LDAP and Active Directory

Published on December 2016 | Categories: Documents | Downloads: 57 | Comments: 0 | Views: 1468
of 25
Download PDF   Embed   Report

Comments

Content

LDAP and Active Directory
เสนอ
ดร.อรรจน์ โกญจนาท
จัดทาโดย
นายวรพล ทองพุ่ม
รหัส 501091
รายงานนี้เป็นส่วนหนึ่งของวิชา Seminar Computer Engineering (CPE489)
สาขาวิชาวิศวกรรมคอมพิวเตอร์
วิทยาลัยวิศวกรรมศาสตร์
มหาวิทยาลัยรังสิต
ประจาปีการศึกษา 1/2553



คานา
รายงานฉบับนี้ได้ศึกษาค้นคว้ารวบรวมเนื้อหาจาก Web Site ที่รุ่นพี่รวบรวมไว้ส่วนหนึ่งและได้ทา
การดัดแปลงแก้ไขเนื้อหาเพิ่มเติมในส่วนเรื่องของ LDAP โดยรายงานฉบับนี้ได้เรียบเรียงและจัดทาขึ้น โดย
นักศึกษาที่ได้รับมอบหมายงานให้ทาในรายวิชา CPE489 โดยมีเนื้อหาเกี่ยวกับไดเร็คทอรีเซอร์วิส และ
LDAP ผู้ จั ดท าหวั ง เป็ น อย่ า งยิ่ ง ว่า เนื้ อหาของรายงานฉบั บ นี้ค งเป็ น พื้ นฐานความรู้ เพื่ อ นาไปใช้ ใ ห้ เ กิ ด
ประโยชน์ หรืออาจจะนามาใช้ ป ระกอบในการศึก ษาทางด้า นคอมพิ วเตอร์ซึ่งรายงานฉบับนี้ก็ เป็นพื้ น
ฐานความรู้ของคอมพิวเตอร์ของนักศึกษาสาขาวิศวกรรมคอมพิวเตอร์ รวมถึงสาขาอื่นๆและผู้ที่สนใจ

ผู้จัดทา
นายวรพล ทองพุ่ม รหัส 501091


ชื่อ
หัวข้อเรื่อง
อาจารย์ผู้สอน
ปีการศึกษา

:
:
:
:

นายวรพล ทองพุ่ม รหัส 501091
Active Directory
ดร.อรรจน์ โกญจนาท
2553
บทคัดย่อ

ไดเร็คทอรีเป็นส่วนประกอบที่สาคัญของระบบบริห ารและจัดการเครือข่ายในปัจจุบันโดยเฉพาะ
เครือขายขนาดใหญ่ การจัดการทรัพยากรต่าง ๆ ในเครือขายอาจเป็นเรื่องยุ่งยากถ้าไม่มีเครื่องมือช่วยลดงาน
ของผู้ดูแลระบบได้อย่างมากจุดเด่นของไดเร็คทอรีเซอร์วิสในปัจจุบันคือ การรักษาความปลอดภัย โดยจะมี
การควบคุมจากส่วนกลางผู้ใช้สามารถล็อกอินครั้งเดียวก็สามารถเข้าถึงทรัพยากรทุกอย่างที่ผู้ใช้ มีสิทธิ์ คอน
เซ็ปต์นี้เรียกว่า“Single Sign-on” ในปัจจุบันไดเร็คทอรีเซอร์วิสสามารถบริหารเครือข่าย WAN ได้เหมือนกับ
LAN
ไดเร็คทอรีที่กาลังเป็นที่นิยมในปัจจุบันคือ eDirectory และ Active Directory โนเวลล์จะได้เปรียบ
ตรงที่ว่าโนเวลล์นั้นไดเริ่มพัฒนาซอฟต์แวร์นี้ก่อน แต่ไมโครซอฟท์จะได้เปรียบในด้านการตลาด อย่างไรก็
ตามไดเร็คทอรีจากทั้งสองค่ายก็มีประสิทธิภาพไม่แตกต่างกันมากนัก นอกจากไดเร็คทอรีได้กล่าวถึงนี้แล้ว
ยังมีไดเร็คทอรีจากค่ายอื่นที่น่าสนใจ เช่น Sun ONE Directory Server จากซันไมโครซิสเต็ม OpenLDAP
ซึ่งเป็นไดเร็คทอรีของโอเพ่นซอร์ส ซึ่งประสิทธิภาพก็ไม่ได้ต่างกันมากนัก อย่างไรก็ตามการใช้งานไดเร็ค
ทอรีในองค์กรนั้น ยังมีส่วนประกอบอีกหลายอย่างที่ควรพิจารณา เช่น ราคา ค่าใช้จ่ายในการบารุงรัก ษา
ความง่ายในการดูแลและจัดการและบุคลากรเป็นต้น


Name
Title
Adviser
Year

:
:
:
:

Mr.Warapon Thongpum 501091
Active Directory
Dr.Ut Goenchanart
2010
Abstract

The directory is a component of systems management and network management
today.Especially a large network. Various resource management Network can be tricky if there are
no tools to help reduce the administrative work of the great strengths of the directory service is
present Security. It is controlled centrally, users can log in only once to access all the resource user
is authorized. This concept is called "Single Sign-on" in the current directory service to network
operators as well as the WAN LAN. The directory that is becoming popular today is the eDirectory
and Active Directory, Novell will be directly comparable to that Novell has developed the software
first. But Microsoft will take advantage of the market. However, the directory from both camps, it is
not performing very different. In addition to the directories mentioned this. There is also the
directory of third party interest, such as Sun ONE Directory Server from Sun Microsystems, which
is the OpenLDAP directory of open source. The performance was not much different. However, the
active directory in the enterprise. Also contains many things to consider such costs in maintenance
costs. Ease of maintenance and management. And personnel etc.



สารบัญ
หน้า
คานำ ........................................................................................................................................................ ก
บทคัดย่อภาษาไทย ................................................................................................................................... ข
บทคัดย่อภาษาอังกฤษ .............................................................................................................................. ค
สารบัญ .................................................................................................................................................... ง
สารบัญตาราง .......................................................................................................................................... ฉ
สารบัญรูปภาพ ........................................................................................................................................ ช
บทที่ 1 ทบนา ………………………………………………………………………………………….. 1
บทที่ 2 ความหมายและหลักการทางานของ LDAP …………………………………………………… 2
2.1 Directory Access Protocol (DAP) ....................................................................................... 2
2.2 Lightweight Directory Access Protocol (LDAP)………………………………………….. 3
2.2.1 โครงสร้างและรูปแบบข้อมูล ………………………………………………….. 5
2.2.2 การกาหนดชื่อและการค้นหา .............................................................................. 6
2.2.3 LDAP Server and Client ………………………………………………………. 7
บทที่ 3 ความหมายและหลักการทางานของ Active Directory ............................................................... 10
3.1 Directory Services ………………………………………………………………………... 10
3.2 บริการ Directory คืออะไร ................................................................................................... 10
3.3 Active Directory Service …………………………………………………………………. 11
3.3.1 โครงสร้างของ Active Directory ………………………………………………. 11
3.4 AD Naming ………………………………………………………………………………. 14
3.5 Global Catalog ……………………………………………………………………………. 15
3.6 Replication ………………………………………………………………………………... 15
3.7 Security ………………………………………………………………………………….... 16
บทที่ 4 สรุปและวิเคราะห์ ……………………………………………………………………………… 17



สารบัญตาราง
หน้า
ตารางที่ 3.1 มาตรฐานการเรียกชื่อแบบอื่น ๆ ที่รองรับโดยวินโดวส์ 2000 …………………………….. 14



