WEBVTT 00:00.090 --> 00:00.930 المدرب: في هذا 00:00.930 --> 00:03.360 الدرس، سنتحدث عن خوادم AAA، والتي تعني 00:03.360 --> 00:06.210 المصادقة والترخيص والمحاسبة، ولفهم خوادم 00:06.210 --> 00:09.000 AAA، أول شيء يتعين علينا القيام به هو فهم كيفية 00:09.000 --> 00:12.327 استخدام 802. 1X يعمل كإطار. 00:12.327 --> 00:15.240 المدرب: 802. 1X هو إطار عمل قياسي يُستخدم 00:15.240 --> 00:17.040 للمصادقة المستندة إلى المنفذ 00:17.040 --> 00:19.650 على كل من الشبكات السلكية واللاسلكية. 00:19.650 --> 00:22.800 الآن، منذ 802. 1X هو مجرد إطار عمل، وسيستخدم 00:22.800 --> 00:24.840 في الواقع آليات أخرى لإجراء 00:24.840 --> 00:27.210 المصادقة الحقيقية لنا. 00:27.210 --> 00:28.140 على سبيل المثال، 00:28.140 --> 00:30.690 يمكن استخدام كل من خدمة مستخدم الطلب الهاتفي 00:30.690 --> 00:31.800 للمصادقة عن بعد، والمعروفة 00:31.800 --> 00:33.510 باسم RADIUS، ونظام التحكم في 00:33.510 --> 00:36.510 الوصول إلى وحدة التحكم في الوصول إلى المحطة الطرفية 00:36.510 --> 00:39.000 Plus، أو TACACS+، لإجراء المصادقة باستخدام 00:39.000 --> 00:41.700 802. بروتوكول 1X. 00:41.700 --> 00:43.410 هناك ثلاثة أدوار مطلوبة لإجراء 00:43.410 --> 00:46.920 المصادقة تحت 802. 1X. 00:46.920 --> 00:49.830 الأول هو مقدم الطلب، وهو الجهاز أو المستخدم 00:49.830 --> 00:51.660 الذي يطلب الوصول إلى الشبكة، 00:51.660 --> 00:54.030 مثل PC1 في هذه الصورة. 00:54.030 --> 00:56.430 ثم هناك المصادق، وهو الجهاز الذي يحاول 00:56.430 --> 00:58.080 مقدم الطلب من خلاله الوصول 00:58.080 --> 00:59.370 إلى الشبكة. 00:59.370 --> 01:01.620 عادةً ما يكون هذا بمثابة محول 01:01.620 --> 01:04.860 أو نقطة وصول لاسلكية أو مُكثف VPN. 01:04.860 --> 01:07.230 أخيرًا، هناك خادم المصادقة، والذي 01:07.230 --> 01:08.760 سيكون الجهاز المركزي الذي 01:08.760 --> 01:10.350 يقوم بالمصادقة، والذي 01:10.350 --> 01:11.970 عادةً ما يكون RADIUS أو خادم 01:11.970 --> 01:13.920 TACACS+ الخاص بك. 01:13.920 --> 01:16.230 تحدث المصادقة عندما يتم إثبات هوية 01:16.230 --> 01:19.500 الشخص بإثبات ويتم تأكيدها بواسطة النظام. 01:19.500 --> 01:21.180 أنت تفعل هذا كل يوم. 01:21.180 --> 01:23.850 في الواقع، لقد فعلت ذلك عندما قمت بتسجيل الدخول إلى هذه الدورة. 01:23.850 --> 01:26.340 عندما أدخلت عنوان بريدك الإلكتروني وكلمة المرور 01:26.340 --> 01:28.380 الخاصة بك، كنت تدعي أنك الطالب الذي دفع 01:28.380 --> 01:30.660 ثمن هذه الدورة، ومن خلال القيام بذلك، يتم 01:30.660 --> 01:33.150 فحصك بواسطة النظام ومنحك حق الوصول. 01:33.150 --> 01:36.330 الآن، هناك طرق مختلفة للتحقق من هويتك. 