุ่ม
รหัส 501091
ผู้จัดทา
นายวรพล ทองพุ่ม รหัส 501091
ข
ชื่อ : นายวรพล ทองพุ่ม รหัส 501091
หัวข้อเรื่อง : Active Directory
อาจารย์ผู้สอน : ดร.อรรจน์ โกญจนาท
ปีการศึกษา : 2553
บทคัดย่อ
ไดเร็คทอรีเป็นส่วนประกอบที่สาคัญของระบบบริห ารและจัดการเครือข่ายในปัจจุบันโดยเฉพาะ
เครือขายขนาดใหญ่ การจัดการทรัพยากรต่าง ๆ ในเครือขายอาจเป็นเรื่องยุ่งยากถ้าไม่มีเครื่องมือช่วยลดงาน
ของผู้ดูแลระบบได้อย่างมากจุดเด่นของไดเร็คทอรีเซอร์วิสในปัจจุบันคือ การรักษาความปลอดภัย โดยจะมี
การควบคุมจากส่วนกลางผู้ใช้สามารถล็อกอินครั้งเดียวก็สามารถเข้าถึงทรัพยากรทุกอย่างที่ผู้ใช้ มีสิทธิ์ คอน
เซ็ปต์นี้เรียกว่า“Single Sign-on” ในปัจจุบันไดเร็คทอรีเซอร์วิสสามารถบริหารเครือข่าย WAN ได้เหมือนกับ
LAN
ไดเร็คทอรีที่กาลังเป็นที่นิยมในปัจจุบันคือ eDirectory และ Active Directory โนเวลล์จะได้เปรียบ
ตรงที่ว่าโนเวลล์นั้นไดเริ่มพัฒนาซอฟต์แวร์นี้ก่อน แต่ไมโครซอฟท์จะได้เปรียบในด้านการตลาด อย่างไรก็
ตามไดเร็คทอรีจากทั้งสองค่ายก็มีประสิทธิภาพไม่แตกต่างกันมากนัก นอกจากไดเร็คทอรีได้กล่าวถึงนี้แล้ว
ยังมีไดเร็คทอรีจากค่ายอื่นที่น่าสนใจ เช่น Sun ONE Directory Server จากซันไมโครซิสเต็ม OpenLDAP
ซึ่งเป็นไดเร็คทอรีของโอเพ่นซอร์ส ซึ่งประสิทธิภาพก็ไม่ได้ต่างกันมากนัก อย่างไรก็ตามการใช้งานไดเร็ค
ทอรีในองค์กรนั้น ยังมีส่วนประกอบอีกหลายอย่างที่ควรพิจารณา เช่น ราคา ค่าใช้จ่ายในการบารุงรัก ษา
ความง่ายในการดูแลและจัดการและบุคลากรเป็นต้น
ค
Name : Mr.Warapon Thongpum 501091
Title : Active Directory
Adviser : Dr.Ut Goenchanart
Year : 2010
Abstract
สารบัญ
หน้า
คานำ ........................................................................................................................................................ ก
บทคัดย่อภาษาไทย ................................................................................................................................... ข
บทคัดย่อภาษาอังกฤษ .............................................................................................................................. ค
สารบัญ .................................................................................................................................................... ง
สารบัญตาราง .......................................................................................................................................... ฉ
สารบัญรูปภาพ ........................................................................................................................................ ช
