1 / 46

IT Arkitektur og Sikkerhed

IT Arkitektur og Sikkerhed. IT Arkitektur. Sidste uge. Sidste uge gennemgik vi Introduktion til computere OS RAID SAN NAS. Dagsorden. I denne uge gennemgår vi Hvad er IT Arkitektur? LDAP og NOS Applikationsservere Tynde/Tykke klienter Server baseret processering N-lags modeller

lamar
Télécharger la présentation

IT Arkitektur og Sikkerhed

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. IT Arkitektur og Sikkerhed IT Arkitektur

  2. Sidste uge • Sidste uge gennemgik vi • Introduktion til computere • OS • RAID • SAN • NAS

  3. Dagsorden • I denne uge gennemgår vi • Hvad er IT Arkitektur? • LDAP og NOS • Applikationsservere • Tynde/Tykke klienter • Server baseret processering • N-lags modeller • Middleware

  4. Næste uge • I næste uge gennemgår vi • Enterprise Arkitektur • Zachman • TOGAF

  5. IT Arkitektur • Hvad betyder Arkitektur? • A formal description of a system, or a detailed plan of the system at component level to guide its implementation. • The structure of components, their interrelationships, and the principles and guidelines governing their design and evolution over time.

  6. IT Arkitektur • Hvordan definerer vi så IT Arkitektur • Business architecture: this defines the business strategy, governance, organisation, and key business processes. • Data/information architecture: this describes the structure of an organization's logical and physical data assets and data management resources. • Application (systems) architecture: this kind of architecture provides a blueprint for the individual application systems to be deployed, their interactions, and their relationships to the core business processes of the organization. • Information Technology (IT) architecture: the software infrastructure intended to support the deployment of core, mission-critical applications. This type of software is sometimes referred to as "middleware", and the architecture as a "technical architecture".

  7. Directory Services • Grundlæggende er en directory service en netværksbaseret applikation der indeholder information om netværksbrugere, netværksressourcer og. lign. • En telefonbog er et meget godt eksempel. • Hvad er typisk forskellen på en directory og en database? • Er optimeret for mange læsninger og for avancerede søgninger • Er duplikeret og replikeret • Er en hierarkisk træ struktur • Der er grundlæggende tre typer directory services: • NOS directories (AD, Novell eDirectory) • Applikations directories (ePost, SAP, og. lign.) • Generelle directories (Almindelig opslag, de hvide sider)

  8. LDAP • LDAP står for Lightweigth Directory Access Protocol og er en protokol til at snakke med directory services • LDAP er baseret på X.500. X.500 er Directory Model i OSI. DAP (Directory Access protocol) kører over OSI netværksprotokollen og er meget kompleks og tung.

  9. LDAP • Der findes et hav af LDAP Directory implementeringer: • Microsoft Active Directory and ADAM • Computer Associates eTrust Directory 8 • IBM Tivoli Directory Server 5.x • Nexor Directory 5.1 • Novell eDirectory 8.7.x • Oracle Internet Directory v 10g • Sun Microsystems Sun ONE Directory Server 5.2

  10. LDAP forespørgsel Sådan kunne en typisk LDAP forespørgsel se ud: # ldapsearch ”sn=Strand” cn telephoneNumber Svar: cn=Michael Strand, ou=managers, O=netcompany, c=dk telephoneNumber=45454545

  11. Objekt træ • Data er repræsenteret i directory services som hierarki af objekter • Toppen af hierarkiet kaldes normalt for ”root” • Hvert objekt (kaldes også ”entry”) har en parent entry, og en eller flere child entries • Hver entry består af en ObjectClass • Hver ObjectClass består af nul eller flere attributer

  12. Data Information Tree DIT

  13. Data Information Tree DIT • Alle objekter har et unikt navn, kaldet en DN (Distinguished Name) som er opbygget af relative navne kaldet RDNs (Relative Distinguished Names) som findes ved at ”vandre træet”

  14. LDAP operationer • LDAP understøtter en række forskellige operationer • Binding og Unbinding • Search efter objekter der opfylder søge kriterier • Add objekt • Delete objekt • Modify objekt • Modify DN eller RDN • (Move) • Compare objekter

  15. Active Directory • Microsoft Active Directory (AD) er et såkaldt NOS struktureret som et LDAP directory. • AD indeholder information om objekter og deres attributter; såsom brugere, ressourcer (objekter) og services. • AD bruges til at give netværksadgang, og tilladelser til ressourcer og -services, samt som generelt opslagsværk. • Har været tilgængeligt siden Windows 2000 server • Supporterer LDAP v2 og v3 standarderne

  16. Objekter Active Directory Printers Printer1 Attributter Printer Name Printer Location Printer2 Printere Printer3 Attribut værdi Users Attributter Per sorensen First Name Last Name Logon Name Susan hansen Brugere Informationer i AD AD organiserer netværks objekter og deres attributer:

  17. Hvorfor er det smart? • Så kan man styre brugere, ressourcer, og services på netværk centralt og give relevant adgang fra brugere til ressourcer og services.

