Jump to content
Sign in to follow this  
  • entries
    26
  • comments
    17
  • views
    19106

Dynamic Access Control ! //Demo builder/

Sign in to follow this  
giotis

678 views

Στο 36οCommunity event στη Θεσσαλονίκη είχα την ευκαιρία να παρουσιάσω τη νέα δυνατότητα των Windows Server 8 εν ονόματι Dynamic Access Control. Υποσχέθηκα πως θα γράψω και στο blog για την εμπειρία του Dynamic Access Control (DAC) καθώς και θα προσπαθήσω να απαντήσω σε κάποιες ερωτήσεις που είχα σχετικά με αυτό.

Καταρχήν τι είναι το Dynamic Access Control.

Το Dynamic Access Control είναι η δυνατότητα των Windows για κατηγοριοποίηση και εφαρμογή δυναμικών λιστών πρόσβασης στα αρχεία των χρηστών. Με αυτό τον τρόπο μπορούμε να προστατέψουμε τα αρχεία από μη εξουσιοδοτημένη πρόσβαση. Μπορεί να ακούγεται απλό μα οι αλλαγές στο Active Directory και στο σύστημα αρχείων είναι τεράστιες.

Μέχρι πρότινος οι διαχειριστές θα έπρεπε να φτιάξουν ομάδες χρηστών Groups και να δώσουν την ανάλογη πρόσβαση στα αρχεία , στα πρότυπα του Role Based Access Control. Δηλαδή το τί πρέπει να δει κανείς βάσει του ρόλου του στην εταιρεία που προσδιορίζοταν με χρήση των ομάδω χρηστών (Groups). Κατέληγαν λοιπόν κάποιες φορές να έχουν περισσότερες ομάδες χρηστών για διαχείριση της πρόσβασης από τους πραγματικούς χρήστες.

Ο σημερινός όμως όγκος των δεδομένων , μαζί με την πίεση του χρόνου και την ανάγκη για συμμόρφωση με πρότυπα που μέχρι χτες αγνοούσαμε , κατέστησαν τον κλασσικό τρόπο ελέγχου πρόσβασης ανεπαρκή.

Ανεπαρκής γιατί θα έπρεπε καταρχήν οι χρήστες να ήταν εκπαιδευμένοι να αποθηκεύουν στους σωστούς φακέλους τα αρχεία για να τα προστατεύσουν από ανεπιθύμητη πρόσβαση.

Ανεπαρκής γιατί δεν υπήρχε κεντρική διαχείριση για την πρόσβαση και έπρεπε ο διαχειριστής να την ορίζει σε πολλούς και διαφορετικούς Servers.

Ανεπαρκής γιατί οι δυνατότητες επιλογής των χρηστών για την πρόσβαση ήταν περιορισμένες σε 2. Πρόσβαση με βάση την ομάδα ή τον χρήστη.

Ανεπαρκής γιατί η απάντηση προς την προσπάθεια του  χρήστη για πρόσβαση ήταν Ναι/Όχι που τον άφηνε χωρίς περαιτέρω ενημέρωση για το πώς μπορεί να λύσει το πρόβλημά του

Στον Windows Server 8 λοιπόν έρχεται η απάντηση σε όλα τα παραπάνω, ας δούμε λίγο την αρχιτεκτονική

dac.png

Στο Active Directory προστέθηκε η διαχείριση των Claim Based Access Control. Της διαχείρισης πρόσβασης βάσει δικαιωμάτων.

Η πρόσβαση δηλαδή βάσει των δικαιωμάτων όπως , σε ποια ομάδα ανήκει ο χρήστης , σε ποιο τμήμα, τι άδεια πρόσβασης έχει και όλες τις ιδιότητες του χρήστη που βρίσκονται στο Active Directory. Μπορούμε πλέον να δώσουμε πρόσβαση βάσει δικαιώματος του τηλεφώνου,της διεύθυνσης ή του τμήματος! Όσοι έχουν αριθμό που ξεκινάει από 697 και όσοι είναι στην οδό Κηφισίας παραδείγματος χάρη.

Πρέπει όμως να κατηγοριοποιηθούν και οι πόροι, τα αρχεία δηλαδή. Ακολουθώντας την ίδια ακριβώς λογική. Μπορούμε να χαρακτηρίσουμε ένα έγγραφο προσθέτοντας Tags ως έγγραφο λογιστηρίου, εμπιστευτικό έγγραφο που περιέχει απόρητες πληροφορίες και οτιδήποτε άλλο μπορεί να φανταστεί ο ανθρώπινος νους.

