Синхронізація каталогів за допомогою MIIS, Microsoft Docs

На цій сторінці…

Джерела даних, що підключаються

Управління паролями в MIIS

Служба повідомлення про зміну пароля

У статті розглядаються: - управління різнорідними обліковими даними; - використання агентів управління; - робота з метабазою MIIS.

Управління обліковими даними та іншими даними системи безпеки у великих гетерогенних мережах може бути складним завданням. Крім того, прорахунки в управлінні можуть призвести до загроз безпеки вашій мережі. На щастя, Microsoft Identity Integration Server (MIIS) 2003 дозволяє синхронізувати облікові дані різних каталогів та служб та консолідувати їх у єдине рішення рівня підприємства. Це дозволить підвищити безпеку вашої мережі та спростить керування ресурсами.

Основними функціями MIIS 2003 є:

MIIS 2003 складається з чотирьох основних компонентів: джерел даних, що підключаються, агентів управління (Management Agents), просторів підключення (connector spaces) і метабази (metaverse). Ми коротко розглянемо кожен із компонентів та опишемо роботу всієї системи загалом.

Джерела даних, що підключаються

Джерела даних, що підключаються, - це система, яка забезпечує обмін інформацією між сервером MIIS 2003 і зовнішніми джерелами даних. У ролі джерел даних, що підключаються, може виступати безліч систем, включаючи служби каталогів (наприклад, Active Directory), бази даних і навіть окремі файли. Утабл. 1 наведено список підтримуваних в MIIS 2004 Service Pack 1 (SP1) джерел даних, що підключаються.

Табл. 1. Підтримувані джерела даних

Active Directory
Active Directory Application Mode (ADAM)
Active Directory Global Address List (GAL)
Текстовий файл із парами «атрибут-значення»
Текстовий файл із роздільниками
Файл мовою Directory Services Mark-up Language (DSML) 2.0
Exchange Server 5.5
Exchange Server 5.5 (сервер-плацдарм)
Текстовий файл з фіксованого довгого рядка
IBM DB2 Universal Databases
IBM Resource Access Control Facility (RACF)
IBM Tivoli Directory Server
LDAP Data Interchange Format (LDIF)
Lotus Notes 4.6, 5.0 та 6.x
Microsoft Exchange Server 2000 (використовується агент керування для Active Directory)
Microsoft SQL Server 7.0 або SQL Server 2000
Netscape Directory Servers
Novell eDirectory 8.6.2, 8.7 та 8.7.x
Oracle Database 8i або 9i
Sun ONE Directory Server: 4.x та 5.x
Windows NT 4.0

Агенти управління

Кожному з джерел даних, що підключаються, відповідає свій агент управління. Він призначений для управління обміном інформацією між джерелом даних, що підключається, і MIIS. При модифікації синхронізованих даних у джерелі даних, що підключається, або в MIIS (за допомогою заданих правил) агент управління своєчасно синхронізує дані в MIIS або в джерелі, що підключається. Оскільки кожному джерелу даних відповідає свій агент управління, типи агентів управління збігаються з типами джерел даних, що підключаються. Для підключення джерела даних, відсутнього в табл. 1 , можна скористатися універсальним агентом управління MIIS. Він може бутиналаштований для підключення до будь-якої системи, що надає програмний доступ до своїх даних. Такий агент називають агентом управління з розширеними можливостями підключення (extensible connectivity management agent). На рис. 1 показано створення агента керування Active Directory, названого NewAgent.

допомогою

Мал. 1. Створення агента управління

Всі агенти управління схожі за своєю структурою, існують деякі відмінності, що залежать від типу агента. Ряд завдань вирішують усі агенти управління, незалежно від їх типу: виявлення схеми (schema discovery), налаштування фільтра підключення (connector filter), налаштування правил злиття та проектування (join and projection rules), налаштування перенесення атрибутів (attribute flow) та механізму деініціалізації ( deprovisioning), і навіть визначення розширень правил (rule extensions).

Крім того, агенти управління забезпечують керування паролями, ми обговоримо це питання докладніше. Наведені нижче агенти керування мають вбудовану підтримку керування паролями в MIIS 2003 SP1: Active Directory, Active Directory Application Mode (ADAM), Lotus Notes, Sun та Netscape Directory Servers, Novell eDirectory, а також Windows NT 4.0. До будь-якого агента управління можна програмно додати підтримку керування паролями.

Простір підключень

Простір підключень – це свого роду «майданчик» для зберігання та обробки інформації, що приймається та надсилається агентом управління. Інформація, яка знаходиться в цій зоні агента управління, використовується для синхронізації з метабазою або призначена для експорту джерела даних. Кожен із підключених джерел даних має власну логічну область у просторі підключень, яка використовується відповідним агентом управління.Насправді простір підключень не містить підключеного джерела даних як об'єкта, а містить набір атрибутів підключених джерел даних, визначених в агенті управління. При обробці бізнес-правил MIIS не звертається безпосередньо до підключеного джерела даних, використовуючи натомість об'єкт простору підключень. Це підвищує швидкість синхронізації метабази та підключених джерел даних.