บทที่ 1 ทบนา ………………………………………………………………………………………….. 1
บทที่ 2 ความหมายและหลักการทางานของ LDAP …………………………………………………… 2
2.1 Directory Access Protocol (DAP) ....................................................................................... 2
2.2 Lightweight Directory Access Protocol (LDAP)………………………………………….. 3
2.2.1 โครงสร้างและรูปแบบข้อมูล ………………………………………………….. 5
2.2.2 การกาหนดชื่อและการค้นหา .............................................................................. 6
2.2.3 LDAP Server and Client ………………………………………………………. 7
บทที่ 3 ความหมายและหลักการทางานของ Active Directory ............................................................... 10
3.1 Directory Services ………………………………………………………………………... 10
3.2 บริการ Directory คืออะไร ................................................................................................... 10
3.3 Active Directory Service …………………………………………………………………. 11
3.3.1 โครงสร้างของ Active Directory ………………………………………………. 11
3.4 AD Naming ………………………………………………………………………………. 14
3.5 Global Catalog ……………………………………………………………………………. 15
3.6 Replication ………………………………………………………………………………... 15
3.7 Security ………………………………………………………………………………….... 16
บทที่ 4 สรุปและวิเคราะห์ ……………………………………………………………………………… 17
ฉ
สารบัญตาราง
หน้า
ตารางที่ 3.1 มาตรฐานการเรียกชื่อแบบอื่น ๆ ที่รองรับโดยวินโดวส์ 2000 …………………………….. 14
ช
สารบัญรูปภาพ
หน้า
รูปที่ 2.1 LDAP Directory Tree ……………………………………………………………………….. 5
รูปที่ 2.2 LDAP Directory Tree (Internet Naming) …………………………………………………… 6
รูปที่ 3.1 โดเมนทรี ................................................................................................................................. 11
รูปที่ 3.2 โดเมนฟอเรสต์ ......................................................................................................................... 12
รูปที่ 3.3 โครงสร้างของ AD …………………………………………………………………………… 13
1
บทที่ 1
บทนา
บทที่ 2
ความหมายและหลักการทางานของ LDAP
OpenLDAP
ไดเร็คทอรีเป็นฐานข้อมูลพิเศษที่ออกแบบเพื่อให้สามารถค้นหาอ่านและเข้าถึงข้อมูลได้อย่างมี
ประสิทธิภาพมากกว่าฐานข้อมูลทั่วไปไดเร็คทอรีเป็นฐานข้อมูลเชิงคาอธิบายหรือมีข้อมูลเกี่ยวกับคุณสมบัติ
หรือแอตทริบิวต์และรองรับการค้นหาที่สามารถกาหนดคุณสมบัติของข้อมูลที่ต้องการค้นหาได้ค่อนข้าง
ละเอียดแต่ในการอัพเดตนั้นค่อนข้างจะทาได้ยากกว่าและไม่มีฟีเจอร์ในการอัพเดตข้อมูลที่ซับซ้อนเหมือน
ฐานข้อมูลประเภทอื่น ๆ
