WEBVTT

00:00.090 --> 00:00.930
ผู้สอน: ในบทเรียนนี้

00:00.930 --> 00:03.360
เราจะพูดถึงเซิร์ฟเวอร์ AAA ซึ่งย่อมาจากการรับรองความถูกต้อง

00:03.360 --> 00:06.210
การอนุญาต และการบัญชี และเพื่อให้เข้าใจเซิร์ฟเวอร์ AAA สิ่งแรกที่เราต้องทำคือทำความเข้าใจว่า

00:06.210 --> 00:12.327
802 เป็นอย่างไร

00:12.327 --> 00:12.327
1X ทำงานเป็นกรอบ

00:12.327 --> 00:19.650
ผู้สอน: 802. 1X เป็นเฟรมเวิร์กมาตรฐานที่ใช้สำหรับการรับรองความถูกต้องตามพอร์ตทั้งบนเครือข่ายแบบมีสายและไร้สาย

00:19.650 --> 00:22.800
ตอนนี้ตั้งแต่ปี 802 1X เป็นเพียงเฟรมเวิร์ก ที่จริงแล้วจะใช้กลไกอื่นๆ

00:22.800 --> 00:27.210
เพื่อทำการยืนยันตัวตนที่แท้จริงให้กับเรา

00:27.210 --> 00:28.140
ตัวอย่างเช่น สามารถใช้ทั้ง

00:28.140 --> 00:30.690
Remote Authentication Dial-In User Service หรือที่เรียกว่า

00:30.690 --> 00:31.800
RADIUS และ Terminal Access

00:31.800 --> 00:33.510
Controller Access-Control System Plus

00:33.510 --> 00:41.700
หรือ TACACS+ เพื่อดำเนินการตรวจสอบสิทธิ์โดยใช้ 802 ได้

00:41.700 --> 00:41.700
โปรโตคอล 1X

00:41.700 --> 00:43.410
มีสามบทบาทที่จำเป็นสำหรับการรับรองความถูกต้องที่จะเกิดขึ้นภายใต้

00:43.410 --> 00:46.920
802 1X.

00:46.920 --> 00:51.660
อย่างแรกคือผู้ร้องขอ ซึ่งเป็นอุปกรณ์หรือผู้ใช้ที่ร้องขอการเข้าถึงเครือข่าย

00:51.660 --> 00:54.030
เช่น PC1 ในภาพนี้

00:54.030 --> 00:59.370
จากนั้นก็มีตัวตรวจสอบสิทธิ์ซึ่งเป็นอุปกรณ์ที่ผู้ร้องขอพยายามเข้าถึงเครือข่าย

00:59.370 --> 01:01.620
โดยปกติจะเป็นสวิตช์ จุดเชื่อมต่อไร้สาย

01:01.620 --> 01:04.860
หรือตัวรวมสัญญาณ VPN

01:04.860 --> 01:07.230
สุดท้าย มีเซิร์ฟเวอร์การตรวจสอบสิทธิ์

01:07.230 --> 01:10.350
ซึ่งจะเป็นอุปกรณ์ส่วนกลางที่ดำเนินการตรวจสอบสิทธิ์

01:10.350 --> 01:11.970
ซึ่งโดยปกติจะเป็นเซิร์ฟเวอร์

01:11.970 --> 01:13.920
RADIUS หรือ TACACS+ ของคุณ

01:13.920 --> 01:19.500
การรับรองความถูกต้องเกิดขึ้นเมื่อข้อมูลระบุตัวตนของบุคคลได้รับการพิสูจน์และได้รับการยืนยันโดยระบบ

01:19.500 --> 01:21.180
คุณทำเช่นนี้ทุกวัน

01:21.180 --> 01:23.850
อันที่จริง คุณทำไปแล้วเมื่อลงชื่อเข้าใช้หลักสูตรนี้

01:23.850 --> 01:28.380
เมื่อคุณป้อนที่อยู่อีเมลและรหัสผ่านของคุณ แสดงว่าคุณอ้างว่าคุณเป็นนักเรียนที่ชำระเงินสำหรับหลักสูตรนี้

01:28.380 --> 01:33.150
และการทำเช่นนั้น ระบบจะตรวจสอบคุณและได้รับสิทธิ์ในการเข้าถึง

