3-2 Основи планування та адміністрування служб доступу до інформаційних ресурсів / ЛБ / Книга Active directory
.pdfк8 3 0 Службы управления правами Active Directory Глава 16
2.Службы AD RMS поддерживают четыре политики доверия.
• Домены доверенных пользователей позволяют кластеру AD RMS об-
рабатывать запросы других кластеров AD RMS, локализованных в различных лесах AD DS. Доверенные домены пользователей добавляются путем импорта сертификата лицензиара сервера из кластера AD RMS с которым нужно установить доверие, в ваш собственный кластер.
•Доверенные домены публикации позволяют кластеру AD RMS выдавать лицензии на использование содержимого, защищенного другим кластером AD RMS. Для создания доверенного домена публикации нужно импортировать сертификат SLC кластера публикации вместе с его закрытым ключом п ваш собственный кластер.
•Доверия Windows Live ID позволяют пользователям с идентификаторами Windows Live ID (так называемый паспорт Microsoft) только применять (но не создавать) защищенное содержимое.
•Доверия федерации устанавливаются с помощью AD FS и расширяют операции кластера AD RMS в леса, с которыми установлено федеративное доверие.
Управление базами данных
Для выполнения своих функций службы AD R M S используют три базы д а н н ы х
(изучите эти базы данных и их |
ф у н к ц и и , чтобы |
г а р а н т и р о в а т ь |
к о р р е к т н у ю |
||||
работу кластера AD RMS). |
|
|
|
|
|
||
• |
Б а з а данных конфигурации, |
и с п о л ь з у е м а я |
д л я х р а н е н и я |
в с е х д а н н ы х |
|||
|
конфигурации A D R M S Используется серверами |
A D R M S д л я |
предо - |
||||
|
ставления клиентам информации и услуг з а щ и т ы от несанкционированного |
||||||
|
доступа. |
|
|
|
|
|
|
• |
База данных ведения журналов, где х р а н и т с я и н ф о р м а ц и я о б о в с е х опе - |
||||||
|
рациях в корневом или л и ц е н з и р у ю щ е м к л а с т е р е |
Э т у базу д а н н ы х удоб- |
|||||
|
но использовать для аудита событий AD R M S . |
|
|
|
|||
• |
База данных служб каталогов, где х р а н и т с я и н ф о р м а ц и я о п о л ь з о в а т е л я х |
||||||
|
и все их данные |
Доступ к информации из каталогов A D D S осуществляет- |
|||||
|
ся с помощью протокола LDAP (Lightweight Directory Access Protocol). Д л я |
||||||
|
этой базы данных требуется регулярная техническая п о д д е р ж к а в случае |
||||||
|
удаления пользователей из AD R M S , как описано ранее на этом занятии . |
||||||
|
Помимо этих баз данных AD R M S использует службу Очередь сообщений |
||||||
(Message Queuing), |
предназначенную для п е р е с ы л к и с о б ы т и й в |
базу д а н н ы х |
|||||
журналов. В процессе аудита использования AD |
R M S |
следует периодически |
|||||
проверять, корректно ли работает очередь сообщений . |
|
|
|
||||
|
В дополнение |
к различным |
ф у н к ц и я м , д о с т у п н ы м в к о н с о л и AD |
R M S , |
|||
корпорация Microsoft предоставляет с п е ц и а л ь н ы й набор инструментов |
R M S , |
||||||
содержащий утилиты для администрирования AD R M S . Загрузите и добавьте |
|||||||
|
его в административный набор |
AD R M S для полного |
у п р а в л е н и я разверты- |
||||
|
ванием, |
|
|
|
|
|
|
Занятие 2 Настройка и использование служб управления правами Active Directory |
831 |
|
К СВЕДЕНИЮ |
Набор средств администрирования служб управления правами |
|
Набор инструментов RMS с утилитами для управления RMS можно загрузить по |
||
адресу |
http://www.microso/t.com/downloads/details.aspx?FamilylD-bae62cfc-d5a7-46d2- |
|
9063-0/6885с26Ь98 & Display Lang-en. |
|
|
К СВЕДЕНИЮ |
Дополнительные ресурсы AD RMS |
|
Дополнительные ресурсы AD RMS содержатся по адресу http://technet2.microso/t. com/windowsserver2008/en/library/789533a5-50c5-435d-b06a-37db0ab5666e1033.
mspx?m/r-true.
Практические занятия. Создание шаблона политики прав доступа
В приведенных далее упражнениях предлагается создать настраиваемый шаблон п о л и т и к прав доступа с использованием AD RMS, установка которого выполнена на з а н я т и и 1.