01:36.330 --> 01:38.700 في العالم الحقيقي، على سبيل المثال، 01:38.700 --> 01:40.380 إذا تم إيقافك بسبب السرعة 01:40.380 --> 01:42.000 من قبل ضابط شرطة، فيمكنك 01:42.000 --> 01:43.860 سحب رخصة قيادتك وإظهار أنك أنت، 01:43.860 --> 01:45.780 وأنك من تقول أنك أنت. 01:45.780 --> 01:47.220 هذا هو دليلك. 01:47.220 --> 01:48.600 الآن، في العالم الرقمي، 01:48.600 --> 01:51.000 لدينا خمس طرق للمصادقة. 01:51.000 --> 01:52.800 لدينا شيء تعرفه، والذي قد يكون 01:52.800 --> 01:55.050 مثل كلمة المرور أو اسم المستخدم، لدينا 01:55.050 --> 01:57.150 شيء ما، والذي قد يكون مثل بصمة إصبعك 01:57.150 --> 02:00.390 أو مسح العين أو مسح شبكية العين، لدينا شيء لديك، سيكون 02:00.390 --> 02:02.280 هذا شيئًا مثل رمز مميز، أو رخصة 02:02.280 --> 02:05.430 قيادة، أو بطاقة ائتمان، يمكن أن يكون شيئًا تفعله، 02:05.430 --> 02:07.410 وهو الطريقة التي تتحدث بها أو الطريقة 02:07.410 --> 02:10.020 التي توقع بها اسمك، ويمكن أن يكون في مكان ما 02:10.020 --> 02:12.540 تتواجد فيه، والذي نعرفه باسم موقعك عامل 02:12.540 --> 02:15.930 يعتمد على موقع GPS الخاص بك. 02:15.930 --> 02:19.080 LDAP هو بروتوكول الوصول الخفيف إلى الدليل. 02:19.080 --> 02:21.630 هذه قاعدة بيانات تُستخدم لتجميع المعلومات 02:21.630 --> 02:24.510 حول عملائك والكائنات الخاصة بك على الشبكة. 02:24.510 --> 02:28.050 LDAP هو في الأساس نسخة مبسطة من X. 500، وهي خدمة دليل، 02:28.050 --> 02:29.490 وتحتوي على تنظيم 02:29.490 --> 02:32.460 هرمي للمستخدمين والمجموعات 02:32.460 --> 02:36.360 والخوادم والأنظمة داخل شبكتك. 02:36.360 --> 02:39.000 يتصل LDAP عبر المنفذ 389 عندما يقوم 02:39.000 --> 02:41.400 بذلك بشكل غير مشفر، وإذا قررت 02:41.400 --> 02:46.290 تشفيره باستخدام SSL أو TLS، فسوف يستخدم المنفذ 636. 02:46.290 --> 02:48.960 الآن، على الرغم من أن LDAP يعتبر متعدد المنصات، 02:48.960 --> 02:51.390 فقد أنشأت Microsoft تطبيقها الخاص لهذا، 02:51.390 --> 02:54.060 والمعروف باسم AD أو Active Directory. 02:54.060 --> 02:56.370 في مجال Windows، يتم استخدام Active Directory 02:56.370 --> 02:58.710 لتنظيم وإدارة كل شيء على الشبكة، بما في ذلك 02:58.710 --> 03:00.570 العملاء والخوادم والأجهزة والمستخدمين 03:00.570 --> 03:02.730 والمجموعات. 03:02.730 --> 03:04.650 والآن، يمكن أيضًا استخدام Active Directory 03:04.650 --> 03:07.410 كجزء من سياسات الأمان الخاصة بك أو التحكم في الوصول من خلال 03:07.410 --> 03:08.883 سياسات مجموعتك. 