2022-01-07
Active Directory(AD) 活动目录
Active Directory (AD)是一个数据库和一组服务,将用户与他们完成工作所需的网络资源连接起来。
活动目录(Active Directory)主要提供以下功能:1、服务器及客户端计算机管理,2、用户服务,3、资源管理,4、桌面配置,5、应用系统支撑等。
AD(Active Directory)概述:
传统AD依赖于Kerbose进行身份验证,Kerbose又叫做三头狗,要求计算机、用户和域控三方都要参与验证。因此,在传统AD中,计算机也拥有账号,也需要加域。另外,计算机也有登录到域的过程,甚至可以授权计算机账号访问文件夹和其他资源。在传统AD中,所有以Local System、Network Service身份运行的服务在访问域中其他共享资源时,都是以计算机账户的身份进行验证的。
传统AD的登录会由用户向域控申请和计算机之间通信的会话票据(默认存活8小时),用户登录计算机时,向计算机出示会话票据,同时加上时间戳证明没有篡改过,计算机才会授权用户登录。登录以后,会在该计算机上生成登录会话,并查询该用户所属的域组和本地组,以此来创建访问令牌,如果是本地管理员,则会生成2张访问令牌(普通用户令牌和管理员令牌)。
传统AD协议(如Kerbose和LDAP)太沉重,一般只能适合内网C/S架构,无法穿透Internet。如果要穿透Internet,通常要将其转为基于Claim的形式,例如ADFS。ADFS类似于调制解调器,能够把Kerbose协议"转换"为其他Internet验证协议(SAML等),但这其实并不是真正意义上的"转换"。
Active Directory Domain Services (AD DS) 域控服务
运行AD DS的服务器称为域控制器(DCs, domain controllers)
组织通常具有多个DCS,每个组织都有一个用于整个域的目录的副本。对一个域控制器上的目录 - 例如密码更新或删除用户帐户的更改将复制到其他DCS,以便它们保持最新状态。全局目录服务器是一个DC,它存储其域目录中的所有对象的完整副本以及森林中所有其他域的所有对象的部分副本;这使用户和应用程序能够在其林的任何域中查找对象。桌面,笔记本电脑和运行Windows(而不是Windows Server)的其他设备可以是Active Directory环境的一部分,但它们不会运行AD DS。AD DS依赖于多种建立的协议和标准,包括LDAP(轻量级目录访问协议),Kerberos和DNS(域名系统)。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-932Gz1QQ-1649581215103)(Q:/whx/Dropbox/Master/Blog/blog/source/_posts/img_article/2022-02-23-AD%E4%B8%8EAAD%E5%8C%BA%E5%88%AB%E5%92%8C%E8%81%94%E7%B3%BB/NLRxYiBq9S2s7mX.png)]
Azure Active Directory (Azure AD)
是 Microsoft 基于云的身份和访问管理服务,可实现的员工登录和访问 Azure 中的资源:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ew6eRaYI-1649581215104)(Q:/whx/Dropbox/Master/Blog/blog/source/_posts/img_article/2022-02-23-AD%E4%B8%8EAAD%E5%8C%BA%E5%88%AB%E5%92%8C%E8%81%94%E7%B3%BB/3ghsbeXnqIjmiSu.png)]
AAD(Azure Active Directory)概述
Azure 提供通过AAD管理身份验证和授权的服务,AAD是一种基于云的标识服务,管理员和开发人员可以使用Azure AD配置的集中式规则和策略来控制对内部和外部数据及应用程序的访问。 AAD支持常见的Internet验证协议,例如WS-Federation、SAML等轻量级的基于Claim的验证协议。与传统AD类似,AAD同样有访问令牌,不过其中的内容是Claim属性,而且由于需要在Internet上交付,所以需要对其进行数字签名和加密。下面是AAD主要包含的四个服务:
身份验证: 包括验证身份以访问应用程序和资源、自助密码重置、多重身份验证(MFA)等功能。
单一登录(SSO):用户只需记住一个ID和一个密码即可访问多个应用程序。
应用程序管理:可以使用AAD应用程序代理、SSO、“访问”面板和SaaS应用来管理云应用和本地应用。
设备管理:管理云设备或本地设备访问企业数据的方式
Azure Active Directory Domain Services( Azure AD DS) 提供托管域服务
类似ADDS,例如域加入、组策略、轻型目录访问协议 (LDAP) 和 Kerberos/NTLM 身份验证。 无需在云中部署、管理和修补域控制器 (DC) 即可使用这些域服务。