Οι συνδυασμοί είναι πραγματικά αμέτρητοι.

Τα Claims και τα Resource Property Definitions δένονται μαζί και φτιάχνουν μια κεντρική πολιτική πρόσβασης (Central Access Policies).

Στο group policy φτιάχτηκαν οι κατάλληλες πολιτικές για να μπορούμε να επιβάλουμε αυτές τις πολιτικές μαζικά μέσα στο Domain.

Στους File Servers προστέθηκε η επιβολή των πολιτικών στα αρχεία καθώς και ο τρόπος αυτόματης κατηγοριοποίησης αυτών με ή χωρίς την παρέμβαση του διαχειριστή.

Επειδή όμως αυτή η τεχνολογία προσωπικά μου έχει κινήσει πάρα πολύ το ενδιαφέρον δεν θέλω να μείνω πολύ στη λογική του Dynamic Access Control θα περάσω κατευθείαν στο Demo να το φτιάξουμε να το δούμε πως παίζει και να κρίνουμε μαζί αν μας κάνει για την καθημερινότητά μας.

Για να δούμε ένα Demo θα χρειαστούμε 3 μηχανές. Έναν Domain Controller και  ένα File Server με Windows Server 8 και ένα υπολογιστή με Windows 8. Διάλεξα 1 gigabyte μνήμης , 2 επεξεργαστές και ένα δυναμικό δίσκο των 127 gigabyte για να τρέξω 3 διαφορετικές εικονικές μηχανές. Οι πόροι είναι επίτηδες τόσο χαμηλοί για να δείτε και κάτι ακόμη τρομερό, πόσο λίγους χρειάζεται πραγματικά.  Και επειδή δεν είμαι έτοιμος ψυχολογικά για να στήσω κάποιου είδους πρόσβασης με βάσει χαρακτηριστικά με Claims όπως τηλέφωνα και τμήματα και και και  , αποφάσισα να το κάνω με ένα Group για να δοκιμάσω αν όντως μπορώ να στείλω δυναμικές λίστες στο Domain μου σήμερα. Μην πάμε στη δουλειά και είμαστε με τα μούτρα κάτω για την παλιοζωή και τα Groups !

Ξεκίνησα με τον Domain Controller και έστησα ένα Domain με όνομα domain8.local στο οποίο έφτιαξα τις παρακάτω οργανωτικές δομές ( OU) με τη βοήθεια της κονσόλας Active directory administrative Center.

Domain8\Domain

Domain8\Domain\Accounting στο οποίο έφτιαξα ένα χρήστη τον Accountant , το λογιστή της εταιρείας.

Domain8\Domain\Billing στο οποίο έφτιαξα ένα χρήστη τον Billing ,τον υπεύθυνο τιμολόγησης και ένα Group το οποίο ονόμασα BillingGroup για να δοκιμάσω τις πολιτικές βάσει group.

Domain8\Clients στο οποίο έβαλα τον υπολογιστή πελάτη.

Domain8\Servers στο οποίο έβαλα τον File Server .

domainous.png

Στην κονσόλα του Active Directory Administrative Center διάλεξα το claims based access από αριστερά και έπειτα το Resource Properties. Εκεί θα παρατηρήσετε ένα κατεβατό από έτοιμες πολιτικές για την διαχείριση. Έφτιαξα λοιπόν μια νέα ιδιότητα που την ονόμασα Invoices, τιμολόγια δηλαδή και δήλωσα πως αφορά κείμενο. Ξεχωρίζει αμέσως γιατί δεν έβαλα περιγραφή!

resourceproperties.png

Αποθήκευσα αυτή την ιδιότητα και πέρασα στο Central Access Rules. Εδώ στη ουσία φτιάχνεται η πολιτική πρόσβασης. Έφτιαξα μια πολιτική που ονόμασα InvoiceRule και έδωσα ως στόχο για την αναζήτηση πόρων τη λέξη «τιμολ» . Έστησα δηλαδή μια πολιτική για πόρους που έχουν το tag ,την ιδιότητα με τη λέξη αυτή ,που όταν την βρίσκει ο Server θα αλλάζει την πρόσβαση και θα περνάει τη νέα που μπορείτε να επιλέξετε στο Current Permissions.Εκεί απλά πρόσθεσα το group Billing το οποίο περιέχει και τους χρήστες που θέλω να έχουν πρόσβαση.Συγκεκριμένα τον χρήστη Billing.

centralaccessruleadd.png

 

centralaccessruleaddtyp.png

 

Και αφού διάλεξα τον τύπο και τον κανόνα , έφτιαξα και μια πολιτική στο Central Access Policies που την ονόμασα BillingRulesForceApply για να την περάσω στους File Servers.

centralaccesspolicy.png

Και φυσικά διάλεξα μέσα στην πολιτική τον κανόνα InvoiceRule.

centralaccesspolicyfull.png

 

Για να γίνει αυτόματα η διαδικασία , άλλωστε τι Domain έχουμε θα πέσει να μας πλακώσει!, επέλεξα το Group policy.

