Dynamic Access Control ! //Demo builder/
Στο 36οCommunity event στη Θεσσαλονίκη είχα την ευκαιρία να παρουσιάσω τη νέα δυνατότητα των Windows Server 8 εν ονόματι Dynamic Access Control. Υποσχέθηκα πως θα γράψω και στο blog για την εμπειρία του Dynamic Access Control (DAC) καθώς και θα προσπαθήσω να απαντήσω σε κάποιες ερωτήσεις που είχα σχετικά με αυτό.
Καταρχήν τι είναι το Dynamic Access Control.
Το Dynamic Access Control είναι η δυνατότητα των Windows για κατηγοριοποίηση και εφαρμογή δυναμικών λιστών πρόσβασης στα αρχεία των χρηστών. Με αυτό τον τρόπο μπορούμε να προστατέψουμε τα αρχεία από μη εξουσιοδοτημένη πρόσβαση. Μπορεί να ακούγεται απλό μα οι αλλαγές στο Active Directory και στο σύστημα αρχείων είναι τεράστιες.
Μέχρι πρότινος οι διαχειριστές θα έπρεπε να φτιάξουν ομάδες χρηστών Groups και να δώσουν την ανάλογη πρόσβαση στα αρχεία , στα πρότυπα του Role Based Access Control. Δηλαδή το τί πρέπει να δει κανείς βάσει του ρόλου του στην εταιρεία που προσδιορίζοταν με χρήση των ομάδω χρηστών (Groups). Κατέληγαν λοιπόν κάποιες φορές να έχουν περισσότερες ομάδες χρηστών για διαχείριση της πρόσβασης από τους πραγματικούς χρήστες.
Ο σημερινός όμως όγκος των δεδομένων , μαζί με την πίεση του χρόνου και την ανάγκη για συμμόρφωση με πρότυπα που μέχρι χτες αγνοούσαμε , κατέστησαν τον κλασσικό τρόπο ελέγχου πρόσβασης ανεπαρκή.
Ανεπαρκής γιατί θα έπρεπε καταρχήν οι χρήστες να ήταν εκπαιδευμένοι να αποθηκεύουν στους σωστούς φακέλους τα αρχεία για να τα προστατεύσουν από ανεπιθύμητη πρόσβαση.
Ανεπαρκής γιατί δεν υπήρχε κεντρική διαχείριση για την πρόσβαση και έπρεπε ο διαχειριστής να την ορίζει σε πολλούς και διαφορετικούς Servers.
Ανεπαρκής γιατί οι δυνατότητες επιλογής των χρηστών για την πρόσβαση ήταν περιορισμένες σε 2. Πρόσβαση με βάση την ομάδα ή τον χρήστη.
Ανεπαρκής γιατί η απάντηση προς την προσπάθεια του χρήστη για πρόσβαση ήταν Ναι/Όχι που τον άφηνε χωρίς περαιτέρω ενημέρωση για το πώς μπορεί να λύσει το πρόβλημά του
Στον Windows Server 8 λοιπόν έρχεται η απάντηση σε όλα τα παραπάνω, ας δούμε λίγο την αρχιτεκτονική
Στο Active Directory προστέθηκε η διαχείριση των Claim Based Access Control. Της διαχείρισης πρόσβασης βάσει δικαιωμάτων.
Η πρόσβαση δηλαδή βάσει των δικαιωμάτων όπως , σε ποια ομάδα ανήκει ο χρήστης , σε ποιο τμήμα, τι άδεια πρόσβασης έχει και όλες τις ιδιότητες του χρήστη που βρίσκονται στο Active Directory. Μπορούμε πλέον να δώσουμε πρόσβαση βάσει δικαιώματος του τηλεφώνου,της διεύθυνσης ή του τμήματος! Όσοι έχουν αριθμό που ξεκινάει από 697 και όσοι είναι στην οδό Κηφισίας παραδείγματος χάρη.
