CHƯƠNG 9: KHẢ NĂNG TƯƠNG TÁC LDAP

Giao thức LDAP



GVHD: TS. Lưu Thanh Trà



1. Khả năng tương tác hoặc hội nhập?

Khả năng tương tác điều khoản và hội nhập từng có một nơi khác bên trong vùng phủ sóng

của chúng tôi của LDAP. Cho các mục đích của chúng tôi, hội nhập thư mục có nghĩa là cho

phép các ứng dụng khách hàng để truy cập dữ liệu trong thư mục LDAP, một chủ đề đã được

bao phủ rộng rãi trong chương trước. Khả năng tương tác nên địa chỉ liên lạc giữa các máy

chủ LDAP mình. Sự khác biệt giữa hội nhập và khả năng tương tác bắt đầu mờ khi một máy

chủ LDAP trở thành khách hàng của máy chủ LDAP khác.



Bất cứ khi nào bạn bắt đầu nghĩ về khả năng tương tác hoặc hội nhập, bước đầu tiên của

bạn nên là để yêu cầu mức khả năng tương tác hoặc tích hợp ứng dụng của bạn yêu cầu. Có

một số giải pháp mà cung cấp khả năng tương tác hoặc tích hợp nhiều dạng khác nhau. Hiểu

biết những gì các ứng dụng đòi hỏi sẽ làm cho nó dễ dàng hơn để quyết định giải pháp thích

hợp. Bảng 9-1 danh sách một số phương pháp tiếp cận phổ biến khả năng tương tác và tích

hợp các vấn đề.



Bảng 9-1. Giải pháp khả năng tương tác thư mục phổ biến



Vấn đề



Giải pháp có thể



Ví dụ



"Những gì tôi có thể

làm nếu đơn xin của

tôi không nói chuyện

LDAP?"



Cổng dịch một giao thức

truy cập thư mục vào

nhau



Cửa ngõ NIS/LDAP được trình

bày trong chương 6



"làm thế nào có thể

dùng trong một lĩnh

vực hành chính không

Unix truy cập dịch vụ

trên các máy chủ



Chương 9



Dịch vụ xác thực đa nền

tảng



132



Chứng thực khách hàng không

phải của Microsoft đối với thư

mục đang hoạt động



Lê Tiến Cường – Nguyễn Minh Đức

Lê Thạch Giang- Hoàng Ngọc Hưng



Giao thức LDAP



GVHD: TS. Lưu Thanh Trà



Unix?"

"Làm thế nào tôi có

thể truy vấn thông tin

trong thư mục khác

nhau?"



Phân phối, thư mục

multivendor dán lại với

nhau bởi giới thiệu và

tham khảo



Kết nối thư mục từ nhà cung

cấp khác nhau vào một đơn DIT



"Làm thế nào tôi có

thể thống nhất quyền

truy cập vào các cơ sở

dữ liệu và thư mục

được tổ chức bởi

nhiều phòng ban trong

tổ chức của công ty?"



Metadirectories cung cấp

một cái nhìn tích hợp của

một số thư mục rời rạc và

các cơ sở dữ liệu



Bằng cách sử dụng một máy

chủ proxy LDAP dịch mục có

từ một thư mục thứ hai thành

định dạng cần thiết của các ứng

dụng khách hàng



Đẩy/kéo các đại lý đồng

bộ hóa thông tin từ một

thư mục khác



Tùy biến các kịch bản hoặc

công cụ trong nhà mà suck dữ

liệu từ một máy chủ và tải lên

nó vào một thư mục sau khi

dịch nó thành một định dạng

hiểu bởi các máy chủ thứ hai



"Làm thế nào có thể

tôi thực hiện nhân

rộng hoặc đồng bộ hoá

giữa thư mục từ nhà

cung cấp khác nhau?"



