1கள் இந்தப் பயனருக்குப் பாத்திரங்கள் எதுவும் இல்லை. ஆக்டிவ் டைரக்டரியில் மிகவும் குழப்பமான உரையாடல் பெட்டி. நாம் எப்படி சோதிக்கிறோம் மற்றும் எதில் கவனம் செலுத்துகிறோம்

2 பதில்கள்

தீர்க்கக்கூடியது.

முதல் பாதி என் மேற்பார்வை. இரண்டாம் பாதி... சரி, என்ன தவறு என்று என்னிடம் எதுவும் தெரியவில்லை. இது உண்மையில் ஒரு பிழை அல்லது பொருத்தமின்மை அல்ல, ஆனால் மிகவும் மோசமான, இடைப்பட்ட மற்றும் புரிந்துகொள்ள கடினமாக உள்ளது. முதலில் ஒரு சுருக்கம், பின்னர் அக்கறை உள்ளவர்களுக்கு நீளம் பற்றிய விளக்கம்:

பிழைச் செய்தியின் பரிந்துரைகள் இருந்தபோதிலும், இது கருத்தியல் மாதிரியில் (CSDL) ஒரு பிரச்சனை அல்ல, ஆனால் ஒரு நெடுவரிசை மேப்பிங் சிக்கல் இடைவிடாமல் மீண்டும் உருவாக்கப்படுகிறது.

DbContext மற்றும் அதன் முக்கிய பகுதிகளை அலசுவதற்கு EdmxWriter ஐப் பயன்படுத்தி ஒரு கருத்தியல் மாதிரி கட்டப்பட்டது.

ஸ்கீமாவை புதிய தரவுத்தளத்தில் மொழிபெயர்க்க SQL ஸ்கிரிப்ட்களை உருவாக்க மாதிரி பின்னர் பயன்படுத்தப்பட்டது. தந்திரம் என்னவென்றால், தரவுத்தளம் ஆரக்கிள் ஆகும்.

ஆரக்கிள் ஒரு குழந்தை மற்றும் நீண்ட நெடுவரிசை பெயர்களை ஏற்கவில்லை. எனவே, உருவாக்கப்பட்ட EDMX மற்றும் SQL ஸ்கிரிப்டுகள் சுருக்கப்பட்ட நெடுவரிசைப் பெயர்களுடன் கருத்தியல் மாதிரியின் பகுதிகளை உருவாக்க மற்றும் வரைபடத்தை மாற்றியமைக்க வேண்டும்.

பெரிய விஷயமில்லை. இது நன்றாக வேலை செய்கிறது. அப்படியென்றால் எங்கே எல்லாம் தவறு நேர்ந்தது?

ஆரக்கிள் "குறியீடு முதலில்" ஆதரிக்கவில்லை. இது கைமுறையாக செய்யப்பட்டாலும், ஆரக்கிளில் EdmxWriter பயன்படுத்துவது குறியீடு அடிப்படையிலான அணுகுமுறையாகும். எனவே, முதல் EDMX சர்க்யூட் பிரித்தெடுக்கப்பட்ட போது, ​​அது தருக்க மேப்பிங் பற்றி பைனரி இருந்தது. எனது C# மாடல்களில் இருந்து பூல்களை தற்காலிகமாக அகற்றி, அவற்றை EDMX இல் கைமுறையாகச் சேர்த்து, Oracle web.config மேப்பிங்கைச் செய்வதே இதற்குத் தீர்வாகும் (Bool mapping to NUMBER(1,0)).

எல்லாம் மீண்டும் க்ரூவ். ஆனால் அது ஏன் மீண்டும் மீண்டும் வருகிறது?

வளர்ச்சி செயல்முறை முழுவதும் பல்வேறு நேரங்களில், மாநாட்டின் சில முனைகள் - C#, EDMX அல்லது Oracle - மாறுகின்றன. ஒவ்வொரு முறையும் எனக்குத் தெரியாமல் நெடுவரிசைகள் தானாகவே மறுஒதுக்கீடு செய்யப்பட்டதாகத் தெரிகிறது. EDMX மாதிரியானது ஆரக்கிளில் இருந்து புதுப்பிக்கப்பட்டிருந்தால், மேப்பிங்குகள் அங்கு இல்லாத C# பண்புகளை சுட்டிக்காட்டுகின்றன (குறுகிய நெடுவரிசை பெயர்கள்). சி# குறியீட்டிலிருந்து மாடல் புதுப்பிக்கப்பட்டால், மேப்பிங்ஸ் சேமிக்கப்படவில்லை, மேலும் ஆரக்கிளில் இல்லாத நீண்ட நெடுவரிசைப் பெயர்களை வரைபடமாக்க முயன்றனர்.

இந்த அணுகுமுறையில் (முதல் கலப்பின குறியீடு மற்றும் மாடல்) நான் எனது சொந்த மாடல்களைத் தொடர்ந்து நிர்வகிக்கவும், சிறு குழந்தை உறவுக்குத் தேவையான அமைப்புகளைக் கையாளவும் விரும்பினால், நான் மிகவும் கவனமாக இருக்க வேண்டும் மற்றும் EDMX கோப்புப் பண்பைக் கண்காணிக்க வேண்டும்.