01:33.150 --> 01:36.330
ขณะนี้มีหลายวิธีในการยืนยันตัวตนของคุณ

01:36.330 --> 01:40.380
ตัวอย่างเช่น ในโลกแห่งความเป็นจริง หากคุณถูกเจ้าหน้าที่ตำรวจเรียกตรวจเพราะขับรถเร็ว

01:40.380 --> 01:45.780
คุณอาจดึงใบขับขี่ของคุณและแสดงให้พวกเขาเห็นว่าเป็นคุณและคุณคือคนที่บอกว่าคุณเป็น

01:45.780 --> 01:47.220
นี่คือข้อพิสูจน์ของคุณ

01:47.220 --> 01:48.600
ปัจจุบัน ในโลกดิจิทัล

01:48.600 --> 01:51.000
เรามีวิธีการยืนยันตัวตนอยู่ 5 วิธี

01:51.000 --> 01:52.800
เรามีบางอย่างที่คุณรู้ ซึ่งอาจจะเป็นบางอย่าง

01:52.800 --> 01:55.050
เช่น รหัสผ่านหรือชื่อผู้ใช้ เรามีบางอย่างที่เป็นคุณ

01:55.050 --> 01:57.150
ซึ่งอาจจะเป็นบางอย่างเช่น ลายนิ้วมือของคุณ

01:57.150 --> 02:02.280
หรือการสแกนดวงตา หรือการสแกนจอประสาทตา เรามีสิ่งที่คุณมี นี่อาจเป็นบางอย่าง เช่นโทเค็น

02:02.280 --> 02:12.540
ใบขับขี่ หรือบัตรเครดิต อาจเป็นสิ่งที่คุณทำ ซึ่งเป็นวิธีที่คุณพูดหรือวิธีที่คุณเซ็นชื่อ และอาจเป็นที่ที่คุณอยู่ ซึ่งเรารู้ว่าเป็นตำแหน่งของคุณ ปัจจัยตามตำแหน่ง GPS

02:12.540 --> 02:15.930
ของคุณ

02:15.930 --> 02:19.080
LDAP เป็นโปรโตคอลการเข้าถึงไดเรกทอรีที่มีน้ำหนักเบา

02:19.080 --> 02:24.510
นี่คือฐานข้อมูลที่ใช้ในการรวมศูนย์ข้อมูลเกี่ยวกับลูกค้าและวัตถุของคุณบนเครือข่าย

02:24.510 --> 02:28.050
โดยพื้นฐานแล้ว LDAP เป็นเวอร์ชันที่เรียบง่ายของ X 500 ซึ่งเป็นบริการไดเร็กทอรี

02:28.050 --> 02:29.490
และประกอบด้วยองค์กรตามลำดับชั้นของผู้ใช้

02:29.490 --> 02:36.360
กลุ่ม เซิร์ฟเวอร์ และระบบภายในเครือข่ายของคุณ

02:36.360 --> 02:39.000
LDAP สื่อสารผ่านพอร์ต 389 เมื่อไม่ได้เข้ารหัส

02:39.000 --> 02:41.400
และหากคุณตัดสินใจเข้ารหัสโดยใช้

02:41.400 --> 02:46.290
SSL หรือ TLS ก็จะใช้พอร์ต 636

02:46.290 --> 02:48.960
ขณะนี้ แม้ว่า LDAP จะถือเป็นข้ามแพลตฟอร์ม แต่

02:48.960 --> 02:51.390
Microsoft ได้สร้างการนำสิ่งนี้ไปใช้เอง

02:51.390 --> 02:54.060
ซึ่งเรียกว่า AD หรือ Active Directory

02:54.060 --> 02:58.710
ในโดเมน Windows นั้น Active Directory ใช้เพื่อจัดระเบียบและจัดการทุกอย่างบนเครือข่าย

02:58.710 --> 03:00.570
รวมถึงไคลเอนต์ เซิร์ฟเวอร์ อุปกรณ์

03:00.570 --> 03:02.730
ผู้ใช้ และกลุ่มเหล่านั้น

03:02.730 --> 03:08.883
ตอนนี้ Active Directory ยังสามารถใช้เป็นส่วนหนึ่งของนโยบายความปลอดภัยหรือการควบคุมการเข้าถึงผ่านนโยบายกลุ่มของคุณได้อีกด้วย

