AD RMS: Часть 1 – развертывание

  • Статья

Илья Рудь

Несмотря на то, что служба AD RMS в Windows 2008 R2 является уже четвертым выпуском службы управления правами, она по-прежнему остается «редким зверем» в зоопарке ИТ-решений российских системных администраторов. Ответить на вопрос, почему так сложилось, довольно сложно, возможно, отчасти из-за недопонимания сути технологии и некоторых требований к уже имеющейся инфраструктуре, отчасти из-за ее несколько показушной защиты. Я не буду пытаться хвалить или наоборот выливать ушат грязи на AD RMS, а попытаюсь провести некий экскурс по ее настройке и администрированию, дабы читатель сам смог решить вопрос о необходимости подобного решения.

Отличие AD RMS от других средств защиты данных

Согласно модели защиты «Defense-in-Depth» на каждом из 7 уровней действуют свои средства обеспечения безопасности и если начать их перечислять, то станет понятно, подавляющее их большинство препятствует получению злоумышленником доступа к данным компании. И только лишь шифрование остается последнее преградой, когда информация находится в руках у злоумышленника. Задача AD RMS –сохранить конфиденциальность данных, при этом добавив гибкости и свободы в их распространении.

Пример из жизни. Вы хотите опубликовать в рамках своего департамента эл. документ, распространение будет осуществляться самыми различными способами (эл. почта, копирование по сети, CD, Flash-носители). При всем этом у вас есть строгое требование: ограничить круг читателей документа сотрудниками вашего департамента, а также быть уверенным в том, что документ не будет модифицирован или распечатан. Это задача вполне под силу AD RMS.

Вывод. AD RMS создан для обеспечения конфиденциальности документов независимо от способа хранения и распространения. Документы, защищенные AD RMS, шифруются, а автор может устанавливать разрешения для тех, кто получит доступ к данным.

Список возможных ограничений прав:

  • Чтение, Изменение, Печать
  • Срок действия документа
  • Запрет пересылки электронного письма
  • Запрет печати электронного письма

Клиентскими операционными системами могут выступать:

  • Windows 2000
  • Windows XP
  • Windows 2003 /2003 R2
  • Windows Vista
  • Windows 7
  • Windows Server 2008 /2008 R2
  • Windows Mobile 6

При наличии продуктов Exchange Server 2007 SP1 и SharePoint Server 2007 после установки AD RMS появляются дополнительные средства обеспечения безопасности. В частности в SharePoint Server 2007 появится возможность защищать библиотеки документов.

Необходимые условия для внедрения.

Как я уже сказал, AD RMS выдвигает определенные требования к существующей ИТ-инфраструктуре. Для того, что бы понять, как будет выглядеть наше решение, предлагаю рассмотреть Рис.1

image

Рис. 1. Компоненты решения AD RMS

Стартовой площадкой и обязательным условием является наличие работоспособной службы Active Directory Domain Services (AD DS). При этом контроллер домена обязан быть на базе Windows Server 2000 SP3 или более поздних версий ОС. AD RMS перекладывает на службу AD DS задачу аутентификации и хранит в каталоге необходимый клиентам URL группы AD RMS серверов. Все пользователи и группы пользователей, которые будут работать с AD RMS должны иметь адрес электронной почты, настроенный в Active Directory DS. Это необходимо для получения доступа к защищенному содержимому и самостоятельной публикации защищенных документов.

Как и большинство продуктов Microsoft AD RMS требует наличия сервера баз данных, а именно SQL-сервера. Поскольку мы говорим об AD RMS на платформе Windows Server 2008 R2, то следует учесть отсутствие поддержки Microsoft SQL Server 2000. Поэтому в качестве SQL-сервера следует использовать версии Microsoft SQL 2005/2008. При отсутствии SQL допускается использование внутренней базы Windows (Windows Internal Database), что сразу накладывает ограничение в использовании только одного сервера AD RMS.