10/29/2012 டிம் ஸ்பிரிங்ஸ்டன்

இந்தக் கட்டுரையில், மைக்ரோசாஃப்ட் மேனேஜ்மென்ட் கன்சோலின் (எம்எம்சி) ஆக்டிவ் டைரக்டரி பயனர்கள் மற்றும் கணினிகள் ஸ்னாப்-இன் (டிஎஸ்ஏ) இன் ஆப்ஜெக்ட் பண்புகள் சாளரத்தில் உள்ள பிரதிநிதி தாவலான “AD இல் மிகவும் குழப்பமான உரையாடல் பெட்டியின்” சில அம்சங்களைத் தெளிவுபடுத்த முயற்சிக்கிறேன். .msc). வெவ்வேறு கட்டமைப்புகளுக்கான பண்புக்கூறு மதிப்புகளைப் பார்ப்போம். அமைப்புகளின் நோக்கத்தைப் புரிந்துகொள்வது, AD இல் Kerberos பிரதிநிதித்துவத்தைப் பயன்படுத்தும் பயன்பாடுகள் மற்றும் சேவைகளை சரியாக உள்ளமைக்க உங்களை அனுமதிக்கும்.

டிம் ஸ்பிரிங்ஸ்டன் ( [மின்னஞ்சல் பாதுகாக்கப்பட்டது]) - மூத்த சேவை பொறியாளர் தொழில்நுட்ப உதவிமைக்ரோசாப்டில் வணிக தொழில்நுட்ப ஆதரவு பிரிவு, பாதுகாப்பு மற்றும் அங்கீகாரத்திற்கு பொறுப்பாகும்

வலைப்பதிவுகளில் மிகவும் தீவிரமாக விவாதிக்கப்பட்ட ஒன்று மைக்ரோசாப்ட் தொழில்நுட்பங்கள்- கெர்பரோஸ் நெறிமுறையைப் பயன்படுத்தி அங்கீகாரம். வெளியானதிலிருந்து தொழில்நுட்பமும் அதன் செயல்பாடுகளும் குறிப்பிடத்தக்க மாற்றங்களுக்கு உள்ளாகவில்லை என்பதைக் கருத்தில் கொண்டு இது விசித்திரமானது விண்டோஸ் சர்வர் 2003. இன்னும், கெர்பரோஸ் கூடுதல் ஆவணப்படுத்தலுக்கான ஒரு பொருளாகவே இருக்கிறார்.

Kerberos எப்படி வேலை செய்கிறது மற்றும் ஏன் பிழைகள் நிகழ்கின்றன என்பதற்கான தொழில்நுட்ப அம்சங்களைக் கற்றுக்கொள்வதற்கான தற்போதைய தேவை என்னவென்றால், தொழில்நுட்பம் ஒரே மாதிரியாக இருக்கும்போது, ​​​​அதைப் பயன்படுத்தும் சேவைகள் மற்றும் அதைப் பயன்படுத்தும் வழிகள் பெரும்பாலும் தனித்துவமானது. எவ்வாறாயினும், ஒவ்வொரு சூழ்நிலையிலும் நிலையானது செயலில் உள்ள அடைவு (AD) அமைப்புகளின் நோக்கம் மற்றும் பிழை செய்திகளின் பொருள்.

இந்தக் கட்டுரையில், மைக்ரோசாஃப்ட் மேனேஜ்மென்ட் கன்சோலின் (எம்எம்சி) ஆக்டிவ் டைரக்டரி பயனர்கள் மற்றும் கணினிகள் ஸ்னாப்-இன் (டிஎஸ்ஏ) இன் ஆப்ஜெக்ட் பண்புகள் சாளரத்தில் உள்ள பிரதிநிதி தாவலான “AD இல் மிகவும் குழப்பமான உரையாடல் பெட்டியின்” சில அம்சங்களைத் தெளிவுபடுத்த முயற்சிக்கிறேன். .msc). வெவ்வேறு கட்டமைப்புகளுக்கான பண்புக்கூறு மதிப்புகளைப் பார்ப்போம். அமைப்புகளின் நோக்கத்தைப் புரிந்துகொள்வது, AD இல் Kerberos பிரதிநிதித்துவத்தைப் பயன்படுத்தும் பயன்பாடுகளையும் சேவைகளையும் சரியாக உள்ளமைக்க உங்களை அனுமதிக்கும்.