สารบัญรูปภาพ
หน้า
รูปที่ 2.1 LDAP Directory Tree ……………………………………………………………………….. 5
รูปที่ 2.2 LDAP Directory Tree (Internet Naming) …………………………………………………… 6
รูปที่ 3.1 โดเมนทรี ................................................................................................................................. 11
รูปที่ 3.2 โดเมนฟอเรสต์ ......................................................................................................................... 12
รูปที่ 3.3 โครงสร้างของ AD …………………………………………………………………………… 13

1

บทที่ 1
บทนา
1.1 ที่มาและความหมายของ LDAP
LDAP เป็นโปรโตคอลใช้สาหรับติดต่อกับ ไดเรกทอรีเซอร์วิส ( Directory Service) อยู่ในระดับ
แอปพลิเคชัน เลเยอร์ทางานอยู่บนโปรโตคอล TCP/IP มาตรฐาน LDAP ให้คาจากัดความทั้ง 4 รูปแบบ ซึ่ง
แนะนาให้คุณได้ใช้ directory ซึ่งรูปแบบมีการส่งเสริมการทางานร่วมกั นระหว่างการติดตั้ง directory
ในขณะที่คุณสามารถจะตัดไปยัง directory ที่คุณ ต้องการเฉพาะได้ ซึ่งแนะนาผู้พัฒนา directory เมื่อลูกค้า
และผู้ใช้ software มีการออกแบบ และกาลั งปฏิบัติการ LDAP LDAP จะมี APIs: ใช้โปรแกรม ภาษา C
ใช้ได้กับ netcape's java SDK ,sunsoft's JNDI และ Microsoft active Directory Service interface(ADSI) การ
เปลี่ยนแปลงข้อมูลของ LDAP(LDIF) เป็นมาตรฐาน รูปแบบตัวอักษรสาหรับอธิบายในข้อมูล directory
LDIF สามารถอธิบายการสร้าง directory หรือปรับปรุงเพื่อประยุกต์ใช้กับ directory ข้อมูล ใน directory
สามารถส่งออก จากที่หนึ่งไปยังที่หนึ่ง โดยใช้ LDIF โดยทั่วไปมักใช้ได้กับคาสั่งซึ่งจะมีประโยชน์ทั้งอ่าน
และเขียน
LDAP ได้รับการออกแบบมาให้อยู่บน TCP/IP Layer ที่มีเพียง 4 Layer ทาให้มีความต้องการ
Resource น้อยกว่า DAP ของมาตรฐาน X.500 อย่างไรก็ตาม หากมีความต้องการติดต่อกันระหว่าง LDAP
Client กับ X.500 Server จาเป็นจะต้องมีการติดต่อผ่าน Gateway ที่เรียกว่า LDAP Server
LDAP เป็นมาตรฐานที่ได้รับการยอมรับอย่างกว้างขวาง และมี Application Vendor อยู่หลายราย
อาทิ OpenLDAP, IBM, Oracle, Microsoft ซึ่ง Product ที่ได้รับความนิยมก็ได้แก่ Slapd ของ University of
Michigan และ Openldap, Directory Server ของ Netscape, Active Directory (AD) ของ Microsoft, Novell
Directory Services (NDS) ของ Novell, Sun Directory Services (SDS) ของ Sun และ Internet Directory
Server (IDS) ของ Lucent เป็นต้น

2

บทที่ 2
ความหมายและหลักการทางานของ LDAP
2.1 Directory Access Protocol (DAP)
DAP (Directory Access Protocol) เป็นโปรโตคอลที่ออกแบบมาให้ไคลเอนท์หรือ DUA ร้องขอ
ข้อมูลจากไดเร็คทอรีเซิร์ฟเวอร์หรือ DSA รวมทั้งอนุญาตให้ไคลเอนท์สามารถปรับปรุงหรือเพิ่มข้อมูลไป
ในไดเร็คทอรีได้ด้วยฟังก์ชันที่ใช้สาหรับกรร้องขอข้อมูลจากไดเร็คทอรีมี 5 ฟังก์ชัน ดังนี้
๐ Read: เป็นฟังก์ชันที่ไคลเอนท์ใช้ร้องขอข้อมูลของออบเจ็กต์ใดออบเจ็กต์หนึ่งใน
ไดเร็คทอรี ซึ่งข้อมูลที่ร้องขออาจเป็นแอตทริบิวต์ทั้งหมดของออบเจ็กต์หรืออาจจะเป็น
บางค่าเท่านั้น
๐ Compare: เป็นการร้องขอเพื่อเปรียบเทียบคาของแอตทริบิวต์ของออบเจ็กต์ใด
ออบเจ็กต์หนึ่งในไดเร็คทอรี เช่น ขั้นตอนการตรวจสอบผู้ใช้จะต้องมีการเปรียบเทียบ
รหัสลับที่ผู้ใช้ให้และรหัสลับที่เก็บไว้ในไดเร็คทอรีซึ่งไคลเอนท์ไม่มีสิทธิ์อ่านรหัส
ลับจากไดเร็คทอรีได้แต่สามารถเปรียบเทียบได้
๐ List: เป็นการร้องขอรายการที่อยู่ภายใต้ซับทรีหนึ่งใน DIT
๐ Search: เป็นการค้นหาออบเจ็กต์ในไดเร็คทอรีที่ตรงกับเกณฑ์ที่กาหนด
๐ Abandon: เป็นการยกเลิกการร้องขอจากไคลเอนท์
นอกจากนี้ DAP ยังมีฟังก์ชันที่ใช้สาหรับปรับเปลี่ยน หรือเพิ่มออบเจ็กต์ใหม่ในไดเร็คทอรีได้ ซึ่งมี
4 ฟังก์ชัน ดังนี้
๐ Add: เป็นการเพิ่มออบเจ็กต์ใหม่เข้าไปในไดเร็คทอรี
๐ Remove: ลบออบเจ็กต์ที่มีอยู่
๐ Modified: เป็นการปรับเปลี่ยนค่าแอตทริบิวต์ของออบเจ็กต์ที่มีอยู่ในไดเร็คทอรี เพิ่ม
หรือลบแอตทริบิวต์ของออบเจ็กต์นั้น ๆ
๐ Modified Distinguished Name: เป็นการร้องขอเพื่อเปลี่ยนค่า RDN (Relative
Distinguished Name) ของออบเจ็กต์ที่อยู่ในไดเร็คทอรี หรืออาจเป็นการย้ายเอนทรี
ไปไว้ในซับใหม่ ซึ่งออบเจ็กต์ที่เป็นสาขาย่อยต้องถูกปรับเปลี่ยนหรือย้ายไปด้วย

