3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdfЗанятие 1 |
|
Установка служб управления правами Active Directory |
799 |
||||
• Р о л ь |
А д м и н и с т р а т о р ы п р е д п р и я т и я |
с л у ж б ы AD |
R M S (AD R M S Enter- |
||||
prise |
A d m i n i s t r a t o r s ) у п р а в л я е т всеми |
аспектами |
AD |
RMS. Она |
включает |
||
у ч е т н у ю запись пользователя, с помощью которой была установлена роль, |
|||||||
а т а к ж е г р у п п у л о к а л ь н ы х администраторов. |
|
|
|
||||
• Р о л ь |
А д м и н и с т р а т о р ы ш а б л о н а AD R M S ( A D R M S |
Template Administra- |
|||||
tors) |
п о д д е р ж и в а е т возможность читать информацию об инфраструктуре |
||||||
AD R M S , а т а к ж е перечислять, создавать, модифицировать и экспортиро- |
|||||||
вать |
ш а б л о н ы п о л и т и к и |
доступа. |
|
|
|
|
|
• Р о л ь |
А у д и т о р ы с л у ж б ы |
у п р а в л е н и я |
правами Active |
Directory |
(AD RMS |
||
A u d i t o r s ) п о з в о л я е т членам управлять журналами и |
отчетами. Аудиторы |
||||||
обладают д о с т у п о м чтения к д а н н ы м инфраструктуры AD RMS. |
|||||||
• С л у ж б а AD |
R M S ( A D R M S Service) содержит учетную запись службы AD |
||||||
R M S , и д е н т и ф и ц и р о в а н н у ю во время установки роли. |
|
||||||
П о с к о л ь к у |
все э т и г р у п п ы я в л я ю т с я |
локальными, создайте соответству- |
|||||
ю щ и е г р у п п ы |
в каталоге AD DS и вставьте их в локальные группы каждого |
||||||
сервера AD R M S . В дальнейшем д л я предоставления прав доступа административной р о л и потребуется л и ш ь добавить учетную запись пользователя в группу в каталоге AD DS .
СОВЕТ К ЭКЗАМЕНУ
Делегирование — важный аспект администрирования AD RMS. Уделите особое внимание различным ролям делегирования и группам, которые поддерживают их.
К СВЕДЕНИЮ Возможности предыдущих версий
Информация о возможностях RMS до выхода Windows Server 2008 содержится по
адресу |
http://go.micwsoft.com/fwlink/7Linkhh68637. |
|
||
О б ы ч н о п р и з а щ и т е и н ф о р м а ц и и с помощью AD |
RMS для выдачи серти- |
|||
ф и к а т о в прав у ч е т н о й записи RAC (Rights Account Certificates) используется |
||||
сервер AD |
R M S . Э т и |
с е р т и ф и к а т ы |
идентифицируют доверенные ооъекты: |
|
п о л ь з о в а т е л и , г р у п п ы , |
к о м п ь ю т е р ы , |
приложения и |
службы, которые могут |
|
создавать и публиковать содержимое с защитой прав доступа. После того как издатель с о д е р ж и м о г о становится доверенным, он может назначать права доступа и условия использования создаваемого содержимого. Когда пользователь устанавливает д л я документа политику защиты, службы AD RMS выдают лицензию на п у б л и к а ц и ю содержимого. Интегрировав эту лицензию в документ,
с л у ж б ы AD |
R M S с в я з ы в а ю т их, в результате чего лицензия прикрепляется |
навсегда и |
д л я з а щ и т ы документа и л и содержимого больше не понадобится |
доступ к системе AD R M S . |
|
Права и с п о л ь з о в а н и я интегрируются в любой форме двоичных данных, которую м о ж н о использовать внутри и вне сети в автономном и сетевом режимах. З а щ и щ е н н о е содержимое шифруется с помощью специальных ключей шифрования, аналогичных ключам, создаваемым при использовании AD CS.
