Konfiguracja Direct Access Control - Składniki AD  Udostępnij na: Facebook

  • Artykuł

Autor: Krzysztof Zdrojewski

Opublikowano: 2012-10-08

Przed przeczytaniem tego artykułu powinieneś posiadać wiedzę o:

  • Microsoft Active Directory,
  • MMC,
  • Konfiguracji GPO,
  • Zarządzaniu Microsoft Windows 2008/2008 R2.

Implementacja

W obecnych, silnie rozproszonych systemach serwerowych zarządzanie bezpieczeństwem dokumentów nie jest proste. DAC jest nową technologią, dającą możliwość realizacji tego zadania. Mechanizm ten wykorzystuje dostępne w Windows 2012 komponenty autentykacji poprzez tzw. żądania (ang. claim). W tym artykule przedstawię konfigurację składników infrastruktury Active Directory, odpowiedzialnych za uwierzytelnianie, konfigurowanie oraz propagowanie odpowiednich parametrów funkcjonalnych. Celem prezentowanego przykładu jest przedstawienie sposobu konfiguracji żądań, właściwości zasobów oraz polityk dostępu do danych.

Konfiguracja Direct Access Control zostanie przeprowadzona w środowisku maszyn wirtualnych. Do tego celu zostaną użyte dwie maszyny wirtualne z systemem Windows 2012 Datacenter oraz klient z systemem Windows 8 Enterprise -

 

Schemat laboratorium

Rys. 1. Schemat laboratorium.

Celem, jaki należy osiągnąć jest ochrona danych finansowych, przechowywanych na serwerze plików w taki sposób, aby uprawnienia modyfikacji do nich miał tylko Departament Finansowy w Polsce, a wskazani użytkownicy z innych departamentów mieli dostęp do odczytu.

Określenie wymagań

Aby skutecznie zrealizować postawione zadanie, należy zaplanować czynności, które trzeba wykonać, co przedstawione zostało w Tab. 1. Spis czynności do wykonania.

Tab. 1. Spis czynności do wykonania.

Krok Opis  
1.1. Określenie formalne polisy Departament Finansowy posiada uprawnienia modyfikacji, a wskazani użytkownicy uprawnienia odczytu
1.2. Określenie polisy w formacie Windows 2012
Obiekt docelowy Resource.Departament zawiera Finansowy
Reguła dostępu Zezwalaj Modyfikacja User.Departament=Resource.Departament AND User.Kraj=Resource.Kraj
Wyjątek Zezwalaj Odczyt memberOf(FinanseWyjatek)
1.3. Określenie właściwości plików

Oznaczenie plików przy pomocy:

  • Departament
1.4. Określenie typów żądań i grup wymaganych przez polisę

Typy żądań:

  • Departament

Grupy użytkowników:

  • Finanse
  • FinanseWyjatek
1.5. Określenie serwerów plików, do których ma być zastosowana polisa Wszystkie serwery plików

* *

 

Konfiguracja składników i polityki DAC

Konfiguracja typów żądań:

  1. Zaloguj się na serwer w2k12-DC01 i uruchom narzędzie Active Directory Administrative Center.
  2. Kliknij rozwijalną listę z lewej strony, rozwiń Dynamic Access Control i wybierz opcję Claim Types.
  3. Z menu akcji po prawej stronie, w sekcji Claim Types wybierz New->Claim Type, jak na Rys. 2. Okno właściwości nowego obiektu Claim Type – Departament.

Okno nowego obiektu Claim Type – Departament

Rys. 2. Okno nowego obiektu Claim Type – Departament.

Ponieważ Windows Server 2012 jest zintegrowany z PowerShell, drugi obiekt Claim Type – Kraj zostanie utworzony przy jego pomocy.

  1. Na pasku zadań kliknij ikonę PowerShell.
  2. W oknie interpretatora wpisz polecenie:
New-ADClaimType Kraj_CT –SourceAttribute c –SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry(“PL”,”PL”,”Polska”))) – Description Kraj
  • Wciśnij Enter. Zostanie utworzony Claim Type o nazwie Kraj, zawierający jedną wartość do wyboru – Polska.
  1. Po zrealizowaniu tych czynności, powinny zostać utworzone dwa obiekty Claim Types, jak na Rys. 3. Utworzone obiekty Claim Types.

Utworzone obiekty Claim Types

Rys. 3. Utworzone obiekty Claim Types.