எளிய இடைமுகம்

"எளிய" இடைமுகத்தைக் கற்றுக் கொள்வதில் ஏன் நேரத்தை வீணடிக்க வேண்டும்? விரிவாகச் செல்ல வேண்டியது அவசியம், ஏனென்றால் பல்வேறு அளவுருக்கள் எவ்வாறு செயல்படுகின்றன என்பதற்கான தொழில்நுட்ப அம்சத்தைப் புரிந்துகொள்வது, அவற்றின் கட்டமைப்பில் உள்ள பிழைகளை இன்னும் வெற்றிகரமாக சரிசெய்ய உங்களை அனுமதிக்கும். எனவே, அணுகுமுறைகளின் பொருளைப் புரிந்துகொள்வதன் மூலம் ஆரம்பிக்கலாம். ஆக்டிவ் டைரக்டரி யூசர்ஸ் அண்ட் கம்ப்யூட்டர்ஸ் ஸ்னாப்-இன்-ஐத் திறந்து, கம்ப்யூட்டர் அக்கவுண்ட் பிராப்பர்ட்டிகளுக்குச் சென்றால், டெலிகேஷன் டேப் (உங்கள் காடு சர்வர் 2003 செயல்பாட்டு மட்டத்தில் இருப்பதாகக் கருதி) பார்ப்பீர்கள். இந்தத் தாவல் படம் 1 இல் காட்டப்பட்டுள்ளது. இந்தத் தாவலில் உள்ள சுவிட்சுகளின் நோக்கத்தை விளக்க உதவ, நீங்கள் அவர்களுக்கு வழங்கக்கூடிய மாற்றுப் பெயர்களை படம் 2 பரிந்துரைக்கிறது.

அளவுருக்கள் எதைக் குறிக்கின்றன என்பதைத் தெரிந்துகொள்வதற்கு முன், Kerberos பிரதிநிதித்துவம் என்றால் என்ன என்பதை விளக்குவோம். பிரதிநிதித்துவம் (ஆள்மாறாட்டம் அல்லது எளிய பிரதிநிதித்துவம் என்றும் அழைக்கப்படுகிறது) என்பது ஒரு பயன்பாடு அல்லது சேவையின் செயல்முறையாகும், இது ஆதாரங்களை அணுகுவதற்கு Kerberos டிக்கெட்டுகளைப் பெறுகிறது அல்லது தொலை கணினிபயனர் சார்பாக. பிரதிநிதித்துவத்திற்கு நம்பகமான ஒரு நிறுவனம் ஒரு சேவை நிறுவனம். கணக்கு, அதன் சார்பாக பயன்பாடு இயங்குகிறது. பிரதிநிதித்துவமானது, ஒரு பயனருக்கு அணுகக்கூடிய ஆதாரங்களை மட்டுமே அணுகவும் மற்றும் பயனருக்கு தகவலை வழங்கவும் பயன்பாட்டை அனுமதிக்கிறது. ஒரு கணினியுடன் இணைய சேவையகம் இணைக்கும் ஒரு எடுத்துக்காட்டு காட்சி SQL சர்வர்இணைய கிளையண்டில் பயனருக்குத் தேவையான தரவைக் காட்ட.

படம் 1 இல் உள்ள முதல் இரண்டு விருப்பங்கள் ("கணினியை பிரதிநிதித்துவப்படுத்துவதை நம்பாதே" மற்றும் "எந்தவொரு சேவையையும் வழங்க கணினியை நம்பு") சுய விளக்கமளிக்கும். மூன்றாவது விருப்பம் Kerberos Constrained Delegation (KCD) ஆகும், இது அடிப்படையில் எளிமையான பிரதிநிதித்துவத்தைப் போன்றது, ஆனால் ஆள்மாறாட்டம் செய்யப்பட்ட அடையாளத்தை குறிப்பிட்ட சேவைகள் அல்லது கணினிகளுக்கு மட்டுமே வழங்குகிறது. இந்த விருப்பம், ஆள்மாறாட்டம் செய்த பயனரின் அடையாளத்தை பிரதிநிதித்துவப்படுத்தும் நோக்கத்தை வரம்பிடுவதன் மூலம் அதிக அளவிலான பாதுகாப்பை வழங்குகிறது, இதனால் பிரதிநிதித்துவத்திற்கான நம்பகமான சேவை அடையாளம் சமரசம் செய்யப்பட்டால், அதன் விளைவுகள் அந்த ஆதாரங்களை மட்டுமே அணுகும் திறனுடன் மட்டுப்படுத்தப்படும். தொலை சேவையகங்கள், கட்டுப்படுத்தப்பட்ட பிரதிநிதிகளுக்கு கைமுறையாக தேர்ந்தெடுக்கப்பட்டவை.

படம் 1 இல் உள்ள நான்காவது விருப்பம் KCD மற்றும் பயனருக்கான சேவைகள் (அல்லது S4U) நீட்டிப்பை அனுமதிக்கிறது. S4U நீட்டிப்பு நெறிமுறையை மாற்றுவது போன்ற மேம்பட்ட செயல்பாடுகளை வழங்குகிறது. உள்வரும் இணைப்பில் கெர்பரோஸ் அல்லாத பிற நெறிமுறையை கிளையன்ட் முதலில் அங்கீகரித்து பின்னர் கெர்பரோஸுக்கு மாறும்போது நெறிமுறை மாறுதல் ஏற்படுகிறது. விரிவான விளக்கம் S4U ஆனது "விண்டோஸ் சர்வர் 2003 இல் S4U Kerberos நீட்டிப்புகளை ஆராய்தல்" (msdn.microsoft.com/en-us/magazine/cc188757.aspx) மற்றும் "கட்டுப்படுத்தப்பட்ட பிரதிநிதித்துவ தொழில்நுட்ப துணையுடன் நெறிமுறை மாற்றம்" (msd.com/microsoft. en- us/library/ff650469.aspx). இந்த ஆதாரங்கள் புரோகிராமர்களை இலக்காகக் கொண்டவை, நிர்வாகிகள் அல்ல, ஆனால் ஒரு நிர்வாகி S4U என்றால் என்ன, அதை எவ்வாறு கட்டமைப்பது மற்றும் எப்போது பயன்படுத்த வேண்டும் என்பதைப் புரிந்துகொள்வதும் முக்கியம். இந்த நோக்கத்திற்காக, நிர்வாகிக்கான S4U திறன்களின் குறுகிய பட்டியல் இங்கே உள்ளது.