Клиентами могут выступать операционные системы Windows 2000, Windows XP и Windows 2003; при этом для работы с AD RMS на них будет необходимо установить клиентскую часть (AD RMS Client), скачиваемую с сайта Microsoft. С выходом Windows Vista SP1 и Windows 7 ситуация несколько упростилась, теперь клиент RMS интегрирован и дополнительной установки не требует. С версиями Microsoft Office также есть определенный нюанс, так Office 2007 Ultimate, Professional Plus, Enterprise дают возможность как защищать документы, так и пользоваться защищенными. В то время как более дешевые выпуски допускают только работу с уже защищенными файлами.

Ну и наконец, сам AD RMS сервер. С появлением Windows Server 2008/2008 R2 служба управления правами изменила имя и стала компонентом операционной системы, устанавливаемым как роль сервера. Эта роль отвечает за предоставление лицензий контроля доступа к содержимому. При установке первого AD RMS сервера, создается корневой кластер AD RMS. Для повышения отказоустойчивости и доступности впоследствии возможно добавить к корневому кластеру дополнительные AD RMS сервера. Важно понимать, что в лесу Active Directory может существовать только один корневой кластер AD RMS и несколько дополнительных AD RMS серверов лицензирования. Фактически AD RMS licensing-only сервер представляет собой филиальное решение, которое может быть развернуто для увеличения производительности и понижения использования WAN-канала в случае нахождения клиентов и AD RMS кластера в разных сайтах.

Развертывание

Самый просто способ понять AD RMS и разобраться в его работе – это настроить самостоятельно тестовый стенд. Развертывание я буду производить в виртуальной среде, состоящей из двух серверов: Server1 и Server2.

Server1.

ОС: Windows 2008 R2

Является контроллером домена (itband.ru) в лесу Active Directory уровня Windows 2008 R2. Сетевой интерфейс сконфигурирован следующим образом: IP – 192.168.0.1; Маска подсети: 255.255.255.0; DNS – 192.168.0.1. Для тех, кто испытывает трудности с настройкой службы AD DS, я записал видео-демонстрацию. Скачать Видео «Поднятие первого контроллера домена в лесу (Server1)» можно по этой ссылке.

Поскольку AD RMS требует для работы SQL-сервер и при настройке создает две базы данных (Configuration Databaseи Logging Database) мы установим его (SQL) на Server1. При настройке я использовал SQL Server 2008 Standart x64; сразу замечу, что из всего многообразия компонент SQL для AD RMS нужны компоненты Database Engine и полный набор Средств Управления. После инсталляции SQL Server 2008 в обязательном порядке требуется установка пакета обновления SP1, который добавляет совместимости с Windows 2008 R2. Читателям, не имеющим опыта инсталляций SQL Server 2008, будет интересно видео «Установка SQL Server 2008 на Server1», которое скачивается по ссылке.

Server2.

ОС: Windows 2008 R2

Данный сервер нам и предстоит настроить, установив на нем службу управления правами Active Directory. Сервер является членом домена itband.ru, со следующей конфигурацией сети: IP – 192.168.0.2; Маска подсети: 255.255.255.0; DNS – 192.168.0.1.

Запускаем «Диспетчер сервера» и открываем добавление новых ролей.

ad2

Прошу заметить, что AD RMS создает веб-сервис, и поэтому на нашем сервере должен быть установлен веб-сервер IIS с включенным ASP.NET; впрочем, добавление IIS производится автоматически при запуске установки AD RMS.

ad3

Служба AD RMS состоит из двух компонентов «Сервер управления правами Active Directory» и «Поддержка удостоверений в службе федераций». Нас интересует первый компонент. «Поддержка удостоверений в службе федераций» требуется в случае развертывания AD RMS в среде, состоящей из нескольких независимых компаний. Мы же создаем решение, которое будет использоваться только нашими сотрудниками, поэтому данную опцию опускаем.