LADP เป็นไลท์เวตโปรโตคอลที่ใช้สาหรับการเข้าถึงไดเร็คทอรีเซอร์วิสโดยเฉพาะไดเร็คทอรี
x.500 โปรโตคอล LADP ท างานอยู่ บน TCP/IP หรือโปรโตคอลคอนเน็กชันโอเรีย นเต็ดอื่น ๆ
รายละเอียดของโปรโตคอลนี้กาหนดอยู่ใน RFC 2251 ซึ่งเป็น LDAPv3 หรือเวอร์ชัน 3 และในเอกสาร
RFC 3377 อธิบายการเข้าถึงในมุมมองของผู้ใช้งาน
5
2.2.1 โครงสร้างและรูปแบบข้อมูล
โครงสร้างและรูปแบบของข้อมูลที่จัดเก็บใน LDAP นั้นจะอยู่บนพื้นฐานของเอนทรี (Entry)โดย
เอนทรีเป็นชุดข้อมูลซึ่งประกอบด้วยแอตทิรบิวต์ที่มีชื่อเฉพาะหรือ DN (Distinguished Name) ซึ่งชื่อ
เฉพาะนี้จะเป็นสิ่งที่ชี้ไปยังแต่ละเอนทรีในไดเร็คทอรีแต่ละแอตทริบิวต์ของเอนทรีจะจัดเป็นประเภทหรือ
ไทป์ (Type) และมีค่า หรือแวลลู (Value) ที่กาหนดให้กับแอตทริบิวต์นั้น หนึ่งค่าหรือมากกว่าก็ได้
ประเภทของแอตทริบิวต์นั้นจะเป็นตัวอักษรย่อหรือชื่อสั้น ๆ เช่น ประเภท cn ก็จะหมายถึงชื่อทั่วไปหรือ
Common Name ส่วนแอตทริบิวต์ประเภท email ก็จะหมายถึง Email Address นั่นเอง ส่วนรูปแบบ
ข้อมูลของค่าที่กาหนดให้กับแต่ละแอตทริบิวต์นั้นก็ขึ้นอยู่กับประเภทของแอตทริบิวต์ ยกตัวอย่างเช่นแอ
ตทริบิวต์ประเภทcnสามารถกาหนดให้ค่าเป็น Babs Jensen ส่วนแอตทริบิวต์ mail ก็อาจกาหนดค่าให้เป็น
babs@example.comส่วนแอตทริ บิ วต์ JpegPhoto ก็ จะเก็ บข้อมู ล รูปภาพประเภท JPEG ซึ่ งเป็น ข้อมู ล
ประเภทไบนารี
เอนทรีที่จัดเก็บใน LDAP จะมีโครงสร้างแบบมีลาดับชั้น หรือทรี (Tree) โดยปกติโครงสร้างนี้
จะใช้แทนโครงสร้างทางภูมิศาสตร์หรือตามโครงสร้างขององค์กรยกตัวอย่างเช่น เอนทรีที่แทนประเทศจะ
จัดเก็บไว้บนสุดของทรีต่าลงมาก็จะเป็นเอนทรีสาหรับรัฐหรือองค์กรระดับประเทศและต่าลงไปอีกก็เป็น
อะไรก็ได้ที่ต้องการ ดังรูปที่ แสดงโครงสร้างของไดเร็คทอรี LDAP
2.2.2 การกาหนดชื่อและการค้นหา
แต่ละเอนทรีจะถูกอ้างถึงได้โดยใช้ชื่อเฉพาะหรือ DN (Distinguished Name) ซึ่งชื่อเฉพาะนี้จะ
ประกอบด้วยชื่อของเอนทรีนั้นหรือ RDN (Relative Distinguished Name) และตามด้วยชื่อของเอนทรีที่
อยู่ระดับเหนือกว่าตามสายไปจนถึงรูทยกตัวอย่างเช่นเอนทรี Barbara Jensen ในทรีตามรูปด้านบนจะมีชื่อ
RDN เป็น uid=babs ส่วนชื่อเฉพาะ DN ก็จะเป็น uid=babs, ou=People, dc=example, dc=com รูปแบบ
ข้อมูลของชื่อเฉพาะ DN ได้กาหนดไว้ใน RFC2253 (Lightweight Directory Access Protocol (v3):
UTF-8 String Representation of Distinguished Names
การค้นหาและอัพเดตข้อมูลใน LDAP สามารถทาได้แต่โดยส่ว นใหญ่จะเป็นการค้นหาและอ่าน
ข้อมูลจากไดเร็คทอรีมากกว่าการแก้ไขปรับปรุงข้อมูลในการค้นหานั้น LDAP จะอนุญาตให้ค้นหาเฉพาะ
บางส่วนของฐานข้อมูลโดยเปรียบเทียบกับเงื่อนไขที่กาหนดเมื่อตอนค้นหาเมื่อพบแล้วก็สามารถดึงข้อมูลเอ