  18. Active Directory: En administrator kan centralt styre objekter Administratorer kan nemt finde information Administratorer kan logisk gruppere objekter i OU'er Domain Domain Search OU1 Computers OU1 OU2 Computer1 Users User1 OU2 Users User1 Computer1 User2 Printer1 User2 Printers Printer1 Central Management

  19. Domain OU1 Admin1 OU2 Admin2 OU3 Admin3 Delegeret Management

  20. Domæne (Domain) • Et domain er en administrativ grænse i et AD. • Med det menes at et domain har separate brugere, sikkerhedspolitik, tillid til andre domains og lign. • Et domain vil typisk modsvare et DNS navn og kunne for eksempel være: dr.dk • Domain styres fra en domain controller (DC) • Der er mindst en per domain • Indeholder en replika af AD, og synkronisere med andre DCs

  21. Domains er typisk logisk organiseret i en træ struktur. De enkelte domains identificeres med deres DNS navn. Domæne Træ (Domain Tree)

  22. Builtin Computer1 Traning.telia.dk Computers Computer2 DNS og AD DNS host record og ActiveDirectoryobject repræsenterer samme fysiske computer DNS tillader computere at finde objecter i AD “.” dk. Active Directory telia salg traning computer1 FQDN = computer1.traning.telia.dk Windows 2000 Computer Name = Computer1

  23. Skov (Forest) • En skov er et eller flere træer • Træer i en skov vil ikke tilhører samme DNS sti telia.dk Skov orange.dk cph.telia.dk Træ aarhus.orange.dk kbh.orange.dk Træ

  24. Tillid (Trust) • Trust tillader brugere fra et domain, at få adgang til objekter i et andet domain. • AD opererer med fire typer Trusts • Enkelt domains • Master domains • Multiple-master domains • Multiple trust

  25. Gruppe politik (Group Policy) • Gruppe politik (Group Policy) objekter bruges til at kontrollere andre objekter; herunder registry, NTFS sikkerhed, audit- og sikkerhedspolitik, software installation, logon/logoff scripts, folder og IE konfigurationer. • Gruppe politik kan tilføjes domains, OU m.m. Men tilføjes typisk til OU. • Gruppe politikken er gemt i en Group Policy Objekt (GPO)

  26. Pause

  27. Typiske serverroller i en virksomhed • I stort set alle danske virksomheder vil I møde følgende serverroller: • DHCP • DHCP serveren uddeler IP adresser + andre ting efter behov • En pr. subnet • Alle miljøer

  28. Typiske serverroller i en virksomhed • Fil og Print • Central fildeling • Central Printeropsætning • Alle miljøer • Intern og Ekstern DNS • Hvorfor begge dele? • Stort set alle miljøer • Mail server • Er en mail server en maskine? • Alle miljøer

  29. Typiske serverroller i en virksomhed • Database server • Central server • Måske cluster • Oftest ”Don’t touch” • Oracle, MySQL eller SQLServer typisk • Stort set alle miljøer • ERP system • Lige så central • Helt sikkert også ”Don’t touch” • Concorde, Navision, PeopleSoft, Oracle, SAP • Stort set alle miljøer

  30. Typiske serverroller i en virksomhed • RIS server (Remote Installation Server) • Bruges til unattended OS installation af klienter/servere typisk via PXE Boot • Kan være Altiris, IBM eller MS • Oftest i miljøer med +50 PC’er • Overvågningsserver • Overvågning af maskiner og services i miljøet • Typisk IBM Tivoli, HP OpenView, CA Unicenter eller MS MOM • Oftest i miljøer med +50 PC’er

  31. Typiske serverroller i en virksomhed • Software Distribution • Distribution af softwarepakker til klienter og servere • Oftest i miljøer med +200 PC’er • SMS, Altiris, Tivoli, SUS/WSUS??? • WWW • Web server • Stort set alle miljøer • IIS, Apache

  32. Typiske serverroller i en virksomhed • Firewall • Kan enten være en ”sort boks” eller en software firewall • Beskytter virksomheden mod angreb udefra • Cisco PIX, CheckPoint og Microsoft ISA server • Mange hjemmeroutere tilbyder FW funktionalitet • Alle steder • VPN Server • Giver remote adgang til virksomheden • Lader folk logge på hjemmefra, som sad de i virksomheden • Cisco 3000 VPN, Microsoft RRAS (ISA), Nortel • + 40 brugere

  33. Typiske serverroller i en virksomhed • Terminal Server… • Giver ”terminal adgang” til udvalgte maskiner/applikationer • X11, IBM Mainframes (3270), Citrix, MS Terminal Server, MS Remote Desktop Bringer os videre til ”Server Based Computing”

  34. Server baseret processering • Idéen bag Server Based Computing er grundlæggende at intelligensen ligger på serversiden, hvor vi nemmere kan styre den • Klienter skal være så dumme og tynde så muligt

  35. Server baseret processering • Applikationer eksekverer altid på server Applikationentilgåsfra en normal desktop eller en tyndklient Deter kun skærmbilleder, musetrykogtastaturtryk, dergår over netværket Appliaktioneneksekverer 100% på server

