10.29.2012 Tim Springston
در این مقاله، من سعی خواهم کرد برخی از جنبه های "کادر محاوره ای غیر قابل درک را در آگهی" روشن کنم، که برگه نمایندگی در پنجره Properties از کاربران دایرکتوری فعال و رایانه های کنسول مدیریت مایکروسافت (MMC) است (DSA.MSC) ) ما به مقادیر ویژگی برای پیکربندی های مختلف نگاه خواهیم کرد. درک تخصیص پارامترهای نصب به شما این امکان را می دهد که به درستی در برنامه های تبلیغاتی و خدمات با استفاده از نماینده Kerberos پیکربندی کنید
تیم Springston ( [ایمیل محافظت شده]) - مهندس ارشد خدمات پشتیبانی فنی تقسیمات پشتیبانی فنی تجاری در مایکروسافت مسئول امنیت و مجوز است.
یکی از فعالانه ترین در تکنولوژی مایکروسافت، احراز هویت پروتکل Kerberos است. عجیب است اگر ما در نظر داشته باشیم که تکنولوژی خود و توابع آن از زمان انتشار تغییرات قابل توجهی نداشته است سرور ویندوز 2003. و در عین حال، Kerberos موضوع را به کامپایل مستندات اضافی ادامه می دهد.
دائمی نیاز به مطالعه جنبه فنی کار Kerberos و علت اشتباهات ناشی از این واقعیت است که اگر چه تکنولوژی خود را بدون تغییر باقی می ماند، با استفاده از خدمات و روش های استفاده از آن، اغلب منحصر به فرد است. با این حال، در هر سناریو، تخصیص پارامترهای نصب دایرکتوری فعال (AD) و معنای پیام های خطا باقی می ماند.
در این مقاله، من سعی خواهم کرد برخی از جنبه های "جعبه محاوره ای غیر قابل درک را در آگهی" روشن کنم، که برگه هیئت مدیره در پنجره Properties از کاربران دایرکتوری فعال و رایانه های کنسول کنسول مدیریت مایکروسافت (MMC) است (DSA. کارشناسی ارشد) ما به مقادیر ویژگی برای پیکربندی های مختلف نگاه خواهیم کرد. درک تخصیص پارامترهای نصب به شما این امکان را می دهد که با استفاده از نماینده Kerberos به درستی در برنامه های تبلیغاتی و خدمات پیکربندی کنید.
رابط کاربری ساده
چرا وقت خود را برای کشف رابط "ساده" صرف می کنید؟ لازم است به جزئیات بیشتر بشوید، زیرا درک جنبه فنی کار پارامترهای مختلف، موفق تر می شود تا خطاهای خود را در پیکربندی خود اصلاح کند. بنابراین، بیایید با درک معنی تاسیسات شروع کنیم. اگر کاربران Active Directory و Computers را باز کنید و به خواص حساب کامپیوتر بروید، شما برگه نمایندگی هیئت مدیره را مشاهده خواهید کرد (با توجه به اینکه جنگل شما در سطح عملکرد سرور 2003 سرور است). این برگه بر روی صفحه نمایش 1 نشان داده شده است. برای توضیح تخصیص سوئیچ های این برگه بر روی صفحه نمایش 2، نام های جایگزین می تواند داده شود.
قبل از اینکه به معنای پارامترها عمیق تر شوید، توضیح دهید که کدام هیئت نمایندگی Kerberos است. نمایندگی (همچنین به عنوان "شخصیت" یا هیئت ساده اشاره شده است) فرآیند دریافت درخواست یا خدمات بلیط Kerberos برای دسترسی به منابع یا کامپیوتر از راه دور از طرف کاربر. اعتماد به منظور هیئت نمایندگی یک سرویس است حساب، از طرف آن برنامه کار می کند. نمایندگی به برنامه اجازه می دهد تا تنها به منابع دسترسی کاربر دسترسی داشته باشد و اطلاعات کاربر را تحویل دهد. به عنوان مثال از اسکریپت، شما می توانید یک سرور وب را به سیستم SQL Server متصل کنید تا داده های مورد نیاز کاربر را به مشتری وب نشان دهید.
