В лабиринте AD. Active Directory в Win2k8: разбираем новинку по косточкам Сергей «grinder» Яремчук / grinder@ua.fm, tux.in.ua / Active Directory — основа сетей, построенных на Windows. В Longhorn’е служба каталогов подверглась существенным изменениям и стала более безопасной и устойчивой. Что касается IT-специалистов, то они получили полный контроль над процессами развертывания и управления AD. Что нового в AD ? Технология Active Directory прошла долгий путь с момента своего первого появления в Win2k. Вначале служба каталогов была предназначена исключительно для хранения информации о различных сетевых объектах — пользователях, компьютерах, группах и т.д. Дополнением к AD выступала служба сертификации (Certificate Services), которая содержала все необходимое для проверки подлинности. В Win2k3 служба AD пополнилась различными инструментами, в том числе компонентом Authorization Manger. На основе ролей он обеспечивал проверку подлинности пользователя. Чуть позже, в одном из обновлений, к ним присоединилась и служба управления правами (Rights Management Service, RMS). Ее задача — защита потенциально уязвимых документов и электронных сообщений при помощи технологии регулирования прав. В версии Win2k3 R2 список дополнений уже несколько больше — появилась служба федерации AD (Active Directory Federation Services, ADFS), обеспечивающая пользователей возможностью однократной регистрации (Single Sign On, SSO) в Web-приложениях, и служба Active Directory Application Mode (ADAM). Последняя является LDAP (Lightweight Directory Access Protocol) сервисом (по сути, автономная версия AD), работающим не как системная служба, а как приложение.
Из года в год возможности AD наращивались… но все эти дополнения затрудняли общее управление, а обилие терминов путало и пугало новичков. В Win2k8 ситуация изменилась. Вместо одного продукта с дополнениями мы получили целых пять технологий AD — объединенных в общее решение. Они послужат основой для будущих интеграций. А некоторые из служб получили новое название: * Active Directory Domain Services (AD DS) — новое название службы каталогов AD; * Active Directory Lightweight Directory Services (AD LDS) — так теперь называется ADAM; * Active Directory Federation Services (AD FS) — как и раньше, служба, обеспечивающая возможность SSO; * Active Directory Certificate Services (AD CS) — новое название службы сертификации; * Active Directory Rights Management Services (AD RMS) — новое название службы управления правами. Первые два сервиса — AD DS и AD LDS — это фундамент службы каталогов. Обрати внимание на изменившееся сокращение: AD FS. В версии для Win2k3 пробела не было (ADFS), вроде мелочь, но если это не учитывать при поиске документации, нужную информацию фиг найдешь. С помощью AD FS можно создать расширяемое и безопасное решение — способное и управлять идентификацией пользователей, и функционировать не только в Windows, но и в других ОС. Реализована возможность импорта и экспорта политик (упрощает настройку доверительных отношений между партнерами в федерации) и разные варианты проверки отзыва сертификатов. Администраторы получили возможность контролировать развертывание AD FS при помощи групповой политики. Поставщик контроля членства (Парни из Microsoft заслуживают специального приза за подобные названия, — Прим. ред.) дает возможность проходить ролевую проверку подлинности при подключении к службам Windows SharePoint Services (WSS) и AD RMS. Помимо переименования и интеграции служб, реализованы и другие усовершенствования. Одно из них — появление контроллера домена (КД) только для чтения (Read-Only Domain Controller, RODC), о котором речь пойдет чуть ниже. Ранние версии ОС имели функциональные уровни КД, обеспечивающие совместимость различных релизов при совместной работе в одном домене или лесу. В Win2k3 существовало 4 режима, в Win2k8 их всего 3: * Windows 2000 native — поддерживаются КД от Win2k SP3+ до Win2k8; * Windows Server 2003 — поддерживаются КД от Win2k3 до Win2k8; * Windows Server 2008 — только Win2k8. Именно последний функциональный уровень Windows Server 2008 обладает дополнительными преимуществами, среди которых: поддержка репликаций DFS для Win2k3 SYSVOL, шифрование AES 128/256 для Kerberos, детальная политика паролей (Fine-Grained Password Policies, FGPP) — и другие. Нужный уровень выбирается на этапе установки КД, но при необходимости его можно изменить (поднять) уже в рабочей среде. Это просто. Вызываем консоль «Active Directory Domains and Trusts», выбираем в списке сервер и в контекстном меню — пункт «Raise domain functional level». В появившемся окне будет выведен список доступных уровней. Если домен находится в режиме Windows Server 2008, то изменить (понизить) его уровень уже нельзя. К остальным новшествам, которые доступны в реализации Active Directory в Win2k8, стоит отнести: 1) новые политики аудита, позволяющие администраторам видеть, кто и когда произвел изменения объектов и атрибутов; 2) новый криптографический интерфейс; 3) новые возможности консолей управления; 4) перезапуск службы AD теперь возможен без перезагрузки всего сервера. Кроме того, при развертывании служб сертификации AD устанавливается административный инструмент