3
2.2 Lightweight Directory Access Protocol (LDAP)
ข้อเสียของโปรโตคอล DAP คือการเขียนโปรแกรมต้องใช้ทรัพยากรมากอีกทั้งความซับซ้อของ
โปรโตคอลที่มีมากถ้าต้องเข้าถึงไดเร็คทอรีแบบกระจายหากมีการใช้ทรัพยากรของเครื่องมากเกิตไปอาจทา
ให้เครื่องไคลเอนท์ที่จะติดตั้ง DAP ทางานช้าลงด้วยเหตุนี้จึงมีการพัฒนาโปรโตคอล LDAP (Lightweight
Directory Access Protocol) ซึ่งเป็นโปรโตคอลที่ใช้ทรัพยากรน้อยและง่ายต่อการใช้งานมากกว่า DAP
LDAP ไม่ไ ด้ถูกก าหนดไว้ในข้อกาหนดของมาตรฐาน x.500 แต่เป็นโปรโตคอลถูก คิดค้นและ
พัฒนาขึ้นที่มหาวิทยาลัยมิชิแกนเพื่อให้ไคลเอนท์ใช้อินเตอร์เฟสกับไดเร็คทอรี x.500 ซึ่งต่อมา LDAP ได้ถูก
ยอมรับ โดยมาตรฐานอินเทอร์เน็ตให้เป็ นโปรโตคอลมาตรฐานสาหรับเข้าใช้ไ ดเร็คทอรีและได้รับการ
ยอมรับจากบริษัทที่พัฒนาซอฟต์แวร์เกี่ยวกับเครือข่ายชื่อดังหลายบริษัทปัจจุบัน LDAP ได้พัฒนามาถึง
เวอร์ชันที่ 3 (LDAPv3) ซึ่งได้พัฒนาเพื่อแก้ไขข้อบกพร่องของเวอร์ชัน 2 และยังเพิ่มข้อกาหนดเพื่อให้
LDAP สามารถใช้ได้กับไดเร็คทอรีอื่น ๆ ที่ไม่ใช่ x.500 ได้ด้วย
โครงสร้ า งข้ อ มู ล ของ LDAP จะเป็ น แบบเดี ย วกั น กั บ ที่ ก าหนดใน x.500 และมี ฟั ง ก์ ชั น
อื่น ๆ ที่จาเป็นสาหรับการสื่อสารระหว่างไคลเอนท์และเซิร์ฟเวอร์เพื่อให้ผู้ใช้ติดต่อกับไดเร็คทอรีได้ไคล
เอนท์ของ LDAP จะติดต่อกับ DSA โดยผ่าน LDAP โพรไวเดอร์ หรือ LDAP เซิร์ฟเวอร์ซึ่งจะทาหน้าที่
เสมือนเป็นตัวแทนของเครื่องไคลเอนท์ในการติดต่อกับไดเร็คทอรี LDAP โพรไวเดอร์จะติดต่อกับเร็คทอรี
โดยใช้โปรโตคอล DAP อีกทีหนึ่งถ้า LDAP ไคลเอนท์ต้องการติดต่อกับไดเร็คทอรีอื่นที่ไม่ใช้ x.500 ก็
เพียงแค่เปลี่ยน LDAP โพรไวเดอร์เท่านั้นเพราะเป็นส่วนที่จะติดต่อกับไดเร็คทอรีอีกทีหนึ่ง
LDAP เป็นโปรโตคอลที่ง่ายและใช้รีซอร์สของไคลเอนท์น้อยกว่า DAP มาก และเนื่องจาก LDAP
ได้ถูกออกแบบมาเพื่อให้สามารถติดต่อกับไดเร็คทอรีประเภทอื่นได้ ทาให้สามารถรวมเอา LDAP เข้าไปกับ
แอพพลิเคชันได้หลายประเภทเหตุที่ LDAP ง่ายและใช้รีซอร์สน้อยกว่า DAP ก็เนื่องจาก
๐ รองรับเฉพาะบางฟังก์ชันของ DAP เท่านั้น
๐ การร้องขอข้อมูลจากไดเร็คทอรีจะง่ายกว่า เนื่องจาก LDAP โพรไวเดอร์จะทาหน้าที่
แทนส่วนใหญ่
๐ การเข้ารหัสข้อมูลของประเภทและค่าของแอตทริบิต์ที่ง่ายกว่า
๐ การเข้ารหัสข้อมูลของโปรโตคอลง่ายกว่า เช่น DN
๐ ใช้โปรโตคอล TCP แทนการใช้โปรโตคอลของ OSI

LDAP มีฟังก์ชันที่ใช้ร้องขอข้อมูลจากไดเร็คทอรี 3 ฟังก์ชันในขณะที่ DAP มี 5 ฟังก์ชัน ซึ่งฟังก์ชัน
ดังกล่าวมีดังนี้

4
๐ LDAP Compare: คล้ายกับฟังก์ชันของ DAP คือ ใช้สาหรับเปรียบเทียบค่าของ
แอตทริบิวต์ที่ผู้ใช้ให้มากับค่าที่เก็บไว้ในไดเร็คทอรี
๐ LDAP Search: ใช้สาหรับค้นหาเอนทรีที่อยู่ในไดเร็คทอรีที่มีค่าแอตทริบิวต์ตรงกับ
ที่ ผู้ใช้กาหนด นอกจากนี้ฟังก์ชันยังใช้แทนฟังก์ชัน Read และ List ของ DAP ด้วย
๐ LDAP Abandon: ใช้สาหรับยกเลิกการร้องขอข้อมูลจากไดเร็คทอรี
ส่วนฟังก์ชันที่ใช้สาหรับปรับเปลี่ยนข้อมูลที่อยู่ในไดเร็คทอรีจะคล้ายกับของ DAP โดยมี
4 ฟังก์ชันดังนี้
๐ LDAP Modify: ใช้ปรับเปลี่ยนค่าแอตทริบิวต์ของเอนทรีซึ่งจะมี 3 ฟังก์ชันย่อยคือ
เพิ่มและลบแอตทริบิวต์และเปลี่ยนค่าของแอตทริบิวต์
๐ LDAP Add: เพิ่มเอนทรีใหม่เข้าไปใน DIT
๐ LDAP Delete: ลบเอนทรีที่อยู่ใน DIT
๐ LDAP Modify RDN: การร้องขอเพื่อเปลี่ยนค่า RDN ของเอนทรี
x.500 และ LDAP เป็นแบบอ้างอิงที่ทาให้หลายบริษัทได้นามาเป็นแม่แบบในการพัฒนาไดเร็คทอ
รีเซอร์วิสของตัวเองซึ่งในบทนี้ผู้เขียนจะกล่าวถึงไดเร็คทอรีเซอร์วิสที่เป็นที่นิยมในปัจจุบันคือ NDS
eDirectory ของบริษัท โนเวลล์ และ ADS ของบริษัท ไมโครซอฟท์
OpenLDAP
ไดเร็คทอรีเป็นฐานข้อมูลพิเศษที่ออกแบบเพื่อให้สามารถค้นหาอ่านและเข้าถึงข้อมูลได้อย่างมี
ประสิทธิภาพมากกว่าฐานข้อมูลทั่วไปไดเร็คทอรีเป็นฐานข้อมูลเชิงคาอธิบายหรือมีข้อมูลเกี่ยวกับคุณสมบัติ
หรือแอตทริบิวต์และรองรับการค้นหาที่สามารถกาหนดคุณสมบัติของข้อมูลที่ต้องการค้นหาได้ค่อนข้าง
ละเอียดแต่ในการอัพเดตนั้นค่อนข้างจะทาได้ยากกว่าและไม่มีฟีเจอร์ในการอัพเดตข้อมูลที่ซับซ้อนเหมือน
ฐานข้อมูลประเภทอื่น ๆ
LADP เป็นไลท์เวตโปรโตคอลที่ใช้สาหรับการเข้าถึงไดเร็คทอรีเซอร์วิสโดยเฉพาะไดเร็คทอรี
x.500 โปรโตคอล LADP ท างานอยู่ บน TCP/IP
หรือโปรโตคอลคอนเน็กชันโอเรีย นเต็ดอื่น ๆ
รายละเอียดของโปรโตคอลนี้กาหนดอยู่ใน RFC 2251 ซึ่งเป็น LDAPv3 หรือเวอร์ชัน 3 และในเอกสาร
RFC 3377 อธิบายการเข้าถึงในมุมมองของผู้ใช้งาน