ad4

Дальше все просто, мастер спрашивает, желаем ли мы создать новый кластер AD RMS или хотим добавить сервер AD RMS в уже существующий. Поскольку это первый сервер управления правами в нашей сети, оставляем вариант «Создать новый кластер». (Другой вариант, собственно, нам выбрать и не позволено).

ad5

На следующем окне, мы обязаны указать место хранения базы конфигурации AD RMS и вариантов у нас несколько. Первый: «Использовать внутреннюю базу данных Windows», – с одной стороны плюс в том, что SQL становится не нужен, но недостаток заключается в невозможности впоследствии добавить к ферме дополнительные сервера. Поэтому, выбираем другой сервер баз данных и прописываем Server1 (а именно на нем у нас стоит SQL).

На данном этапе можно столкнуться с трудностью. При попытке получить экземпляры SQL-сервера и проверить их, сервер задумывается и сообщает о невозможности завершения операции. Все довольно просто, проблема в брандмауэре на Server1, который блокирует нужные для SQL порты. Поэтому знакомимся со статьей «Как настроить брандмауэр Windows для доступа к компоненту Database Engine» либо качаем короткое видео, где эта процедура демонстрируется.

image

Я поступил просто и разрешил работу Sqlservr.exe через брандмауэр, фактически же нас интересует открытие портов 1433 и 1434.

ad6

После выбора сервера баз данных, необходимо указать учетную запись, от имени которой будет работать служба управления правами. Обыкновенного доменного пользователя будет достаточно. Не забываем отключить устаревание пароля для нее и запрет смены.

Важно. Если роль AD RMS устанавливается на контроллере домена, у учетной записи должны быть полномочия доменного администратора, что с точки зрения безопасности совсем не здорово. Поэтому такая инсталляция очень сильно расходится с «Best Practice».

ad7

При настройке кластера создается ключ, которым будут подписываться лицензии, выдаваемые клиентам. Также ключ понадобится при добавлении нового AD RMS сервера или при восстановлении после сбоя. Возникает вопрос «Где он будет храниться?» AD RMS имеет собственное защищенное хранилище, выбор которого является предпочтительным вариантом, поскольку позволяет сделать ключ доступным всем AD RMS серверам и требует минимум участия администратора. Поэтому я остановился на варианте «Использовать централизованное хранилище ключей». В противном случае ключ сохранится в локальном защищенном хранилище и распространять его придется вручную.

ad8

Далее задаем пароль, которым будет зашифрован ключ кластера. Пароль должен быть сложным и поступать с ним по принципу «ввел и забыл» ни в коем случае нельзя. При добавлении второго AD RMS сервера или восстановлении первого, вам придется его вспоминать.

ad9

Указываем на каком веб-сайте будет запущен веб-сервис AD RMS. Я не стал изобретать велосипед и оставил веб-сайт по умолчанию.

ad10

Теперь надо указать имя и порт, по которому пользователи будут подключаться к AD RMS кластеру. Поскольку безопасность превыше всего, я выбрал SSL. Имя, по которому пользователи будут обращаться к кластеру, я задал adrms.itband.ru, не забыв при этом создать на DNS-сервере CNAME-запись ссылающуюся на Server2.

ad11

Выбор имени и порта особенно важен, если учесть, что впоследствии эти данные будет невозможно поменять.

ad12

Так как на предыдущем экране мы сказали, что подключения к кластеру AD RMS будет осуществляться по протоколу https, у мастера возникает резонный вопрос «Где сертификат веб-сервера для установки безопасного канала?»

Варианты действий:

1. Создать самоподписанный сертификат. Самый простой путь, но к сожалению абсолютно непригодный для реальных сценариев развертывания. Ибо кроме IIS-сервера, этот сертификат придется запихивать на каждого клиента.

