1c sellele kasutajale ei ole ligipääsetavaid rolle. Kõige arusaamatu dialoogiboks Active Directory

10.29.2012 Tim Springston

Selles artiklis püüan selgitada mõningaid aspekte "Kõige arusaamatu dialoogiboksi AD", mis on delegatsiooni vahekaart Active Directory kasutajate ja Microsofti halduskonsooli (MMC) (DSA.MSC arvutite delegatsiooni vahekaart ). Me vaatame erinevate konfiguratsioonide atribuutide väärtusi. Paigaldusparameetrite loovutamise mõistmine võimaldab teil korrigeerida reklaamide rakendustes ja teenustes, kasutades Kerberosi delegatsiooni

Tim Springston ( [E-posti kaitstud]) - Vanem teenindusinsener tehniline abi Microsofti kaubandusliku tehnilise toe rajoonid vastutavad turvalisuse ja loa eest.

Microsofti tehnoloogia üks kõige aktiivsemalt arutatakse, on Kerberose protokolli autentimine. On imelik, kui arvame, et tehnoloogia ise ja selle ülesanded ei ole vabastamisest olulised muutused läbinud Windowsi server 2003. Ja veel Kerberos jääb täiendav dokumentatsioon koostamisel.

Püsiv vajadus uurida Kerberoide töö tehnilist aspekti ja vigade põhjuseks on tingitud asjaolust, et kuigi tehnoloogia ise jääb samaks, on selle teenuste ja selle kasutamise meetodite kasutamine sageli unikaalsed. Igas stsenaariumis jääb aktiivse kataloogi (reklaami) paigaldusparameetrite ja veateadete tähenduse määramine.

Selles artiklis püüan selgitada mõningaid aspekte "Kõige arusaamatu dialoogiboksi reklaamikastis", mis on Delegatsiooni vahekaart Active Directory kasutajate ja Microsofti halduskonsooli konsooli (MMC) arvutite omaduste aknas (DSA. MSc). Me vaatame erinevate konfiguratsioonide atribuutide väärtusi. Paigaldusparameetrite määramise mõistmine võimaldab teil korralikult seadistada reklaamitaotlustes ja teenustes Kerberose delegatsiooni abil.

Lihtne liides

Miks veeta aega, et uurida "lihtsat" liidese? Üksikasjalikult on vaja delikate arvesse võtta, sest erinevate parameetrite töö tehnilise aspekti mõistmine võimaldab edukamalt nende konfiguratsioonis vigade parandamiseks. Seetõttu alustame rajamisseadmete tähenduse mõistmist. Kui avate Active Directory kasutajad ja arvutid Snap ja minna omadusi arvuti konto, näete delegatsiooni delegatsiooni vahekaarti (tingimusel, et teie metsa on Server 2003 funktsionaalne tasandil). See vahekaart kuvatakse ekraanil 1. Selle vahekaardi lülitite määramise selgitamiseks ekraanil 2 võib alternatiivseid nimesid anda alternatiivseid nimesid.

Enne parameetrite tähenduses süvendamist selgitage, milline delegatsioon on Kerberos. Delegatsioon (mida nimetatakse ka "isiklikuks" või lihtsaks delegeerimiseks), on rakenduse või Kerberose piletiteenuse vastuvõtmise protsess ressursside kättesaadavuse või kaugarvuti Kasutaja nimel. Usaldusväärne delegatsiooni sisuliselt on teenus konto, mille nimel taotlus töötab. Delegatsioon võimaldab taotluse kasutada ainult ressursse, millele kasutajale oleks juurdepääs ja tarnima kasutajaandmeid. Näitena skripti saate tuua veebiserver ühendatud SQL Server süsteemi kuvada kasutaja vajalikud andmed veebi kliendile.

Kaks ülemist võimalust ("Ärge usaldage arvuti delegatsiooni" ja "usaldage arvuti delegeerimata teenuseid") ekraanil 1 ei vaja selgitusi. Kolmas võimalus on Kerberose piiratud delegeerimine piiratud delegatsioon (KCD), peaaegu sarnane lihtsa delegatsiooniga, kuid see näeb ette individuaalse sertifikaadi delegeerimist ainult määratud teenuste või arvutite delegeerimiseks. See valik pakub rohkem kõrge tase Ohutus, millega piiratakse isikutunnistuse isikuandmete delegeerimise ulatust, nii et delegeerimiseks usaldatud teenuse sertifikaadi kompromissi puhul piirduvad tagajärjed ainult nende ressursside juurde pääsemiseks kaugserveridmis valitakse käsitsi piiratud delegatsiooni jaoks.

