Платформа и инфраструктура

Глава 4: Проектирование инфраструктуры

Опубликовано 5 ноября 2004 | Обновлено 26/06/2006

Компания Contoso провела оценку платформ управления идентификаторами и доступом от нескольких поставщиков, в том числе от Майкрософт. На основе сформулированных ранее требований к платформе, компанией Contoso было принято решение остановить выбор на платформе управления идентификаторами и доступом от Майкрософт. В этой главе рассматривается проект инфраструктуры, создание которого было результатом принятого решения.

На этой странице

Концепция решения Архитектура решения Возможные сценарии решений

Концепция решения

Основные возможности, необходимые компании Contoso, предоставляются следующими функциями платформы управления идентификаторами и доступом от Майкрософт.

• Служба каталогов Microsoft® Active Directory® соответствует требованиям стандарта IETF RFC 3377 — LDAP (версия 3.0).

• Внешняя служба Active Directory, содержащая данные учетных записей клиентов и партнеров, может располагаться в периметральной сети и поддерживать проверку подлинности сотрудников без установления доверительного отношения с внутренним каталогом.

• Служба Active Directory предоставляет несколько вариантов надежного шифрования учетных данных пользователя. Благодаря интеграции с надежными сетевыми протоколами проверки подлинности, например протоколом Kerberos версии 5, и использованию проверки подлинности клиентов через протоколы SSL или TLS, учетные данные никогда не распространяются за пределы каталога.

• Служба Active Directory в Microsoft Windows Server™ 2003 поддерживает проверку подлинности на основе пароля через протокол Kerberos версии 5 и протоколы проверки подлинности Digest. Служба Active Directory также обеспечивает поддержку учетных данных инфраструктуры открытого ключа (PKI) для проверки подлинности клиента через протокол Kerberos версии 5, протоколы SSL или TLS.

• Службой Active Directory предоставляется возможность бесшовной проверки подлинности с использованием протокола Kerberos версии 5, протоколов SSL и TLS.

• Настольные клиентские операционные системы, такие как Microsoft Windows® 2000 Professional, Windows® XP Professional, а также рабочие места под управлением UNIX или Linux могут беспрепятственно взаимодействовать с серверной операционной системой для проверки подлинности и авторизации через протокол Kerberos версии 5, протокол LDAP и другие стандартные протоколы.

• Windows Server 2003 и многие клиентские операционные системы взаимодействуют для выполнения проверки подлинности пользователей с набором учетных данных по умолчанию, которые вычисляются или извлекаются в процессе входа в систему. Такая проверка подлинности происходит незаметно для пользователя и отвечает требованию об одноразовой идентификации пользователя.

• В Windows Server 2003 реализуются списки контроля доступа (ACL) и авторизация на основе ролей. Служба Active Directory располагает устойчивыми и гибкими механизмами для предоставления допусков на основании членства в группе.

• Служба каталогов и служба безопасности Windows Server 2003 обеспечивают реализацию нескольких уровней доверия, включая доверие между лесами, внешнее доверие, доверие PKI и доверие между областями действия с участием областей UNIX Kerberos.

• Windows Server 2003 со службой Active Directory предоставляет возможности для детального аудита всех операций, связанных с проверкой подлинности, управлением доверия, авторизацией и настройкой, выполняемых в системе.

К началу страницы

Архитектура решения

Архитектура решения включает следующие компоненты:

• службы каталогов;

• методы проверки подлинности;

• методы авторизации;

• механизмы доверия;

• управление жизненным циклом идентификаторов;

• приложения с усиленным контролем прав.

Службы каталогов

Для успешного функционирования платформы управления идентификаторами и доступом компании Contoso команде разработчиков Contoso необходимо определить надежный источник для создания идентификационных сведений и надежное местоположение для хранения прикладных данных и идентификационных сведений. Кроме того, командой разработчиков должен быть реализован соответствующий поток данных атрибутов между каталогами.

Конфигурация инфраструктуры текущих служб каталогов организации включает следующие компоненты:

• лес Active Directory в интрасети;

• лес Active Directory во внешней сети;

• сервер Sun One Directory Server 5.1 (ранее iPlanet Directory Server).