5
2.2.1 โครงสร้างและรูปแบบข้อมูล
โครงสร้างและรูปแบบของข้อมูลที่จัดเก็บใน LDAP นั้นจะอยู่บนพื้นฐานของเอนทรี (Entry)โดย
เอนทรีเป็นชุดข้อมูลซึ่งประกอบด้วยแอตทิรบิวต์ที่มีชื่อเฉพาะหรือ DN (Distinguished Name) ซึ่งชื่อ
เฉพาะนี้จะเป็นสิ่งที่ชี้ไปยังแต่ละเอนทรีในไดเร็คทอรีแต่ละแอตทริบิวต์ของเอนทรีจะจัดเป็นประเภทหรือ
ไทป์ (Type) และมีค่า หรือแวลลู (Value) ที่กาหนดให้กับแอตทริบิวต์นั้น หนึ่งค่าหรือมากกว่าก็ได้
ประเภทของแอตทริบิวต์นั้นจะเป็นตัวอักษรย่อหรือชื่อสั้น ๆ เช่น ประเภท cn ก็จะหมายถึงชื่อทั่วไปหรือ
Common Name ส่วนแอตทริบิวต์ประเภท email ก็จะหมายถึง Email Address นั่นเอง ส่วนรูปแบบ
ข้อมูลของค่าที่กาหนดให้กับแต่ละแอตทริบิวต์นั้นก็ขึ้นอยู่กับประเภทของแอตทริบิวต์ ยกตัวอย่างเช่นแอ
ตทริบิวต์ประเภทcnสามารถกาหนดให้ค่าเป็น Babs Jensen ส่วนแอตทริบิวต์ mail ก็อาจกาหนดค่าให้เป็น
[email protected]ส่วนแอตทริ บิ วต์ JpegPhoto ก็ จะเก็ บข้อมู ล รูปภาพประเภท JPEG ซึ่ งเป็น ข้อมู ล
ประเภทไบนารี
เอนทรีที่จัดเก็บใน LDAP จะมีโครงสร้างแบบมีลาดับชั้น หรือทรี (Tree) โดยปกติโครงสร้างนี้
จะใช้แทนโครงสร้างทางภูมิศาสตร์หรือตามโครงสร้างขององค์กรยกตัวอย่างเช่น เอนทรีที่แทนประเทศจะ
จัดเก็บไว้บนสุดของทรีต่าลงมาก็จะเป็นเอนทรีสาหรับรัฐหรือองค์กรระดับประเทศและต่าลงไปอีกก็เป็น
อะไรก็ได้ที่ต้องการ ดังรูปที่ แสดงโครงสร้างของไดเร็คทอรี LDAP

รูปที่ 2.1 : LDAP Directory Tree

6
นอกจากนี้ท รีอาจจัดโดยใช้ โครงสร้า งของอินเทอร์เน็ตโดเมนซึ่ งโครงสร้างแบบนี้เป็นที่นิย มเนื่องจาก
สามารถใช้งานร่วมกับ DNS ได้ รูปที่ 1.5 แสดงไดเร็คทอรี LDAP ที่จัดตามโครงสร้างของ DNS

รูปที่ 2.2 : LDAP Directory Tree (Internet Naming)
LDAP จะอนุญาตให้ควบคุมแอตทริบิวต์ว่าอะไรที่จาเป็นต้องมีหรืออะไรที่ อนุญาตให้ใช้ได้โดย
กาหนดผ่า นแอตทริบิ วต์พิ เศษที่ ชื่อ objectClass โดยค่าที่ก าหนดให้กั บ objectClass จะก าหนดกฎสกี มา
(Schema) ที่เอนทรีนั้นจะต้องใช้
2.2.2 การกาหนดชื่อและการค้นหา
แต่ละเอนทรีจะถูกอ้างถึงได้โดยใช้ชื่อเฉพาะหรือ DN (Distinguished Name) ซึ่งชื่อเฉพาะนี้จะ
ประกอบด้วยชื่อของเอนทรีนั้นหรือ RDN (Relative Distinguished Name) และตามด้วยชื่อของเอนทรีที่
อยู่ระดับเหนือกว่าตามสายไปจนถึงรูทยกตัวอย่างเช่นเอนทรี Barbara Jensen ในทรีตามรูปด้านบนจะมีชื่อ
RDN เป็น uid=babs ส่วนชื่อเฉพาะ DN ก็จะเป็น uid=babs, ou=People, dc=example, dc=com รูปแบบ
ข้อมูลของชื่อเฉพาะ DN ได้กาหนดไว้ใน RFC2253 (Lightweight Directory Access Protocol (v3):
UTF-8 String Representation of Distinguished Names
การค้นหาและอัพเดตข้อมูลใน LDAP สามารถทาได้แต่โดยส่ว นใหญ่จะเป็นการค้นหาและอ่าน
ข้อมูลจากไดเร็คทอรีมากกว่าการแก้ไขปรับปรุงข้อมูลในการค้นหานั้น LDAP จะอนุญาตให้ค้นหาเฉพาะ
บางส่วนของฐานข้อมูลโดยเปรียบเทียบกับเงื่อนไขที่กาหนดเมื่อตอนค้นหาเมื่อพบแล้วก็สามารถดึงข้อมูลเอ
นทรีนั้นออกมาได้

7
ยกตัวอย่างเช่นเมื่อต้องการค้นหาข้อมูลจากทรีที่อยู่ภายใต้ Dc=com สาหรับบุคคลที่ชื่อ Barbara
Jensen เพื่ออ่านที่อยู่อีเมลของบุคคลนั้น LDAP จะอนุญาตให้ทาได้อย่างง่ายดายหรือถ้าต้องการค้นหา
ข้อมูลที่อยู่ภายใต้ st-California. C=US สาหรับองค์กรที่มีคาว่า “Acme” ในชื่อเพื่อค้นหาหมายเลขแฟกซ์ ก็
สามารถทาได้ไม่ยากเช่นกัน
บางไดเร็คทอรีนั้นจะไม่มีกลไกป้องกันการเข้าถึงข้อมูลอย่างที่ไม่ได้รับอนุญาตซึ่งเป็นผลทาให้ใคร
ก็ตามสามารถอ่านข้อมูลในไดเร็คทอรีได้แต่สาหรับ LDAP แล้วจะมีกลไกในการพิสูจน์ทราบตัวตนของ
ไคลเอนท์ที่จะเข้าถึงข้อมูลซึ่งเป็นการป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตได้นอกจากนี้ LDAP ยัง
รองรับการรักษาความลับ (Confidentiality) และการรักษาความคงสภาพของข้อมูล (Integrity) ได้เช่นกัน
2.2.3 LDAP เซิร์ฟเวอร์และไคลเอนท์
LDAP ไดเร็ค ทอรีเซอร์วิสเป็นระบบไคลเอนท์เซิร์ฟเวอร์เซิร์ฟเวอร์ห นึ่งเครื่องหรือมากกว่าจะ
จัดเก็บข้อมูลซึ่งจะประกอบกันเป็น DIT (Directory Information Tree) ไคลเอนท์จะเชื่อมต่อมายัง
เซิร์ฟเวอร์เพื่อร้องขอข้อมูลเซิร์ฟเวอร์ก็จะตอบกลับด้วยข้อมูลที่ ไคลเอนท์ต้องการหรืออาจชี้ให้ไปหาข้อมูล
จากเซิร์ฟเวอร์เครื่องอื่นถ้าไม่พบข้อมูลไคลเอนท์ต้องการในเซิร์ฟเวอร์เครื่องนั้น ไม่ว่าไคลเอนท์จะเชื่อมต่อ
เข้ากับเซิร์ฟเวอร์เครื่องไหนก็จะเห็นไดเร็คทอรีเดียวกันถ้าเป็นชื่อ DN เดียวกันก็จะชี้ไปยังเอนทรีเดียวกัน
ไม่ว่าไคลเอนท์จะร้องขอไปที่เซิร์ฟเวอร์ใดก็ตามซึ่งก็เป็นคุณสมบัติที่สาคัญของโกลบอลไดเร็คทอรีอย่าง
LDAP
จริง ๆ แล้ว LDAP เป็นโปรโตคอลสาหรับเข้าถึงข้อมูลใน x.500 ไดเร็คทอรีเซอร์วิส เริ่มต้นไคล
เอนท์จะเข้าถึง x.500 ไดเร็คทอรีเซอร์วิสผ่านเกตเวย์หลังจากนั้นเกตเวย์ก็จะใช้โปรโตคอล DAP เพื่อเข้าถึง
ข้อมูลใน x.500 เซิร์ฟเวอร์ต่อไป DAP เป็นโปรโตคอลแบบเฮฟวีเวต (Heavyweight) ซึ่งทางานบนชุด
โปรโตคอล OSI และต้องใช้รีซอร์สค่อนข้างมากส่วน LDAP ทางานบนชุดโปรโตคอล TCP/IP และมี
ฟังก์ชันเกือบจะทุกฟังก์ชันที่ DAP มีแต่ทางานได้อย่างมีประสิทธิภาพมากกว่า
ในขณะที่ LDAP ยังคงใช้สาหรับเข้าถึง x.500 ไดเร็คทอรีผ่านเกตเวย์แต่ปัจจุบันส่วนใหญ่ LDAP
จะทางานอยู่บน x.500 ไดเร็คทอรีเสียเองนั่นหมายความว่าการเชื่อมต่อไคลเอนท์นั้นไม่จาเป็นต้องผ่านเกต
เวย์อีกต่อไป สาหรับ LDAP เซิร์ฟเวอร์จะทางานโดยรันดีมอนที่ชื่อ “slapd” ซึ่งสามารถเข้าถึงไลท์เวต
x.500 ไดเร็คทอรีเซิร์ฟเวอร์ซึ่งเป็นเซิร์ฟเวอร์ที่ไม่รองรับ DAP ทุกฟังก์ชัน และไม่ใช่ x.500 เซิร์ฟเวอร์อย่าง
สมบูรณ์
LDAv3 ถูกพัฒนาในช่วงปลายทศวรรษ 1990 เพื่อแทน LDAv2 ซึ่งมีส่วนที่เพิ่มมาคือ
๐ การพิสูจน์ทราบตัวตนที่แข็งแกร่งและการรักษาความปลอดภัยผ่าน SASL