Azure AD DS 托管域使你能够在云中或你不希望目录查找始终返回到本地 AD DS 环境的位置,运行无法使用现代身份验证方法的旧版应用程序。 你可以将这些旧版应用程序从本地环境直接迁移到托管域,而无需在云中管理 AD DS 环境。
Azure AD DS 与现有的 Azure AD 租户集成。 通过此集成,用户可以使用其现有凭据登录到与托管域相连的服务和应用程序。 还可以使用现有组和用户帐户来保护对资源的访问。 这些功能可更顺畅地将本地资源直接迁移到 Azure。
AAD与传统AD是完全不同的,前者是云服务,只管验证与授权, 而AAD更像是传统AD向云端的一个扩展,用以满足更多的应用场景与验证需求。AAD 通过为组织提供一种适用于在云中和本地所有应用的标识即服务解决方案,将目录服务方案提升到了一个新层次。同时,AAD是基于云的身份和访问管理解决方案,它也可以与本地AD同步,为本地和基于云的系统提供身份验证。AAD相较于AD的扩展功能概述如下:
AAD 解决了传统AD无法扩展到外部的局限性问题。传统AD在验证和授权方面更多的是做验证,并且无法扩展到外部(受限于Kerbose和LDAP),只能局限在企业环境。而AAD恰好能够解决这一问题,它支持如OAuth2、SAML、WS-Federation和OpenID等轻量级的基于Claim的验证协议,同时也提供了Rest接口。
AAD 更关注于验证与授权。除去验证,传统AD更关注于资源的发现与管理,如最常用的组策略,而这部分内容在AAD里是不关注的,AAD关注的是验证与授权,而非管理本身。
AAD 通过多重身份验证和无密码技术提高了密码安全性。传统AD中的凭据基于密码、证书或智能卡的身份验证,通过密码策略来管理密码的长度、到期时间和复杂性,以此确保AD中密码的安全性;而AAD对云和本地使用智能密码保护,AAD通过多重身份验证和无密码技术显著的提高了密码安全性,同时也为用户提供了自助重置密码的功能来提升用户体验,降低技术支持成本。
AAD 使用AAD应用程序代理访问本地应用。AD当中大多数本地应用都使用LDAP、NTLM或kerberos协议来控制用户的访问。AAD则可使用在本地运行的AAD应用程序代理来访问这些类型的本地应用。
AAD 完全基于云。AAD 的优势在于它完全基于云所提供的灵活性,这意味着它既可以充当组织的唯一目录,也可以通过 AAD Connect 与本地AD目录服务同步。无论采取哪种方式,它都使本地和基于云的用户能够访问相同的应用程序和资源,同时受益于诸如单点登录 (SSO)、多重身份验证 (MFA)、条件访问等功能。更重要的是,它提供了一个单一位置来管理整个 IT 资产中的身份、安全性和合规性控制。
下表展示了AD与AAD的具体区别:
On-Premises Active Directory | Azure Active Directory | |
---|---|---|
Authentication | kerberos | A number of protocols such as SAML,WS-Federation and OAuth,OIDC |
Locator mechanism | DNS | ✗ |
Structure | Hierarchical(based on X.500) | Flat |
Query | LDAP | A rest API, called AD Graph API |
Communication types | All kinds of types | HTTP(port 80) HTTP(port 443) |
Devices | Corporate assets, mostly PC | BYOD |
Focus on | On-perm services | Internet-based services, such as O365, Azure and Facebook(Any services federated with Azure AD) |
Domain joined | ✓ | ✗ |
User | ✓ | ✓ |
Group | ✓ | ✓ |
OU | ✓ | ✗ |
GPO | ✓ | ✗ |
文章浏览阅读1.8w次,点赞2次,收藏4次。报错git push 到 Github 的时候出现异常:fatal: unable to access 'https://github.com/huihut/interview.git/': error:1407742E:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert protocol versionPushing to https:/..._github 不支持 tls 1.1.2
文章浏览阅读2.8k次,点赞7次,收藏33次。(1)掌握通信信号调制过程及实现原理;(2)了解设计中的优化方案;(3)进一步学习复杂数字系统设计;(4)培养工程思维及创新思维。(1)实现单路PWM 信号模块,可通过端口设置初始相位,频率,占空比;(2)通过模块调用方法,实现三路PWM信号输出,分辨展示相位,频率,占空比可调;(3)加入正弦波形VTH(t)实现SPWM波形;1.顶层文件代码限于篇幅,此处仅给出顶层代码。_fpga pwm