Лес Active Directory во внешней сети не может использоваться в качестве надежной службы каталогов, так как он содержит лишь теневые учетные записи сотрудников. Настройками сервера Sun One Directory Server 5.1 предусмотрен вывод из эксплуатации после того, как зависящее от него приложение изменено для работы со службой Active Directory.

Лес Active Directory в интрасети обеспечивает в настоящее время централизованный репозиторий для учетных записей пользователей в компании Contoso. Поэтому служба Active Directory в интрасети была выбрана компанией в качестве надежного источника всех видов сведений, необходимых для каталогов и приложений.

Команда разработчиков компании Contoso намерена использовать продукт для интеграции идентификаторов, чтобы выполнить репликацию определенных объектов каталогов и добиться следующих результатов:

• Создать учетные записи для всех сотрудников департамента продаж в лесу внешней сети.

• Использовать атрибут в службе Active Directory для определения сотрудников, присоединившихся к персоналу Contoso после недавнего приобретения малой фирмы.

• Выполнить репликацию этих учетных записей в Lotus Notes выпуск 6.5.4 и на сервер Sun ONE Directory Server 5.1.

Лес Active Directory в интрасети

Лес в интрасети состоит из пустого корневого домена corp.contoso.com и единственного дочернего домена na.corp.contoso.com. Домен na.corp.contoso.com содержит следующие организационные элементы (OU):

• Сотрудники

• Рабочие места Solaris

• Клиенты Windows

• Группы

• Отключено

• Контакты

Пошаговое описание процесса установки службы Active Directory на сервере Windows Server 2003 и создания организационных элементов содержится в документации к продукту.

Лес Active Directory во внешней сети

Лес во внешней сети содержит единственный домен perimeter.contoso.com. Этот домен управляется на функциональном уровне Windows Server 2003 и содержит следующие организационные элементы.

• Сотрудники

• Пользователи продукции на стадии испытаний

• Группы

Не существует доверительного отношения между внутренним и внешним лесами. В разделе о доверии далее в этой главе поясняется причина такого выбора.

На рис. 4.1 показаны структуры службы Active Directory компании Contoso.

Рис. 4.1. Логическая структура службы Active Directory компании Contoso

Дополнительные сведения о службе Active Directory см. на странице Windows Server 2003 Active Directory.

Дополнительные инструкции см. на странице Разработка и развертывание служб каталогов и служб безопасности.

Методы проверки подлинности

Решения о выборе методов проверки подлинности были приняты компанией Contoso на основе характеристик каждого метода и среды, в которой они могут использоваться. Результатом выбора стал единственный метод проверки подлинности для каталога в интрасети и три метода для каталога во внешней сети, как показано на следующих двух рисунках.

Рис. 4.2. Механизмы проверки подлинности и авторизации в интрасети в инфраструктуре Contoso

Рис. 4.3. Механизмы проверки подлинности и авторизации во внешней сети в инфраструктуре Contoso

Проверка подлинности для доступа к каталогу в интрасети

В качестве главного механизма проверки подлинности для внутренней сети был выбран протокол Kerberos версии 5, естественная поддержка которого обеспечивается в Windows Server 2003 и Windows XP Professional. Многие другие платформы содержат библиотеки протокола Kerberos, особенно это касается различных дистрибутивов UNIX, включая Linux. Компания Contoso намерена использовать протокол Kerberos версии 5 везде, где это возможно, так как Kerberos является стандартным сетевым протоколом высокой степени надежности. Многими платформами реализуется проверка подлинности с использованием протокола Kerberos версии 5, и по этой причине данный протокол обеспечивает хорошую основу для совместимости.

Все управляемые клиентские компьютеры во внутренней сети, включая компьютеры под управлением операционных систем Windows XP Professional и Sun Solaris, получают доступ к учетным записям во внутреннем лесу через протокол Kerberos версии 5. При включении пользователи проходят проверку подлинности для доступа к конкретным ресурсам также с помощью протокола Kerberos версии 5.