03:09.990 --> 03:13.770
RADIUS เป็นบริการ Dial-In User สำหรับการรับรองความถูกต้องระยะไกล

03:13.770 --> 03:17.130
มีการจัดการแบบรวมศูนย์ของการเรียกผ่านสายโทรศัพท์, VPN และการรับรองความถูกต้องแบบไร้สาย

03:17.130 --> 03:18.750
เพื่อให้คุณสามารถใช้กับทั้ง 802

03:18.750 --> 03:21.660
ได้ 1X และ Extensible

03:21.660 --> 03:25.350
Authentication Protocol หรือ EAP

03:25.350 --> 03:27.870
RADIUS เป็นไคลเอนต์เซิร์ฟเวอร์โปรโตคอลที่ทำงานบนเลเยอร์ที่เจ็ดของแบบจำลอง

03:27.870 --> 03:31.470
OSI ซึ่งเป็นเลเยอร์แอปพลิเคชัน

03:31.470 --> 03:34.470
โดยปกติแล้ว RADIUS ได้รับการกำหนดค่าให้ทำงานบนเซิร์ฟเวอร์แยกต่างหาก

03:34.470 --> 03:38.880
แต่สามารถโหลดขึ้นบนเซิร์ฟเวอร์ Windows ในสภาพแวดล้อมโดเมนที่เล็กกว่าได้

03:38.880 --> 03:40.950
RADIUS ใช้เพื่อรับรองความถูกต้องของผู้ใช้

03:40.950 --> 03:44.970
อนุญาตให้ใช้บริการ และบัญชีสำหรับการใช้บริการเหล่านั้น

03:44.970 --> 03:52.380
RADIUS ยังใช้ UDP ในการเชื่อมต่อ ทำให้มันค่อนข้างเร็วระหว่างการพิสูจน์ตัวตนและการให้สิทธิ์

03:52.380 --> 03:55.140
ขณะนี้ แม้ว่า RADIUS จะเป็นมาตรฐานข้ามแพลตฟอร์ม แต่ก็มีโปรโตคอลที่เป็นกรรมสิทธิ์จาก

03:55.140 --> 03:58.590
Cisco ที่เรียกว่า TACACS+

03:58.590 --> 04:00.300
นี่คือ Terminal Access Controller

04:00.300 --> 04:03.060
Access-Control System Plus ซึ่งสามารถทำหน้าที่เป็นตัวรับรองความถูกต้องใน

04:03.060 --> 04:06.300
802 เครือข่าย 1X

04:06.300 --> 04:10.500
ตอนนี้ก็ขึ้นอยู่กับคุณแล้วที่จะตัดสินใจว่าแบบใดดีที่สุดสำหรับความต้องการขององค์กรของคุณ

04:10.500 --> 04:14.370
โดยส่วนตัวแล้ว ฉันใช้ RADIUS เกือบจะเฉพาะภายในองค์กรของฉันเท่านั้น

04:14.370 --> 04:17.490
ฉันพบว่า TACACS+ ทำงานช้ากว่าเล็กน้อยเนื่องจากใช้

04:17.490 --> 04:22.620
TCP แทน UDP แต่ TACACS+ มีประโยชน์บางอย่าง

04:22.620 --> 04:26.550
มันให้ความปลอดภัยเพิ่มเติมแก่คุณและดำเนินการตรวจสอบสิทธิ์

04:26.550 --> 04:29.070
อนุญาต และกระบวนการทางบัญชีโดยอิสระ

04:29.070 --> 04:31.560
TACACS+ รองรับโปรโตคอลเครือข่ายทั้งหมด

04:31.560 --> 04:32.880
แต่ในทางกลับกัน RADIUS

04:32.880 --> 04:35.070
ไม่รองรับโปรโตคอลการเข้าถึงระยะไกล,

04:35.070 --> 04:38.850
โปรโตคอล NetBIOS Frame, X 25 การเชื่อมต่อที่ตรึงและอื่น

04:38.850 --> 04:39.840
ๆ

04:39.840 --> 04:42.480
โดยรวมแล้ว TACACS+ เป็นตัวเลือกที่ยอดเยี่ยม แต่เฉพาะในกรณีที่คุณกำลังจะใช้อุปกรณ์