Д л я просмотра д а н н ы х пользователи должны получать |
к ним д о с т у п через |
браузер или приложение AD RMS. Если приложение не п |
о д д е р ж и в а е т функции |
к 800 |
Службы управления правами Active Directory |
Глава 16 |
A D RMS, |
п о л ь з о в а т е л и н е в с о с т о я н и и м а н и п у л и р о в а т ь э т о й |
и н ф о р м а ц и е й , |
поскольку п р и л о ж е н и е н е м о ж е т п р о ч и т а т ь п о л и т и к у з а щ и т ы и |
р а с ш и ф р о в а т ь |
|
данные. |
|
|
Когда другие пользователи |
п о л у ч а ю т д о с т у п к з а щ и щ е н н о м у с о д е р ж и м о м у , |
и х клиенты A D R M S з а п р а ш и |
в а ю т и а с е р в е р е л и ц е н з и ю н а п р и м е н е н и е . Е с л и |
пользователь т а к ж е |
я в л я е т с я д о в е р е н н о й |
с т о р о н о й , |
с е р в е р A D |
R M S в ы д а е т |
|||
лицензию, которая |
читает л и ц е н з и ю |
з а щ и т ы д а н н о г о |
д о к у м е н т а |
и п р и м е н я е т |
|||
права использования к д о к у м е н т у на |
п р о т я ж е н и и в с е г о его ж и з н е н н о г о ц и к л а . |
||||||
Д л я содействия |
процессу п у б л и к а ц и и д о в е р е н н ы е |
п о л ь з о в а т е л и могуТ со- |
|||||
здавать лицензии з а щ и т ы с п о м о щ ь ю |
п р е д в а р и т е л ь н о |
о п р е д е л е н н ы х ш а б л о н о в , |
|||||
которые п р и м е н я ю т с я п о с р е д с т в о м |
у ж е |
з н а к о м ы х и н с т р у м е н т о в : т е к с т о в ы х |
|||||
редакторов, |
клиентов э л е к т р о н н о й п о ч т ы |
и |
т . д . К а ж д ы й ш а б л о н |
з а д е й с т в у е т |
|||
конкретную, |
предварительно о п р е д е л е н н у ю |
п о л и т и к у ( р и с . 1 6 - 3 ) . |
|||||
Пользователь является доверенным
и получает сертификат прав учетной записи RAG
|
Пользователь создает содержимое . |
|
|
|
||
1 |
с помощью приложения AD RMS |
. |
•• |
, |
||
|
.. - •••• . |
. |
||||
( |
|
|
; |
v |
\ |
• N |
|
|
|||||
|
Пользователь применяет шаблон политики |
|
||||
|
для назначения прав доступа к содержимому |
|||||
Л
Сервер AD RMS выдает лицензию на публикации содержимого, которое шифруется
Другие пользователи применяют приложения. AD RMS для просмотра содержимого
Приложение AD.RMS запрашивает лицензию на использование на серверах AD RMS
Выполняется проверка прав пользователя:<ЕслиЛ пользователь авторизован, выдается лицензия:
L |
В противном случае запрос отклоняется ;• |
, |
|
|
|
|
|
|
Пользовательская |
лицензия назначается для |
л |
содержимого на весь жизненный цикл документа
^ |
(в сети и автономном режиме) / |
• |
Рис. 16-3. |
Процесс публикации AD RMS |
|
Занятие 1 |
Установка служб управления правами Active Directory |
801 |
|
|
Сценарии установки AD RMS
У к а ж д о й о р г а н и з а ц и и свои требования к защите информации. По этой при-
чине с л у ж б ы |
AD R M S п о д д е р ж и в а ю т несколько сценариев развертывания. |
||||
• |
Р а з в е р т ы в а н и е о д н о г о с е р в е р а |
Установка AD R M S на одном сервере. |
|||
|