Po utworzeniu obiektów Claim Types, należy przypisać do nich właściwości. W tym celu:

  1. Kliknij rozwijalną listę z lewej strony, rozwiń Dynamic Access Control i wybierz opcję Resource Properties.
  2. W menu akcji, po prawej stronie w sekcji Resource Properties, wybierz New‑ > Reference Resource Property.
  3. W polu Select a claim type to share its suggested value list kliknij Kraj.
  4. W polu Display name wpisz Kraj i kliknij OK.
  5. W menu akcji, po prawej stronie w sekcji Resource Properties, wybierz New‑ > Resource Property.
  6. W polu Display Name wpisz Departament, w sekcji Suggested Values kliknij Add i dodaj Departamenty: Administracji, IT i Finansowy, jak na Rys. 4. Właściwości zasobu Departament.

Właściwości zasobu Departament

Rys. 4. Właściwości zasobu Departament.

  1. Zasoby można również utworzyć przy pomocy PowerShella. W tym celu:
  • jeżeli konsola PowerShell została zamknięta, należy wykonać krok z pkt. 4.,
  • jeżeli konsola jest otwarta, należy wydać polecenia:
New-ADResourceProperty Kraj  -IsSecured $true -ResourcePropertyValueType MS-DS-MultivaluedChoice -SharesValuesWith Kraj_CT
New-ADResourceProperty Departament  -IsSecured $true -ResourcePropertyValueType MS-DS-MultivaluedChoice -SharesValuesWith Departament_CT
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Kraj_88cf63b9d4d912a6
Add-ADResourcePropertyListMember "Global Resource Property List" -Members Department_88cf63bc462c8e3a
  • powyższe polecenia utworzą dwa obiekty typu ResourceProperty i dodadzą je do globalnej listy atrybutów.

 Następną czynnością jest utworzenie reguły dostępu. W tym celu:

  1. Kliknij rozwijalną listę z lewej strony, rozwiń Dynamic Access Control i wybierz opcję Access Rule.
  2. W menu akcji, po prawej stronie w sekcji Access Rule, wybierz New‑ > New access Rule.
  3. W polu Name wpisz „Reguła Dane Departamentu Finansowego”, a w polu Description wpisz „Reguła dostępu do danych Departamentu Finansowego”.
  4. W sekcji Target Resources kliknij przycisk Edit. W uruchomionym oknie Central Access Rule, kliknij link Add a condition, znajdujący się w lewym dolnym rogu okna. Dodaj następujący warunek: [Resource][Departament][Equals][Value][Finansowy] i kliknij OK.
  5. W sekcji Permissions wybierz opcję Use following permisions as current permissions, kliknij Edit, a w oknie Advanced Security Settings for Permissions kliknij Add.
  6. W oknie Permission Entry for Permissions kliknij Select a Principal, wpisz Authenticated Users i kliknij OK.
  7. W oknie Permission Entry for Permissions kliknij Add a condition i dodaj następujący warunek: [User][Departament_CT][Any of][Resource][Departament]. Kliknij Add a condition [AND].
    Kliknij [User][Kraj_CT][Any of][Resource][Kraj]. Ustaw uprawnienia na Modify.
  8. Kliknij OK, a następnie Add, wybierz Select a principal, wpisz FinanseWyjatek i kliknij OK.
  9. Ustaw uprawnienia na Read i kliknij OK.
  10. Kliknij dwukrotnie OK, aby pozamykać okna i wrócić do konsoli Active Directory Administrative Center.
    Ostatnią czynnością, jaką należy wykonać, aby skonfigurować Active Directory, jest utworzenie polityki dostępu. W celu utworzenia polisy:
  11. Kliknij rozwijalną listę z lewej strony, rozwiń Dynamic Access Control i wybierz opcję Central Access Policies
  12. W menu zadań po prawej stronie, kliknij New‑ > Central Access Policy.
  13. W polu Name wpisz Polityka Departamentu Finansowego.
  14. W sekcji Member Central Access Rules kliknij Add. W oknie Add Central Access Rules kliknij dwukrotnie w lewym oknie na utworzonej regule, po czym kliknij OK.
  15. Kliknij OK. W tym momencie powinna zostać utworzona centralna polisa.

Podsumowanie

Artykuł ten w sposób poglądowy przedstawił sposoby konfiguracji podstawowych elementów Direct Access Control w infrastrukturze Active Directory. Skonfigurowane zostały ustawienia dotyczące żądań, właściwości zasobów oraz polityki dostępu do danych. W następnym artykule zostanie przedstawiona konfiguracja od strony fizycznej infrastruktury serwerowej.