Neljas versioon ekraanil 1 võimaldab KCD ja Teenused UPER (või S4U) laiendus. Laiendus S4U pakub laiemaid funktsioone, näiteks protokolli muutmist. Protokolli muutmine toimub siis, kui klient täidab kõigepealt autentimist muu kui Kerberose kaudu sissetuleva ühendusega ja seejärel lülitub Kerberosse. Täpsem kirjeldus S4U sisaldub "uurides S4U KERBEROSi laiendusi Windows Server 2003" dokumentatsioonis (MSDN.Microsoft.com/en-us/magazine/cc188757.aspx) ja "Protokolli üleminek piiratud delegeerimise tehnilise lisaga" (MSDN.Microsoft.com / EN- US / Library / FF650469.ASPX). Need ressursid keskenduvad programmeerijatele ja mitte administraatoritele, kuid see on oluline ka administraator mõista, mida S4U on, kuidas seda teha ja kui seda tuleks kasutada. Selleks anname administraatori jaoks lühikese nimekirja S4U funktsioonidest.

Teabe saamine kasutaja markeri kohta ilma selle markeri tegeliku saamiseta ja piletitoetuse saamata pileti saamata pileti (TGT) piletit usaldusväärse piletiteenuse piletiga usaldusväärse kasutaja või konto andmete kättesaadavusega. Saadud teavet saab seejärel kasutada näiteks lubade kinnitamiseks. See laiendus on tuntud kui teenuseid-for-user-to-mina (S4u2self).

Piletite saamine ilma vajaduseta saada Kerberose utiliidi pileti, ilma juurdepääsu konto andmete, TGT edastamise või ilma autentimiseta - teenuseid-for-kasutaja-to-proxy (S4U2Proxy).

Eelnevalt nimetatud protokolli muutmise teostamine. Klient apellatsioonkaebused ettevõtte teenistusele esialgu täidab autentimist meetodi abil, kui Kerberos ja S4U võimaldab usaldusväärset teenust välja lülitada kasutaja seansi, mis on juba läbinud autentimise Kerberose kasutamisele. On siin, et konfiguratsiooni vead põhjustatud konfiguratsiooni vead esinevad sageli, kuna rakendusdokumentatsioon sageli ei sisalda selgeid selgitusi selle kohta, kas protokoll on vaja ja kuidas seda reklaamida. Kuid see teema on asjakohane, sest täna on peaaegu mingit artiklit ilma "pilvede" mainimata. Kliendid, mis ühendavad "pilve", rakendavad kõige sagedamini NTLM-autentimist domeenikontrollerite (DC) puudumise tõttu Kerberose teenusepileti väljastamise taotluste puudumise tõttu Internetis. Protokolli muutmine võimaldab kasutajal seda domeeni ühendada tarkvara võrguekraan või puhverserverid, kes kasutavad ühte autentimismeetoditest (näiteks NTLM) ja seejärel lülituge Kerberose autentimisele täiendavate toimingute tegemiseks korporatiivne võrgustik. Kuna "pilv" tähendab Interneti kaudu ühendamist, ei pruugi te kahtle mõelda, et kui kasutate ühtegi pilves "lahendust, siis kiiremini või hiljem jõuate Kerberosi protokolli muutmise kasutamisele.

Välimise ümbrise all

Nüüd kaaluge, mis tegelikult juhtub, kui installite kõik need neli parameetrit, kasutades LDP-d iga konfiguratsiooni jaoks määratud atribuutide väärtuste vaatamist. LDP on paigaldatud domeeniteenuste advokatuuri paremale ja seda saab kasutada LDAP praeguse töötlemise tööriistana graafiline liides. LDP võimaldab teil ehitada oma LDAP taotlused ja vaadata tulemusi mugavas vormis taju. Täiendav eelis LDP kasutamine atribuutide väärtuste vaatamiseks (näiteks kasutajackantConTontrol) on arvutatud parameetrite väärtuste ülekandmine aurutatud kujul numbrite kombinatsiooni asemel. Muide, rohkem hiline versioon ADSEDIT.MSC pakuvad ka arvutatud parameetrite väärtuste töötlemist.