Chương này xem xét cách để thực hiện mỗi phương pháp tiếp cận. Không có cách tiếp cận

duy nhất là một giải pháp trong và của chính nó; chúng có các công cụ mà bạn có thể sử dụng

để lắp ráp một giải pháp mà các công trình trong môi trường của bạn. Ý định của tôi, do đó,

là để thúc đẩy tưởng tượng của bạn và giới thiệu bạn đến các loại khác nhau của keo cho phối

hợp dịch vụ thư mục.



2. Directory Gateways

Cổng không phải là một khái niệm mới; chúng tôi đã nhìn thấy Gateway giữa các định

dạng email khác nhau, hệ thống tập tin mạng khác, và như vậy trong nhiều năm. Khi xây

dựng một cửa ngõ cho dịch vụ thư mục, một giao thức thư mục được dùng làm với giao diện

("mặt" trình bày cho các ứng dụng khách hàng). Một giao thức được sử dụng giữa cổng và cơ

Chương 9



133



Lê Tiến Cường – Nguyễn Minh Đức

Lê Thạch Giang- Hoàng Ngọc Hưng



Giao thức LDAP



GVHD: TS. Lưu Thanh Trà



chế lưu trữ phụ trợ. The irony của việc sử dụng một cửa ngõ thư mục để thống nhất quyền

truy cập vào một máy chủ LDAP là mà LDAP chính nó đã được ban đầu được thiết kế như

một giao thức cửa ngõ cho X.500.



PADL của ypldapd daemon, trình bày trong chương 6, là một ví dụ về một cửa ngõ giữa

NIS và LDAP. Gói như ypldapd có xu hướng để làm một điều và làm tốt. Ở nhiều khía cạnh,

một cổng chỉ đơn giản là có thể được xem như một LDAP khách hàng. Cửa ngõ tiêu thụ

LDAP thông tin và làm cho rằng thông tin có sẵn để khách hàng của mình thông qua một

giao thức.



Một ví dụ khác của một cửa ngõ NIS/LDAP là NIS dịch vụ phân phối với của Microsoft

"Windows dịch vụ cho Unix (SFU)." Tiện ích Active Directory này cung cấp công cụ cho

nhập dữ liệu từ một tên miền NIS vào Active Directory. Một khi NIS dữ liệu đã được tích

hợp vào Active Directory, SFU có thể cung cấp dịch vụ cho khách hàng NIS từ miền Active

Directory.

Để

biết

thêm

chi

tiết

về

các

sản

phẩm

SFU,

xem

http://www.microsoft.com/windows/sfu/.



Các lợi thế chính của việc sử dụng một cửa ngõ là bạn thường không cần phải sửa đổi bất

kỳ khách hàng. Điều này một mình có thể lưu nhiều chi phí hành chính. Những bất lợi của

việc sử dụng một cửa ngõ là rằng dịch yêu cầu và trả lời từ một giao thức khác đòi hỏi chi

phí bổ sung. Hơn nữa, khách hàng không thể tận dụng của dịch vụ thư mục LDAP; chúng tôi

giới hạn các dịch vụ được cung cấp bởi cửa ngõ. Trong nhiều môi trường, những nhược điểm

là tương đối nhỏ.



3. Nền tảng dịch vụ xác thực

Đa nền tảng xác thực là một thuật ngữ nghe nói thường xuyên nhất trong bộ phận CNTT mà

muốn xác thực logons Unix dịch vụ bằng cách sử dụng của Microsoft Active Directory, [1]

hoặc xác thực logons cho khách hàng Windows bằng cách sử dụng một máy chủ Unix dựa

trên LDAP. Trong trường hợp này, chúng tôi không quan tâm đến khả năng tương tác giữa

dịch vụ directory, nhưng giữa một dịch vụ thư mục cụ thể và nonnative khách hàng (ví dụ,

Active Directory và Unix khách hàng).