Проверка подлинности для доступа к каталогу во внешней сети

Во внешней сети используются несколько различных типов проверки подлинности, так как протокол Kerberos версии 5 в настоящее время не поддерживается для веб-клиентов в приложениях с выходом в Интернет в среде Contoso. Три внешних приложения с выходом в Интернет, расположенные в периметральной сети Contoso, используют следующие отдельные методы проверки подлинности:

• Microsoft Passport;

• проверку подлинности на основе форм Microsoft Windows;

• проверку подлинности клиентских сертификатов с использованием протоколов SSL и TLS.

Все три перечисленных механизма проверки подлинности используют лес Active Directory во внешней сети в качестве хранилища идентификаторов. Домен во внешней сети содержит учетные записи пользователей с сопоставлениями для проверки подлинности с использованием паспорта и клиентского сертификата, а также секретные пароли для проверки подлинности на основе форм Windows.

Методы авторизации

Основной метод авторизации, выбранный компанией Contoso, предполагает использование списков контроля доступа (ACL) на файловых серверах и серверах печати (не показанных на рис. 4.3). Однако Contoso намерена также использовать управление доступом на основе ролей с помощью диспетчера авторизации в Windows Server 2003. Диспетчер авторизации взаимодействует со службами IIS 6.0 для предоставления авторизации на уровне URL-адреса и детальных допусков на уровне приложения для доступа к веб-приложениям.

Компания Contoso планирует использовать группы безопасности для распределения пользователей, например, по департаментам или ролям. Использование групп безопасности упростит предоставление допусков пользователям и снизит затраты на административные операции, связанные со сменой пользователями должностных позиций в пределах организации.

Доверие

Команда разработчиков Contoso принимала решение о выборе между следующими вариантами для реализации интеграции внешнего каталога и каталога внутренней инфраструктуры:

• доверительные отношения между лесами;

• подчиненность на основе PKI;

• теневые учетные записи.

Доверительные отношения между лесами

Windows Server 2003 допускает использование доверительных отношений между лесами. В среде Contoso этот вариант рассматривался как возможность для сотрудников, использующих внешние приложения, выполнять проверку подлинности для доступа к внутреннему каталогу через доверительное отношение.

Долгосрочные планы компании предусматривают создание и развертывание приложений, пользующихся преимуществом сквозной проверки подлинности. Прежде чем реализовать этот важный промежуточный этап, необходимо выполнить тщательный анализ безопасности внутренней сети, а затем предпринять соответствующие корректирующие меры для решения всех выявленных проблем.

В итоге команда разработчиков Contoso приняла решение не устанавливать такое доверие в среде организации. Основаниями для такого решения послужила комбинация проблем безопасности, специфичных для сценария Contoso, и тот факт, что для сценариев приложений компании в настоящее время не требуется наличие доверительного отношения. В случае с компанией Contoso был сделан выбор в пользу безопасности внутренней сети за счет отказа от дополнительной функциональности приложений, обеспечиваемой наличием доверительного отношения между внутренним и внешним лесами.

Однако в какой-либо другой организации могут существовать сценарии, требующие реализации доверия между лесами. Например, в ситуации, когда внешним пользователям необходимо проходить проверку подлинности на внешнем сервере и получать доступ к сведениям в интрасети организации. В таком случае может возникнуть необходимость передавать идентификатор пользователя вместе с запросом приложения с веб-сервера в источник прикладных данных. Такой сценарий возможен при использовании новых функций делегирования протокола Kerberos версии 5 и механизмов доверия между лесами, поставляемых с Windows Server 2003.

Подчиненность на основе PKI

Инфраструктура открытого ключа (PKI) предоставляет организации возможность осуществлять безопасный обмен данными через публичную сеть с помощью шифрования с открытым ключом. Инфраструктура PKI состоит из центров сертификации (CA), выпускающих цифровые сертификаты, каталогов, где хранятся сертификаты (включая службу Active Directory в Windows 2000 Server и Windows Server 2003), и сертификатов X.509, выпускаемых для объектов безопасности в сети. Инфраструктура PKI обеспечивает подтверждение учетных данных на основе сертификата и гарантирует, что учетные данные не были отозваны, повреждены или изменены.