உண்மையில் அந்த டோக்கனைப் பெறாமலேயே பயனரின் டோக்கனைப் பற்றிய தகவலைப் பெறுதல் மற்றும் நம்பகமான டிக்கெட் சேவையின்றி நம்பகமான பயனரிடமிருந்து டிக்கெட் வழங்கும் டிக்கெட்டை (TGT) பெறுதல் அல்லது நற்சான்றிதழ்களுக்கான அணுகல். பெறப்பட்ட தகவல்கள் பின்னர் பயன்படுத்தப்படலாம், எடுத்துக்காட்டாக, அங்கீகார காசோலைகளுக்கு. இந்த நீட்டிப்பு பயனருக்கான சேவைகள் (S4U2Self) என அழைக்கப்படுகிறது.

கெர்பரோஸ் சேவை டிக்கெட் தேவையில்லாமல், நற்சான்றிதழ்களை அணுகாமல், TGT களில் தேர்ச்சி பெறாமல் அல்லது அங்கீகாரம் இல்லாமல் டிக்கெட்டுகளைப் பெறுதல் - சேவைகள்-பயனர்-க்கு-ப்ராக்ஸி (S4U2Proxy).

முன்பு குறிப்பிடப்பட்ட நெறிமுறை மாற்றத்தைச் செய்யவும். ஒரு நிறுவனச் சேவையை அணுகும் கிளையன்ட் ஆரம்பத்தில் கெர்பரோஸ் அல்லாத வேறு முறையைப் பயன்படுத்தி அங்கீகரிக்கிறது, மேலும் S4U நம்பகமான சேவையை ஏற்கனவே அங்கீகரிக்கப்பட்ட பயனரின் அமர்வை கெர்பரோஸைப் பயன்படுத்த அனுமதிக்கிறது. உள்ளமைவுப் பிழைகளால் ஏற்படும் தோல்விகள் பெரும்பாலும் இங்குதான் நிகழ்கின்றன, ஏனெனில் பயன்பாட்டு ஆவணங்கள் பெரும்பாலும் நெறிமுறை மாற்றம் தேவையா அல்லது அதை AD இல் எவ்வாறு கட்டமைப்பது என்பதை தெளிவாக விளக்குவதில்லை. இருப்பினும், இந்த தலைப்பு பொருத்தமானது, ஏனெனில் இன்று "மேகம்" என்று குறிப்பிடாமல் கிட்டத்தட்ட எந்த கட்டுரையும் முடிக்கப்படவில்லை. இணையத்தில் Kerberos சேவை டிக்கெட் கோரிக்கைகளைக் கையாளும் டொமைன் கன்ட்ரோலர்கள் (DCs) இல்லாததால், கிளவுட் மூலம் இணைக்கும் வாடிக்கையாளர்கள் பெரும்பாலும் NTLM அங்கீகாரத்தைப் பயன்படுத்துவார்கள். நெறிமுறையை மாற்றுவது கொடுக்கப்பட்ட டொமைனின் பயனரை அதன் வழியாக இணைக்க அனுமதிக்கிறது மென்பொருள் ஃபயர்வால்அல்லது அங்கீகார முறைகளில் ஒன்றைப் பயன்படுத்தி ப்ராக்ஸி (என்டிஎல்எம் போன்றவை), பின்னர் செய்ய Kerberos அங்கீகாரத்திற்கு மாறவும் மேலும் நடவடிக்கைகள்உள்ளே கார்ப்பரேட் நெட்வொர்க். "கிளவுட்" என்பது இணையத்தில் இணைப்பதைக் குறிக்கும் என்பதால், நீங்கள் ஏதேனும் கிளவுட் தீர்வைப் பயன்படுத்தினால், விரைவில் அல்லது பின்னர் நீங்கள் Kerberos நெறிமுறை மாற்றியைப் பயன்படுத்துவீர்கள் என்பதை நீங்கள் உறுதியாக நம்பலாம்.