04:42.480 --> 04:51.840
Cisco ในเครือข่ายของคุณเท่านั้น เพราะหากคุณต้องการมีความสามารถข้ามแพลตฟอร์มนั้น คุณจะต้องดำเนินการกับ RADIUS ทางที่ฉันเคยเลือกไว้ในอดีต

04:51.840 --> 04:54.360
A ตัวที่สองคือการอนุญาต

04:54.360 --> 05:00.990
การอนุญาตเกิดขึ้นเมื่อผู้ใช้ได้รับสิทธิ์เข้าถึงข้อมูลบางส่วนหรือบางพื้นที่ของอาคาร

05:00.990 --> 05:06.570
คุณเคยเดินเข้าไปในอาคารแล้วเห็นป้ายบอกว่าจำกัดการเข้าใช้เฉพาะเจ้าหน้าที่ที่ได้รับอนุญาตหรือไม่?

05:06.570 --> 05:09.180
ก็แสดงว่าเข้าไปในเขตนั้นไม่ได้

05:09.180 --> 05:14.790
อาจเป็นห้องซ่อมบำรุงหรือที่ไหนสักแห่งที่มีเครื่องกำเนิดไฟฟ้าและมีเพียงช่างเครื่องเท่านั้นที่สามารถเข้าไปในนั้นได้

05:14.790 --> 05:18.450
พวกเขามีกุญแจพิเศษหรือตราพิเศษที่จะอนุญาตให้พวกเขาเข้าไปในพื้นที่เหล่านั้น

05:18.450 --> 05:21.900
พื้นที่นั้นเป็นที่ที่คุณไม่ได้รับอนุญาตให้ไป

05:21.900 --> 05:25.170
Kerberos มุ่งเน้นไปที่การรับรองความถูกต้องและการให้สิทธิ์

05:25.170 --> 05:27.570
ซึ่งดำเนินการผ่านระบบออกตั๋ว Kerberos

05:27.570 --> 05:29.280
ในโดเมน Windows

05:29.280 --> 05:34.350
Kerberos เป็นโปรโตคอลการตรวจสอบความถูกต้องที่ให้การรับรองความถูกต้องแบบสองทางหรือร่วมกัน

05:34.350 --> 05:36.330
เมื่อผู้ใช้เข้าสู่ระบบโดเมน

05:36.330 --> 05:38.400
ก่อนอื่นพวกเขาจะติดต่อตัวควบคุมโดเมนซึ่งทำหน้าที่เป็นศูนย์กระจายคีย์หรือ

05:38.400 --> 05:42.120
KDC

05:42.120 --> 05:46.980
KDC นี้มีฟังก์ชันพื้นฐานสองอย่าง การตรวจสอบสิทธิ์และการให้สิทธิ์ตั๋ว

05:46.980 --> 05:49.410
ดังนั้น หากไคลเอนต์ของคุณได้รับการรับรองอย่างถูกต้อง

05:49.410 --> 05:51.990
KDC จะออก TGT ให้แก่พวกเขา ซึ่งเรียกว่า Ticket

05:51.990 --> 05:54.570
Granting Ticket

05:54.570 --> 06:00.060
จากนั้น ตั๋วการให้สิทธิ์ตั๋วนี้จะมอบให้กับตัวควบคุมโดเมนทุกเมื่อที่ผู้ใช้ต้องการเข้าถึงทรัพยากร

06:00.060 --> 06:07.260
จากนั้นตัวควบคุมโดเมนสามารถให้ตั๋วบริการหรือคีย์เซสชันแก่ผู้ใช้รายนั้น แล้วแต่ว่าจะเหมาะสมกับความต้องการใด

06:07.260 --> 06:14.580
ตั๋วเหล่านี้จะแสดงต่อทรัพยากร จากนั้นจึงให้สิทธิ์การเข้าถึงเนื่องจากทรัพยากรจะเชื่อถือตั๋วที่ตัวควบคุมโดเมนให้มาเสมอ

06:14.580 --> 06:19.080
ขณะนี้ เนื่องจาก Kerberos อาศัยตัวควบคุมโดเมนเพื่อทำหน้าที่เป็นศูนย์กระจายคีย์นั้น