Упражнение. Создание нового шаблона
Ш а б л о н ы |
п о з в о л я ю т |
пользователям быстро применять политики прав до- |
ступа. Д л я |
создания |
шаблона необходимо использовать разрешения досту- |
па группы Администраторы шаблонов службы AD RMS (AD RMS Template Administrators) или Администраторы предприятия службы AD RMS (AD RMS Enterprise Administrators) . Чтобы выполнить упражнение, нужно запустить м а ш и н ы S E R V E R 0 1 , S E R V E R 0 4 и SERVER05.
1.Войдите на сервер — член корневого кластера, используя учетные данные группы Администраторы шаблонов службы AD RMS (AD RMS Templates Administrators) .
2.В категории Администрирование (Administrative Tools) запустите Диспетчер сервера (Server Manager).
3.Разверните узел Р о л и \ С л у ж б ы управления нравами Active Di rectory \«л.я_ сероерсДШаблоны политик прав доступа (Roles\Active Directory Rights Management Services\iww_cepeepa\Rights Policy Templates).
4. На панели Действия (Actions) выполните команду Создать шаблон распределенной политики прав доступа (Create Distributed Rights Policy Template). Запустится мастер.
5.На странице Добавление сведений о шаблоне (Add Template Identification Information) щелкните кнопку Добавить (Add).
6.Укажите язык, введите имя Contoso Legal Template и описание Шаблон для защиты документов Contoso, Ltd и щелкните кнопку Добавить (Add). Щелкните Далее (Next).
7. На странице Добавление прав пользователя (Add User Rights) выполните следующие действия.
А. Щелкните кнопку Добавить (Add), чтобы добавить пользователя или группу с доступом к шаблону. Выберите группу Все (Anyone).
Резюме главы |
8 3 3 |
• Ч т о б ы исключить пользователей из системы DRM, нужно создать политики исключения .
ш Д л я того чтобы улучшить процесс создания содержимого пользователями, рекомендуется создавать шаблоны политик прав доступа, которые упрощают работу пользователей и гарантируют применение стратегии DRM.
Закрепление материала
Следующий вопрос можно использовать для проверки знаний, полученных на занятии 1 (этот вопрос содержится и на сопроводительном компакт-диске).
ПРИМЕЧАНИЕ Ответы
Ответы на эти вопросы с пояснениями, почему тот или иной вариант является правильным или неправильным, вы найдете в разделе «Ответы» в конце книги.
1. Администратор в домене contoso.com завершил установку AD RMS и теперь хочет о т к о н ф и г у р и р о в а т ь AD RMS . Он настроил внешний URL и протестировал операции с сервера AD RMS, с помощью которого настроил URL . Этот U R L использует SSL для защиты HTTP-трафика. Тем не менее пользователи вне внутренней сети не могут получить доступ к AD RMS. В чем заключается причина проблемы?
A. |
Сервер д о л ж е н использовать URL-адрес в формате H T T P : / / . |
Б. |
С е р т и ф и к а т на сервере недействителен, поэтому пользователи не могут |
|
получить доступ к URL . |
B. |
Д л я того чтобы получить доступ к RTL, пользователи должны распо- |
|
лагать учетными записями в домене AD DS. |
Г.Пользователям предоставлен неправильный URL-адрес.
Закрепление материала главы
Д л я того чтобы попрактиковаться и закрепить знания, полученные при изучении представленного в этой главе материала, вам необходимо:
•ознакомиться с резюме главы;
•повторить используемые в главе основные термины;
•изучить сценарий, в котором описана реальная ситуация, требующая применения полученных знаний, и предложить свое решение;
•выполнить рекомендуемые упражнения;
•сдать пробный экзамен с помощью тестов.
Резюме главы
•Службы AD R M S предназначены для поддержки расширения полномочий организации за пределы брандмауэра. Такое расширение применяется к защите интеллектуальной собственности.
•Д л я защиты интеллектуальной собственности службы AD RMS должны использовать несколько технологий: Доменные службы Active Directory
к 857 Службы управления правами Active Directory |
Глава 16 |
||
(Active Directory Domain Services), С л у ж б ы с е р т и ф и к а ц и и Active |
Directory |
||
(Active Directory Certificate Services), |
С л у ж б ы ф е д е р а ц и и Active |
Directory |
|
(Active Directory Federation Services) и |
S Q L Server. Технология AD DS обес- |
||
печивает центральную службу проверки подлинности; AD CS обеспечивает |
|||
сертификаты инфраструктуры открытых ключей, используемой н AD RMS; |
|||
технология AD FS позволяет интегрировать п о л и т и к и AD R M S с партнера- |
|||
ми и внешними пользователями, a S Q L Server хранит все д а н н ы е AD |
RMS . |
||
• Многие организации предпочитают о с у щ е с т в л я т ь р е а л и з а ц и ю |
AD |
R M S |
|
поэтапно: |
|
|
|
•первый этап предполагает внутреннее использование интеллектуальной собственности;
• |
на втором этапе содержимое используется с о в м е с т н о с партнерами; |
• |
на третьем этапе привлекается более ш и р о к а я а у д и т о р и я , а и н т е л л е к - |
|
туальная собственность распространяется за п р е д е л ы сети о р г а н и з а ц и и |
взащищенном режиме.