வெளிப்புற ஷெல் கீழ்

ஒவ்வொரு கட்டமைப்புக்கும் அமைக்கப்பட்டுள்ள பண்புக்கூறுகளின் மதிப்புகளைப் பார்க்க, LDP ஐப் பயன்படுத்தி இந்த நான்கு அளவுருக்கள் ஒவ்வொன்றும் அமைக்கப்படும்போது உண்மையில் என்ன நடக்கிறது என்பதைப் பார்ப்போம். LDP ஆனது AD டொமைன் சர்வீசஸ் பாத்திரத்துடன் இயல்பாக நிறுவப்பட்டுள்ளது மற்றும் LDAP வினவல் செயலாக்கக் கருவியாகப் பயன்படுத்தலாம் வரைகலை இடைமுகம். LDP ஆனது உங்கள் சொந்த LDAP வினவல்களை உருவாக்கவும் மற்றும் முடிவுகளை எளிதாக படிக்கக்கூடிய வடிவத்தில் பார்க்கவும் அனுமதிக்கிறது. பண்புக்கூறு மதிப்புகளைப் பார்க்க LDP ஐப் பயன்படுத்துவதன் கூடுதல் நன்மை (உதாரணமாக, பயனர் கணக்கு கட்டுப்பாடு) கணக்கிடப்பட்ட அளவுரு மதிப்புகளை எண்களின் சேர்க்கைக்கு பதிலாக மனிதனால் படிக்கக்கூடிய வடிவத்தில் மொழிபெயர்க்கிறது. மூலம், adsiedit.msc இன் பிந்தைய பதிப்புகளும் கணக்கிடப்பட்ட அளவுரு மதிப்புகளின் ஒத்த செயலாக்கத்தை வழங்குகின்றன.

எனவே, Windows Server 2008 மற்றும் அதற்குப் பிறகு, ldp.exe மற்றும் adsiedit.msc ஆகியவை பண்புக்கூறு மதிப்புகளின் (userAccountControl போன்றவை) தானியங்கி மொழிபெயர்ப்பை வழங்குகின்றன, calc.exe ஐத் திறந்து ஆன்லைன் MSDN ஆவணங்கள் அல்லது மைக்ரோசாஃப்ட் அறிவுத் தளத்தைப் பார்க்க வேண்டிய தேவையை நீக்குகிறது.

இப்போது செய்யப்பட்ட அமைப்புகளைப் பொறுத்து LDP இல் பண்புக்கூறு மதிப்புகளை மாற்றுவதைப் பார்ப்போம். பிரதிநிதித்துவத்திற்கு நம்பகத்தன்மை இல்லாத கணக்குடன் தொடங்குவோம். Test2 கணக்கு நம்பகமானதல்ல என்பதையும், பயனர் கணக்குக் கட்டுப்பாடு பண்புக்கூறின் ஹெக்ஸாடெசிமல் மதிப்பு 1020 (தசமம் 4128 உடன் தொடர்புடையது) WORKSTATION_TRUST_ACCOUNT மற்றும் PASSWD_NOTREQD என மொழிபெயர்க்கப்பட்டுள்ளது என்பதையும் படம் 3 காட்டுகிறது.

பிரதிநிதித்துவத்திற்கு நம்பகமான கணக்கை படம் 4 காட்டுகிறது. TRUSTED_FOR_DELEGATION க்கு மொழிபெயர்க்கப்பட்ட userAccountControl பண்புக்கூறு மதிப்பை நாம் பார்க்கலாம், இது இந்த சேவை அடையாளத்திற்கு எளிமையான கட்டுப்பாடற்ற Kerberos பிரதிநிதித்துவம் அனுமதிக்கப்படுவதைக் குறிக்கிறது.

குறிப்பிட்ட சேவைகளுக்கான பிரதிநிதித்துவத்தை நம்புங்கள்

நீங்கள் S4U அல்லது KCD ஐப் பயன்படுத்த விரும்பினால் பின்வரும் அமைப்புகள் முக்கியமானவை. முதல் வழக்கு இந்த விருப்பத்தை நம்பு என்ற தேர்வுக்கு ஒத்திருக்கிறது கணினிக்குகுறிப்பிட்ட சேவைகளுக்கு மட்டுமே பிரதிநிதித்துவம் மற்றும் Kerberos ஐ மட்டும் பயன்படுத்தவும். இந்தத் தேர்வின் மூலம், userAccountControl பண்புக்கூறு மீண்டும் WORKSTATION_TRUST_ACCOUNT க்கு அமைக்கப்பட்டிருப்பதை படம் 5 காட்டுகிறது, மேலும் MsDS-AllowedToDelegateTo பண்புக்கூறு, பிரதிநிதித்துவப்படுத்த அனுமதிக்கப்பட்ட தேர்ந்தெடுக்கப்பட்ட சேவைகளுடன் தானாகவே நிரப்பப்படுகிறது. இந்த பண்புக்கூறு வேறு எந்த நடைமுறையாலும் மக்கள்தொகை அல்லது பாதிக்கப்படவில்லை. பிரதிநிதித்துவம் இயக்கப்பட்ட கணினியில் குறிப்பிட்ட சேவைகளை உள்ளீடுகள் பட்டியலிடுகின்றன.