Метабаза – це набір таблиць, що містять інформацію про облікові дані, зібрані від підключених джерел. Ці таблиці зберігаються в базі даних SQL Server і містять агреговані дані щодо кожного із записів у тому вигляді, в якому цей запис представлений у підключених джерелах даних. Атрибути та об'єкти витягуються з метабази та записуються назад до неї. Інформація про зміни, що надходить у метабазу, використовується для її своєчасного оновлення, а модифіковані дані метабази призначені для оновлення підключених джерел даних через відповідні простору підключень. Метабаза має власну схему, визначальну зберігаються у ній об'єкти і атрибути. Усі об'єкти метабази повинні належати лише до типів, визначених у схемі. Схема метабази за умовчанням містить такі об'єкти (цей список може бути розширений адміністратором):

  • комп'ютер (computer)
  • домен (domain)
  • група (group)
  • регіон (locality)
  • організація (organization)
  • підрозділ (organizational unit)
  • користувач (person)
  • принтер (printer)
  • роль (role)

Тепер, коли ми познайомилися зі структурою та компонентами MIIS 2003 SP1, настав час детальніше обговорити підсистему керування паролями.

Управління паролями в MIIS

Пароліє одними з найуразливіших даних у мережі, але спроба змусити користувачів використовувати стійкі паролі може зустріти серйозний опір. Звичайно, користувачам легше використовувати прості, зручні для запам'ятовування паролі (або взагалі їх не використовувати), але адміністратори завжди намагаються запровадити суворіші правила. Ця проблема особливо гостро виникає в мережах з різнорідними каталогами, де користувач може мати кілька облікових записів з різними вимогами до паролів. У MIIS 2003 SP1 є кілька нових механізмів синхронізації та керування паролями, які можуть допомогти в керуванні паролями та полегшити роботу адміністраторів:

  • система аудиту дає змогу відстежувати зміни паролів через журнали подій;
  • за допомогою API розробники можуть додавати до своїх програм підтримку управління паролями;
  • користувач або адміністратор може змінювати паролі в єдиному центрі або за допомогою веб-програми;
  • для розширення функціональності MIIS 2003 передбачено можливість використання додатків сторонніх виробників;
  • Політики паролів, визначені, наприклад, в Active Directory, можуть бути поширені на всі інші системи.

При установці MIIS 2003 за промовчанням створюється кілька груп безпеки. Дві з них використовуються виключно для керування паролями – це групи MIISBrowse та MIISPasswordSet. Групи MIISAdmins, MIISOperators та MIISJoiners використовуються MIIS 2003 для інших цілей. Список груп та їх призначення наведені в табл. 2 .

Табл. 2. Групи безпеки

Служба повідомлення про зміну пароля

Висновок

Установка служби Password Change Notification Service

Служба PCNS за промовчанням не встановлюється.Необхідні файли знаходяться на інсталяційному диску. Для встановлення служби необхідно запустити файл service.msi у папці Password Synchronization.

При встановленні PCNS з'явиться діалогове вікно (рис. 2 ), що повідомляє, що для продовження слід розширити схему за допомогою команди msiexec /i "D:ENGLISH\IIS2003ENT_SP1PASSWORD SYNCHRONIZATIONPASSWORD CHANGE. MSI" SCHEMAONLY = TRUE.

Після цього з'явиться діалогове вікно із запитом підтвердження розширення схеми. Натисніть кнопку OK, щоб продовжити.

Після цього можна продовжити інсталяцію PCNS. Після її завершення необхідно перезавантажити комп'ютер, щоб зміни набули чинності.

Буде встановлено три компоненти PCNS: pcnsflt.dll, pcnssvc.exe та pcnscfg.exe.

Pcnsflt.dll – фільтр, який перехоплює будь-які зміни паролів.

Pcnssvc.exe – сама служба PCNS. Ця програма шифрує та надсилає зміни паролів на призначений сервер MIIS 2003.

Pcnscfg.exe — утиліта командного рядка для налаштування служби PCNS.

Файли pcnssvc.exe та pcnscfg.exe знаходяться в каталозі %Systemroot%\Program Files\Microsoft Password Change Notification Service. Після встановлення PCNS необхідно буде налаштувати її за допомогою pcnscfg.exe, вказавши сервер MIIS 2003, який прийматиме зміни паролів. На рис. 3 показано деякі можливі параметри командного рядка pcnscfg.exe.

синхронізація

Мал. 2. Розширення схеми

microsoft

Мал. 3. Деякі параметри Pcnscfg.exe

Налаштування агента управління

Наступним кроком після встановлення PCNS є налаштування агента керування. Створення агента управління складається із 10 кроків.

Для початку в Identity Integration Server виберіть вкладку Management Agent, клацніть правою кнопкоюManagement Agents та виберіть Create. Далі необхідно вказати тип агента управління (див. рис. 4).

Після вибору типу агента необхідно підключитися до певного лісу та налаштувати розділи каталогів. На цьому екрані також знаходиться прапорець Enable this partition as a password synchronization source, який необхідно встановити для синхронізації паролів (див. рис. 5).

Після цього необхідно вказати, який тип об'єкта ви хочете використовувати, налаштувати атрибути, фільтр з'єднання, правила злиття та проектування, перенесення атрибутів, деініціалізацію облікових записів та розширення. У налаштуваннях розширень необхідно встановити прапорець Enable password management (див. мал. 6).

miis

Мал. 4. Налаштування розділів каталогу

microsoft

Мал. 5. Налаштування агента управління

каталогів

Мал. 6. Включення системи керування паролями