Chương 9



134



Lê Tiến Cường – Nguyễn Minh Đức

Lê Thạch Giang- Hoàng Ngọc Hưng



Giao thức LDAP



GVHD: TS. Lưu Thanh Trà



[1] Hoạt động thư mục có thể được mô tả như là một dịch vụ thư mục operating system

(NOS) mạng sử dụng LDAPv3 như giao thức truy nhập chính và, cùng với Kerberos 5, các

mảnh lớn của Microsoft lớn hơn tên miền cơ sở hạ tầng mô hình. Như vậy trong khi nó có

thể sử dụng thư mục hoạt động như một vani LDAP directory dịch vụ, tôi đã không bao giờ

gặp một mạng sử dụng Active Directory mà không có một nhu cầu cụ thể cho hội nhập với

các công nghệ khác của Microsoft. Thêm thông tin về hoạt động thư mục có thể được tìm

thấy tại http://www.microsoft.com/ad và Windows 2000 Active Directory Services

(O'Reilly).



Đa nền tảng xác thực là Chén Thánh cho nhiều quản trị viên, không chỉ những người đối phó

với hệ điều hành Microsoft. Của Novell eDirectory (chính thức gọi là NDS) có sẵn trên nhiều

nền tảng, như Windows, Linux và Solaris. Novell cung cấp công cụ như là một mô-đun PAM

cho NDS tích hợp dịch vụ xác thực máy chủ với thư mục của họ. Tuy nhiên, trong khi

Microsoft cung cấp một số công cụ và mẫu mã nguồn cho việc tích hợp Unix khách hàng vào

một

tên

miền

Active

Directory

(http://msdn.microsoft.com/library/enus/dnactdir/html/kerberossamp.asp), hiện nay là không có cách nào để thực hiện một tên

miền Active Directory bằng cách sử dụng các máy chủ không phải của Microsoft và các công

nghệ.



Trong tất cả sự công bằng, của Microsoft cung cấp nhỏ của gói cho các máy chủ Unix không

ngăn Unix khách hàng sử dụng các người dùng và nhóm thông trương mục tin được lưu trữ

trong một tên miền Active Directory. Có ít nhất ba phương pháp cho việc sử dụng Active

Directory để xác thực Unix yêu cầu:



Cửa ngõ NIS/Active Directory được bao gồm trong gói phần mềm "Dịch vụ cho UNIX" của

Microsoft cho phép Unix khách hàng để truy cập thông tin được lưu trữ trong Active

Directory. Chúng tôi thảo luận về sản phẩm này một thời gian ngắn trong phần trước.



PADL của PAM và NSS LDAP thư viện có thể hoạt động như một máy chủ proxy giữa dịch

vụ Unix và Active Directory. Các mô-đun bản đồ thuộc tính và các lớp học đối tượng được

lưu trữ trong Active Directory để một cái gì đó phù hợp hơn cho tiêu thụ bởi các ứng dụng

Unix.



Chương 9



135



Lê Tiến Cường – Nguyễn Minh Đức

Lê Thạch Giang- Hoàng Ngọc Hưng



Giao thức LDAP



GVHD: TS. Lưu Thanh Trà



Hoạt động thư mục tên miền sử dụng Kerberos 5 cho chứng thực người dùng. Khả năng

tương tác giữa hiện thực của Kerberos trên Windows và các nền tảng khác là tốt hơn là bạn

có thể mong đợi, nhưng có lẽ không tốt như bạn sẽ hy vọng.



Phần còn lại của tiết đoạn này sẽ kiểm tra giải pháp PAM/NSS sâu. Vào cuối phần này, chúng

tôi sẽ thảo luận về cách sử dụng Kerberos để tăng cường khả năng tương tác giữa

OpenLDAP và Active Directory. Các ví dụ sử dụng một tên miền Active Directory duy nhất

với tên ad.plainjoe.org bằng cách sử dụng các tùy chọn mặc định được cung cấp bởi tiến

trình cài đặt dcpromo. Tên miền của nó là bối cảnh đặt tên miền là dc = quảng cáo, dc =

plainjoe, dc = org.