PKIView (ранее входил в комплект Win2k3 Resource Kit) для обеспечения единого интерфейса управления ключами. Установка контроллера домена Установка разбита на три этапа. Первым делом вызываем мастера Add Role Wizard (Server Manager - Add Roles) и отмечаем роли, которые будут реализованы на сервере. Затем подтверждаем выбор и нажимаем Install. Мастер добавления ролей только инсталлирует файлы, необходимые для настройки и работы доменных служб на сервере, но не производит собственно установку доменных служб Active Directory. Чтобы ее начать, необходимо выполнить команду dcpromo.exe. Мастер может работать в двух режимах: обычном и расширенном. Последний активируется установкой флажка «Use advanced mode installation» или ключом \'/adv \' (dcpromo /adv). На шаге «Choose a Deployment Configuration» создаем новый домен, выбрав «Create a new domain in a new forest», или подсоединяемся к уже имеющемуся — «Existing forest». Вводим FQDN-имя домена и в раскрывающемся списке «Forest functional level» выбираем нужный функциональный уровень. Далее мастер предложит выбрать каталоги для хранения базы, журналов и SYSVOL. Вводим пароль администратора для режима восстановления. По окончании требуется перезагрузка. Расширенный режим предоставляет опытным пользователям чуть больше возможностей. Здесь можно создать новое доменное дерево, выполнить репликацию данных с выбранного КД или с носителя, на котором размещена копия рабочего КД, изменить NetBIOS-имя, а также определить политики репликации паролей для RODC.
Политика паролей В ранних версиях Windows в домене можно было определить только одну политику паролей, применяемую для всех пользователей домена. Некоторые администраторы пытались решить эту проблему, добавляя объекты GPO (Group Policy Objects) в разные организационные единицы (OU) домена. Однако доменные установки перекрывали их, и такая практика приводила лишь к еще большему запутыванию ситуации. Админ считал, что политика работает, а она на самом деле могла быть перекрыта политикой более высокого уровня. Детальная политика паролей (FGPP), появившаяся в AD DS, позволяет установить несколько паролей или политик блокировки для различных пользователей и групп (пока не OU) в рамках одного домена. Теперь учетным записям, которые требуют большей защиты (например, подключающиеся к домену «извне» администраторы или сервисы), можно установить жесткие правила паролей (срок действия, минимальная длина, длительность и порог блокировки). Удобнее FGPP устанавливать не для отдельной учетной записи, а для групп. Как и в предыдущих версиях, Enforce password history позволяет хранить историю паролей. Сейчас поддерживается до 1024 паролей. При правильном применении этой политики пользователь вообще не сможет повторно использовать свой пароль. Скорее, он его забудет. Для загрузки FGPP применяются два новых класса: Password Settings Container и Password Settings. Управление новыми политиками осуществляется через объекты параметров пароля Password Settings Object (PSO) с помощью Active Directory Service Interfaces Editor (ADSI Edit) или LDAP Data Interchange Format (LDIF). Оба инструмента уже входят в состав системы. Команда для запуска второго — ldifde, но для его работы необходимо создать файл с настройками (формат этого файла можно найти в документации Microsoft: support.microsoft.com/kb/237677). Я покажу, как работать с ADSI Edit. Вызываем приложение, набрав в консоли adsiedit.msc. Подключаемся к контексту именования, выбрав в меню пункт Connect to. В поле Name вводим полное FQDN-имя компьютера и нажимаем ОК. Консоль подключится к серверу и выведет список объектов. Переходим к нужному контейнеру DC= <домен> - CN=System- CN=Password Settings Container. Создаем новый объект, выбрав в контекстном меню New - Object. Появится мастер Create Object, в первом окне которого («Select a class») отмечаем msDS-PasswordSettings и нажимаем Next. Теперь следует пройти все шаги мастера. Для каждого Attribute в поле Value вводим его значение. Поле Syntax подсказывает, в каком виде (числовом, буквенном или булевом) должен быть параметр, а в Description дано краткое его описание. Все параметры, предложенные мастером, заполнены, но остался еще один — msDS-PSOAppliesTo, показывающий связи объекта. Поэтому в последнем окне выбираем More Attributes и в раскрывающемся списке «Select which property to view» устанавливаем Optional или Both. Теперь в списке «Select a property to view» выбираем msDS-PSOAppliesTo и в поле Edit Attribute записываем учетные записи (в виде CN=u1,CN=Us ers,DC=DC1,DC=server,DC=com) или группу. Нажимаем Add. Аналогичным образом заносим все нужные учетные записи, к которым будет применена эта политика. После чего смело щелкаем Finish. В дальнейшем, чтобы применить PSO к учетным записям или группам, следует вызвать консоль «Active Directory Users and Computers», затем в меню View отметить Advanced Features и перейти в пункт <домен> - System - Password Settings Container. Выбрав в контекстном меню Properties, вызываем окно свойств контейнера, переходим в Attribute Editor, находим параметр msDS-PsoAppliesTo. В большом списке отыскать нужный параметр непросто, поэтому лучше, нажав кнопку Filter, исключить лишнее.