В качестве базы д а н н ы х поддержки устанавливается внутренняя база дан- |
||||
|
ных W i n d o w s ( W I D ) . Поскольку все компоненты являются локальными, это |
||||
|
р а з в е р т ы в а н и е нельзя масштабировать для поддержки высокой готовности. |
||||
|
С ц е н а р и й |
с р а з в е р т ы в а н и е м |
одного |
сервера рекомендуется использовать |
|
|
т о л ь к о в |
тестовых средах. Ч т о б ы |
в |
таком развертывании протестировать |
|
|
AD R M S за пределами брандмауэра, необходимо добавить соответствующие |
||||
|
и с к л ю ч е н и я A D R M S . |
|
|
|
|
• |
В н у т р е н н е е р а з в е р т ы в а н и е |
Установка AD RMS на множестве серверов, |
|||
|
п р и в я з а н н ы х в каталогу AD |
DS. Д л я управления базой данных AD RMS |
|||
|
необходимо использовать отдельный сервер, иначе обеспечить балансиров- |
||||
|
к у н а г р у з к и р о л и A D R M S невозможно. |
||||
• |
Р а з в е р т ы в а н и е в э к с т р а с е т и |
Если пользователи являются мобильными |
|||
|
и не о г р а н и ч е н ы вашей сетыо, AD |
R M S необходимо развернуть в экстрасе- |
|||
|
ти — с п е ц и а л ь н о й сети периметра, предоставляющей доступ к внутренним |
||||
|
с л у ж б а м и а в т о р и з о в а н н ы м пользователям. В этом сценарии потребуется |
||||
|
о т к о н ф и г у р и р о в а т ь соответствующие исключения брандмауэра и добавить |
||||
|
с п е ц и а л ь н ы й U R L - а д р е с экстрасети на внешний веб-сервер, чтобы разре- |
||||
|
ш и т ь к о м м у н и к а ц и и в н е ш н и х клиентов. |
||||
К СВЕДЕНИЮ |
Конфигурация AD RMS а экстрасети |
||||
Более подробная информация о настройке AD RMS для совместного сотрудничества вне сети организации представлена в книге «Deploying Active Directory Rights Management Services in an Extranet Step-by-Step Guide» по адресу http://go.microsoft. com/fwlink/?LinkID=72138.
• Р а з в е р т ы в а н и е во м н о ж е с т в е лесов |
Если существующие доверительные |
||||
о т н о ш е н и я |
о с н о в а н ы на |
доверни лесов AD DS, необходимо выполнить |
|||
развертывание в лесах. В таком случае нужно развернуть множество экзем- |
|||||
п л я р о в |
AD |
R M S , по одному в каждом лесу, и назначить сертификат SSL |
|||
(Secure |
Sockets |
Layer) д л я каждого |
веб-сайта, содержащего кластеры AD |
||
R M S в |
к а ж д о м |
лесу. Д л я включения объектов AD RMS также требуется |
|||
р а с ш и р и т ь схему леса AD |
DS. Если в каждом лесу используется Microsoft |
||||
E x c h a n g e Server, н у ж н ы е |
р а с ш и р е н и я уже существуют. Учетная запись |
||||
с л у ж б ы AD |
R M S должна быть доверенной в каждом лесу. |
||||
К СВЕДЕНИЮ |
|
Развертывание AD RMS во множестве лесов |
|||
Информацию об этой модели развертывания вы найдете по адресу http://gojnicrosoft. com/fwlink/?LinkId=72139.
• Р а з в е р т ы в а н и е AD R M S вместе с AD FS Корневой кластер AD RMS также можно расширить на другие леса с помощью служб федерации Active Directory (Active Directory Federation Services). Вот как это делается.