Chương 6 bảo hiểm làm thế nào để cài đặt và cấu hình các thư viện PADL với hệ phục vụ

OpenLDAP hỗ trợ giản đồ RFC 2307 (NIS). Bằng cách sử dụng các mô-đun để truy cập

thông tin tổ chức bởi một máy chủ Active Directory là gần như giống nhau. Thư viện

pam_ldap yêu cầu không có tùy chọn thêm trình biên dịch để hỗ trợ Active Directory. Những

thay đổi này chỉ duy nhất để tập tin cấu hình của mô-đun.



Các trích đoạn sau đây từ /etc/ldap.conf cung cấp mô-đun với các thông tin cần thiết để liên

lạc với các máy chủ Active Directory. Đối với những người không quen thuộc với không gian

tên Active Directory, theo mặc định tất cả người dùng và nhóm được lưu trữ trong cn = thùng

chứa dùng ngay bên dưới mục nhập cấp cao nhất trong các tên miền. Vì vậy, nếu các thùng

chứa mặc định được sử dụng, mức một tìm kiếm, bắt đầu từ cn = người dùng, dc = quảng

cáo, dc = plainjoe, dc = org nên là đủ để xác định vị trí bất kỳ người dùng hoặc nhóm trong

một tên miền Active Directory:



## /etc/ldap.conf for PADL pam_ldap and nss_ldap libraries

##

## Define the hostname of the Windows Domain Controller to contact.

host



windc.ad.plainjoe.org



## Active Directory does support LDAPv2, but make v3 the default.



Chương 9



136



Lê Tiến Cường – Nguyễn Minh Đức

Lê Thạch Giang- Hoàng Ngọc Hưng



Giao thức LDAP

ldap_version



GVHD: TS. Lưu Thanh Trà

3



## Users and groups are stored one level below this entry in the directory.

base



cn=users,dc=ad,dc=plainjoe,dc=org



scope



one



Với một cài đặt mặc định, thư viện PAM tìm kiếm thư mục bằng cách sử dụng các bộ lọc (&

(objectclass=posixAccount)(uid=%s)), trong đó %s được mở rộng để đăng nhập tên nhập bởi

người sử dụng. Theo mặc định, thư mục hoạt động không hỗ trợ posixAccount đối tượng lớp

hoặc các thuộc tính uid. Để làm việc xung quanh này, bạn cần phải phát triển một bộ lọc tìm

kiếm khác nhau mà thành công có thể xác định người sử dụng trong một tên miền Active

Directory.



Tài khoản người dùng Active Directory được đại diện bởi người sử dụng đối tượng lớp; tên

đăng nhập được lưu trữ với các thuộc tính sAMAccountName. Vì vậy, một bộ lọc thích hợp

cho ứng dụng này là (& (objectclass=user)(sAMAccountName=%s)), và bạn có thể áp dụng

bộ lọc này bằng cách thiết lập các thông số pam_filter và pam_login_attribute như sau:



pam_filter



(objectclass=user)



pam_login_attribute sAMAccountName



Cuối cùng, bạn phải nói cho pam_ldap làm thế nào để thay đổi mật khẩu của người dùng

trong Active Directory. Thư viện pam_ldap cung cấp hỗ trợ cho việc thay đổi mật khẩu trong

một loạt các máy chủ thư mục, bao gồm cả máy chủ SunOne, mật khẩu sửa đổi mở rộng hoạt

động (RFC 3062), của Novell NDS và của Microsoft Active Directory. Các tham số

pam_password quyết định cơ chế nào được chọn. Bằng cách xác định thay đổi mật khẩu

quảng cáo cơ chế, bạn cho phép người dùng để cập nhật mật khẩu Windows của họ bằng

cách sử dụng một ứng dụng PAM, nhận thức như của Linux /usr/bin/passwd:



pam_password



Chương 9



ad



137



Lê Tiến Cường – Nguyễn Minh Đức

Lê Thạch Giang- Hoàng Ngọc Hưng



Giao thức LDAP



GVHD: TS. Lưu Thanh Trà



Lưu ý rằng cài đặt này không ảnh hưởng đến cách thực tế xác thực được thực hiện; Chương 6

mô tả quá trình xác thực. Để tóm tắt, thư viện PAM thực hiện các bước sau:



+ Nó yêu cầu một mục phù hợp với các bộ lọc tìm kiếm từ các máy chủ thư mục.

