Управление учетными данными и другими данными системы безопасности в больших гетерогенных сетях может быть достаточно сложной задачей. Кроме того, просчеты в управлении можгут привести к возникновению угроз безопасности вашей сети. К счастью, Microsoft Identity Integration Server (MIIS) 2003 позволяет синхронизировать учетные данные различных каталогов и служб и консолидировать их в единое решение уровня предприятия. Это позволит повысить безопасность вашей сети и упростит управление ресурсами.
Основными функциями MIIS 2003 являются:
синхронизация каталогов;
инициализация учетных записей;
публикация сертификатов;
управление группами;
управление глобальными списками адресов (Global Address Lists, GALs);
управление паролями и их синхронизация.
MIIS 2003 состоит из четырех основных компонентов: подключаемых источников данных, агентов управления (Management Agents), пространств подключения (connector spaces) и метабазы (metaverse). Мы вкратце рассмотрим каждый из компонентов и опишем работу всей системы в целом.
Подключаемые источники данных
Подключаемые источники данных – это система, которая обеспечивает обмен информацией между сервером MIIS 2003 и внешними источниками данных. В роли подключаемых источников данных может выступать множество систем, включая службы каталогов (например, Active Directory), базы данных и даже отдельные файлы. В
табл. 1 приведен список поддерживаемых в MIIS 2004 Service Pack 1 (SP1) подключаемых источников данных.
Табл. 1. Поддерживаемые источники данных
Active Directory
Active Directory Application Mode (ADAM)
Active Directory Global Address List (GAL)
Текстовый файл с парами «атрибут-значение»
Текстовый файл с разделителями
Файл на языке Directory Services Mark-up Language (DSML) 2.0
Exchange Server 5.5
Exchange Server 5.5 (сервер-плацдарм)
Текстовый файл с фиксированной длинной строки
IBM DB2 Universal Databases
IBM Resource Access Control Facility (RACF)
IBM Tivoli Directory Server
LDAP Data Interchange Format (LDIF)
Lotus Notes 4.6, 5.0 и 6.x
Microsoft Exchange Server 2000 (используется агент управления для Active Directory)
Microsoft SQL Server 7.0 или SQL Server 2000
Netscape Directory Servers
Novell eDirectory 8.6.2, 8.7 и 8.7.x
Oracle Database 8i или 9i
Sun ONE Directory Server: 4.x и 5.x
Windows NT 4.0
Агенты управления
Каждому из подключаемых источников данных соответствует свой агент управления. Он предназначен для управления обменом информацией между подключаемым источником данных и MIIS. При модификации синхронизированных данных в подключаемом источнике данных или в MIIS (при помощи заданных правил) агент управления своевременно синхронизирует данные в MIIS или в подключаемом источнике. Поскольку каждому источнику данных соответствует свой агент управления, типы агентов управления совпадают с типами подключаемых источников данных. Для подключения источника данных, отсутствующего в
табл. 1, можно воспользоваться универсальным агентом управления MIIS. Он может быть сконфигурирован для подключения к любой системе, предоставляющей программный доступ к своим данным. Такой агент называют агентом управления с расширенными возможностями подключения (extensible connectivity management agent). На
рис. 1 показано создание агента управления Active Directory, названного NewAgent.
Рис. 1. Создание агента управления
Все агенты управления схожи по своей структуре, существуют лишь некоторые отличия, зависящие от типа агента. Ряд задач решают все агенты управления, независимо от их типа: обнаружение схемы (schema discovery), настройка фильтра подключения (connector filter), настройка правил слияния и проецирования (join and projection rules), настройка переноса атрибутов (attribute flow) и механизма деинициализации (deprovisioning), а также определение расширений правил (rule extensions).
Кроме того, агенты управления обеспечивают управление паролями, мы обсудим этот вопрос подробнее. Перечисленные ниже агенты управления имеют встроенную поддержку управления паролями в MIIS 2003 SP1: Active Directory, Active Directory Application Mode (ADAM), Lotus Notes, Sun и Netscape Directory Servers, Novell eDirectory, а также Windows NT 4.0. В любой агент управления можно программно добавить поддержку управления паролями.