8
๐ รองรับ CA (Certificate Authentication) และการรักษาความปลอดภัยข้อมูลผ่าน
TLS (SSL)
๐ รองรับหลายภาษาผ่าน Unicode
๐ รองรับ Referrais และ Continuations
๐ รองรับ Schema Directory
๐ Extensibility (Controls, extended operations และอื่น ๆ)
LDAPv2 ที่กาหนดใน RFC 3494 ก็ล้าสมัยไปแล้วซึ่งไม่ควรใช้งานอีกต่อไปและควรอัพเกรดให้
เป็นเวอร์ชัน 3 เพื่อให้มีประสิทธิภาพและมีความปลอดภัยกว่า
Slapd เป็น LDAP ไดเร็คทอรีเซิร์ฟเวอร์ที่สามารถรันบนหลาย ๆ เพลตฟอร์มและสามารถติดตั้งเพื่อ
ใช้งานส่วนตัวได้เองโดยสามารถจัดเก็บข้อมูลได้เกือบจะทุกประเภทหรือสามารถเชื่อมต่อเข้ากับไดเร็คทอรี
อื่นหรือไม่ก็ติดตั้งแบบสแตนด์อะโลนก็ได้ฟีเจอร์ที่สาคัญของ
LDAPv3 ได้แก่
๐ Slapd เป็น LDAPv3 เซิร์ฟเวอร์ที่รองรับการทางานของ LDAP บน IPv4 และ
IPv6 และ Unix IPC
๐ slapd รองรับการพิสูจน์ทราบตัวตนและการเข้ารหัสข้อมูลโดยการใช้ SASL ซึ่ง
เวอร์ชันที่ใช้งานเป็นของ Cyrus SASL ซึ่งรองรับการเข้ารหัสแบบ DIGEST-MD5,
EXTERNAL และ GSSAPI
๐ การรักษาความปลอดภัยในระดับทรานสปอร์ตโดย slapd รองรับการพิสูจน์ทราบ
ตัวตนโดยใช้ใบรับรองอิเล็กทรอนิกส์หรือเซอร์ติฟิเกตการรักษาความลับและความคง
สภาพของข้อมูลโดยใช้ TSL หรือ SSL ซึ่งเวอร์ชันที่ใช้คือ OpenSSL
๐ การควบคุมการเข้าถึงซึ่งการควบคุมนี้จะทางานร่วมกับการพิสูจน์ทราบหรือกาหนด
เป็นหมายเลข IP โดเมนเนม หรือเงื่อนไขอื่น ๆ slapd รองรับการควบคุมการเข้าถึง
แบบ Static และ dynamic
๐ Slapd รองรับภาษาต่าง ๆ โดยใช้ Unicode และ language tag
๐ Slapd สามารถจัดเก็บข้อมูลไว้ในฐานข้อมูลได้หลายประเภท เช่น BDB ซึ่งเป็น
ฐานข้อมูลที่ประสิทธิภาพเกี่ยวกับทรานแซคชัน HDB เป็นฐานข้อมูลและ Hierarchy
ที่มีประสิทธิภาพสูงเช่นกัน LDBM เป็นไลท์เวต DBM และ SHELL เป็นคริปต์ที่ไว้
ทางานแบ็คเอนด์ส่วน PASSWD เป็นแบ็คเอนด์ที่เชื่อมต่อเข้ากับไฟล์ passwd ของ
ระบบ ฐานข้อมูล BDB HDB และ Slepycat Berkeley DB ส่วน LDBM จะใช้
Berkeley DB หรือ GDBM
๐ รองรับการทางานกับฐานข้อมูลได้หลายก้อนโดย slapd สามารถคอนฟิกให้ทางาน

9
ร่วมกับหลายฐานข้อมูลพร้อม ๆ กันซึ่งหมายความว่า slapd เซิร์ฟเวอร์สามารถ
ตอบสนองกับการร้องขอข้อมูลจากหลายส่วนของ LDAP tree ซึ่งแต่ละส่วนของ
Tree นี้อาจจัดเก็บไว้ในต่างฐานข้อมูลกันก็ได้
๐ ถ้าต้องการปรับเปลี่ยน slapd จะอนุญาตให้เขียนโมดูลขึ้นมาเพิ่มได้โดย slapd จะ
ประกอบด้วยสองส่วนคือ ส่วนฟรอนต์เอนด์ ซึ่งจะทาหน้าที่จัดการการเชื่อต่อกับไคล
เอนท์โดยใช้โปรโตคอล LDAP ส่วนที่สองจะเป็นแบ็คเอนด์ที่ทาหน้าที่ในการจัดการ
ฐานข้อมูล