Εκεί έφτιαξα μια νέα πολιτική στο OU Servers που την ονόμασα Populate File Server Access Policies For Compliance.

Μέσα στην πολιτική πήγα στο Computer Configuration\Windows Settings\File System. Στη δεξιά μεριά που είναι όλα λευκά σαν όνειρο πάτησα δεξί κλικ και έπειτα κλικ στο Manage Central Access Policies διάλεξα την BillingRulesForceApply και την πρόσθεσα στις Applicable, σε αυτές δηλαδή που θα διαβάζει αυτόματα.

gpomgmt.png

gposettings.png

Έκλεισα όλες τις κονσόλες  και πέρασα στο File Server. Πρόσθεσα το ρόλο του File Server και διάλεξα το ρόλου του File Server. Επίσης από τα Feature διάλεξα το Remote Server Administration Tools > File Server Resource Manager και στη συνέχεια το FSRM.

addrolefileserver.png

addfeaturefileserver.png

addrolefileserverfsrm.png

Άνοιξα την κονσόλα File Server Resource Manager. Στο νέο δένδρο στην αριστερή πλευρά διάλεξα το Classification Management και το Classification Properties στη συνέχεια.

Το Classification properties είναι ο τύπος της κατηγοριοποίησης που θα κάνει ο Server. Μπορείτε να δείτε πως ήρθε μόνη της η κατηγορία Invoices έγινε κατανάλωση απο το Active Directory , έχει Global Scope και είναι και ασφαλής μιας που έρχεται από το Domain . Έχει στόχο φακέλους και αρχεία και παίρνει τιμές κειμένου.

fsrmclassproperties.png

Αφού είναι στη θέση της η ιδιότητα περνάμε στο Classification Rules. Εδώ θα πούμε το Server να κατηγοριοποιήσει  τα δεδομένα. Έφτιαξα λοιπόν έναν φάκελο στο δίσκο από την εξερεύνηση  των Windows στη θέση C:\company_data και τον έκανα κοινόχρηστο . Επέστρεψα στην κονσόλα και έφτιαξα έναν καινούργιο κανόνα τον οποίο ονόμασα InvoiceTaggingRule.Έδωσα ως στόχο τον κατάλογο C:\company_data. Στην εικόνα θα δείτε και το Folder Usage το οποίο αναφέρει τη χρήση του φακέλου αν θέλουμε να κατηγοριοποιήσουμε τα αρχεία βάσει του τι περιεχόμενο περιμένουμε να έχει ο φάκελος. Η επιλογή κατηγορίας γίνεται από τη κονσόλα της δημιουργίας κοινόχρηστων φακέλων στο Server Manager του File Server. Δε θέλουμε όμως βάση φακέλου για αυτό το παραβλέπω. 

Στο Classification διάλεξα Content Classifier έτσι ώστε  να κατηγοριοποιήσει ο Server βάσει περιεχομένου των αρχείων, διάλεξα την ιδιότητα invoices που έρχεται από το Active Directory και έγραψα τη λέξη «τιμολ» ως  επιθυμητή ιδιότητα. Στα Expressions έβαλα τη λέξη «τιμο» . Στο τελευταίο Tab διάλεξα να γίνεται ξανά κατηγοριοποίηση και να ξανά γράφει τις ιδιότητες έτσι ώστε να είναι αδιάβλητο σε αλλαγές.

