آموزش شبکه: آموزش مایکروسافت، آموزش سیسکو

خانه / کد 640-70 / Active Directory Domain Services / مفهوم Authentication

مفهوم Authentication

مهمترین وظیفه Active Directory احراز هویت افراد، کامپیوترها و تمام دستگاه هایی که قرار است وارد شبکه شده و سرویس بدهند و یا سرویس بگیرند. هر کاربر یا کامپیوتر، قبل از اینکه بتواند در شبکه و محیط domain نقشی ایفا کند، بایستی توسطActive Directory  شناخته شود (شناسایی هر object توسط SID و identity خود انجام می گیرد.) این فرایند شناسایی، با تبادل یک سری اطلاعات محرمانه و محافظت شده ای مانند، پسورد ویا certificate های دیجیتالی، بین آن object و Active Directory انجام می گیرد. پس از اتمام فرایند احراز هویت (authentication)، آن object می تواند در شبکه فعالیت کرده و از منابع شبکه (با توجه به میزان اجازه دسترسی) استفاده کند.

در Active Directory پروتکل Kerberos مسئول احراز هویت (authentication) را به عهده دارد. وقتی یک کاربر یا کامپیوتر، وارد دامین می شود (login)، پروتکل Kerberos مواردی امنیتی (credential) آنها را authenticate کرده و مجموعه ای از اطلاعات به نام ticket granting ticket (TGT) را ارسال می کند. قبل از اینکه کاربر بتواند کاری را در دامین انجام دهد (مانند ارتباط با سرور و دریافت یک فایل)، Kerberos  درخواستی را همراه با TGT به domain controller ارسال کرده تا از وجود کاربر در دامین اطمینان حاصل کند. Domain controller نیز مجموعه ای از اطلاعات را به نام service ticket را به سرور ارسال کرده تا بگوید که کاربر را احراز هویت کرده و کاربر مربوط به دامین است. این تبادلات Kerberos فقط در یک logon شدن به شبکه انجام می گیرد. بعد از اینکه کاربر یا کامپیوتر به محیط دامین login، وTGT را دریافت کرد، کاربر در تمامی domain احراز هویت شده و می تواند service ticket ها را برای هر سرویسی دریافت کند. تمامی این ticket ها توسط Kerberos کلاینت ها مدیریت می شود.