03:09.990 --> 03:13.770 RADIUS هي خدمة مستخدم الاتصال الهاتفي للمصادقة عن بعد. 03:13.770 --> 03:17.130 فهو يوفر إدارة مركزية للاتصال الهاتفي، وVPN، والمصادقة 03:17.130 --> 03:18.750 اللاسلكية، بحيث يمكنك استخدام 03:18.750 --> 03:21.660 ذلك مع كل من 802. 1X وبروتوكول المصادقة 03:21.660 --> 03:25.350 القابل للتوسيع، أو EAP. 03:25.350 --> 03:27.870 RADIUS هو بروتوكول خادم عميل يعمل على 03:27.870 --> 03:29.940 الطبقة السابعة من نموذج OSI، 03:29.940 --> 03:31.470 وهي طبقة التطبيق. 03:31.470 --> 03:34.470 يتم عادةً تكوين RADIUS ليتم تشغيله على خادم منفصل، 03:34.470 --> 03:36.810 ولكن يمكن أيضًا تحميله على خادم Windows 03:36.810 --> 03:38.880 في بيئات نطاق أصغر. 03:38.880 --> 03:40.950 يتم استخدام RADIUS لمصادقة المستخدمين، 03:40.950 --> 03:42.390 وتخويلهم للخدمات، وحساب 03:42.390 --> 03:44.970 استخدامهم لهذه الخدمات. 03:44.970 --> 03:48.120 يستخدم RADIUS أيضًا UDP لإجراء اتصالاته، مما 03:48.120 --> 03:49.470 يجعله سريعًا إلى حد 03:49.470 --> 03:52.380 ما أثناء وظائف المصادقة والترخيص. 03:52.380 --> 03:55.140 الآن، على الرغم من أن RADIUS هو معيار متعدد المنصات، 03:55.140 --> 03:58.590 إلا أن هناك بروتوكولًا خاصًا من Cisco يسمى TACACS+. 03:58.590 --> 04:00.300 هذا هو نظام التحكم في الوصول إلى وحدة 04:00.300 --> 04:03.060 التحكم في الوصول إلى المحطة الطرفية Plus، والذي يمكنه 04:03.060 --> 04:06.300 أداء دور المصادق في 802. شبكة 1X. 04:06.300 --> 04:08.640 الآن، الأمر متروك لك لتحديد أيهما 04:08.640 --> 04:10.500 أفضل لاحتياجات مؤسستك. 04:10.500 --> 04:12.810 أنا شخصياً استخدمت RADIUS بشكل حصري 04:12.810 --> 04:14.370 تقريبًا داخل مؤسساتي. 04:14.370 --> 04:17.490 لقد وجدت أن TACACS+ أبطأ قليلاً في التشغيل 04:17.490 --> 04:20.100 لأنه يعتمد على TCP بدلاً من UDP، لكن 04:20.100 --> 04:22.620 TACACS+ له بعض الفوائد. 04:22.620 --> 04:24.090 فهو يمنحك بعض الأمان الإضافي 04:24.090 --> 04:26.550 ويقوم بشكل مستقل بإجراء عمليات المصادقة 04:26.550 --> 04:29.070 والترخيص والمحاسبة. 04:29.070 --> 04:31.560 يدعم TACACS+ جميع بروتوكولات الشبكة، لكن 04:31.560 --> 04:32.880 RADIUS، من ناحية أخرى، 04:32.880 --> 04:35.070 لا يدعم بروتوكول الوصول عن بعد، بروتوكول 04:35.070 --> 04:38.850 NetBIOS Frame، X. 25 وصلات مربوطة، وبعضها 04:38.850 --> 04:39.840 الآخر. 04:39.840 --> 04:42.480 بشكل عام، يعد TACACS+ خيارًا ممتازًا، ولكن فقط إذا 04:42.480 --> 04:44.490 كنت ستستخدم أجهزة Cisco عبر شبكتك، لأنه 04:44.490 --> 04:45.630 إذا كنت ترغب في الحصول 04:45.630 --> 04:48.270 على هذه الإمكانية عبر الأنظمة الأساسية، فسيتعين 04:48.270 --> 04:49.770 عليك الانتقال إلى RADIUS، الطريقة 04:49.770 --> 04:51.840 التي اخترتها في الماضي. 