  36. Citrix arkitektur

  37. Citrix klient krav • Ved Server Based Computing er der stort set ingen krav til klienten. F.eks. supporterer Citrix i dag blandt andet: • Symbion, Alle Windows platforme, Linux, BSD, HPUX, Solaris, PalmOS, AIX • + mere general purpose Java klienter • Virkelig lav ”footprint” og typisk under 2 MB • Krav til båndbredde er ca: • Citrix 20 kbps • MS Terminal Server 128 kbps • 3270 14 kbps • X11 1 mbps

  38. Mere Citrix • Man kan publicere applikationer gennemsigtigt for brugere • Redirecte links • Mappe printere automatisk • Mappe lokale drev • Lave loadbalancing mellem servere i ”farm” • Isolere applikationer • Rent praktisk: installer W2K3, installer applikationer, installer Terminal Server, installer Citrix

  39. Klient Server Klient/Server applikationsmodel • Klient/server arkitekturen er et populært design for distribuerede applikationer. I klient/server modellen er applikationerne opdelt i to dele. • Klient delen fungerer i forgrunden ved at præsentere information for brugeren • Server delen fungerer i baggrunden og manipulerer og behandler data for klienten. • Ved en sådan opdeling opnås en række fordele f.eks. kan arbejdstunge opgaver løses af server computeren, der normalt er kraftigere end klient computeren. Endvidere kan server computeren servicere flere klienter samtidig. Klient(er) server Klient

  40. Klient Klient Server Server 3-lags applikationsmodel • Applikations distribuering over flere lag; Præsentation/web; Applikationsslogik; Data; flere lag. Præsentation/web Applikationsslogik Data Klient Klient

  41. 3-lags applikationsmodel • Fordele • Skalerbarhed horisontalt og vertikalt • Tilgængelighed og performance • Sikkerhed på flere niveauer • Gængse problemstillinger • Load balancing • Sessionshåndtering (”sticky sessioner”) • Isolering af Fejl

  42. J2EE applikationsramme • J2EE (Java 2 Enterprise Edition) er flere lags, komponentbaseret applikationsmodel • En SUN-specifikation - et teknisk dokument, der detaljeret beskriver J2EE-platformen og dens API'er • En SUN-referenceimplementation, der fungerer dels som proof-of-concept i forhold til specifikationen, og dels som et supplement til specifikationen (er der tvivl om platformens opførsel i et givent tilfælde, gælder referenceimplementationens opførsel som specifikation) • Et værktøj, der tester kompatabilitet af en forelagt serverplatform med J2EE-specifikationen (via en række test cases) • En række "J2EE blueprints" - principper for og tips til fornuftig applikationsudvikling på J2EE-platformen • Implementeringer: BEA WebLogic, IBM WebSphere, Red Hat JBOSS

  43. J2EE applikationsramme • Applikationslogik er defineret i komponenter • En J2EE applikation er sammensat af komponenter såsom servlets, JSP, enterprisebeans. • De forskellige komponenter kan afvikles på forskellige maskiner • Arkitekturen søger også at løse tværgående problemer ("cross-cuttingconcerns") som sikkerhed, transaktionsunderstøttelse og samtidighed ved at realisere det såkalte "component/container"-princip: Komponenters offentligt udstillede services tilgås kun indirekte gennem en container (en applikation, der indkapsler komponenten), som så kan håndtere CCC-problemerne

  44. Java • J2EE er nederst bygget på Java • Java er et objektorienteret tredjegenerations-programmeringssprog inspireret af C++. Sproget er udviklet af Sun. Java var oprindeligt døbt Oak, men dette navn havde et andet firma allerede taget patent på. Herefter faldt navnet på Java. • Java kører på en virtuel maskine (JVM) beregnet (men ikke begrænset) til at køre programmer skrevet i programmeringssproget Java. • Programmeringssproget Java er blandt andet kendetegnet ved at et program skrevet i Java kan afvikles på enhver platform, hvis der findes en passende JVM. Som programudvikler skal man derfor ikke bekymre sig om slutbrugerens maskinel og programmel. Mens et Javaprogram udføres, sørger den virtuelle maskine selv for at fjerne unødvendige objekter, som optager plads i maskinens arbejdshukommelse (garbage collection) Som programmør skal man dog holde styr på andre ressourcer som f.eks. filer.

  45. Microsoft .NET applikationsramme • Microsoft .NET applikationsramme består af et CommonLanuageRuntime (CLR) og et samlet sæt af klassebiblioteker. En .NET compiler er ansvarlig for at kompilere dine programmer til MS IntermediateLanguage (MSIL), der er halvkompilereret kode med referencer til de anvendte klasser. Denne process gør det muligt at skrive .NET programmer i et vilkårligt antal sprog, der senere kan kompileres, eksekveres og håndteres af CLRet. Dette har bl.a. betydet at .NET applikationer ikke bare udvikles i MS sprog (C#, VB.Net eller MC++), men at der findes 30+ sprog, fx Delphi .NET fra Borland. • Derudover består Microsoft .NET af • ASP.net • ADO.net • M.fl.

  46. Opgaver

More Related