2. Выбрать существующий сертификат SSL. Т.е. каким то центром этот сертификат уже должен быть выдан. Вариантов два: купить сертификат у коммерческого CA либо настроить свой СА на базе Active Directory Certificate Services. У каждого пути свои плюсы и минусы. Моя точка зрения следующая: если вы планируете получать доступ к документам, защищенным AD RMS с компьютеров расположенных за пределами вашей корпоративной сети, то лучше купить сертификат у коммерческого центра. В противном случае, свой центр сертификации – более дешевый, более быстрый и более логичный пусть. Именно эти путем и будем следовать мы, но, как вы могли заметить, Active Directory Certificate Services я не настраивал, поэтому пока выбираю третий вариант.

3. Выбрать сертификат для шифрования SSL позднее. Установку мы сможем продолжить, но для работы AD RMS сертификатом придется разжиться позднее.

ad13

Вводим имя AD RMS кластера, оно должно быть простым и понятным, по умолчанию именем кластера является имя первого сервера.

ad14

Далее мастер спрашивает, регистрировать ли сейчас точку подключения службы AD RMS. Service connection point (SCP или точка подключения) не что иное, как запись URL-а (ссылки) на ваш кластер, которая хранится в базе AD DS и естественно будет доступна членам вашего домена, которые могут захотеть к этому кластеру подключиться. И вот когда они захотят, то возьмут URL кластера прописанный в SCP. Если процедура установки запущена от учетной записи, входящей в группу Enterprise Administrators (Администраторы предприятия), то регистрацию можно выполнить сразу.

ad15

Настройки AD RMS закончены, и мастер переходит к веб-серверу IIS. IIS 7 в Windows 2008 стал до неприличия модульным и предлагает указать, какие компоненты необходимо установить. В оригинальной инструкции по установке AD RMS предлагается оставить компоненты, заданные мастером установки и перейти далее. Я же в своей инсталляции выбрал все компоненты, кроме FTP-сервера.

ad16

Все параметры введены, и стартует мастер установки, чьего окончания работы необходимо дождаться.

ad17

Если вы все делали правильно, и луна находилась в нужной фазе, по окончанию работы мастера установки должно появиться окно, говорящее об успешности добавления ролей и необходимости завершения сеанса с повторным входом перед дальнейшей работой с AD RMS.

Теперь главной задачей является получение сертификата для веб-сервера IIS, используемого нашей службой AD RMS. Поскольку я не собираюсь покупать сертификат, то на Server1 добавляю роль Active Directory Certificate Services. Никакого дополнительного конфигурирования она не потребует, но если у вас возникнут с ней трудности, то скачиваем видео “Установка AD CS”.

ad18

Установив Службу Сертификации на Server1, возвращаемся на AD RMS (Server2) и открываем оснастку Диспетчер служб IIS. В ней на уровне веб-сервера ищем значок Сертификаты сервера и запускаем его.

ad25

В действиях выбираем «Создать сертификат домена» и заполняем необходимую для сертификата информацию. Полное имя должно нести FQDN вашего кластера AD RMS. В противном случае, при подключении к кластеру вы получите ошибку, говорящую о том, что сертификат был выдан совершенно для другого узла. Делаем все правильно и следуем далее.

ad26

В следующем окне надо задать два блока, первый определяет центр сертификации; если все работает нормально, то задать его можно по кнопке «Выбрать». Второй блок – «Понятное имя»– имя данного сертификата, по которому его сможет легко отличить администратор.

ad27 - копия

Если предыдущий шаг завершился успешно, на вашем сервере появился выданный сертификат, но пока он не используется. Это положение легко исправить, открыв Default Web Site и выбрав действие «Привязки». В открывшемся окне изменяем подключение по https, указав прослушиваемый IP-адрес и используемый сертификат. Если возникли трудности с оснасткой IIS – качаем видео «Запрос и установка сертификата для IIS».

Вот и все, развертывание службы AD RMS завершено. Что дальше? Дальше будет установка через Групповые политики на старые ОС клиента RMS, прописывание адресов для пользователей, настройка шаблонов и многое-многое другое. Все это будет описано в следующих частях серии, посвященной Active Directory Rights Management Services.