Πρέπει όμως να κατηγοριοποιηθούν και οι πόροι, τα αρχεία δηλαδή. Ακολουθώντας την ίδια ακριβώς λογική. Μπορούμε να χαρακτηρίσουμε ένα έγγραφο προσθέτοντας Tags ως έγγραφο λογιστηρίου, εμπιστευτικό έγγραφο που περιέχει απόρητες πληροφορίες και οτιδήποτε άλλο μπορεί να φανταστεί ο ανθρώπινος νους.
Οι συνδυασμοί είναι πραγματικά αμέτρητοι.
Τα Claims και τα Resource Property Definitions δένονται μαζί και φτιάχνουν μια κεντρική πολιτική πρόσβασης (Central Access Policies).
Στο group policy φτιάχτηκαν οι κατάλληλες πολιτικές για να μπορούμε να επιβάλουμε αυτές τις πολιτικές μαζικά μέσα στο Domain.
Στους File Servers προστέθηκε η επιβολή των πολιτικών στα αρχεία καθώς και ο τρόπος αυτόματης κατηγοριοποίησης αυτών με ή χωρίς την παρέμβαση του διαχειριστή.
Επειδή όμως αυτή η τεχνολογία προσωπικά μου έχει κινήσει πάρα πολύ το ενδιαφέρον δεν θέλω να μείνω πολύ στη λογική του Dynamic Access Control θα περάσω κατευθείαν στο Demo να το φτιάξουμε να το δούμε πως παίζει και να κρίνουμε μαζί αν μας κάνει για την καθημερινότητά μας.
Για να δούμε ένα Demo θα χρειαστούμε 3 μηχανές. Έναν Domain Controller και ένα File Server με Windows Server 8 και ένα υπολογιστή με Windows 8. Διάλεξα 1 gigabyte μνήμης , 2 επεξεργαστές και ένα δυναμικό δίσκο των 127 gigabyte για να τρέξω 3 διαφορετικές εικονικές μηχανές. Οι πόροι είναι επίτηδες τόσο χαμηλοί για να δείτε και κάτι ακόμη τρομερό, πόσο λίγους χρειάζεται πραγματικά. Και επειδή δεν είμαι έτοιμος ψυχολογικά για να στήσω κάποιου είδους πρόσβασης με βάσει χαρακτηριστικά με Claims όπως τηλέφωνα και τμήματα και και και , αποφάσισα να το κάνω με ένα Group για να δοκιμάσω αν όντως μπορώ να στείλω δυναμικές λίστες στο Domain μου σήμερα. Μην πάμε στη δουλειά και είμαστε με τα μούτρα κάτω για την παλιοζωή και τα Groups !
Ξεκίνησα με τον Domain Controller και έστησα ένα Domain με όνομα domain8.local στο οποίο έφτιαξα τις παρακάτω οργανωτικές δομές ( OU) με τη βοήθεια της κονσόλας Active directory administrative Center.
Domain8\Domain
Domain8\Domain\Accounting στο οποίο έφτιαξα ένα χρήστη τον Accountant , το λογιστή της εταιρείας.
Domain8\Domain\Billing στο οποίο έφτιαξα ένα χρήστη τον Billing ,τον υπεύθυνο τιμολόγησης και ένα Group το οποίο ονόμασα BillingGroup για να δοκιμάσω τις πολιτικές βάσει group.
Domain8\Clients στο οποίο έβαλα τον υπολογιστή πελάτη.
Domain8\Servers στο οποίο έβαλα τον File Server .
Στην κονσόλα του Active Directory Administrative Center διάλεξα το claims based access από αριστερά και έπειτα το Resource Properties. Εκεί θα παρατηρήσετε ένα κατεβατό από έτοιμες πολιτικές για την διαχείριση. Έφτιαξα λοιπόν μια νέα ιδιότητα που την ονόμασα Invoices, τιμολόγια δηλαδή και δήλωσα πως αφορά κείμενο. Ξεχωρίζει αμέσως γιατί δεν έβαλα περιγραφή!