Seega pakub Windows Server 2008 ja LDP.EXE ja ADSEDIT.MSC uuemad versioonid automaatne tõlge Atribuutide väärtused (näiteks kasutajackaCtontConTontrol), mis kõrvaldab vajaduse avada Calc.exe ja juurdepääsu MSDN-i veebipõhisele dokumentatsioonile või Microsofti teadmistebaasile.

Nüüd kaaluge atribuutide väärtuste muutmist LDP-sse, sõltuvalt paigaldajatest. Alustame kontoga, mis ei ole delegatsiooni eest usaldatud. Ekraanil 3 on selge, et test2 konto ei ole usaldusväärne ja et heksadecimaalse väärtuse 1020 UserchountControli atribuut (vastab kümnendale 4128) tõlgitakse tööstamis_Trust_account ja passwd_notreqd.

Ekraanil kuvatakse 4 delegatsioonile usaldatud konto. Me näeme UsercrountContControli atribuutiväärtust tõlgitud usaldatud_for_delegation, mis näitab resolutsiooni lihtne piiramatu delegatsiooni Kerberos selle teenuse sertifikaadi.

Usaldus delegatsioon teatud teenuste

Järgmised seaded on otsustava tähtsusega, kui see on mõeldud S4U või KCD kasutamiseks. Esimene juhtum vastab selle arvutile usaldusväärsele arvutisse ainult määratud teenuste delegeerimiseks ("usaldage seda arvutit ainult määratud teenuste delegeerimiseks") ja kasutage ainult Kerberosi ("Kasutage ainult Kerberosi"). Ekraanil 5 on näha, et sellise valikuga kasutajachountControli atribuut saab uuesti tööstaasi_Trust_account ja MSDS-Allowntodelegto atribuut täidetakse automaatselt valitud teenused, mis on lubatud delegatsiooniga. Teine menetlus ei ole selle atribuudiga täidetud ja seda ei mõjuta. Nagu kirjed loetleb teatud teenuseid arvutis, mille jaoks delegatsioon on lubatud.

Teine võimalus on vähem turvaline - kasutage autentimisprotokolli ("kasutage iga autentimise protokolli"), mis võimaldab muuta protokolli ja muude laiendusvõimaluste muutmist. Lisaks kirjetele MSDS-MBSTodelegateto atribuutil muudab see seadistus kasutajackantControli atribuuti, mis saab usaldusväärse_To_authenticate_for_delegation (T2A4D), nagu on näidatud ekraanil 6. Ilma T2A4D-liputuseta saate oodata protokolli muutmise viga. Selle lipu all ei kasutata muud komponenti. Pange tähele, et see lihtne lüliti on äärmiselt oluline, sest kui see ei ole valitud, siis S4u2self, S4U2Proxy ja protokolli muutmine käitub erinevalt, mis võib tekitada probleeme rakendustele ja teenustele, mis ootavad asjakohaseid pileteid. Eelkõige muudab protokolli muutus veaga ja piletit ei väljastata. S4U2Proxy ja S4u2selfil ei ole edastatavat lippu (ümbersuunamine), mis toob kaasa vea: S4U2Proxy jaoks - igal juhul ja S4U2S-i jaoks - olukordades, kui teil on vaja saata pileti teisele teenusele või sõlmele.

"Tee seda ise"

Mis juhtub, kui teenuse või teenuse kasutatava teenuse teenusekonto peaks tegema meetme, mis nõuab protokolli muutmist ja vahekaarti delegatsiooni ainult kasutamiseks Kerberos ("Kasutage ainult Kerberose") selle asemel, et kasutada seda kasutada Autentimise protokoll ("Kasutage protokolli autentimist")? Kliendirakenduse puhul võib viga võtta juurdepääsu keelatud vormile ("keelatud juurdepääs"), kui püüate saada juurdepääsu võrguressurssidele või võib tekkida viga ilma NTLM-autentimiseta või ootamatu rakenduse sõltuva veateabetuseta. Viga ilmingu ebakindlus raskendab veelgi ülesannet. Kõige tõenäolisem tulemus on aga keelatud ("keelatud juurdepääs"). Sellises olukorras õppige kindlasti taotluse või teenuse dokumentatsiooni ja välja selgitama, kas protokolli muudatused või taotlused pileti saamiseta teenust ilma TGT-d ei ütle. Probleem on selles, et enamik dokumentatsiooni koostajaid ei mõista tõeliselt KCD-konfiguratsiooni tähendust ja seetõttu annavad need ebapiisavad selgitused või need on üldjuhul ilma nendeta kulud.