к 8 0 2 |
Службы управления правами Active Directory |
Глава 16 |
|
|
1. Назначьте сертификат SSL веб-узлу, управляющему корневым класте- |
||
|
ром AD RMS. Этот сертификат гарантирует безопасные подключения |
||
|
между кластером и сервером ресурсов AD FS. |
|
|
|
2. Установите корневой кластер. |
|
|
|
3. Прежде чем установить службу |
ролей Поддержка |
ф е д е р а ц и и удос- |
|
товерений (Identity Federation |
Support), подготовьте ф е д е р а т и в н о е |
|
|
доверие. |
|
|
|
4. На сервере ресурсов AD FS партнера создайте приложение на основе ут- |
||
|
верждений для конвейеров сертификации и лицензирования AD R M S . |
||
|
5. Назначьте учетной записи службы AD R M S право генерировать аудиты |
||
|
безопасности (Generate Security |
Audits). |
|
6.Определите DRL кластера экстрасети в AD RMS, а затем с п о м о щ ь ю диспетчера сервера установите службу Поддержка федерации удостоверений (Identity Federation Support) роли AD RMS . Во время установки необходимо знать URL-адрес.
К СВЕДЕНИЮ Развертывание AD RMS и AD FS
Более подробную информацию о развертывании AD RMS и AD FS можно найти по адресу http://go.Tnicrosofc.com/fwlink/7LinkkH72135.
• |
Развертывание только сервера лицензирования |
В комплексных средах |
|
|
из множества лесов в дополнение к корневому кластеру* м о ж н о развер- |
||
|
нуть лишь кластер лицензирования AD RMS . В таком случае необходимо |
||
|
вначале назначить сертификат SSL веб-службе, |
у п р а в л я ю щ е й к о р н е в ы м |
|
|
кластером AD RMS, установить корневой кластер и только после этого |
||
|
устанавливать серверы лицензирования. |
|
|
К СВЕДЕНИЮ |
Настройка кластера лицензирования AD RMS |
||
Информация об установке и настройке кластера лицензирования AD RMS содер- |
|||
жится по |
адресу http://go.microsoft.com/fwlink/7LinkId~72141. |
||
• |
Обновление Windows R M S до AD R M S При обновлении существующей |
||
|
установки Windows RMS нужно выполнить следующие действия. |
||
1.Прежде чем приступить к обновлению, убедитесь, что системы R M S обновлены до RMS Service Pack 1.
2. Выполните архивацию всех серверов и базы данных конфигурации . Сохраните архивы в безопасном месте.
3. Если вы для настройки среды Windows R M S выполняете автономную регистрацию, завершите ее Перед обновлением.
4. Если в Active Directory уже установлены точки подключения к службам, используйте тот же U RL для обновления.
5. Если для базы данных Windows R M S используется Microsoft S Q L Server Desktop Engine (MSDE), необходимо обновить эту версию до SQL Server, прежде чем обновить до AD RMS.
Занятие 1 Установка служб управления правами Active Directory 803
6. Очистите очередь сообщений R M S ( R M S Message Queuing), чтобы перед обновлением все сообщения были записаны в базы данных журнала R M S .
7. Обновите корневой кластер, прежде чем выполнить обновление сервера лицензирования, который получит самозаверяющийся сертификат SLC корневого кластера.
8. О б н о в и т е все остальные серверы в кластере RMS.
Эти сценарии обеспечивают самые распространенные структуры развер- т ы в а н и я A D R M S .
Установка служб управления правами Active Directory
П о л н а я установка AD R M S представляет собой довольно сложный процесс. П о м н и т е , что кластер может существовать в лесу AD DS, и выполните все предварительные условия . В процессе подготовки вы примете решение относительно р а з в е р т ы в а н и я систем AD RMS . Будут ли использоваться только члены корневого кластера, или задачи будут распределены между корневым и л и ц е н з и р у ю щ и м кластером? Потребуется ли взаимодействие с внешними партнерами? Будет ли развертывание только внутренним? Ответы на эти вопросы помогут сформировать архитектуру развертывания и реализации AD RMS.