Параметр Show attributes - Optional должен быть активирован. Чтобы убрать параметры, не имеющие значений, отмечаем «Show only attributes that have values», затем вводим название учетной записи или группы. Контроллер домена только для чтения Контроллер RODC поддерживает только одностороннюю репликацию, то есть все изменения на обычных КД реплицируются на RODC. Записать изменения в базу данных на локальном КД не получится. Все инициированные изменения вносятся не в саму реплику RODC, а в обычный КД, и только потом реплицируются назад. Новый тип КД предназначен в первую очередь для удаленных филиалов, как правило, имеющих на порядок меньший уровень защиты и подготовки персонала. Компрометация системы или банальная кража системного блока в филиалах увеличивает риск для всего леса. Ранее, когда не было возможности обеспечить достаточный уровень физической защиты КД, от его установки в филиалах часто вынуждены были отказываться. Это вызывало проблемы, в том числе при регистрации удаленных пользователей. В отличие от резервных контроллеров домена (BDC), RODC можно настроить на хранение информации только об определенных объектах. Дело в том, что данные о пользователях и компьютерах на RODC-контроллере не хранятся и по умолчанию не кэшируются. Исключение составляет учетная запись самого компьютера RODC и данные пользователей, входящих в группу Allowed RODC Password Replication Group. Так что, членам групп Администраторы и Операторы сервера в доступе будет отказано. Правило можно изменить через политику репликации паролей (Password Replication Policy, PRP) конкретного RODC. Для этого нужно перейти к свойствам компьютера RODC и щелкнуть по вкладке «Password Replication Policy», далее нажать «Allowed RODC Password Replication». Откроется окно «Add Groups, Users and Computers», в нем устанавливаем флажок «Allow passwords for the account to replicate to this RODC». Теперь, когда политика разрешает, данные при первом же запросе реплицируются на RODC, который их кэширует. Есть и второй вариант. Для каждого филиала создается отдельная группа, и в нее добавляются нужные пользователи, а администратор разрешает репликацию пароля для этой группы. Именно поэтому на таком КД содержится ограниченное число учетных данных. В случае потери восстановить или изменить эти данные будет проще, чем переустанавливать весь домен или лес. Многие приложения и службы используют AD для аутентификации, и им следует знать, что они имеют дело с RODC. Большинство популярных служб уже умеют работать с таким типом КД: Distributed File System, DNS, DHCP, Group Policy, Internet Authentication Service, IIS, ISA, MOM, Network Access Protection, Terminal Services и Terminal Services Licensing server… Ну, и некоторые другие! Как правило, в удаленных филиалах выделенный сервер — это непозволительная роскошь, поэтому относительная «легкость» RODC позволяет параллельно выполнять другие приложения. В частности, RODC является также и центром распространения ключей (Key Distribution Center, KDC) для локальных пользователей. Он обрабатывает все запросы на получение билетов Kerberos. Сервер DNS, который крутится на RODC, также работает в режиме «только чтение», не поддерживая динамических обновлений и не регистрируя записи. В том случае, если клиенту необходимо изменить свои записи, RODC поступает аналогично учетным данным. Запрос отправляется на DNS-сервер с доступом записи, откуда копируется на DNS-службу RODC. Подключить RODC очень просто. Выбираем на основном контроллере домена в консоли «Active Directory Users And Computers» контейнер Domain Controllers и в контекстном меню — пункт «Pre-create Read-only Domain Controller account». Запустится мастер Active Directory Domain Services Installation Wizard. Проходим последовательно все этапы: указываем учетную запись, под которой будут производиться все дальнейшие действия, имя RODC, сервисы (DNS и Global catalog). В разделе Password Replication Policy указываем, каким пользователям и группам разрешена или запрещена репликация паролей. Для упрощения настройки в домене уже присутствуют две группы Denied RODC Password Replication и Allowed RODC Password Replication. Их членам соответственно запрещены и разрешены репликации паролей. Кнопка «Export Setting» позволяет сохранить настройки в файл, который затем можно использовать с командой dcpromo: > dcpromo /answer:rodc_file.txt Контроллером RODC может управлять пользователь, не обладающий правами администратора домена. Для этого в разделе «Delegation of RODC Installation and Administration» укажи учетную запись или группу. Все, кто сюда