இரண்டாவது விருப்பம் குறைவான பாதுகாப்பானது - எந்த அங்கீகார நெறிமுறையையும் பயன்படுத்தவும், இது நெறிமுறை மற்றும் பிற நீட்டிப்பு விருப்பங்களை மாற்ற அனுமதிக்கிறது. MsDS-AllowedToDelegateTo பண்புக்கூறில் உள்ள உள்ளீடுகளுக்கு கூடுதலாக, இந்த அமைப்பு பயனர் கணக்குக் கட்டுப்பாடு பண்புக்கூறை மாற்றுகிறது, இது TRUSTED_TO_AUTHENTICATE_FOR_DELEGATION (T2A4D) ஐப் பெறும், T2A4D நெறிமுறையை மாற்றாமல் நீங்கள் எதிர்பார்க்கலாம். இந்த கொடியை வேறு எந்த கூறுகளும் பயன்படுத்தவில்லை. இந்த எளிய சுவிட்ச் மிகவும் முக்கியமானது என்பதை நினைவில் கொள்ளவும், ஏனெனில் இது தேர்ந்தெடுக்கப்படவில்லை என்றால், S4U2Self, S4U2Proxy மற்றும் நெறிமுறை மாற்றம் வித்தியாசமாக செயல்படும், இது தொடர்புடைய டிக்கெட் வகைகளை எதிர்பார்க்கும் பயன்பாடுகள் மற்றும் சேவைகளுக்கு சிக்கல்களை ஏற்படுத்தும். குறிப்பாக, நெறிமுறையை மாற்றுவது தோல்வியடையும் மற்றும் டிக்கெட் வழங்கப்படாது. S4U2Proxy மற்றும் S4U2Self இல் ஃபார்வேர்டு செய்யக்கூடிய கொடி இருக்காது, இது பிழையை ஏற்படுத்தும்: S4U2Proxy க்கு - எப்படியிருந்தாலும், மற்றும் S4U2Self க்கு - நீங்கள் மற்றொரு சேவை அல்லது முனைக்கு டிக்கெட்டை அனுப்ப வேண்டிய சூழ்நிலைகளில்.

"நீங்களாகவே செய்யுங்கள்"

ஒரு பயன்பாடு அல்லது சேவையால் பயன்படுத்தப்படும் சேவைக் கணக்கு, நெறிமுறை மாற்றம் தேவைப்படும் செயலைச் செய்ய வேண்டும், மேலும் டெலிகேஷன் டேப், எந்த அங்கீகார நெறிமுறை அங்கீகரிப்பையும் பயன்படுத்துவதற்குப் பதிலாக கெர்பரோஸை மட்டும் பயன்படுத்து என அமைக்கப்பட்டால் என்ன நடக்கும்)? கிளையன்ட் பயன்பாட்டிற்கு, பிழை இருக்கலாம்: அணுகல் படிவம்நெட்வொர்க்கில் ஆதாரங்களை அணுக முயற்சிக்கும்போது மறுக்கப்பட்டது, அல்லது அறிவிப்பு இல்லாமல் NTLM அங்கீகாரப் பிழை அல்லது எதிர்பாராத பயன்பாடு சார்ந்த பிழை ஏற்படலாம். பிழை வெளிப்படும் வடிவத்தின் நிச்சயமற்ற தன்மை பணியை மேலும் சிக்கலாக்குகிறது. இருப்பினும், பெரும்பாலும் அணுகல் மறுக்கப்படும். இந்தச் சூழ்நிலையில், TGT இல்லாமல் சேவையில் இருந்து நெறிமுறை மாற்றங்கள் அல்லது டிக்கெட் கோரிக்கைகள் உள்ளதா என விண்ணப்பம் அல்லது சேவை ஆவணங்களை மதிப்பாய்வு செய்யவும். பிரச்சனை என்னவென்றால், பெரும்பாலான ஆவணங்களை எழுதுபவர்கள் KCD உள்ளமைவின் அர்த்தத்தை உண்மையில் புரிந்து கொள்ளவில்லை, எனவே சிறிய விளக்கத்தை அளிக்கவில்லை அல்லது இல்லை.

பிழையின் காரணத்தைக் கண்டறிவதற்கான ஒரு செய்ய வேண்டிய முறையானது, பிரதிநிதித்துவத்திற்கு நம்பகமான சேவையகத்திலிருந்து நெட்வொர்க் ட்ரேஸ் தரவைச் சேகரிப்பதாகும். Kerberos (Microsoft Network Monitor இல் Kerberosv5 அல்லது Wireshark இல் kerberos) மூலம் சேகரிக்கப்பட்ட தரவை வடிகட்டவும். டிக்கெட் வழங்கல் சேவை கோரிக்கை (TGS_REQ) AD Kerberos Distribution Center (KDC) க்கு அனுப்பப்பட்டது, மேலும் KDC அளவுருக்கள் அடங்கிய பிரதிநிதித்துவக் கொடி அமைக்கப்பட்டுள்ளது. ஒரு டிக்கெட் மறுக்கப்பட்டால், சர்வர் மறுமொழியில் (TGS_REP) KDC_ERR_BAD_OPTION பிழை இருக்கும், இது நெட்வொர்க் ட்ரேஸ் முடிவுகளில் எளிதாகக் காணலாம்.