+ Nó cố gắng liên kết với các máy chủ thư mục bằng cách sử dụng DN nhập cảnh quay trở

lại và các văn bản rõ ràng của mật khẩu.

Bước 1 là một vấn đề vì mặc định thư mục hoạt động không cho phép LDAP khách hàng để

thực hiện tìm kiếm vô danh cho người sử dụng hoặc thông tin tài khoản nhóm. Có một số

cách xung quanh vấn đề này. Một giải pháp là để xác định giá trị cho các tham số binddn và

bindpw trong /etc/ldap.conf. Bởi vì tranh phải là có thể đọc mọi người sử dụng trên hệ thống,

thông tin đăng nhập tài khoản lưu trữ trong tập tin cấu hình sẽ được tiếp xúc với bất cứ ai có

thể đăng nhập vào máy chủ. Bạn sẽ phải là thẩm phán của như thế nào mối quan tâm bảo mật

này sẽ tác động đến mạng lưới của bạn. Một giải pháp thứ hai là cho phép tìm kiếm vô danh

của thuộc tính cụ thể trong Active Directory. Điều này có tác dụng tương tự vào pam_ldap

như xác định một tài khoản để sử dụng khi tìm kiếm các tên miền Active Directory, nhưng

bây giờ mọi người có thể tìm kiếm các tên người dùng bằng cách sử dụng cơ bản LDAP yêu

cầu. Tôi sẽ bao gồm cả hai phương pháp vì lợi ích của sự hoàn chỉnh, mặc dù cho phép khách

truy cập vào thư mục hoạt động thường tránh bằng cách người quản trị.



Để tiện cho các danh sách kiểm soát truy cập người dùng và nhóm trong Active Directory,

khởi chạy công cụ quản trị người dùng thư mục hoạt động và máy tính. Xem thuộc tính của

tập chứa người dùng, nhấp chuột phải vào biểu tượng người dùng và chọn Properties... từ

trình đơn xuất hiện (xem hình 9-1).



Hình 9-1. Sửa đổi ACL vào các thùng chứa dùng để cho phép chưa xác định người tìm kiếm

của người dùng và nhóm tên



Chương 9



138



Lê Tiến Cường – Nguyễn Minh Đức

Lê Thạch Giang- Hoàng Ngọc Hưng



Giao thức LDAP



GVHD: TS. Lưu Thanh Trà



Tiếp theo, di chuyển đến tab bảo mật của hộp thoại kết quả và chọn nút chuyên sâu. Bạn cần

phải thêm ba mục vào danh sách điều khiển truy cập, như được hiển thị trong hình 9-2:



Tất cả nhóm đòi hỏi sự cho phép nội dung danh sách trên người dùng thùng chứa chính nó.



Tất cả nhóm đòi hỏi khả năng đọc thuộc tính nhất định của người sử dụng các đối tượng.

Quyền này nên áp dụng cho người sử dụng container và tất cả trẻ em của nó.



Tất cả mọi người trong nhóm đòi hỏi khả năng đọc thuộc tính nhất định các nhóm đối tượng.

Quyền này nên áp dụng cho người sử dụng container và tất cả trẻ em của nó.