Μερικά tips για την κατηγοριοποίηση. Καταρχήν μπορεί να γίνει είτε αυτόματα με κάποιον κανόνα όπως αυτόν που φτιάξαμε, είτε χειροκίνητα από τους χρήστες ή τους διαχειριστές. Η κατηγοριοποίηση μπορεί να προσθέτει τιμές στα Tags των αρχείων είτε βάσει λέξεων που περιέχουν είτε κατηγορίας φακέλου είτε με συνδυασμό των δύο.

classificationmgmt.png

classificationscope.png

classificationmech.png

classificationeval.png

Αφού τα έφτιαξα λοιπόν όλα τα παραπάνω δημιούργησα δύο αρχεία κειμένου. Στο ένα έβαλα τη λέξη Acc50-00 και στο άλλο διάφορες λέξεις καθώς και  τη λέξη «τιμολόγιο».

filesaq.png

Για να μην περιμένω για πάντα διάλεξα από την κονσόλα του File Server Resource Manager να τρέξει η κατηγοριοποίηση άμεσα. Μπορείτε πάντα να αλλάξετε τις επιλογές για το Classification Tagging, με δεξί κλικ στο File Server Resource Manager και έπειτα στο Tab Automatic Classification. Εκεί μπορείτε να ορίσετε και συνεχές ωράριο ,για 24 ώρες το 24ωρο tagging.

runclassificationwizard.png

 

Μόλις τελείωσε επιβεβαίωσα πως πρόσθεσε την τιμή «τιμολ» στο ένα από τα δύο αρχεία που έφτιαξα.

classificationtag.png

Συνδέθηκα στο τερματικό με το λογαριασμό του Billing και δοκίμασα να ανοίξω το αρχείο, voila ! Πρόσβαση χωρίς να έχω κάνει τίποτα ούτε στο αρχείο ούτε στο φάκελο.

Το μόνο που απέμενε πλέον ήταν να συνδεθώ με το λογαριασμό του Accountant στο τερματικό , να πλοηγηθώ στο Server μου και στον κοινόχρηστο φάκελο Company_Data και να δώ το Access Denied error! Επαναλαμβάνω ΧΩΡΙΣ ΝΑ ΕΧΩ ΚΑΝΕΙ ΤΙΠΟΤΑ ΣΤΟ ΦΑΚΕΛΟ Η ΣΤΟ ΑΡΧΕΙΟ.

accessdeniedt.png

 

Το Dynamic Access Control είναι μια φοβερή δυνατότητα , θα αφαιρέσει ένα τεράστιο διαχειριστικό βάρος αφού θα κάνουμε τα μισά πράγματα για να προσθαφαιρέσουμε πρόσβαση  και θα μας δώσει τη δυνατότητα διαχείρισης πρόσβασης με βάση χαρακτηριστικά όλων των ειδών και όχι ομάδες χρηστών. Και αυτό είναι μόνο η αρχή!

Η νέα προοπτική μας δίνει νέους τρόπους να καταναλώσουμε το Active Directory!

Περιμένω με ανυπομονησία την πρώτη Release Candidate του Windows Server 8 για να δοκιμάσω περισσότερα πάνω στο Active Directory ! Εσείς;

 Αν δοκιμάσετε το Demo και κολλήσετε κάπου μπορείτε να με ρωτήσετε εδώ ή στο Forum.

 

 

Sign in to follow this  


5 Comments


Recommended Comments

Φίλε Παναγιώτη αυτό είναι ενα απο τα καλύτερα Posts με παρουσίαση ενός συγκεκριμένου feature που έχω διαβάσει ever. Μπράβο. Φυσικά και το ίδιο το feature είναι super. Σκεφτήτε ότι μπορεί να ψάχνει και τους αριθμούς ενός κειμένου και να συγκρίνει αν πρόκειται για ΑΦΜ ή κωδικούς πιστωτικών.

Share this comment


Link to comment

Και για να αναφέρουμε και κάποιες απορίες που εκδηλώθηκαν:

 

1) Ναι ψάχνει όλο το αρχείο. Speculation: ( Για τα μη γνωστά στα windows αρχεία. πχ PDF θα απαιτείται να υπάρχει κάποιος viewer στο server )

2) Κάνει full crawl στα αρχεία

3) Ναι θα υποστηρίζει ελληνικά ( Η βασικότερη ίσως απορία )

 

Share this comment


Link to comment

Γιώργο τα ελληνικά παίζουν το ξαναέφτιαξα με το τιμολόγιο μέσα όχι το invoices όπως το Demo, θα περιμένω τη Beta να δώ και τον τρόπο του crawl καθώς και τι είδους αρχεία διαβάζει αν και υπάρχει η υποψία πως αυτά θα είναι τα ίδια αρχεία που θα μπορεί να διαχειριστεί το ADRMS. Μέσα στο Μάρτιο θα ξέρουμε!

Share this comment


Link to comment

Αφού τελείωσα και τη βασική υποδομή με το Domain και το DNS / DHCP μπορώ πλέον να προχωρήσω στην εγκατάσταση

Share this comment


Link to comment
Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...