•При установке AD RMS создается корневой кластер, к о т о р ы й м о ж е т пре-
доставлять службы сертификации и л и ц е н з и р о в а н и я . |
К а ж д ы й лес AD DS |
||
содержит только один корневой кластер, о д н а к о в |
м а с ш т а б н о м |
р а з в е р - |
|
тывании роли сертификации и л и ц е н з и р о в а н и я |
м о ж н о разделить, |
создав |
|
дополнительный кластер лицензирования . Д л я |
и с п о л ь з о в а н и я с л у ж б A D |
||
RMS необходимы приложения AD R M S — т е к с т о в ы е редакторы, средства презентации, клиенты электронной почты, а т а к ж е н а с т р а и в а е м ы е д о м а ш - ние приложения. Каждый раз при создании пользователем н о в о й и н ф о р м а - ции шаблоны AD R M S устанавливают права ее использования, в частности определяют лиц, которым разрешено читать, записывать, м о д и ф и ц и р о в а т ь , печатать, передавать эту информацию, в ы п о л н я т ь с ней д р у г и е операции .
Основные термины
Запомните перечисленные далее термины, чтобы л у ч ш е п о н я т ь о п и с ы в а е м ы е концепции.
- • |
Серверы регистрации |
Серверы, па которые н у ж н о подавать з а я в к и д л я |
|
|
публикации сертификатов. В предыдущих в ы п у с к а х н е о б х о д и м о б ы л о ис- |
||
|
пользовать службу регистрации Microsoft Enrollment Service, однако в AD |
||
|
RMS серверы могут сами выполнять регистрацию с п о м о щ ь ю самозаверя - |
||
|
ющего сертификата. |
|
|
• |
Лицензия на публикацию |
Назначается для содержимого при включении |
|
|
защиты содержимого |
а в т о р и з о в а н н ы м и п о л ь з о в а т е л я м и . Эта л и ц е н з и я |
|
|
определяет назначенные права доступа к документу. Когда документ откры- |
||
|
вает другой авторизованный пользователь, сервером предоставляется ли - |
||
|
цензия на использование, которая навсегда п р и к р е п л я е т с я к документу. |
||
• |
Корневой кластер Создается автоматически при установке AD RMS . Этот |
||
|
кластер обеспечивает высокую готовность службы AD R M S при установке |
||
|
других серверов. В лесу |
AD DS можно установить л и ш ь один корневой |
|
Практические задания 7Q9
кластер, однако д л я поддержки операций AD RMS можно также создавать к л а с т е р ы л и ц е н з и р о в а н и я .
Сценарий. Подготовка к работе с внешним кластером
AD RMS
В н а с т о я щ е м с ц е н а р и и необходимо применить полученные знания о службах у п р а в л е н и я п р а в а м и Active Directory. Ответы иа вопросы представлены в разделе « О т в е т ы » в конце книги.
Б у д у ч и |
с и с т е м н ы м администратором компании Contoso, Ltd, вы недавно |
з а к о н ч и л и |
процесс р а з в е р т ы в а н и я AD R M S в организации, и пока все рабо- |
тает н о р м а л ь н о . П о л ь з о в а т е л и внутри и вне сети имеют доступ к политикам у п р а в л е н и я п р а в а м и , гарантирующим защиту содержимого.
Теперь п о л и т и к и з а щ и т ы прав доступа необходимо использовать совместно
с п а р т н е р с к о й |
о р г а н и з а ц и е й , разместив инфраструктуры служб федерации. |
О п и ш и т е свои |
в о з м о ж н о с т и . |
Практические задания
Ч т о б ы подготовиться к сертификационному экзамену, выполните предлагаемые далее у п р а ж н е н и я .