Hình 9-2. Cho phép tất cả mọi người trong nhóm truy cập để đọc thuộc tính người dùng



Chương 9



139



Lê Tiến Cường – Nguyễn Minh Đức

Lê Thạch Giang- Hoàng Ngọc Hưng



Giao thức LDAP



GVHD: TS. Lưu Thanh Trà



Để đơn giản hóa tập thể dục này, tất cả nhóm đã được trao quyền đọc tất cả các tài sản cho

một người sử dụng. Danh sách này có thể được rút ngắn để các thuộc tính mà soạn một mục

trong tập tin passwd(5) (mật khẩu thực tế là không cần thiết). Một lần nữa, bạn sẽ phải thẩm

phán cho dù điều này phù hợp trong ranh giới của các chính sách bảo mật mạng của bạn. Lưu

ý rằng đọc tất cả các thuộc tính không bao gồm quyền đọc mật khẩu của người dùng vô danh.



Cho phép khách truy cập thường xuyên lá một hương vị xấu trong miệng của các quản trị

viên Active Directory. Do bạn nên chọn để sử dụng trương mục tên là padl để tìm kiếm thư

mục. Trương mục người dùng này đã được tạo ra bằng cách sử dụng bình thường có nghĩa là

với mặc định của chính sách an ninh. Bây giờ, bạn phải thêm các chỉ thị trong ldap.conf cho

liên kết đến máy chủ Active Directory:



## Bind as the user padl in the ad.plainjoe.org domain

binddn



cn=padl,cn=Users,dc=ad,dc=plainjoe,dc=org



bindpw



padl-secret



Bây giờ mà pam_ldap có thể xác định vị trí DN tài khoản bằng cách sử dụng tìm kiếm dựa

trên các thuộc tính sAMAccountName, đó là thời gian để chuyển sang vấn đề thứ hai: thư

viện PAM hiện đang gửi các chứng chỉ người dùng (và binddn) trong văn bản rõ ràng. Các

giải pháp hiển nhiên cho vấn đề này là sử dụng SSL để bảo đảm thông tin trong quá cảnh.

Chương 9



140



Lê Tiến Cường – Nguyễn Minh Đức

Lê Thạch Giang- Hoàng Ngọc Hưng



Giao thức LDAP



GVHD: TS. Lưu Thanh Trà



Thư mục hoạt động trên một máy chủ Windows 2000 không thực hiện StartTLS mở rộng

hoạt động cho đàm phán một lớp an toàn giao thông vận tải, [2] nhưng nó hỗ trợ giao thức

LDAPS trên cổng 636. Có hai điều kiện tiên quyết cho việc thực hiện giải pháp này:

[2] Việc phát hành Windows 2003 Server do trong tháng 4 năm 2003 báo cáo hỗ trợ phần mở

rộng StartTLS.

Hệ phục vụ Windows Active Directory phải hỗ trợ mã hóa 128-bit. Nếu bạn đang sử dụng

Windows 2000, bạn có thể được mã hóa 128-bit bằng cách cài đặt các phiên bản cao mật mã

của

service

pack

mới

nhất.

Xem

http://www.microsoft.com/windows2000/downloads/servicepacks/ để biết chi tiết về việc lấy

và cài đặt bản cập nhật Windows 2000.

Các máy chủ Active Directory phải đã được cấp một giấy chứng nhận kỹ thuật số. Mạng của

chúng tôi sẽ sử dụng các giấy chứng nhận Authority (CA) đi kèm với Windows 2000

Advanced Server OS. Để biết thêm chi tiết về cài đặt Windows 2000 giấy chứng nhận quyền,

xem

2000

tài

nguyên

bộ

Windows

trực

tuyến

tại

http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp.