04:51.840 --> 04:54.360 والثاني أ هو الترخيص. 04:54.360 --> 04:57.000 يحدث التفويض عندما يتم منح المستخدم حق 04:57.000 --> 05:00.990 الوصول إلى جزء معين من البيانات أو مناطق معينة من المبنى. 05:00.990 --> 05:03.120 هل سبق لك أن دخلت إلى أحد المباني ورأيت 05:03.120 --> 05:06.570 لافتة تنص على تقييد الدخول، للموظفين المصرح لهم فقط؟ 05:06.570 --> 05:09.180 حسنًا، هذا يعني أنه لا يمكنك الذهاب إلى تلك المنطقة. 05:09.180 --> 05:11.100 قد يكون الأمر أشبه بغرفة صيانة 05:11.100 --> 05:12.840 أو مكان ما لديهم مولدات ولا يمكن 05:12.840 --> 05:14.790 دخوله إلا للميكانيكيين. 05:14.790 --> 05:16.650 لديهم مفاتيح خاصة أو شارات خاصة تسمح 05:16.650 --> 05:18.450 لهم بالدخول إلى تلك المناطق. 05:18.450 --> 05:21.900 هذه المنطقة هي مكان غير مسموح لك بالذهاب إليه. 05:21.900 --> 05:25.170 يركز Kerberos على المصادقة والترخيص. 05:25.170 --> 05:27.570 يتم تنفيذ ذلك من خلال نظام التذاكر Kerberos 05:27.570 --> 05:29.280 الخاص بنا في مجال Windows. 05:29.280 --> 05:31.860 Kerberos هو بروتوكول مصادقة يوفر مصادقة 05:31.860 --> 05:34.350 ثنائية الاتجاه أو متبادلة. 05:34.350 --> 05:36.330 عندما يقوم المستخدم بتسجيل الدخول 05:36.330 --> 05:38.400 إلى المجال، فإنه يتصل أولاً بوحدة 05:38.400 --> 05:42.120 تحكم المجال، التي تعمل كمركز توزيع المفاتيح، أو KDC. 05:42.120 --> 05:44.550 لدى KDC وظيفتين أساسيتين، 05:44.550 --> 05:46.980 المصادقة ومنح التذاكر. 05:46.980 --> 05:49.410 لذلك، إذا تمت مصادقة عميلك بشكل 05:49.410 --> 05:51.990 صحيح، فسوف تصدر KDC له TGT، وهو 05:51.990 --> 05:54.570 ما يسمى تذكرة منح التذكرة. 05:54.570 --> 05:56.520 يتم بعد ذلك توفير تذكرة منح التذكرة 05:56.520 --> 05:58.740 هذه إلى وحدة تحكم المجال في أي وقت يريد المستخدم 05:58.740 --> 06:00.060 الوصول إلى أحد الموارد، 06:00.060 --> 06:02.460 ومن ثم يمكن لوحدة تحكم المجال تزويد هذا المستخدم 06:02.460 --> 06:04.920 بتذكرة خدمة أو مفتاح جلسة لاستخدامه، أيهما 06:04.920 --> 06:07.260 يناسب احتياجاته. 06:07.260 --> 06:09.150 يتم تقديم هذه التذاكر إلى المورد، 06:09.150 --> 06:10.680 ثم يتم منح حق الوصول لأن المورد 06:10.680 --> 06:12.180 يثق دائمًا في التذاكر المقدمة 06:12.180 --> 06:14.580 من وحدات تحكم المجال. 06:14.580 --> 06:16.860 الآن، نظرًا لأن Kerberos يعتمد على وحدة 06:16.860 --> 06:19.080 تحكم المجال لتكون بمثابة مركز توزيع 06:19.080 --> 06:21.840 المفاتيح، فهذه نقطة فشل واحدة في المجال. 06:21.840 --> 06:23.550 إذا كانت وحدة تحكم المجال معطلة، 06:23.550 --> 06:26.190 فسيتم أيضًا إيقاف تشغيل خدمات منح التذاكر. 