Αποθήκευσα αυτή την ιδιότητα και πέρασα στο Central Access Rules. Εδώ στη ουσία φτιάχνεται η πολιτική πρόσβασης. Έφτιαξα μια πολιτική που ονόμασα InvoiceRule και έδωσα ως στόχο για την αναζήτηση πόρων τη λέξη «τιμολ» . Έστησα δηλαδή μια πολιτική για πόρους που έχουν το tag ,την ιδιότητα με τη λέξη αυτή ,που όταν την βρίσκει ο Server θα αλλάζει την πρόσβαση και θα περνάει τη νέα που μπορείτε να επιλέξετε στο Current Permissions.Εκεί απλά πρόσθεσα το group Billing το οποίο περιέχει και τους χρήστες που θέλω να έχουν πρόσβαση.Συγκεκριμένα τον χρήστη Billing.
Και αφού διάλεξα τον τύπο και τον κανόνα , έφτιαξα και μια πολιτική στο Central Access Policies που την ονόμασα BillingRulesForceApply για να την περάσω στους File Servers.
Και φυσικά διάλεξα μέσα στην πολιτική τον κανόνα InvoiceRule.
Για να γίνει αυτόματα η διαδικασία , άλλωστε τι Domain έχουμε θα πέσει να μας πλακώσει!, επέλεξα το Group policy.
Εκεί έφτιαξα μια νέα πολιτική στο OU Servers που την ονόμασα Populate File Server Access Policies For Compliance.
Μέσα στην πολιτική πήγα στο Computer Configuration\Windows Settings\File System. Στη δεξιά μεριά που είναι όλα λευκά σαν όνειρο πάτησα δεξί κλικ και έπειτα κλικ στο Manage Central Access Policies διάλεξα την BillingRulesForceApply και την πρόσθεσα στις Applicable, σε αυτές δηλαδή που θα διαβάζει αυτόματα.
Έκλεισα όλες τις κονσόλες και πέρασα στο File Server. Πρόσθεσα το ρόλο του File Server και διάλεξα το ρόλου του File Server. Επίσης από τα Feature διάλεξα το Remote Server Administration Tools > File Server Resource Manager και στη συνέχεια το FSRM.
Άνοιξα την κονσόλα File Server Resource Manager. Στο νέο δένδρο στην αριστερή πλευρά διάλεξα το Classification Management και το Classification Properties στη συνέχεια.
Το Classification properties είναι ο τύπος της κατηγοριοποίησης που θα κάνει ο Server. Μπορείτε να δείτε πως ήρθε μόνη της η κατηγορία Invoices έγινε κατανάλωση απο το Active Directory , έχει Global Scope και είναι και ασφαλής μιας που έρχεται από το Domain . Έχει στόχο φακέλους και αρχεία και παίρνει τιμές κειμένου.
Αφού είναι στη θέση της η ιδιότητα περνάμε στο Classification Rules. Εδώ θα πούμε το Server να κατηγοριοποιήσει τα δεδομένα. Έφτιαξα λοιπόν έναν φάκελο στο δίσκο από την εξερεύνηση των Windows στη θέση C:\company_data και τον έκανα κοινόχρηστο . Επέστρεψα στην κονσόλα και έφτιαξα έναν καινούργιο κανόνα τον οποίο ονόμασα InvoiceTaggingRule.Έδωσα ως στόχο τον κατάλογο C:\company_data. Στην εικόνα θα δείτε και το Folder Usage το οποίο αναφέρει τη χρήση του φακέλου αν θέλουμε να κατηγοριοποιήσουμε τα αρχεία βάσει του τι περιεχόμενο περιμένουμε να έχει ο φάκελος. Η επιλογή κατηγορίας γίνεται από τη κονσόλα της δημιουργίας κοινόχρηστων φακέλων στο Server Manager του File Server. Δε θέλουμε όμως βάση φακέλου για αυτό το παραβλέπω.