включен, будут иметь права локального администратора. Иначе управление смогут осуществлять только члены групп Enterprise Admins и Domain Admins. На основном КД — все. Переходим к RODC-серверу и набираем в командной строке: > dcpromo /UseExistingAccount:Attach Запускается мастер установки Active Directory. На странице Network Credentials вводим имя домена, куда будет входить RODC, а в поле «Specify the account credentials to use to perform the installation» выбираем Alternate Credentials и указываем учетную информацию администратора данного RODC. Далее все шаги совпадают с обычной установкой КД. Замена сердечного клапана Как видишь, новшества в реализации AD в Win2k8 носят далеко не косметический характер. Новые возможности, единый интерфейс, упрощающий управление, повышение безопасности — все это делает AD, построенную на Win2k8, сердцем любой сети. Несколько советов по повышению безопасности AD ка может привести к печальным последствиям. Помимо того, что говорилось в статье, приведем еще несколько советов по повышению безопасности, которые будут полезны как при использовании Win2k8, так и Win2k3. 1. Собери информацию по всем настройкам Active Directory, начиная с самого высокого уровня: OU-структурам, установкам безопасности, доверительным отношениям и т.д. Для сбора информации о GPO можно использовать Group Policy Management Console (GPMC), которая включена в Win2k3 R2. Для WinXP или Win2k3 ее можно скачать со страницы go.microsoft. com/fwlink/?LinkId=62610. После установки в %programfiles%\\gpmc\\ scripts будет доступен ряд скриптов, подробная информация по ним есть в документе «Group Policy Management Console Scripting Samples» на msdn. microsoft.com. Например, GetReportsForAllGPOs.wsf позволяет получить список всех GPO в LDIF-файле: > GetReportsForAllGPOs.wsf c:\\reports Неплохой практикой станет тестирование новых политик (например, в виртуальной машине) перед их реальным применением. 2. Используй оптимальную и безопасную модель администрирования. Каждый администратор должен работать в пределах своих ограничений. Использование при администрировании учетной записи с большими правами, чем это необходимо для выполнения задачи, не оправдано и не безопасно. Для этого есть несколько вариантов: встроенные политики безопасности, делегирование полномочий, разрешения. Лес – основа безопасности в AD. Домены используются для упрощения поддержки и репликации, а OU нужны, чтобы уполномочивать управление в пределах домена. Если в компании две сети с жесткими ограничениями по защите, лучше создать два леса, настроив нужную степень доверия. 3. Отключи гостя и переименуй учетную запись администратора. Это уменьшит вероятность взлома путем перебора пароля или из-за неправильной настройки доступа. 4. Используй список контроля доступа службы, который находится в Group Police Management во вкладке Computer Configuration- Windows Settings - System Services. Чтобы активировать службу, вызываем через меню Properties окно ее свойств, взводим флажок «Define this policy setting». Указываем режим запуска и в Edit Security устанавливаем разрешения. Помимо стандартных, есть еще более 10 пользовательских разрешений безопасности. Если какая-то служба не нужна, просто отключи ее автоматический запуск. Так мы уменьшим количество уязвимых мест в системе. 5. Используй служебную учетную запись и пароль для службы, которой требуется доступ к другому компьютеру. Это настраивается в Group Police Management - Computer Configuration- Control panel Setting - Services. Далее выбираем в контекстном меню New - Service и в появившемся окне New Service Properties указываем службу и учетную запись. Ранее для этих целей приходилось задействовать учетную запись с правами вплоть до администратора домена. Web * Подробности по настройке Password Settings Object смотри в документе «AD DS Fine-Grained Password and Account Lockout Policy Step-by-Step Guide» на technet. microsoft.com. * Формат файла для ldifde можно найти в документации Microsoft support. microsoft.com/kb/237677.
По роду своей работы в сфере IT мне достаточно часто приходится сталкиваться с проблемами не всегда стандартными для IT сферы. Так же заметки со ссылками на статьи которые очень часто на практике выручали, держать на своем компе стало не удобно. По этой причине создан этот блог - записная книжка статей и заметок. Авторов статей прошу не обижаться если местами забыл сделать на них обратную ссылку. Пишите в комментариях все обязательно поправлю..
Поиск по моему блогу
Подписаться на:
Комментарии к сообщению (Atom)
Комментариев нет:
Отправить комментарий