மேலும் விரிவான தகவல்மைக்ரோசாஃப்ட் கெர்பரோஸ் செயலாக்கங்களின் செயல்பாட்டை ஆன்லைன் திறந்த நெறிமுறைகள் விவரக்குறிப்பில் காணலாம். "Kerberos Protocol Extensions" (msdn.microsoft.com/en-us/library/cc233855%28v=PROT.13%29.aspx) Kerberos பற்றிய பொதுவான ஆவணங்களைக் கொண்டுள்ளது, மேலும் "Kerberos Protocol Extensions: Service for User மற்றும் Constrained Delegation » (msdn.microsoft.com/en-us/library/cc246071%28v=PROT.13%29.aspx) – Kerberos மற்றும் S4U கட்டுப்படுத்தப்பட்ட பிரதிநிதிகள் பற்றிய ஆவணங்கள்.

சரியான உலகம்

Kerberos இடைமுக சாளரத்தில் உள்ள அமைப்புகளின் இந்த பகுப்பாய்வு மற்றும் AD இல் அவற்றின் கடிதப் பரிமாற்றம் அவற்றின் அர்த்தத்தை நன்கு புரிந்துகொள்ள உதவும் என்று நம்புகிறேன். நிர்வகிக்கப்பட்ட சேவைகளின் ஆவணங்கள் அவற்றை எவ்வாறு செயல்படுத்துவது என்பதற்கான தொழில்நுட்ப வழிகாட்டுதலை வழங்கும் ஒரு சிறந்த உலகம். சரியான அமைப்புஅங்கீகாரத்திற்காக. இருப்பினும், யதார்த்தம் இலட்சியத்தை விட குறைவாக இருந்தால், இந்தத் தகவல் உங்கள் கருவித்தொகுப்பை மேம்படுத்த உதவும். அளவுருக்கள் எவ்வாறு செயல்படுகின்றன என்பதற்கான தொழில்நுட்ப அம்சத்தைப் புரிந்துகொள்வது வெற்றிக்கு முக்கியமாகும்.



இணையதளங்கள், பயன்பாடுகள், கேம்கள் ஆகியவை பயனர்களால் நிர்வகிக்கப்படும் தகவல் ஆதாரங்கள். ஒரு குறிப்பிட்ட பயனருக்கு அனுமதிக்கப்பட்ட மற்றும் தடைசெய்யப்பட்ட செயல்களைப் பிரிக்க, அணுகல் உரிமைகள் (AP) பயன்படுத்தப்படுகின்றன. PD வடிவங்களின் பயன்பாட்டின் நோக்கம் பாத்திரங்கள். எடுத்துக்காட்டாக, பதிவு விருப்பங்களைக் கொண்ட அடிப்படை வலைத்தளத்தைப் பார்ப்போம்.

அத்தகைய தளத்தில், 3 பாத்திரங்கள் தங்கள் சொந்த உரிமைகள் மற்றும் பொறுப்புகளுடன் "வாழ்கின்றன":

1.

அனைத்து அநாமதேய பயனர்களும் இயல்பாகவே இந்தப் பாத்திரத்தில் செயல்படுகிறார்கள். நாங்கள் தள விருந்தினர்களுக்கு "கருத்துகளைச் சேர்" உரிமையை வழங்கினால், தளத்தைப் பார்வையிடும் பயனர் உங்கள் சுவாரஸ்யமான விஷயங்களைப் பற்றி கருத்துத் தெரிவிக்க முடியும். இல்லையெனில், உள்ளடக்கத்தில் கருத்து தெரிவிக்க நீங்கள் முதலில் பதிவு செய்ய வேண்டும்.

2.

அங்கீகாரம் மற்றும் அங்கீகாரம் பெற்ற அநாமதேய நபர்கள் பெறுகின்றனர் புதிய பாத்திரம். அங்கீகரிக்கப்பட்ட பயனர்கள் மட்டுமே நிர்வகிக்க முடியும் தனிப்பட்ட கணக்கு, தனிப்பட்ட தரவைச் சேர்த்தல் மற்றும் திருத்துதல், பிற எழுத்துக்களைப் பற்றிய தகவல்களைப் பார்க்கலாம். பதிவு செய்யப்படாத பயனர்கள் இந்த செயல்பாடுகளைச் செய்ய அங்கீகரிக்கப்படவில்லை.

3. நிர்வாகி

இந்த இயல்புநிலைப் பாத்திரம் பயனருக்கு தளத்திற்கான முழு அணுகலை வழங்குகிறது. ஆதார நிர்வாகி தொகுதிகளைச் சேர்க்கிறார் மற்றும் நீக்குகிறார் மற்றும் சில செயல்பாடுகளை அணுகுவதற்கு மற்ற பயனர்களுக்கு உரிமைகளை வழங்குகிறார் அல்லது பறிக்கிறார்.

எப்படிச் சோதிப்பது, எதில் கவனம் செலுத்துவது?

முதலில், அமைப்புகளுடன் விளையாடுவதன் மூலம் “சூப்பர் அட்மினிஸ்ட்ரேட்டரை” நீக்காமல் இருக்க முயற்சிப்போம்.