06:26.190 --> 06:28.350 لمنع حدوث ذلك، فإن ما سيفعله معظم الأشخاص 06:28.350 --> 06:31.530 هو أن يكون لديهم وحدة تحكم مجال نشطة أساسية وثانوية. 06:31.530 --> 06:33.330 سيمنحك ذلك هذا النوع من التكرار 06:33.330 --> 06:36.900 لضمان تشغيل Kerberos واستمرار تشغيل LDAP. 06:36.900 --> 06:38.790 والثالث أ هو المحاسبة. 06:38.790 --> 06:40.980 تضمن المحاسبة الحفاظ على تتبع البيانات 06:40.980 --> 06:44.220 واستخدام الكمبيوتر وموارد الشبكة. 06:44.220 --> 06:46.170 الآن، عندما نفعل ذلك، عادةً ما 06:46.170 --> 06:48.150 يتم وضعه في ما يسمى بملف السجل. 06:48.150 --> 06:49.680 هذا ملف موجود على جهاز كمبيوتر 06:49.680 --> 06:51.930 وهو في الأساس مجرد مستند نصي كبير، 06:51.930 --> 06:54.450 وهو يتتبع كل أنواع الأشياء. 06:54.450 --> 06:56.340 قد تكون هذه جميع اتصالات الإنترنت 06:56.340 --> 06:58.980 التي تغادر الشبكة، كما هو موضح هنا على الشاشة، 06:58.980 --> 07:01.140 أو قد تكون قائمة بجميع الأشخاص الذين 07:01.140 --> 07:04.680 حاولوا تسجيل الدخول إلى ملف أو موقع ويب معين. 07:04.680 --> 07:07.320 يتم الاحتفاظ بجميع أنواع السجلات المختلفة على 07:07.320 --> 07:09.180 جهاز الكمبيوتر الخاص بك لتتبع جميع 07:09.180 --> 07:11.100 الأشياء المختلفة التي يتم القيام بها، 07:11.100 --> 07:14.250 وكل هذا لضمان استخدام الممارسات المحاسبية الجيدة لأنه إذا 07:14.250 --> 07:16.170 كان لديك خرق للبيانات أو كان لديك نوع 07:16.170 --> 07:18.270 من الخطأ التهديد الداخلي، يمكنك الرجوع 07:18.270 --> 07:21.090 وإلقاء نظرة على البيانات الموجودة في ملفات السجل الخاصة 07:21.090 --> 07:23.880 بك لمعرفة من فعل ماذا ومتى. 07:23.880 --> 07:26.310 هذا ما تسمح لك المحاسبة بفعله. 07:26.310 --> 07:29.130 الآن، إذا كان لديك دليل على أن شخصًا ما فعل شيئًا 07:29.130 --> 07:32.850 ما، وأنه اتخذ إجراءً ما، فإننا نسمي هذا عدم التنصل. 07:32.850 --> 07:35.790 عدم الإنكار يعني ببساطة أن المستخدم لا يمكنه القول 07:35.790 --> 07:39.060 بأنه لم يتخذ الإجراء لأن لديك دليلاً على قيامه بذلك. 07:39.060 --> 07:41.160 على سبيل المثال، إذا أرسلت لي بريدًا إلكترونيًا 07:41.160 --> 07:43.200 وقمت بتوقيعه باستخدام توقيع رقمي، فأنت 07:43.200 --> 07:45.360 الشخص الوحيد في العالم الذي لديه مفتاح 07:45.360 --> 07:47.910 التوقيع الرقمي الخاص هذا. 07:47.910 --> 07:50.400 أعلم بالتأكيد أنك أرسلت هذا البريد الإلكتروني. 07:50.400 --> 07:52.350 لا يمكنك أن تخبرني لاحقًا أنك لم 07:52.350 --> 07:54.060 ترسلها لأن لدي دليل الآن. 07:54.060 --> 07:55.593 وهذا عدم الإنكار.