Στο Classification διάλεξα Content Classifier έτσι ώστε να κατηγοριοποιήσει ο Server βάσει περιεχομένου των αρχείων, διάλεξα την ιδιότητα invoices που έρχεται από το Active Directory και έγραψα τη λέξη «τιμολ» ως επιθυμητή ιδιότητα. Στα Expressions έβαλα τη λέξη «τιμο» . Στο τελευταίο Tab διάλεξα να γίνεται ξανά κατηγοριοποίηση και να ξανά γράφει τις ιδιότητες έτσι ώστε να είναι αδιάβλητο σε αλλαγές.
Μερικά tips για την κατηγοριοποίηση. Καταρχήν μπορεί να γίνει είτε αυτόματα με κάποιον κανόνα όπως αυτόν που φτιάξαμε, είτε χειροκίνητα από τους χρήστες ή τους διαχειριστές. Η κατηγοριοποίηση μπορεί να προσθέτει τιμές στα Tags των αρχείων είτε βάσει λέξεων που περιέχουν είτε κατηγορίας φακέλου είτε με συνδυασμό των δύο.
Αφού τα έφτιαξα λοιπόν όλα τα παραπάνω δημιούργησα δύο αρχεία κειμένου. Στο ένα έβαλα τη λέξη Acc50-00 και στο άλλο διάφορες λέξεις καθώς και τη λέξη «τιμολόγιο».
Για να μην περιμένω για πάντα διάλεξα από την κονσόλα του File Server Resource Manager να τρέξει η κατηγοριοποίηση άμεσα. Μπορείτε πάντα να αλλάξετε τις επιλογές για το Classification Tagging, με δεξί κλικ στο File Server Resource Manager και έπειτα στο Tab Automatic Classification. Εκεί μπορείτε να ορίσετε και συνεχές ωράριο ,για 24 ώρες το 24ωρο tagging.
Μόλις τελείωσε επιβεβαίωσα πως πρόσθεσε την τιμή «τιμολ» στο ένα από τα δύο αρχεία που έφτιαξα.
Συνδέθηκα στο τερματικό με το λογαριασμό του Billing και δοκίμασα να ανοίξω το αρχείο, voila ! Πρόσβαση χωρίς να έχω κάνει τίποτα ούτε στο αρχείο ούτε στο φάκελο.
Το μόνο που απέμενε πλέον ήταν να συνδεθώ με το λογαριασμό του Accountant στο τερματικό , να πλοηγηθώ στο Server μου και στον κοινόχρηστο φάκελο Company_Data και να δώ το Access Denied error! Επαναλαμβάνω ΧΩΡΙΣ ΝΑ ΕΧΩ ΚΑΝΕΙ ΤΙΠΟΤΑ ΣΤΟ ΦΑΚΕΛΟ Η ΣΤΟ ΑΡΧΕΙΟ.
Το Dynamic Access Control είναι μια φοβερή δυνατότητα , θα αφαιρέσει ένα τεράστιο διαχειριστικό βάρος αφού θα κάνουμε τα μισά πράγματα για να προσθαφαιρέσουμε πρόσβαση και θα μας δώσει τη δυνατότητα διαχείρισης πρόσβασης με βάση χαρακτηριστικά όλων των ειδών και όχι ομάδες χρηστών. Και αυτό είναι μόνο η αρχή!
Η νέα προοπτική μας δίνει νέους τρόπους να καταναλώσουμε το Active Directory!
Περιμένω με ανυπομονησία την πρώτη Release Candidate του Windows Server 8 για να δοκιμάσω περισσότερα πάνω στο Active Directory ! Εσείς;
Αν δοκιμάσετε το Demo και κολλήσετε κάπου μπορείτε να με ρωτήσετε εδώ ή στο Forum.
5 Comments
Recommended Comments