Meetod selgitamise põhjuste põhjuste põhjuste põhimõttel "DIY" võib olla lihtne kogumise võrgujälg andmete serverist usaldusväärne delegatsiooni. Kogutud andmefilter Kerberos (Kerberosv5 Microsoft Network Monitor või Kerberos Wireshark). Piletipileti taotlus pileti väljastamiseks (TGS_REQ) edastatakse Kerberosi jaotuskeskusele (KDC) AD põhitõudekeskusele ja sisaldab KDC parameetreid piiratud delegatsiooni lipuga. Kui te keeldute pileti väljastamisest, sisaldab serveri vastus (TGS_REP) vea KDC_ERR_BAD_OPTION, mis on võrgu jälgimise tulemustes kergesti märganud.

Rohkem teavet Microsoft Kerberosi rakenduste töö kohta leiate avatud protokollidest online-spetsifikatsioonis. Kerberose protokolli laiendused (MSDN.microsoft.com/en-us/library/cc233855%28V\u003dProt.13%29.aspx) Sisaldab Kerberosi ülddokumentatsiooni ja "KERBEROSi protokolli laiendid: kasutajate teenindus ja piiratud delegeerimise protokolli spetsifikatsioon" ( Msdn.microsoft.com/en-us/library/cc246071%28V\u003dProt.13%29.aspx) - Kerberosi ja S4U piiratud delegeerimise dokumentatsioon.

Täiuslik maailm

Loodan, et Kerberose liidese akna seadete eeltoodud analüüs ja nende vastavus aitavad teil paremini mõista nende tähendust. Ideaalne võiks olla maailm, kus hallatavate teenuste dokumentatsioon sisaldaks tehnilist juhendit nende nõuetekohane seade Autentimiseks. Siiski, kui tegelikkus on kaugeltki ideaalne, peaks see teave aitama parandada teie tööriistakomplekti. Parameetrite töö tehnilise aspekti mõistmine on edu võti.



2 vastust

lahendatud.

Esimene pool oli minu ülerõhk. Teine pool ... Noh, mul ei ole sõna, mis oli vale. Tegelikult ei ole see viga ega kokkusobimatus, kuid midagi on väga ebamugav, katkendlik ja raske mõista. Esiteks kokkuvõte ja seejärel selgitus pikkuse neile, kes hoolib:

Vaatamata tõrketeatete lausetele ei ole see probleem kontseptuaalse mudeliga (CSDL), vaid veergude võrdlemise probleem, mis taastasid katkestustega.

Kontseptuaalne mudel ehitati EDMXWRITER kasutaja DBContext süntaktilise analüüsi ja selle peamiste osade jaoks.

Seejärel kasutati mudelit SQL-skriptide genereerimiseks uue andmebaasi ülekandmiseks uue andmebaasi ülekandmiseks. Fookus on see, et andmebaas on Oracle.

Oracle on laps ja ei aktsepteeri pikki veeru nimesid. Seega tuli genereeritud EDMX ja SQL-skriptid muuta kontseptuaalse mudeli osade osade loomiseks ja võrdlemiseks lühendatud veeru nimedega.

Mitte väga suur asi. See toimib hästi. Nii et kui kõik läks valesti?

Oracle ei toeta "koodi esimene". Ja kuigi see tehti käsitsi, on EDMXWriduse kasutamine Oracle'i koodi lähenemisviis. Seega, kui esimene EDMX skeem lammutati, tapmine loogiliste võrdluste. Otsus oli ajutiselt eemaldada boolid minu c # mudelid, lisage need EDMX käsitsi ja kaardistades Web.config Oracle (kaardistamise booul (1,0)).

Kõik jälle Groovy. Aga miks ta jätkab korduvat?

Erinevatel aegadel kogu arendusprotsessis, mõned lepingu mõned eesmärgid - kas C #, EDMX või Oracle muutus. Ja iga kord, kui tundub, veerud automaatselt ümber ja ma ei teadnud. Kui EDMX mudel on Oracle'i värskendatud, näitas võrreldav C # omadused, mis ei olnud (lühikese veeru nimed). Kui mudel on uuendatud C # koodi, kaardistamine ei salvestatud ja nad püüdsid võrrelda piki nime veergude, mis ei olnud Oracle.