Квалифицированная подчиненность — это процесс взаимной сертификации иерархий центров сертификации с использованием базовых ограничений, ограничений политик, именования и приложений для определения того, какие сертификаты принимаются из иерархий партнерского центра сертификации или вспомогательной иерархии в пределах той же организации. Можно использовать квалифицированную подчиненность для того, чтобы определить, какие сертификаты, выпущенные партнерской инфраструктурой PKI, наделены доверием организации. Квалифицированная подчиненность также предоставляет способы классификации и управления выпуском сертификатов в пределах организации согласно рекомендациям политик.

В компании Contoso реализована трехзвенная инфраструктура PKI, состоящая из центра выдачи сертификации, автономного промежуточного центра и автономного корневого центра сертификации, в соответствии с рекомендациями Майкрософт. Администраторы служб IIS компании Contoso обращаются в центр выдачи сертификации с запросом на получение серверных сертификатов, чтобы использовать в службах IIS шифрование SSL для веб-приложений, работающих в сети Интернет. Кроме того, компания Contoso применяет политику автоматической регистрации сертификатов пользователя в службе Active Directory для сотрудников и использует Active Directory Mapper и сопоставление сертификатов клиентов в IIS.

Дополнительные сведения о доверии между лесами и квалифицированной подчиненности PKI см. на следующих страницах веб-узла Microsoft.com.:

• Планирование и реализация взаимной сертификации и квалифицированной подчиненности с использованием Windows Server 2003

• Основные принципы политик использования открытого ключа

• Рекомендации по политикам использования открытого ключа

Для получения дополнительных сведений о развертывании служб Microsoft Certificate Services загрузите и просмотрите главу 16, «Проектирование инфраструктуры открытого ключа».

Теневые учетные записи

Проект объединения, выбранный для реализации компанией Contoso, предполагает выполнение проверки подлинности внутренних пользователей (сотрудников) в приложениях периметральной сети путем создания теневых учетных записей во внешнем каталоге Active Directory. Эти теневые учетные записи предназначены только для проверки подлинности на основе сертификатов. Теневые учетные записи содержат ограниченный объем данных авторизации, соответствующих приложению внешней сети, например, имя пользователя и членство в группе, но не пароль к учетной записи пользователя.

Сотрудники департамента продаж используют эти теневые учетные записи для доступа к приложению, расположенному в периметральной сети. Так как теневых учетных записей достаточно для получения доступа к внешнему приложению, нет необходимости в установлении доверия между внешним и внутренним лесами.

Управление жизненным циклом идентификатора

Для управления жизненным циклом цифровых идентификаторов компанией Contoso был выбран Microsoft Identity Integration Server 2003, Enterprise Edition с пакетом обновлений SP1 (MIIS 2003 с пакетом обновлений SP1). Этот продукт обеспечивает необходимую поддержку интеграции идентификаторов для успешной синхронизации, инициализации и деинициализации цифровых идентификаторов. Этим продуктом также предоставляются агенты управления, позволяющие использовать подключения к различным хранилищам идентификаторов в среде компании Contoso.

Для реализации Contoso предполагается использовать службы Microsoft Certificate Services и конфигурацию политик, предусматривающую автоматическую регистрацию сертификатов пользователей. Возможность автоматической регистрации упрощает и снижает затраты на управление сертификатами пользователей. В среде управления идентификаторами и доступом Майкрософт проверка подлинности пользователей с использованием сертификатов клиентов является наиболее приемлемой для сценариев, обеспечивая очевидное преимущество безопасности.

Например, использование проверки подлинности с помощью сертификата клиента позволяет избежать риска безопасности, связанного с использованием паролей для проверки подлинности на серверах в периметральной сети, где располагается торговое приложение «Sales and Contacts». Компании Contoso необходимо развернуть службы сертификатов и настроить автоматическую регистрацию только во внутренней сети, так как ни один сценарий приложения не требует проверки подлинности на основе сертификатов для внешних клиентов и партнеров.