10

บทที่ 3
ความหมายและหลักการทางานของ Active Directory
3.1 Directory Services
ไดเร็คทอรีเซอร์วิส (Directory Services) เป็นองค์ประกอบที่สาคัญสาหรับเครือข่ายในปัจจุบัน
แอพพลิ เคชั น ที่ ใ ช้ ใ นระบบเครือ ข่ า ยเริ่มมี แนวโน้มที่ จะใช้ ไ ดเร็ค ทอรีเซอร์ วิส เป็น โมดูล ส าหรับ การ
ตรวจสอบสิทธิ์ของผู้ใช้ประโยชน์ข องไดเร็คทอรีเซอร์วิสนั้นมีมากมายที่สาคัญ เช่น การวางแผนและ
จัดการทรัพยากร การรักษาความปลอดภัยในเครือข่ายและการให้บริการค้นหาข้อมูล เป็นต้น สิ่งที่ทาให้มี
การใช้ ง านไดเร็ค ทอรีเซอร์วิส อย่ า งแพร่หลายในปัจจุบันก็ เนื่องจากโปรโตคอล LDAP (Lightweight
Directory Access Protocol) ซึ่งเป็นโปรโตคอลมาตรฐานสาหรับเข้าถึงข้อมูลที่เก็บไว้ในไดเร็ คทอรีเพราะ
โปรโตคอลนี้จะไม่ขึ้นกับแพลตฟอร์มหรือระบบปฏิบัติการที่ใช้ไดเร็คทอรีทั่วไป คือ ฐานข้อมูลที่จัดเก็บ
ข้อมูลเกี่ยวกับสิ่งใดสิ่งหนึ่งตัวอย่างเช่น สมุดหน้าเหลืองของโทรศัพท์ ก็จะจัดเก็บข้อมูลที่เกี่ยวกับเบอร์
โทรศัพท์และชื่อและที่อยู่ของเจ้าของเบอร์นั้นๆ ถ้าเป็นระบบไฟล์ไดเร็คทอรีก็จะจัดเก็บข้อมูลเกี่ยวกับไฟล์
ต่างๆ หรือ ระบบ DNS ก็จะจัดเก็บหมายเลขไอพีแอดเดรสและชื่อโดเมน เป็นต้น ส่วนไดเร็คทอรีของ
เครือข่ายก็จะจัดเก็บข้อมูลที่เกี่ยวกับเครือข่าย เช่น คอมพิวเตอร์ ผู้ใช้ เครื่องพิมพ์ แอพพลิเคชัน เป็นต้ น
นอกจากนี้ไดเร็คทอรียังสามารถให้บริการในการสืบค้นข้อมูลที่จัดเก็บในไดเร็คทอรีได้ด้วย
3.2 บริการไดเร็คทอรี คืออะไร ?
ไดเร็คทอรีเป็นฐานข้อมูลพิเศษที่จะสามารถอ่านและค้นหาข้อมูลได้เร็วกว่าการเขียน การจัดเก็บ
ข้อมูลของไดเร็คทอรีส่วนใหญ่จะเป็นแบบกระจาย (Distributed) เพื่อให้การอ่านและค้นหาเร็ว คุณสมบัตินี้
จะต่างจากฐานข้อมูลแบบ RDBMS (Rational Database Management System) ซึ่งเป็นฐานข้อมูลแบบนี้
จะเขียนได้เร็วกว่า ส่วนเน็ตเวิร์คไดเร็คทอรีคือ ฐานข้อมูลที่จัดเก็บข้อมูลเกี่ยวกับทรัพยากรต่าง ๆ ของ
เครือข่าย เช่นคอมพิวเตอร์ ยูสเซอร์ และเครื่องพิมพ์ เป็นต้น และให้บริการกับผู้ใช้ได้ เช่น ให้บริการ
ข้อมูลเกี่ยวกับทรัพยากรที่มีอยู่ในเครือข่ายแก่ผู้ใช้ และรวมทั้งการควบคุมการเข้าใช้ทรัพยากรเหล่านั้นได้
หลักการของเน็ตเวิร์คไดเร็คทอรีจะคล้ายๆ กับ ไดเร็คทอรีของระบบไฟล์นั่นเองโดยข้อแตกต่างก็คือ ไดเร็ค
ทอรีของระบบไฟล์เป็นระบบที่จัดเก็บไฟล์ให้สามารถค้นหาได้ง่าย ในขณะที่ไดเร็คทอรีของเครือข่ายจะ
จัดเก็บข้อมูลเกี่ยวกับผู้ใช้ เพื่อเป็นข้อมูลสาหรับการควบคุมการเข้าใช้ทรัพยากรเหล่านั้นด้วย

11
3.3 Active Directory Service
ADS (Active Directory Service) ถือเป็นหัวใจของระบบเครือข่ายวินโดวส์ ซึ่งให้บริการในการ
จัดการทรัพยากรของเครือข่ายพร้อมทั้งมีระบบรักษาความปลอดภัยในการเข้าใช้ทรัพยากรเหล่านั้นด้วย
Active Directory จัดเก็บข้อมูลเกี่ยวกับออบเจ็กต์ต่างๆเช่น ยูสเซอร์ กลุ่มของยูสเซอร์คอมพิวเตอร์ โดเมน
หน่วยงานขององค์กร (Organizational Unit หรือ OU) และนโยบายการรักษาความปลอดดภัย (Security
policy) ไดเร็คทอรีนั้นจะถูกเก็บไว้ที่โดเมนคอนโทรลเลอร์ (Domain Controller หรือ DC) ซึ่งผู้ใช้ผู้ดูแล
ระบบหรือแอพพลิเคชันสามารถเข้าใช้ข้อมูลที่จัดเก็บในไดเร็คทอรีได้
Active Directory คื อ ไดเร็ ค ทอรี ของเครือข่ ายที่มี ใ ห้มากั บวิน โดวส์ ซึ่งในบทนี้จ ะได้ก ล่าวถึ ง
โครงสร้างพร้อมทั้งฟีเจอร์ที่สาคัญให้ผู้อ่านได้พิจารณาเพื่อเปรียบเทียบกับไดเร็คทอรีของบริษัทอื่น
3.3.1 โครงสร้างของ Active Directory
วินโดวส์ 2000/2003 ยังคงใช้โดเมน (Domain) แต่จะแตกต่างจากโดเมนของวินโดวส์ NT ซึ่ง
หลักการของโดเมนใหม่นี้จะเป็นหัวใจสาคัญของวินโดวส์ 2000/2003 สาหรับเครือข่ายที่ใช้วินโดวส์ NT
นั้นโดเมนคอนโทรลเลอร์ (Domain Controller) จะแบ่งออกเป็น 2 ประเภทคือ PDC (Primary Domain
Controller) และ BDC (Backup Domain Controller) โดย BDC จะทาหน้าที่เป็นโดเมนคอนโทรลเลอร์ใน
กรณีที่ PDC หยุดทางาน ในสภาพแวดล้อมที่ใช้วินโดวส์ 2000/2003 เซิร์ฟเวอร์จะมีเพียงประเภทเดียวคือ
DC (Domain Controller) ซึ่งในโดเมนหนึ่ง ๆ อาจมี DC หลายเครื่องโดยแต่ละเครื่ องสามารถ
เปลี่ยนแปลงฐานข้อมูลของไดเร็คทอรีได้ซึ่งถ้ามีการเปลี่ยนแปลงเครื่องนั้นก็จะส่งการเปลี่ยนแปลงไปยัง
DC เครื่องอื่น ๆ ในโดเมนโดยอัตโนมัติ การถ่ายโอนฐานข้อมูลของไดเร็คทอรีนี้เรียกว่า “เรพลิเคชัน
(Replication)”
โดเมนแรกที่สร้างขึ้นจะเป็นรูทโดเมน (Root Domain) ซึ่งจะอยู่บนสุดของไดเร็คทอรีทรี ส่วน
โดเมนย่อยจะอยู่ภายใต้รูทเมนซึ่งโดเมนย่อยนี้จะต้องมีชื่อที่ไม่ซ้ากันถ้ามีรูทเมนและอย่างน้อยหนึ่งโดเมน
ย่อยจะเรียกว่า “เมนทรี (Domain Tree)W ดังแสดงในรูปที่ 3.1

รูปที่ 3.1 : โดเมนทรี

12
บางหน่วยงานอาจมีมากกว่าหนึ่งโดเมนโดยแต่ละเมนจะมีโดเมนทรีการรวมเมนทรีหลายโดเมนทรี
มารวมกันจะเรียกทรีใหม่ว่า “โดเมนฟอเรสต์ (Domain Forest)” ดังแสดงในรูปที่ 3.2