Viga selle lähenemisviisiga (esimene esimene hübriidi kood ja mudel) on see, kui soovin jätkata oma mudelite juhtimist ja käsitseda väikese suhtumise jaoks vajalikke seadeid, pean olema väga ettevaatlik ja järgige EDMX-faili funktsiooni. .

Saidid, rakendused, mängud - infovahendid, mida kasutajad haldavad. Lubatud ja keelatud toimingute jagamiseks ühe või mõne teise tegevuse kasutajale kasutatakse juurdepääsuõigusi (PD). PD moodustab rollide ulatus. Näiteks vaadake põhisala registreerimise võimalusega.

Sellel saidil "elavad" 3 rolli oma õiguste ja kohustustega:

1.

Kõik anonüümsed vaikimisi tegutsevad selles rollis. Kui me riietame saidi külalisi parema "Kommentaaride lisamisega", siis saab saidile tuli kasutaja teie huvi kommenteerida. Ja kui mitte, siis kommenteerida sisu, mida peate kõigepealt registreerima.

2.

Varem autentimine ja autoriseerimine Anonymous saada uus roll. Ainult volitatud kasutajad saavad hallata isiklik konto, Lisa ja redigeeri isikuandmeid, vaadake teavet teiste tähemärkide kohta. Registreerimata kasutajatel ei ole õigust nendele operatsioonidele õigust.

3. Administraator

See vaikimisi roll annab kasutajale täieliku juurdepääsu saidile. Ressursside administraator lisab, eemaldab plokid ja annab või võtab või võtab ära teistest kasutajatest õiguse ühe või teise funktsiooni juurde pääseda.

Kuidas testida ja mida te tähelepanu pöörate?

Esiteks me püüame eemaldada "Super-admin", mängides seaded.

  • Looge turvaline iseloom

Reaalsete tegevuste lähemale lähemale projektile on piisavalt täiendavat kasutajat sarnaste haldusjõududega. Ja juba nende iseloomuga testime ressurssi ja muuta teiste kasutajate juurdepääsu õigusi.

  • Kontrollige mitmeid brausereid

Me teeme samal ajal: ühes muudatuses PD-d, teises kontrollige kasutaja õiguste kasutamist, jagades seega kasutaja istungeid.

  • Me liigume otsese lingiga

Katseploki piirangud, nende liikumine URL-aadress. Vaadake mõningaid ressursside andmeid ei tohiks olla kättesaadav volitamata külastaja saidi alusel. Kui juurdepääs on piiratud, siis kõik on OK: suletud teabe asemel saab anonüümne hoiatussõnumi spetsiaalse lehe kujul, kõige sagedamini koodiga 403.

  • Me katsetame üksuste blokeerimist

Ressursside jaoks, näiteks piletid ja ekskursioonide piletid, on oluline objekti blokeerida, kui mitu kasutajat saab selle koheselt juurde pääseda. On kaks blokeerimisvõimalust:

+ Optimistlik blokeerimine Kui salvestate andmebaasi rohkem uus versioon Teise kasutaja poolt jäänud andmed. Kui see on, siis praegune kasutaja uuendab selle üksuse eksemplari.

+ Pessimistlik blokeerimine Üksusi kasutatakse optimistlik genereerib liiga palju kokkupõrkeid. Sel juhul kasutab ja muudab ainult üks kasutaja see valik Üksused.

Võib testida ühest arvutist mitmes brauseris või erinevates kontodes.

  • Me kasutame testi maatriksit

Ta lihtsustab testija tööd, näitab selgelt lubatud ja keelatud tegevusi ning see ei aita lihtsalt midagi maha jätta. Me värvime selles kõik rollid, kasutajad, meie tähemärkide võimaluste piirangute variatsioonid.

Ja siin on testmaatriksi lihtsaim näide:

Juurdepääsu kontroll on üks peamisi kontrolle. Isegi kohaliku raamatukogu koha kontrollimine kolme rolliga seisab silmitsi raskuste testiga. Aga populaarsed ressursid kümnete rollidega, tuhanded kasutajad ja miljonid load nõuavad kogu administraatorite armee! Meil on raske ette kujutada kahjustuse ulatust, kui katsetab diskate. Pole meelitada pädevaid spetsialiste ja ärge lubage oma tooteid turvaliselt turvaliselt!

Sarnased artiklid