Работа с AD RMS
По |
д а н н о й т е м е |
на |
э к з а м е н е будет только один вопрос. Поэтому займитесь |
||||
п р а к т и ч е с к и м и |
у п р а ж н е н и я м и в следующих случаях: |
||||||
• |
о п р е д е л е н и е т р е б о в а н и й установки AD RMS; |
||||||
• |
процесс у с т а н о в к и и настройки корневых кластеров AD RMS; |
||||||
• |
з а в е р ш е н и е |
процесса настройки корневого кластера; |
|||||
• |
и с п о л ь з о в а н и е ш а б л о н о в политики |
прав доступа. |
|||||
|
Вы т а к ж е |
д о л ж н ы |
и з у ч и т ь секции |
консоли AD RMS. Все они доступны |
|||
в Д и с п е т ч е р е |
сервера |
(Server Manager). |
|||||
• |
У п р а ж н е н и е 1 |
Подготовьте тестовую среду, руководствуясь инструкци- |
|||||
|
я м и , п р и в е д е н н ы м и в разделе |
«Прежде всего» в начале этой главы. По |
|||||
|
в о з м о ж н о с т и используйте для |
поддержки установки внешний сервер баз |
|||||
|
данных, чтобы отконфигурировать реальный корневой кластер. Затем со- |
||||||
|
здайте кластер и добавьте в него второй сервер, чтобы проследить за работой |
||||||
|
кластеров. |
|
|
|
|
|
|
•У п р а ж н е н и е 2 После установки кластера выполните в Диспетчере сервера
(Server Manager) все операции, необходимые для создания или модифика-
ц и и ш а б л о н а п о л и т и к и прав доступа. Эти шаблоны |
играют важную роль |
в процессе администрирования AD RMS. |
|
О б я з а т е л ь н о проанализируйте реализацию D R M в |
Windows Server 2008. |
На веб-сайте Microsoft TechNet также есть много информации о службах AD RMS, которую по возможности следует просмотреть и изучить.
Службы управления правами Active Directory Глава 16
Пробный экзамен
На прилагаемом к к н и г е к о м п а к т - д и с к е п р е д с т а в л е н о н е с к о л ь к о в а р и а н т о в т р е н и р о в о ч н ы х тестов. Проверка знаний в ы п о л н я е т с я и л и т о л ь к о п о о д н о й теме
сертификационного экзамена |
7 0 - 6 4 0 , и л и п о в с е м э к з а м е н а ц и о н н ы м ' т е м а м . |
|||
Тестирование можно организовать т а к и м образом, ч т о б ы |
о н о п р о в о д и л о с ь к а к |
|||
экзамен, либо настроить на р е ж и м обучения . В п о с л е д н е м с л у ч а е вы |
с м о ж е т е |
|||
после каждого |
своего ответа |
на вопрос п р о с м а т р и в а т ь |
п р а в и л ь н ы е |
ответы |
и пояснения. |
|
|
|
|
ПРИМЕЧАНИЕ |
Пробный экзамен |
|
|
|
Подробнее о пробном экзамене рассказано во введении, к данной книге.
Г Л А В А |
1 7 |
Службы федерации Active Directory
Занятие 1. |
Концепция служб федерации Active Directory |
843 |
Занятие 2. |
Настройка служб федерации Active Directory |
866 |
С появлением Интернета организациям стало довольно сложно обеспечивать безопасность своих сетей. Основной принцип защиты заключается в том, что каждая организация, использующая интерфейс между своей сетью и Интернетом, т а к ж е располагает некоторым типом сети периметра. Во многих слу-
чаях |
о р г а н и з а ц и и р е а л и з у ю т такие специальные технологии безопасности, |
как |
системы о б н а р у ж е н и я вторжений или межсетевого экранирования, где |
необходимо обеспечить максимально возможную безопасность брандмауэров в сети по периметру. Но как эти меры предосторожности влияют на потенциальные партнерские связи? \
Когда создавались первые домены Microsoft Windows с системой Microsoft Windows NT, корпорация Microsoft предусмотрела возможность создания доверительных отношений между доменами с целью поддержки их взаимодействия. С выходом доменных служб Active Directory (Active Directory Domain Services, AD D S ) в Windows 2000 корпорация Microsoft внедрила концепцию доверия и поддержки доверительных отношений между доменами. Домены в одном лесу п р и м е н я л и автоматические транзитивные доверия, а для совместного использования контекстов безопасности домены из других лесов применяли явные доверительные отношения . С выходом Microsoft Windows 2003 корпорация Microsoft р а с ш и р и л а концепцию транзитивного доверия до уровня лесов и реализовала доверительные отношения между лесами. С помощью доверительных связей лесов партнеры могли расширять контексты безопасности своего внутреннего леса с целью установления доверия с лесами других партнеров. Однако реализация доверительных отношений лесов приводит к следующим последствиям:
•во-первых, д л я поддержки трафика доменных служб Active Directory (AD DS) в брандмауэре необходимо открыть определенные порты;
•во-вторых, по мере расширения партнерских отношений станет довольно сложно управлять множеством доверительных связей (рис. 17-1).