文章浏览阅读423次。《Thinking in UML》学习总结@(总结)[思考|学习|记录]Thinking in UML学习总结简要面向过程和面向对象面向过程面向对象建模公式用例驱动抽象层次视图对象分析的方法获取需求定义边界发现主角获取业务用例业务建模业务用例场景业务用例规约业务规则业务对象模型业务用例实现视图业务用例实现场景包图领域模型提取业务_用例规约的分支过程描述
文章浏览阅读170次。Maven导包小插曲问题一:尝试解决方法解决方法问题二:解决方法问题三:解决方法pom配置冒红小技巧问题一:为什么Maven用pom配置后,可以在本地仓库看见导进来的文件夹,但没看见到jar包,只能看见尾缀为lastUpdated的文件。尝试解决方法一开始以为是未配置maven镜像,使用的是原来默认的,太慢了,没下载成功的原因,因为之前使用是不会的。后来发现是自己默认选择用的.m2的settings原因,换成idea自带maven3中setting,又不行。解决方法①换完setting后还需要进
文章浏览阅读2.9k次,点赞7次,收藏10次。最近在利用springboot+vue整合开发一个前后端分离的个人博客网站,所以这一篇总结一下在开发中遇到的一个问题,关于解决在使用vue和springboot在开发前后端分离的项目时,如何解决跨域问题。在这里分别分享两种方法,分别在前端vue中解决和在后台springboot中解决。浏览器同源策略为什么会出现跨域问题? 首先一个定义一定要了解,就是浏览器的同源策略,什么是浏览器的同源策略, 简单..._springboot vue 跨域
文章浏览阅读4.5k次,点赞2次,收藏19次。目录一、引言二、DRM框架介绍三、DRM框架的使用四、源码分析一、引言Android4开始,hdmi等视频输出框架开始由framebuffer想DRM迁移,今天我们就来简单分析下DRM框架二、DRM框架介绍DRM是一个内核级的设备驱动,具体的说是显卡驱动的一种架构源码位置因为Linux kernel内部接口和数据结构可能随时发生变化,所以DRI模块要针对特定的内核版本进行编译。kernel 2.6.26之后的版本,DRM(DRI kernel模块)源码存放在kernel/drivers/_嵌入式linux hdmi视频环出功能实现
文章浏览阅读6.3k次,点赞3次,收藏4次。android常见对文本处理的方法,及Html.fromHtml(),SpannableString的详细使用和注意事项_android html.fromhtml
文章浏览阅读431次。Spring Cloud微服务架构优化实践,高效稳定的分布式系统构建一、简介1. Spring Cloud 微服务架构2. 微服务架构的发展和优势优化实践的意义和重要性二、优化实践1. 微服务治理的优化1.1 服务注册与发现1.2 负载均衡1.3 服务容错和故障转移2. 服务调用的优化2.1 服务调用方式的选择服务调用的高效性和稳定性服务调用的安全性和可控性3. 数据访问的优化数据库访问的优化策略数据库集群的部署和管理数据库访问的安全性和可控性4. 配置管理的优化4.1 配置中心的选择和使用配置管理的高效性_如何优化部署微服务项目
文章浏览阅读334次,点赞10次,收藏10次。运行环境开发语言:Java框架:springbootJDK版本:JDK1.8服务器:tomcat7数据库:mysql数据库工具:Navicat11开发软件:eclipse/myeclipse/ideaMaven包:Maven项目介绍。
文章浏览阅读1.1w次,点赞4次,收藏12次。项目的需求其实很简单,就是需要把doc这些文档转换成pdf,然后提供在线预览。我这边的思路是:使用pdf.js做为预览控件,后台转换后直接传给控件。具体如下:1、下载pdf.js,然后直接丢到自己的项目里2、前端搞一个object,用来做为内嵌显示,当然嫌麻烦的也可以直接打开个新窗口,想怎么玩都可以:我这里的data用的是Vue动态绑定,点击不同文件时,就预览对应的文件..._org.jodconverter.core.office.officeexception: local conversion failed
文章浏览阅读9.4k次,点赞2次,收藏4次。目录一、前言二、点到线段的最短距离——向量法三、点到直线的最短距离——直线法四、点到直线最短距离——向量法一、前言 其实在工程应用中很多情况下计算点到直线或者点到线段的距离,比如在unity3d游戏软件设计中计算任意形状路径起点和终点连线距离最远的点,比如用于雷达聚类后在跟踪算法中计算哪个sensor距离最近,另外还需要知道要计算的点位于直线的哪一侧,这些计算在游戏开发或者数字信号后处理要求实时性,因此需要高效的运算。这里记录一下几种计算方法,方便需要时回忆。二、..._点到向量的距离公式
文章浏览阅读66次。Sublime Text 3 全程详细图文原创教程(持续更新中。。。)[摘要:1、 媒介 应用Sublime Text 也有几个岁首了,版本也从2进级到3了,但如同冷天饮冰火,热热尽自知。最后也是没有晓得从何动手,谦天下天查找材料,但能查阅到的材料,苦于它们的零星]一、前言 使用Sublime Text 也有几个年头了,版本也从2升级到3了,但犹如寒天饮冰水,...