นทรีนั้นออกมาได้
7
ยกตัวอย่างเช่นเมื่อต้องการค้นหาข้อมูลจากทรีที่อยู่ภายใต้ Dc=com สาหรับบุคคลที่ชื่อ Barbara
Jensen เพื่ออ่านที่อยู่อีเมลของบุคคลนั้น LDAP จะอนุญาตให้ทาได้อย่างง่ายดายหรือถ้าต้องการค้นหา
ข้อมูลที่อยู่ภายใต้ st-California. C=US สาหรับองค์กรที่มีคาว่า “Acme” ในชื่อเพื่อค้นหาหมายเลขแฟกซ์ ก็
สามารถทาได้ไม่ยากเช่นกัน
บางไดเร็คทอรีนั้นจะไม่มีกลไกป้องกันการเข้าถึงข้อมูลอย่างที่ไม่ได้รับอนุญาตซึ่งเป็นผลทาให้ใคร
ก็ตามสามารถอ่านข้อมูลในไดเร็คทอรีได้แต่สาหรับ LDAP แล้วจะมีกลไกในการพิสูจน์ทราบตัวตนของ
ไคลเอนท์ที่จะเข้าถึงข้อมูลซึ่งเป็นการป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตได้นอกจากนี้ LDAP ยัง
รองรับการรักษาความลับ (Confidentiality) และการรักษาความคงสภาพของข้อมูล (Integrity) ได้เช่นกัน
มาตรฐานการเรียกชื่อ ตัวอย่าง
Friendly name/RFC 822 jatuchai@gitex.co.th
LDAP URL LDAP://gitex.co.th/CN = jatuchai, OU =
engineer, O = GETEX,C=TH
Universal Naming Convention (UNC) \\gitex.co.th\user\jatuchai\index.htm
15
3.5 Global Catalog
การเรียกชื่อของออบเจ็กต์นั้นค่อนข้างจะซั บซ้อน ซึ่งบางครั้งอาจทาให้การค้นหาออบเจ็กต์ได้ยาก
GC (Global Catalog) เป็นเซอร์วิสที่ช่วยให้การค้นหาออบเจ็กต์ต่างๆ ในไดเร็คทอรีง่ายขึ้น GC เป็น
โดเมนคอนโทรลเลอร์ที่จัดเก็บข้อมูลของออบเจ็กต์ของฟอเรสต์โดย GC จะเก็บข้อมูลทุกอย่างของ
ออบเจ็กต์ในโดเมนที่ GC เป็นโดเมนคอนโทรลเลอร์อยู่และจะจัดเก็บข้อมูลบางส่วนของออบเจ็กต์จาก
โดเมนอื่ นเพื่ อใช้ ส าหรั บ การสืบ ค้ นที่ เร็ วขึ้ น การค้ นหานั้ น สามารถค้ นหาด้ วยชื่ อหรือ แอตทริ บิว ต์ข อง
ออบเจ็กต์ได้ด้วย ตัวอย่างเช่นถ้าผู้ใช้ต้องการค้นหาอีเมลของผู้ใช้อีกคนหนึ่งผู้ใช้คนนั้นสามารถใช้ GC ใน
การค้นหาโดยอาจจะใช้ชื่อของผู้ใช้อีกคนที่ต้องการค้นหา GC จะแสดงออบเจ็กต์ของผู้ใช้ที่มีชื่อตรงกับที่
กาหนด
เมื่อออบเจ็กต์ใหม่ถูกสร้างและเพิ่มเข้าไปในไดเร็คทอรี AD จะกาหนดหมายเลขเฉพาะสาหรับ
ออบเจ็กต์นั้นซึ่งหมายเลขเฉพาะนี้เรียกว่า “GUID (Globally Unique Identifier)” หมายเลขเฉพาะนี้จะไม่
ซ้ากับ GUID ของออบเจ็กต์ใด ๆ ในไดเร็คทอรีและจะไม่เปลี่ยนถึงแม้ว่าออบเจ็กต์นั้นจะถูกย้าย GUID
เป็นหมายเลขที่มีความยาว 128 บิต เนื่องด้วยคุณสมบัติพิเศษของ GUID นี้ทาให้การสืบค้นข้อมูลในไดเร็ค
ทอรีได้ออบเจ็กต์ที่ไม่ซ้ากัน
3.6 Replication
Active Directory มีความสาคัญต่อระบบเครือข่ายที่ใช้วินโดวส์มาก ดังนั้น เซอร์วิสนี้ต้องสามารถ
ให้บ ริก ารได้ตลอดเวลาและต้องมีป ระสิทธิภาพในการให้บริก ารสูง เพื่ อเพิ่ มความเชื่อถือได้ของ ADS
ฐานข้อมูลต้องจัดเก็บอยู่ในหลายเซิร์ฟเวอร์ซึ่งถ้าหากเซิร์ฟเวอร์หนึ่งไม่สามารถให้บริการได้ เซิร์ฟเวอร์