Sau khi hệ phục vụ thư mục đã được cấu hình để hỗ trợ LDAPS, hãy thêm những dòng để

/etc/ldap.conf:



## Instruct pam_ldap and nss_ldap to use LDAPS when connecting to the directory.

ssl

on

port

636



Theo mặc định, pam_ldap không xác minh chứng chỉ máy chủ LDAP (xem các tham số

tls_checkpeer từ chương 6). Cho các mục đích của chúng tôi, đó là chấp nhận được



Tại thời điểm này, khách hàng Unix có khả năng có thể xác nhận yêu cầu kết nối cho một

PAM kích hoạt dịch vụ bằng cách sử dụng Active Directory. Tuy nhiên, như chúng ta đã thấy

trong chương 6, PAM và NSS giải pháp được thực thường hiện cùng nhau. Tiếp theo, bạn

phải cấu hình mô-đun nss_ldap truy xuất thông tin tài khoản Unix từ Active Directory, kết

hợp với việc sử dụng pam_ldap cho xác thực. Vấn đề bạn phải đối phó với thời gian này là

rằng Active Directory không duy thường trì bất kỳ thuộc tính liên quan đến tài khoản Unix.



Chương 9



141



Lê Tiến Cường – Nguyễn Minh Đức

Lê Thạch Giang- Hoàng Ngọc Hưng



Giao thức LDAP



GVHD: TS. Lưu Thanh Trà



Ngoại lệ cho quy tắc này là các máy chủ NIS bao gồm trong của Microsoft SFU. Để hỗ trợ

khách hàng NIS, SFU cài đặt sửa đổi lược đồ Active Directory để bao gồm các thuộc tính và

đối tượng lớp để lưu trữ các thông tin như người dùng Unix và nhóm định danh (số UIDs và

GIDs), đường dẫn thư mục kiểu Unix và Unix đăng nhập vỏ. Vì vậy, bạn có thể mở rộng

lược đồ Active Directory bằng cách cài đặt gói SFU, và nó sử dụng giản đồ cung cấp-ngay cả

khi bạn không có ý định sử dụng máy chủ NIS của Microsoft chính nó.



Cách tiếp cận khác là mở rộng lược đồ Active Directory cho mình. Sau khi tất cả, đó là thực

sự chỉ là một LDAPv3 máy chủ. Các plugin AD4Unix phát triển bởi CSS giải pháp

(http://www.css-solutions.ca/ad4unix/) cho phép bạn quản lý liên quan đến Unix thuộc tính

bằng cách sử dụng tiêu chuẩn giao diện "Hoạt động thư mục người sử dụng và máy tính"

Microsoft Management Console (MMC). Phần mở rộng MKSADExtPlugin được tự do phân

phối ở dạng nhị phân như một gói Windows Installer (MSI). Trình cài đặt sẽ cho bạn cơ hội

để nhập khẩu giản đồ SFU mà không cài đặt SFU chính nó.



Hoạt động thư mục chỉ định một bộ điều khiển vùng như thầy lược đồ; thay đổi lược đồ tất

cả phải diễn ra trên máy chủ này. Để cho trình cài đặt MKSADExtPlugin nhập khẩu thay đổi

lược đồ, hai điều kiện phải được đáp ứng:

Người dùng cố gắng cập nhật lược đồ phải là thành viên của nhóm quản trị viên Schema.



Điều khiển vùng phục vụ như Thạc sĩ Schema phải được cấu hình để cho phép thay đổi lược

đồ.

Theo mặc định, một cài đặt Windows 2000 Active Directory không cho phép giản đồ được

đổi; giới hạn này đã bị loại bỏ trong Windows 2003. Để thay đổi cài đặt này, bạn phải đăng

ký và mở "Lược đồ Active Directory" MMC snap-in. Để đăng ký-theo với hệ điều hành, thực

thi lệnh trên bộ điều khiển tên miền:



C:\WINNT\System32\> regsvr32.exe schmmgmt.dll



Lược đồ Active Directory snap-nên bây giờ nằm trong danh sách các mô-đun có sẵn cho

MMC. Sau khi mở ứng dụng MMC và thêm công cụ quản lý giản đồ, như được hiển thị trong

hình 9-3, có thể truy cập các cửa sổ hộp thoại thay đổi lược đồ Master bằng cách chọn các



Chương 9



142



Lê Tiến Cường – Nguyễn Minh Đức

Lê Thạch Giang- Hoàng Ngọc Hưng