  • பாதுகாப்பான பாத்திரத்தை உருவாக்குதல்

திட்டத்தில் உண்மையான செயல்பாடுகளை நெருங்க, இதே போன்ற நிர்வாக அதிகாரங்களைக் கொண்ட கூடுதல் பயனர் போதுமானதாக இருப்பார். இந்த எழுத்துடன் நாங்கள் வளத்தை சோதித்து மற்ற பயனர்களின் அணுகல் உரிமைகளை மாற்றுகிறோம்.

  • பல உலாவிகளில் சரிபார்க்கிறது

நாங்கள் அதை ஒரே நேரத்தில் செய்கிறோம்: ஒன்றில் பிடியை மாற்றுகிறோம், மற்றொன்றில் பயனருக்கான உரிமைகளின் பயன்பாட்டை சரிபார்க்கிறோம், இதனால் பயனர் அமர்வுகளை பிரிக்கிறோம்.

  • நேரடி இணைப்பைப் பின்தொடரவும்

நேரடி URL வழியாக ப்ளாக் கட்டுப்பாடுகளைச் சோதிப்போம். சில ஆதாரத் தரவைப் பார்ப்பது, அங்கீகரிக்கப்படாத தள விருந்தினருக்கு இணைப்பு வழியாகக் கிடைக்கக் கூடாது. அணுகல் குறைவாக இருந்தால், எல்லாம் சரியாக இருக்கும்: வகைப்படுத்தப்பட்ட தகவலுக்குப் பதிலாக, அநாமதேய பயனர்கள் ஒரு சிறப்புப் பக்கத்தின் வடிவத்தில் எச்சரிக்கை செய்தியைப் பெறுவார்கள், பெரும்பாலும் 403 குறியீட்டுடன்.

  • சோதனை நிறுவனம் தடுப்பதை

டிக்கெட் மற்றும் சுற்றுலா சேவைகள் போன்ற ஆதாரங்களுக்கு, பல பயனர்கள் ஒரே நேரத்தில் ஒரு உறுப்பை அணுகும் போது அதை பூட்டுவது முக்கியம். இரண்டு தடுப்பு விருப்பங்கள் உள்ளன:

+ நம்பிக்கையான தடுப்புசேமிக்கும் போது, ​​தரவுத்தளத்தை மேலும் சரிபார்க்கிறது புதிய பதிப்புமற்றொரு பயனர் விட்டுச் சென்ற தரவு. அது இருந்தால், பின்னர் தற்போதைய பயனாளிமீண்டும் பதிவிறக்கங்கள் இந்த நகல்சாரம்.

+ அவநம்பிக்கையான தடுப்புநம்பிக்கையானது பல மோதல்களை உருவாக்கும் போது உட்பொருட்கள் பயன்படுத்தப்படுகின்றன. இந்த வழக்கில், தற்போதைய நேரத்தில் ஒரே ஒரு பயனர் மட்டுமே பொருளின் இந்தப் பதிப்பைப் பயன்படுத்துகிறார் மற்றும் மாற்றுகிறார்.

நீங்கள் ஒரு கணினியிலிருந்து பல உலாவிகளில் அல்லது வெவ்வேறு கணக்குகளில் சோதனை செய்யலாம்.

  • சோதனை மேட்ரிக்ஸைப் பயன்படுத்துதல்

இது சோதனையாளரின் வேலையை எளிதாக்குகிறது, அனுமதிக்கப்பட்ட மற்றும் தடைசெய்யப்பட்ட செயல்களை தெளிவாகக் காட்டுகிறது, மேலும் எதையும் தவறவிடாமல் இருக்க உதவுகிறது. எங்கள் கதாபாத்திரங்களின் வரம்புகளின் அனைத்து பாத்திரங்கள், பயனர்கள், மாறுபாடுகள் ஆகியவற்றை நாங்கள் அதில் விவரிக்கிறோம்.

சோதனை மேட்ரிக்ஸின் எளிய எடுத்துக்காட்டு இங்கே:

அணுகல் கட்டுப்பாடு என்பது க்குள் உள்ள முக்கிய சோதனைகளில் ஒன்றாகும். மூன்று பாத்திரங்களைக் கொண்ட உள்ளூர் நூலக இணையதளத்தைச் சோதிப்பது கூட சோதனையாளருக்கு சவால்களை ஏற்படுத்துகிறது. ஆனால் டஜன் கணக்கான பாத்திரங்கள், ஆயிரக்கணக்கான பயனர்கள் மற்றும் மில்லியன் கணக்கான அனுமதிகள் கொண்ட பிரபலமான ஆதாரங்களுக்கு நிர்வாகிகளின் முழு இராணுவமும் தேவை! ஒரு அமெச்சூர் சோதனையை மேற்கொண்டால், சேதத்தின் அளவை நாம் கற்பனை செய்வது கடினம். திறமையான நிபுணர்களை நியமித்து, உங்கள் தயாரிப்புகளின் பாதுகாப்பில் உள்ள இடைவெளிகளைத் தவிர்க்கவும்!