06:19.080 --> 06:21.840
นี่เป็นจุดเดียวของความล้มเหลวในโดเมน

06:21.840 --> 06:23.550
หากตัวควบคุมโดเมนไม่ทำงาน

06:23.550 --> 06:26.190
บริการให้สิทธิ์ตั๋วจะปิดตัวลงด้วย

06:26.190 --> 06:31.530
เพื่อป้องกันสิ่งนี้ สิ่งที่คนส่วนใหญ่จะทำคือมีตัวควบคุมโดเมนหลักและรองที่ใช้งานอยู่

06:31.530 --> 06:33.330
ซึ่งจะทำให้คุณมีรูปแบบสำรองนี้เพื่อให้แน่ใจว่า

06:33.330 --> 06:36.900
Kerberos พร้อมใช้งานและ LDAP ยังทำงานอยู่

06:36.900 --> 06:38.790
A ที่สามคือการทำบัญชี

06:38.790 --> 06:40.980
การบัญชีทำให้มั่นใจได้ว่าการติดตามข้อมูล

06:40.980 --> 06:44.220
การใช้งานคอมพิวเตอร์ และทรัพยากรเครือข่ายจะยังคงอยู่

06:44.220 --> 06:48.150
ตอนนี้ เมื่อเราทำเช่นนั้น มันมักจะใส่สิ่งที่เรียกว่าไฟล์บันทึก

06:48.150 --> 06:51.930
ไฟล์นี้เป็นไฟล์ในคอมพิวเตอร์ที่โดยพื้นฐานแล้วเป็นเพียงเอกสารข้อความขนาดใหญ่

06:51.930 --> 06:54.450
และไฟล์นี้จะคอยติดตามสิ่งต่างๆ ทุกประเภท

06:54.450 --> 06:56.340
นี่อาจเป็นการเชื่อมต่ออินเทอร์เน็ตทั้งหมดที่ออกจากเครือข่าย

06:56.340 --> 07:04.680
ดังที่แสดงบนหน้าจอนี้ หรืออาจเป็นรายชื่อของบุคคลทั้งหมดที่พยายามเข้าสู่ระบบไฟล์หรือเว็บไซต์ใดไฟล์หนึ่ง

07:04.680 --> 07:09.180
บันทึกต่าง ๆ ทุกประเภทจะถูกเก็บไว้ในคอมพิวเตอร์ของคุณเพื่อติดตามสิ่งต่าง

07:09.180 --> 07:11.100
ๆ ทั้งหมดที่กำลังดำเนินการอยู่

07:11.100 --> 07:14.250
และทั้งหมดนี้ก็เพื่อให้แน่ใจว่ามีการใช้แนวทางปฏิบัติทางบัญชีที่ดี

07:14.250 --> 07:16.170
เพราะหากคุณมีการละเมิดข้อมูลหรือคุณมี

07:16.170 --> 07:23.880
ภัยคุกคามจากวงใน คุณสามารถย้อนกลับไปดูข้อมูลในล็อกไฟล์ของคุณเพื่อดูว่าใครทำอะไรและเมื่อใด

07:23.880 --> 07:26.310
นั่นคือสิ่งที่บัญชีอนุญาตให้คุณทำ

07:26.310 --> 07:29.130
ทีนี้ ถ้าคุณมีหลักฐานว่ามีคนทำอะไรบางอย่าง

07:29.130 --> 07:32.850
พวกเขาได้ดำเนินการ เราเรียกสิ่งนี้ว่า การไม่ปฏิเสธ

07:32.850 --> 07:35.790
การไม่ปฏิเสธหมายความว่าผู้ใช้ไม่สามารถพูดได้ว่าพวกเขาไม่ได้ดำเนินการใดๆ

07:35.790 --> 07:39.060
เพราะคุณมีหลักฐานว่าได้ดำเนินการแล้ว

07:39.060 --> 07:43.200
ตัวอย่างเช่น หากคุณส่งอีเมลถึงฉันและคุณเซ็นชื่อด้วยลายเซ็นดิจิทัล

07:43.200 --> 07:47.910
คุณจะเป็นคนเดียวในโลกที่มีรหัสลายเซ็นดิจิทัลส่วนตัวนั้น

07:47.910 --> 07:50.400
ฉันรู้แน่นอนว่าคุณส่งอีเมลนั้น

07:50.400 --> 07:54.060
ทีหลังบอกไม่ได้ว่าไม่ได้ส่ง เพราะตอนนี้มีหลักฐานแล้ว

07:54.060 --> 07:55.593
นั่นคือการไม่ปฏิเสธ