รูปที่ 3.2 : โดเมนฟอเรสต์
ไซต์ (Site) เป็นออบเจ็กต์ที่ใช้แทนเครือข่า ยที่เชื่อมต่อกันด้วยความเร็วสูงการแบ่งไซต์ยึดซับเน็ต
(Subnet) เป็นหลักไซต์หนึ่ง ๆ อาจประกอบด้วยหนึ่งซับเน็ตหรือมากกว่าก็ได้โดยลิงค์ที่เชื่อมต่อระหว่าง
ซับเน็ตต้องมีความเร็วสูงหรือเป็นเครือข่ายแบบ LAN ส่วนลิงค์ที่เชื่อมต่อระหว่างไซต์นั้นส่วนใหญ่จะเป็น
ลิงค์ที่มีแบนต์วิธต่าเช่น WAN เป็นต้น
Schema
Active Directory มีองค์ประกอบที่สาคัญ ดังนี้
๐ Obijects: ออบเจ็กต์เก็บข้อมูลของสิ่งต่างๆ ที่อยู่ในเครือข่ายเช่น คอมพิวเตอร์
เครื่องพิมพ์ ผู้ใช้ เซิร์ฟเวอร์ เซอร์วิส เป็นต้นซึ่งเป็นองค์ประกอบพื้นฐานของเครือข่าย
๐ Attributes: แอตทริบิวต์เป็นคุณสมบัติของออบเจ็กต์เช่น รหัสลับและยูสเซอร์เนม
เป็นแอตทริบิวต์ของออบเจ็กต์ยูสเซอร์ (User) ออบเจ็กต์แต่ละประเภทจะมีแอตทริบิวต์
ที่ต่างกันอย่างไรก็ตามออบเจ็กต์ต่างประเภทอาจมีบางแอตทริบิวต์ที่เหมือนกันก็ได้
เช่น คอมพิวเตอร์ และเครื่องพิมพ์ อาจมีแอตทริบิวต์ที่เป็นหมายเลขไอพี เป็นต้น
๐ Schema: สกีมาจะเป็นตัวกาหนดว่าออบเจ็กต์แต่ละประเภทมีแอตทริบิวต์ใดบ้าง เช่น

13
ออบเจ็กต์ ประเภทยูสเซอร์อาจมีแอตทริบิวต์คือ ชื่อ เบอร์โทรศัพท์ อีเมล รหัสลับ
๐ Containers: คอนเทนเนอร์จะคล้ายกับโฟลเดอร์ในระบบไฟล์ซึ่งโฟลเดอร์จะมีไฟล์
และโฟลเดอร์ประกอบอยู่ข้างในส่วนคอนเทนเนอร์ของไดเร็คทอรีจะมีคอนเทนเนอร์
และออบเจ็กต์อยู่ภายใต้คอนเทนเนอร์ก็มีแอตทริบิวต์เหมือนกับออบเจ็กต์แต่คอน
เทนสเนอร์ไม่ได้แทนเอนทรีจริงๆ เหมือนออบเจ็กต์คอนเทนเนอร์ใน AD จะแบ่ง
ออกเป็น 3 ประเภท ดังนี้
๐ Domains: เป็นขอบเขตของการรักษาความปลอดภัยในเครือข่าย
๐ Sites: ไซต์จะแทนเครือข่ายหนึ่งที่เชื่อมต่อกันด้วยแบนด์วิธสูง เช่น LAN เป็นต้น
ซึ่งไซต์เป็นคอนเทนเนอร์ที่แทนเครือข่ายท้องถิ่นแต่ละที่ เช่น สานักงานที่อยู่ห่าง
ไกล เป็นต้น
๐ Organizational Units: ออร์แกไนเซชันนอลยูนิต หรือ OU เป็นคอนเทนเนอร์ที่
สามารถใส่คอมพิวเตอร์ ผู้ใช้ เครื่องพิมพ์ หรือ OU ย่อยก็ได้ แต่ OU ไม่สามารถ
ใส่ออบเจ็กต์จากโดเมนอื่นได้เนื่องจากเราสามารถสร้าง OU ย่อยภายใต้ OU หลัก
ได้ ดังนั้น จึงสามารถออกแบบคอนเทนเนอร์ให้เหมือนกับโครงสร้างขององค์กร
ซึ่งจะช่วยลดจานวนโดเมนลงได้

รูปที่ 3.3 : โครงสร้างของ AD

14
3.4 AD Naming
การเรียกชื่อในวินโดวส์ 2000/2003 นั้นจะแตกต่างจากของวินโดวส์เอ็นทีกล่าวคือในวินโดวส์เอ็น
ทีนี้ชื่อคอมพิวเตอร์จะเป็นชื่อแบบ NetBIOS ซึ่งมีความยาวไม่เกิน 15 ตัวอักษร ในวินโดวส์ 2000/2003
นั้นการเรียกชื่อจะใช้ตามมาตรฐานของ LDAP (Lightweight Directory Access Protocol) โดยชื่อจะแบ่ง
ออกเป็น 2 ประเภทคือชื่อเฉพาะ (Distinguished Name) และชื่อทั่วไป (Common Name) ชื่อเฉพาะเป็นชื่อ
เต็มของพาธ (Path) ตั้งแต่รูทไปจนถึงออบเจ็กต์ซึ่งชื่อนี้จะชี้ไปยังออบเจ็กต์ที่อยู่ในไดเร็คทอรีชื่อเฉพาะ
ประกอบด้วยส่วนต่าง ๆ ดังนี้
๐ DC – Domain Component: ชื่อโดเมน
๐ OU – Organizational Unit: ชื่อขององค์กรย่อย
๐ CN – Common Name: เป็นแอตทริบิวต์ที่บ่งบอกชื่อของออบเจ็กต์เอง
ตัวอย่างชื่อเฉพาะของผู้ใช้ เช่น
/DC = TH/DC = CO/DC = gitex /CN = Jatuchai Pangjun.
สมมติว่าผู้ใช้คนนี้เป็นสมาชิกของ engineer. gitex.co.th ชื่อเฉพาะก็จะเปลี่ยนเป็น
/DC = TH/DC = CO/DC = gitex /DC = engineer/CN = Users/CN = Jatuchai Pangjun.
ชื่อเฉพาะของคอมพิวเตอร์ เช่น
/DC = TH/Dc = Co/Dc = /DC = engineer/CN = Computers/CN = mahasarakham
นอกจากนี้วินโดวส์ 2000/2003 ยังรองรับมาตรฐานการเรียกชื่อแบบอื่น

ตาราง 3.1 : มาตรฐานการเรียกชื่อแบบอื่น ๆ ที่รองรับโดยวินโดวส์ 2000
มาตรฐานการเรียกชื่อ
Friendly name/RFC 822
LDAP URL
Universal Naming Convention (UNC)

ตัวอย่าง
[email protected]
LDAP://gitex.co.th/CN = jatuchai, OU =
engineer, O = GETEX,C=TH
\\gitex.co.th\user\jatuchai\index.htm