Пространства подключений
Пространство подключений – это своего рода «площадка» для хранения и обработки информации, принимаемой и отправляемой агентом управления. Информация, которая находится в этой зоне агента управления, используется для синхронизации с метабазой либо предназначена для экспорта в источник данных. Каждый из подключенных источников данных имеет собственную логическую область в пространстве подключений, которая используется соответствующим агентом управления. На самом деле пространство подключений не содержит подключенного источника данных в виде объекта, а содержит набор атрибутов подключенных источников данных, определенных в агенте управления. При обработке бизнес-правил MIIS не обращается напрямую к подключенному источнику данных, используя вместо этого объект пространства подключений. Это повышает скорость синхронизации метабазы и подключенных источников данных.
Метабаза
Метабаза – это набор таблиц, содержащих информацию об учетных данных, собранных от подключенных источников. Эти таблицы хранятся в базе данных SQL Server и содержат агрегированные данные по каждой из записей в том виде, в котором эта запись представлена в подключенных источниках данных. Атрибуты и объекты извлекаются из метабазы и записываются обратно в нее. Информация об изменениях, поступающая в метабазу, используется для ее своевременного обновления, а модифицированные данные из метабазы предназначены для обновления подключенных источников данных через соответствующие пространства подключений. Метабаза имеет свою собственную схему, определяющую хранимые в ней объекты и атрибуты. Все объекты метабазы должны принадлежать только к типам, определенным в схеме. Схема метабазы по умолчанию содержит следующие объекты (этот список может быть расширен администратором):
компьютер (computer)
домен (domain)
группа (group)
регион (locality)
организация (organization)
подразделение (organizational unit)
пользователь (person)
принтер (printer)
роль (role)
Теперь, когда мы познакомились со структурой и компонентами MIIS 2003 SP1, настало время более подробно обсудить подсистему управления паролями.
Управление паролями в MIIS
Пароли являются одними из наиболее уязвимых данных в сети, но попытка заставить пользователей использовать стойкие пароли может встретить серьезное сопротивление. Конечно, пользователям легче использовать простые, удобные для запоминания пароли (или вообще их не использовать), но администраторы всегда пытаются ввести более строгие правила. Эта проблема особенно остро возникает в сетях с разнородными каталогами, где у пользователя может быть несколько учетных записей с различными требованиями к паролям. В MIIS 2003 SP1 есть несколько новых механизмов синхронизации и управления паролями, которые могут помочь в управлении паролями и облегчить работу администраторов:
система аудита позволяет отслеживать изменения паролей через журналы событий;
при помощи API разработчики могут добавлять в свои приложения поддержку управления паролями;
пользователь или администратор может изменять пароли в едином центре или с помощью web-приложения;
для расширения функциональности MIIS 2003 предусмотрена возможность использования приложений сторонних производителей;
политики паролей, определенные, к примеру, в Active Directory, могут быть распространены на все остальные системы.
При установке MIIS 2003 по умолчанию создается несколько групп безопасности. Две из них используются исключительно для управления паролями – это группы MIISBrowse и MIISPasswordSet. Группы MIISAdmins, MIISOperators и MIISJoiners используются MIIS 2003 для других целей. Список групп и их назначение приведены в
табл. 2.