Приложения с усиленным контролем прав

Чтобы обеспечить поддержку разработки приложений с усиленным контролем прав, компанией Contoso реализуется политика использования протокола проверки подлинности Kerberos версии 5 с контроллерами доменов службы Active Directory везде, где это возможно. Для приложений, которые не могут выполнять проверку подлинности через протокол Kerberos (например, для приложений внешней сети), предусмотрено использование проверки подлинности на основе форм Windows для связей типа «компания-компания» (B2B), проверки подлинности с использованием Microsoft Passport для связей типа «компания-клиент» (B2C) и проверки подлинности с использованием сертификатов или смарт-карт (в будущем) для связей типа «компания-сотрудник» (B2E).

Авторизацию планируется осуществлять с использованием списков контроля доступа (ACL) для постоянных объектов, например, для файлов и элементов в каталоге. Веб-приложения будут использовать доступ на основе ролей с помощью диспетчера авторизации.

Сеть компании Contoso

На рис. 4.4 показана полная реализация архитектуры управления идентификаторами и доступом компании Contoso.

Рис. 4.4. План сети инфраструктуры управления идентификаторами и доступом компании Contoso

Реализация архитектуры технологий управления идентификаторами и доступом компании Contoso предполагает следующее:

• Брандмауэр, изолирующий внешнюю службу Active Directory от внутренней сети.

• Отсутствие возможности прямого подключения к внутренней сети со стороны сети Интернет.

• Отсутствие возможности прямого подключения к внешней службе Active Directory со стороны сети Интернет.

• Отдельный лес для внешней сети.

• Наличие во внешней сети двух веб-серверов под управлением служб IIS 6.0, на которых расположены приложения компании для сотрудников департамента продаж и клиентов.

• Наличие в периметральной сети веб-сервера, на котором расположен распределительный пункт списка отозванных сертификатов (CRL), для выполнения проверки сертификатов, используемых сотрудниками при проверке подлинности для доступа к внешним приложениям.

• Приложение Lotus Notes выпуска 6.5.4 и сервер Sun ONE Directory Server 5.1, обеспечивающие службы в качестве части внутренней сети.

• Службы сертификатов для внутренней сети.

Платформа управления идентификаторами и доступом компании Contoso базируется на архитектуре WSSRA, разработанной корпорацией Майкрософт совместно с несколькими ведущими поставщиками оборудования и программного обеспечения. Архитектура WSSRA (ранее Microsoft Systems Architecture 2.0, или MSA) предлагает проверенные пошаговые инструкции для реализации крупномасштабных ИТ-инфраструктур на основе технологий Майкрософт.

Дополнительные сведения об архитектуре WSSRA см. на странице Эталонная архитектура серверных систем Windows.

Приложение A к настоящему документу содержит сведения о параметрах для настройки среды Contoso в среде тестирования Virtual PC (VPC) 2004.

К началу страницы

Возможные сценарии решений

Инфраструктура платформы Microsoft обеспечивает возможность использования следующих решений.

• Статистическая обработка и синхронизация идентификаторов между множественными каталогами.

• Управление паролями, включая распространение паролей во множественные каталоги.

• Управление доступом в интрасети, включая интеграцию UNIX и SAP со службой Active Directory.

• Управление доступом во внешней сети, включая поддержку для сред B2B, B2C и B2E.

• Разработка приложений ASP.NET с усиленным контролем прав, включая поддержку для разработки приложений интрасети и внешней сети.

Базовая стратегия компании предусматривает замену неэффективного администрирования управления цифровыми идентификаторами, выполняемого вручную, эффективным автоматизированным администрированием. Последующие документы в этой серии статей содержат дополнительные подробные сведения по каждой из целевых областей, отмеченных в следующих разделах.

Статистическая обработка и синхронизация идентификаторов

Для обеспечения статистической обработки и синхронизации идентификаторов в пределах организации, компанией Contoso было принято решение использовать MIIS 2003 с пакетом обновлений SP1 в качестве продукта для интеграции идентификаторов, интегрирующегося со всеми службами каталогов компании и другими хранилищами идентификаторов, включая:

• лес Active Directory в интрасети;

• лес Active Directory во внешней сети (содержащий учетные записи клиентов и партнеров, а также теневые учетные записи сотрудников);

• сервер Sun One Directory Server 5.1 (ранее iPlanet Directory Server);

• Lotus Notes выпуск 6.5.4.