15
3.5 Global Catalog
การเรียกชื่อของออบเจ็กต์นั้นค่อนข้างจะซั บซ้อน ซึ่งบางครั้งอาจทาให้การค้นหาออบเจ็กต์ได้ยาก
GC (Global Catalog) เป็นเซอร์วิสที่ช่วยให้การค้นหาออบเจ็กต์ต่างๆ ในไดเร็คทอรีง่ายขึ้น GC เป็น
โดเมนคอนโทรลเลอร์ที่จัดเก็บข้อมูลของออบเจ็กต์ของฟอเรสต์โดย GC จะเก็บข้อมูลทุกอย่างของ
ออบเจ็กต์ในโดเมนที่ GC เป็นโดเมนคอนโทรลเลอร์อยู่และจะจัดเก็บข้อมูลบางส่วนของออบเจ็กต์จาก
โดเมนอื่ นเพื่ อใช้ ส าหรั บ การสืบ ค้ นที่ เร็ วขึ้ น การค้ นหานั้ น สามารถค้ นหาด้ วยชื่ อหรือ แอตทริ บิว ต์ข อง
ออบเจ็กต์ได้ด้วย ตัวอย่างเช่นถ้าผู้ใช้ต้องการค้นหาอีเมลของผู้ใช้อีกคนหนึ่งผู้ใช้คนนั้นสามารถใช้ GC ใน
การค้นหาโดยอาจจะใช้ชื่อของผู้ใช้อีกคนที่ต้องการค้นหา GC จะแสดงออบเจ็กต์ของผู้ใช้ที่มีชื่อตรงกับที่
กาหนด
เมื่อออบเจ็กต์ใหม่ถูกสร้างและเพิ่มเข้าไปในไดเร็คทอรี AD จะกาหนดหมายเลขเฉพาะสาหรับ
ออบเจ็กต์นั้นซึ่งหมายเลขเฉพาะนี้เรียกว่า “GUID (Globally Unique Identifier)” หมายเลขเฉพาะนี้จะไม่
ซ้ากับ GUID ของออบเจ็กต์ใด ๆ ในไดเร็คทอรีและจะไม่เปลี่ยนถึงแม้ว่าออบเจ็กต์นั้นจะถูกย้าย GUID
เป็นหมายเลขที่มีความยาว 128 บิต เนื่องด้วยคุณสมบัติพิเศษของ GUID นี้ทาให้การสืบค้นข้อมูลในไดเร็ค
ทอรีได้ออบเจ็กต์ที่ไม่ซ้ากัน
3.6 Replication
Active Directory มีความสาคัญต่อระบบเครือข่ายที่ใช้วินโดวส์มาก ดังนั้น เซอร์วิสนี้ต้องสามารถ
ให้บ ริก ารได้ตลอดเวลาและต้องมีป ระสิทธิภาพในการให้บริก ารสูง เพื่ อเพิ่ มความเชื่อถือได้ของ ADS
ฐานข้อมูลต้องจัดเก็บอยู่ในหลายเซิร์ฟเวอร์ซึ่งถ้าหากเซิร์ฟเวอร์หนึ่งไม่สามารถให้บริการได้ เซิร์ฟเวอร์
ยังคงให้บริการได้ ประโยชน์ของการเก็บฐานข้อมูลไวในหลายเซิร์ฟเวอร์ไม่เพียงแต่เป็นการแบ็คอัพแต่ยัง
ช่วยลดโหลดของแต่ละเซิร์ฟเวอร์ได้อีกด้วย
ส่วนที่ยากที่สุดอย่างหนึ่งของการสารองฐานข้อมูลก็คือการถ่ายโอนฐานข้อมู ลระหว่างเซิร์ฟเวอร์
(Replication) ซึ่งการถ่ายโอนนี้จะต้องมั่นใจว่าทุกๆ เซิร์ฟเวอร์มีฐานข้อมูลที่ทันสมัยและเหมือนกันทั้งหมด
ADS ใช้ระบบมัลติมาสเตอร์ (Multimaster) กล่าวคือ ผู้ดูแลระบบสามารถอัพเดตข้อมูลที่เซิร์ฟเวอร์ใดก็ได้
ซึ่งการเปลี่ยนแปลงนี้จะถูกถ่ายทอดไปยังเซิร์ฟเวอร์ที่เหลือโดยอัตโนมัติ เพื่อป้องกันการขัดแย้งกันของการ
อัพเดตข้ อมูล ทุก ๆ ครั้งก่ อนที่ จะมี การอัพ เดตข้อมูล ADS จะก าหนดหมายเลขเฉพาะ USN (Unique
Sequence Number) ให้กับการอัพเดตแต่ละครั้ง ซึ่งเซิร์ฟเวอร์แต่ละเครื่องจะใช้หมายเลขนี้สาหรับการ
ติดตามการอัพเดตฐานข้อมูลไดเร็คทอรี
เพื่อป้องกันการขัดแยงของข้อมูลในระหว่างการอัพเดตไดเร็คทอรีในขณะใดขณะหนึ่ง ADS จะ
อนุญาตให้เพียงเซิร์ฟเวอร์เดียวเท่านั้นที่มีสิทธิ์ในการอัพเดตฐานข้อมูล ซึ่งสิทธิในการอัพเดตฐานข้อมูลนี้

16
สามารถโอนให้กับเซิร์ฟเวอร์เครื่องอื่นได้ ลักษณะสาคัญนี้เรียกว่า “FSMO (Flexible Single Master
Operation)”
3.7 Security
ระบบการรักษาความปลอดภัยนั้นได้ถูกอินทิเกตเข้ากับ Active Directory ตั้งแต่การล็อกอิน และ
การควบคุมการเข้าใช้ออบเจ็กต์ต่างๆ Active Directory รองรับการล็อกอินแบบครั้งเดียว (Single Sign-on)
โดยเมื่ อผู้ ดูแลระบบล็อกอินผ่ า นแล้วสามารถจัด การไดเร็คทอรีไ ด้ ทุก อย่ าง ส่วนผู้ใ ช้ก็ ส ามารถเข้าใช้
ทรัพยากรต่าง ๆ ทั่วเครือข่าย Active Directory รองรับ SSL/PCT. SASL x.509 PKI และใช้ Kerberos
สาหรับการตรวจสอบผู้ใช้ (Authentication)

17

บทที่ 4
สรุปและวิเคราะห์
นอกจากประโยชน์ในการค้นหาข้อมูลได้อย่างรวดเร็วแล้ว Directory ยังเป็นโครงสร้าง
ข้อมูลที่แสดงให้ User เห็นข้อมูลทั้งหมดได้จากมุมมองเดียว (Single Logical View) แม้ว่าแท้จริงแล้ว ข้อมูล
เหล่านั้นอาจถูกเก็บแยกกันอยู่อย่างกระจัดกระจายตาม Host ต่างๆ บน Distributed System ซึ่งข้อดีต่างๆ
เหล่านี้ ทาให้มีการพัฒนา Application ที่ใช้ Directory Service ออกมามากมาย และ LDAP ก็คือหนึ่งใน
มาตรฐานที่ใช้จัดการ การรับส่งข้อมูลระหว่าง Application Server ที่เก็บ Directory เหล่านี้ กับ Client
Application ที่เป็นฝ่ายเรียกดูข้อมูลจาก Directory
อีก สาเหตุ ที่ จ าเป็ น ต้ องมี ม าตรฐานในการเข้ า ถึ งข้ อ มู ล ใน Directory นั้ น ก็ เ พื่ อ ให้ ก ารพั ฒ นา
Application ที่ใช้ติดต่อกับ Directory Server นั้นมีความยืดหยุ่นขึ้น โดย Developer สามารถเรียกใช้ API
(Application Programming Interface) เพื่อติดต่อกับ Directory Service ได้ โดยไม่ต้องทราบวิธีการเข้าถึง
โดยละเอียด เช่นโครงสร้างของ Directory หรือ ชนิดของข้อมูล ( Data Type) ภายใน หรือไม่จาเป็นต้อง
ปรับแก้ Application ใหม่หากมีความต้องการ Data Type ใหม่ๆ เป็นต้น
นอกเหนือจากที่กล่าวมาข้างต้นแล้วการมีมาตรฐานเดียวกัน ทาให้ผู้ผลิต Application และ Networkdevice ที่
รองรับการใช้งาน Directory Service มีระเบียบวิธีที่ชัดเจนเป็นกลาง ทาให้การติดต่อระหว่าง Application
จากต่างผู้ผลิต หรือ ต่าง Platform นั้นเป็นไปได้อย่างรวดเร็ว ถูกต้อง และปลอดภัยโดยไม่ต้องทราบข้อมูลที่
ใช้ในการติดต่อ เช่น Platform ที่ใช้ , Host Name หรือ IP address เช่นเดียวกับการที่เราต้องมี TCI/IP, HTTP,
FTP, RPC หรือ ORB เป็นมาตรฐานที่ใช้อยู่ทั่วโลก

เอกสารอ้างอิง
http://www.tumserver.com/index.php/articles1/34-aricle/46-ldap.html
http://thaiwinadmin.blogspot.com/2008/03/kb2008114.html
http://www.vcharkarn.com/vblog/94465/11
http://cpe.rsu.ac.th/ut/courses/T1-51/cpe489/portfolio/461820/directory.doc
http://202.28.94.55/web/322461/2550/report/g16/ldap.html

Sponsor Documents

Or use your account on DocShare.tips

Hide

Forgot your password?

Or register your new account on DocShare.tips

Hide

Lost your password? Please enter your email address. You will receive a link to create a new password.

Back to log-in

Close