ยังคงให้บริการได้ ประโยชน์ของการเก็บฐานข้อมูลไวในหลายเซิร์ฟเวอร์ไม่เพียงแต่เป็นการแบ็คอัพแต่ยัง
ช่วยลดโหลดของแต่ละเซิร์ฟเวอร์ได้อีกด้วย
ส่วนที่ยากที่สุดอย่างหนึ่งของการสารองฐานข้อมูลก็คือการถ่ายโอนฐานข้อมู ลระหว่างเซิร์ฟเวอร์
(Replication) ซึ่งการถ่ายโอนนี้จะต้องมั่นใจว่าทุกๆ เซิร์ฟเวอร์มีฐานข้อมูลที่ทันสมัยและเหมือนกันทั้งหมด
ADS ใช้ระบบมัลติมาสเตอร์ (Multimaster) กล่าวคือ ผู้ดูแลระบบสามารถอัพเดตข้อมูลที่เซิร์ฟเวอร์ใดก็ได้
ซึ่งการเปลี่ยนแปลงนี้จะถูกถ่ายทอดไปยังเซิร์ฟเวอร์ที่เหลือโดยอัตโนมัติ เพื่อป้องกันการขัดแย้งกันของการ
อัพเดตข้ อมูล ทุก ๆ ครั้งก่ อนที่ จะมี การอัพ เดตข้อมูล ADS จะก าหนดหมายเลขเฉพาะ USN (Unique
Sequence Number) ให้กับการอัพเดตแต่ละครั้ง ซึ่งเซิร์ฟเวอร์แต่ละเครื่องจะใช้หมายเลขนี้สาหรับการ
ติดตามการอัพเดตฐานข้อมูลไดเร็คทอรี
เพื่อป้องกันการขัดแยงของข้อมูลในระหว่างการอัพเดตไดเร็คทอรีในขณะใดขณะหนึ่ง ADS จะ
อนุญาตให้เพียงเซิร์ฟเวอร์เดียวเท่านั้นที่มีสิทธิ์ในการอัพเดตฐานข้อมูล ซึ่งสิทธิในการอัพเดตฐานข้อมูลนี้
16
สามารถโอนให้กับเซิร์ฟเวอร์เครื่องอื่นได้ ลักษณะสาคัญนี้เรียกว่า “FSMO (Flexible Single Master
Operation)”
3.7 Security
ระบบการรักษาความปลอดภัยนั้นได้ถูกอินทิเกตเข้ากับ Active Directory ตั้งแต่การล็อกอิน และ
การควบคุมการเข้าใช้ออบเจ็กต์ต่างๆ Active Directory รองรับการล็อกอินแบบครั้งเดียว (Single Sign-on)
โดยเมื่ อผู้ ดูแลระบบล็อกอินผ่ า นแล้วสามารถจัด การไดเร็คทอรีไ ด้ ทุก อย่ าง ส่วนผู้ใ ช้ก็ ส ามารถเข้าใช้
ทรัพยากรต่าง ๆ ทั่วเครือข่าย Active Directory รองรับ SSL/PCT. SASL x.509 PKI และใช้ Kerberos
สาหรับการตรวจสอบผู้ใช้ (Authentication)
17
บทที่ 4
สรุปและวิเคราะห์
อีก สาเหตุ ที่ จ าเป็ น ต้ องมี ม าตรฐานในการเข้ า ถึ งข้ อ มู ล ใน Directory นั้ น ก็ เ พื่ อ ให้ ก ารพั ฒ นา
Application ที่ใช้ติดต่อกับ Directory Server นั้นมีความยืดหยุ่นขึ้น โดย Developer สามารถเรียกใช้ API
(Application Programming Interface) เพื่อติดต่อกับ Directory Service ได้ โดยไม่ต้องทราบวิธีการเข้าถึง
โดยละเอียด เช่นโครงสร้างของ Directory หรือ ชนิดของข้อมูล ( Data Type) ภายใน หรือไม่จาเป็นต้อง
ปรับแก้ Application ใหม่หากมีความต้องการ Data Type ใหม่ๆ เป็นต้น
http://www.tumserver.com/index.php/articles1/34-aricle/46-ldap.html
http://thaiwinadmin.blogspot.com/2008/03/kb2008114.html
http://www.vcharkarn.com/vblog/94465/11
http://cpe.rsu.ac.th/ut/courses/T1-51/cpe489/portfolio/461820/directory.doc
http://202.28.94.55/web/322461/2550/report/g16/ldap.html