П о с л е в ы п о л н е н и |
я всех предварительных действий можно приступать |
|
к реальной установке, |
которая представляет собой многошаговую процедуру. |
|
К СВЕДЕНИЮ |
Инструкции по установке AD RMS |
|
Более подробная информация об установке кластеров AD RMS содержится по адресу http://technet2microsoft.com/windowsserver2008/en/library/3f1d6d09-4e85-4ad9-83ff- а8720Ь5441d61033.mspx?mfr=-true.
П р е д в а р и т е л ь н а я п о д г о т о в к а к у с т а н о в к е AD RMS
Существует несколько предварительных условий установки AD RMS. Если вы конфигурируете л и ш ь тестовую среду, установка выполняется проще, однако в производственной среде нужно приложить максимум усилий для успешного р а з в е р т ы в а н и я AD RMS . Поэтому удостоверьтесь, что тестовая среда соответствует требованиям производственной среды, чтобы в процессе реального развертывания не было неприятных сюрпризов.
ВНИМАНИЕ! Дополнительные параметры установки AD RMS
Отметим, что роль AD RMS не поддерживается и не запускается в установке ядра сервера (Server Core) Windows Server 2008. Однако роль AD RMS отлично подходит для виртуализации в Hyper-V, особенно в тестовых средах. Помните об этом во время планирования и подготовки развертывания AD RMS.
Начнем с описания предварительных условий. В табл. 16-1 перечислены основные требования развертывания AD RMS. В табл. 16-2 указаны соображения, которыми также следует руководствоваться при подготовке развертывания AD RMS.
|
Установка служб управления правами Active Directory |
8 0 7 |
Табл.16-3 (окончание) |
|
|
Сертификат |
Содержимое |
|
Машинный |
Когда приложение AD RMS используется впервые, создается |
|
сертификат |
сертификат машины. Клиент AD RMS в Windows автоматичес- |
|
|
ки управляет этим процессом посредством кластера AD RMS. |
|
|
Этот сертификат создает на компьютере почтовый ящик для |
|
|
корреляции машинного сертификата с профилем пользователя. |
|
|
Машинный сертификат содержит открытый ключ активиро- |
|
|
ванного компьютера. Закрытый ключ содержится в почтовом |
|
|
ящике на компьютере |
|
Лицензия |
Лицензия на публикацию, которая создается при сохранении |
|
на публикацию |
пользователем содержимого в режиме защиты прав доступа, |
|
|
перечисляет пользователей, которые могут работать с содержи- |
|
|
мым, и условия работы, а также права доступа каждого поль- |
|
|
зователя к содержимому. Включает симметричный ключ для |
|
|
расшифровки содержимого, а также открытый ключ кластера |
|
Лицензия |
Лицензия на использование, которая назначается для поль- |
|
на использование |
зователя, открывающего содержимое с защитой прав доступа, |
|
|
привязывается к сертификату RAC пользователя и перечисляет |
|
права доступа к защищенному содержимому.
Содержит симметричный ключ для расшифровки содержимого, зашифрованный с помощью открытого ключа пользователя
СОВЕТ К ЭКЗАМЕНУ
Изучите различные сертификаты и лицензии, используемые в AD RMS, поскольку они будут включены в темы экзамена.
Процедура установки
Проанализировав различные требования и процессы установки AD RMS, можно начинать установку. Выполните все требования, приведенные в табл. 16-1, и приступайте к следующим шагам.
1. Войдите на рядовой сервер Windows Server 2008 как администратор предприятия .
На сервере д о л ж н ы быть установлена система Windows Server 2008 Standard Edition и Windows Server 2008 Enterprise Edition или Windows Server 2008 Datacenter Edition.
ВНИМАНИЕ! Использование рядовых серверов
Не устанавливайте AD RMS на контроллере домеиа. Используйте только рядовой сервер. С появлением возможностей виртуализации больше нет никаких причин, помимо лицензирования операционной системы, создавать многоцелевые контроллеры доменов. Каждая виртуальная машина может выполнять определенную задачу и работать независимо от всех остальных служб.