Дополнительные сведения по этой теме см. в документе «Статистическая обработка и синхронизация идентификаторов» из этой серии статей.

Управление паролями

Для реализации эффективного управления паролями компанией Contoso были выбраны следующие компоненты.

• Групповая политика в службе Active Directory, обеспечивающая повышенную надежность и сложность паролей, а также предписывающая истечение срока действия пароля.

• Специальная DLL-библиотека фильтров паролей и уведомлений, позволяющая пользователям изменять их пароли в службе Active Directory, а затем распространяющая эти измененные пароли в другие каталоги и хранилища идентификаторов.

• MIIS 2003 с агентами управления (MA), которые управляют изменениями паролей во всех подключенных каталогах.

• Специальная служба Windows, использующая инструменты управления Windows (WMI) для обеспечения моста между контроллерами доменов службы Active Directory и агентами управления MIIS 2003. Использование этой комбинации позволит распространять изменения паролей в Lotus Notes выпуска 6.5.4 и Sun One Directory Server 5.1.

• Настраиваемое веб-приложение, поставляемое с MIIS 2003, которое предоставляет операторам справочной службы возможность сброса паролей пользователей в одном местоположении. MIIS 2003 затем распространяет изменения паролей в подключенные каталоги.

Дополнительные сведения см. в документе «Управление паролями» из этой серии статей.

Управление доступом в интрасети

Для управления доступом в интрасети компанией Contoso были выбраны следующие конфигурации средств:

• Применение протокола Kerberos версии 5 для выполнения проверки подлинности и для защиты данных.

• Использование контроллеров доменов службы Active Directory в качестве центров распространения ключей (KDC) для проверки подлинности с использованием протокола Kerberos версии 5.

• Включение поддержки приложениями в рамках рабочих мест SAP R/3 и UNIX проверки подлинности с использованием протокола Kerberos версии 5.

Дополнительные сведения см. в документе «Управление доступом в интрасети» из этой серии статей.

Управление доступом во внешней сети

Для управления доступом во внешней сети компания Contoso выбрала следующую архитектуру, обеспечивающую возможность предоставления доступа к веб-приложениям для партнеров, клиентов и сотрудников:

• Внешний лес Active Directory для управления учетными записями всех внешних пользователей.

• Самостоятельная регистрация для создания учетных записей клиентов в службе Active Directory.

• Службы Microsoft Passport для проверки подлинности клиентов и использования одноразовой идентфикации пользователя.

• Проверка подлинности на основе форм с шифрованием SSL для защиты последовательности проверки подлинности пользователей-партнеров.

• MIIS 2003 для инициализации теневых учетных записей сотрудников во внешнем лесу Active Directory.

• Диспетчер авторизации Microsoft Windows для авторизации на основе ролей.

• Службы Microsoft Certificate Services для инфраструктуры PKI.

• Службы IIS 6.0 для размещения веб-приложений.

• Сервер Microsoft Internet Security and Acceleration Server (ISA) для организации периметральной сети и контроля доступа между внутренней и внешней сетями.

Дополнительные сведения см. в документе «Управление доступом во внешней сети» из этой серии статей.

Разработка приложений ASP.NET с усиленным контролем прав

Для обеспечения согласованности при разработке приложений с усиленным контролем прав, компанией Contoso было принято решение применить следующие подходы:

• Использовать протокол Kerberos версии 5 для приложений интрасети.

• Использовать проверку подлинности Kerberos между веб-серверами приложений и внутренними ресурсами.

• Выполнить интеграцию проверки подлинности и авторизации со службой Active Directory, используемой в качестве единственной службы каталогов для приложений.

• Использовать контроль доступа на основе ролей в рамках веб-приложений и списки контроля доступа (ACL) для внутренних серверных ресурсов.

Дополнительные сведения см. в документе «Разработка приложений ASP.NET с усиленным контролем прав» из этой серии статей.

Загрузить

Получить серию статей по управлению идентификаторами и доступом от Майкрософт

Уведомления об обновлениях

Подписаться, чтобы получать уведомления об обновлениях и новых выпусках

Обратная связь

Отправить свои замечания или предложения

К началу страницы