Табл. 2. Группы безопасности
Группы
Назначение
MIISBrowse
Члены этой группы имеют разрешения на получение информации об учетных записях пользователей при поиске с помощью запросов Windows Management Instrumentation (WMI)
MIISPasswordSet
Члены группы могут выполнять поиск определенной учетной записи, устанавливать пароли и изменять их через интерфейсы управления паролями WMI
MIISAdmins
Члены группы имеют полный доступ ко всем операциям в Identity Manager
MIISOperators
Члены группы имеют доступ только к модулю Operations программы Identity Manager. Члены группы MIISOperators могут запускать агенты управления, просматривать статистику синхронизации и сохранять хронологию запуска. Для получения возможности перехода по ссылкам в статистике синхронизации пользователь также должен быть членом группы MIISBrowse
MIISJoiners
Члены группы имеют доступ к модулям Metaverse Search и Joiner программы Identity Manager. MIISJoiners могут выполнять слияние и проецирование разъединителей (disconnectors) путем использования модуля Joiner. Они также могут использовать поиск в метабазе для отображения свойств объекта и выполнения операции исключения объектов из метабазы
Служба уведомления о смене пароля
Управление паролями для многих администраторов является достаточно трудной задачей и требует больших затрат времени. К счастью, в MIIS 2003 SP1 для облегчения этого процесса появилась специальная служба уведомления о смене пароля (Password Change Notification Service, PCNS). Она позволяет своевременно отправлять информацию о смене пароля на сервер MIIS 2003. Когда начинается сброс на контроллере домена в результате нажатия пользователем комбинации Ctrl+Alt+Del или по инициативе администратора, запрос сброса пароля перехватывается. Перехваченный запрос шифруется и направляется на сервер MIIS 2003, и во время синхронизации направляется на все подключенные источники данных (указанные в настройках системы управления паролями). Подробнее об установке PCNS и настройке агента управления см. во врезках с соответствующими названиями.
Заключение
В статье были рассмотрены основные компоненты MIIS 2003 и их совместная работа. Также дан краткий обзор службы PCNS и ее возможностей по управлению паролями и их синхронизации. Эти сведения полезны при внедрении в организации систем синхронизации учетных данных и управления паролями. Дополнительную информацию по рассмотренным вопросам вы сможете найти по адресу microsoft.com/windowsserversystem/miis2003/default.mspx(EN)
Установка службы Password Change Notification Service
Служба PCNS по умолчанию не устанавливается. Необходимые файлы находятся на установочном диске. Для установки службы необходимо запустить файл service.msi в папке Password Synchronization.
При установке PCNS появится диалоговое окно (
рис. 2), сообщающее, что для продолжения следует расширить схему с помощью команды msiexec /i "D:\ENGLISH\IIS2003\ENT_SP1\PASSWORD SYNCHRONIZATION\PASSWORD CHANGE NOTIFICATION SERVICE.MSI" SCHEMAONLY=TRUE.
После этого появится диалоговое окно с запросом подтверждеия расширения схемы. Щелкните OK для продолжения.
После этого можно продолжить установку PCNS. По ее завершении необходимо перезагрузить компьютер, чтобы изменения вступили в силу.
Будут установлены три компонента PCNS: pcnsflt.dll, pcnssvc.exe и pcnscfg.exe.
Pcnsflt.dll — фильтр, который перехватывает любые изменения паролей.
Pcnssvc.exe — сама служба PCNS. Эта программа шифрует и отправляет изменения паролей на назначенный сервер MIIS 2003.
Pcnscfg.exe — утилита командной строки для настройки службы PCNS.
Файлы pcnssvc.exe и pcnscfg.exe находятся в каталоге %Systemroot%\Program Files\Microsoft Password Change Notification Service. После установки PCNS необходимо будет настроить ее с помощью pcnscfg.exe, указав сервер MIIS 2003, который будет принимать изменения паролей. На
рис. 3 показаны некоторые возможные параметры командной строки pcnscfg.exe.
Рис. 2. Расширение схемы
Рис. 3. Некоторые параметры Pcnscfg.exe
Настройка агента управления
Следующим шагом после установки PCNS является настройка агента управления. Создание агента управления состоит из 10 шагов.
Для начала в Identity Integration Server выберите вкладку Management Agent, щелкните правой кнопкой Management Agents и выберите Create. Далее необходимо указать тип агента управления (см.
рис. 4).
После выбора типа агента необходимо подключиться к определенному лесу и настроить разделы каталогов. На этом экране также находится флажок Enable this partition as a password synchronization source, который необходимо установить для включения синхронизации паролей (см. рис. 5).
После этого необходимо указать, какой тип объекта вы хотите использовать, настроить атрибуты, фильтр соединения, правила слияния и проецирования, перенос атрибутов, деинициализацию учетных записей и расширения. В настройках расширений необходимо установить флажок Enable password management (см. рис. 6).