دو گزینه بالایی ("به هیئت مدیره کامپیوتر اعتماد نکنید" و "اعتماد به کامپیوتر هر سرویس را به هر سرویس") بر روی صفحه نمایش 1 نیازی به توضیح ندارند. گزینه سوم یک هیئت محدود از هیئت محدود Kerberos (KCD)، تقریبا شبیه به هیئت ساده ساده است، اما این امر برای هیئت گواهینامه فردی تنها به خدمات یا رایانه های مشخص شده ارائه می دهد. این گزینه بیشتر فراهم می کند سطح بالا ایمنی، محدود کردن دامنه هیئت نمایندگی از هویت کاربر شخصیت، بنابراین در مورد سازش یک گواهی خدمات قابل اعتماد برای هیئت، پیامدهای محدود به توانایی دسترسی به تنها این منابع در سرورهای از راه دورکه به صورت دستی برای هیئت محدود انتخاب شده اند.
نسخه چهارم در صفحه 1 اجازه می دهد تا KCD و خدمات برای Extension Uper (یا S4U). Extension S4U توابع گسترده تر مانند تغییر پروتکل را فراهم می کند. تغییر پروتکل زمانی رخ می دهد که مشتری ابتدا از طریق یک پروتکل غیر از Kerberos، با اتصال ورودی احراز هویت را انجام می دهد و سپس به Kerberos تغییر می کند. توصیف همراه با جزئیات S4U در اسناد "کاوش Extensions S4U Kerberos در ویندوز سرور 2003" (msdn.microsoft.com/en-us/magazine/cc188757.aspx) و "انتقال پروتکل با مکمل فنی محدود" (msdn.microsoft.com " / en- us / library / ff650469.aspx). این منابع بر روی برنامه نویسان متمرکز شده و نه در مدیران، بلکه برای مدیر نیز مهم است که بتواند درک کند که S4U چگونه آن را انجام می دهد و زمانی که باید استفاده شود. برای این منظور، ما یک لیست مختصر از ویژگی های S4U برای مدیر ارائه می دهیم.
دریافت اطلاعات در مورد نشانگر کاربر بدون دریافت واقعی این نشانگر و بدون دریافت بلیط بلیط بلیط بلیط (TGT) با یک بلیط خدمات بلیط مورد اعتماد از یک کاربر اعتماد یا دسترسی به داده های حساب. برای مثال، اطلاعات به دست آمده می تواند مورد استفاده قرار گیرد، به عنوان مثال، برای تأیید مجوز. این افزونه به عنوان خدمات برای کاربر به خود (S4U2ELF) شناخته می شود.
دریافت بلیط بدون نیاز به دریافت بلیط ابزار Kerberos، بدون دسترسی به داده های حساب، انتقال TGT یا بدون احراز هویت - خدمات برای کاربر به پروکسی (S4U2Proxy).
انجام یک تغییر قبلا ذکر شده از پروتکل. درخواست مشتری به خدمات شرکتی در ابتدا احراز هویت را با استفاده از یک روش غیر از Kerberos انجام می دهد، و S4U به سرویس قابل اعتماد اجازه می دهد تا جلسه کاربر را تغییر دهد که قبلا احراز هویت را به استفاده از Kerberos منتقل کرده است. در اینجا این است که خطاهای پیکربندی ناشی از خطاهای پیکربندی اغلب رخ می دهد، زیرا مستندات برنامه اغلب توضیحات روشن را در مورد اینکه آیا پروتکل مورد نیاز است و نحوه پیکربندی آن در تبلیغات وجود ندارد، وجود ندارد. با این حال، این موضوع مربوطه است، از آنجایی که امروز تقریبا هیچ مقاله ای بدون اشاره به "ابرها" وجود ندارد. مشتریانی که از طریق "ابر" متصل می شوند، اغلب به دلیل عدم وجود کنترل های دامنه (DC) برای صدور بلیط سرویس Kerberos در اینترنت، از احراز هویت NTLM استفاده می کنند. تغییر پروتکل به کاربر اجازه می دهد تا این دامنه را از طریق آن متصل کند نرم افزار صفحه شبکه یا سرورهای پروکسی با استفاده از یکی از روش های احراز هویت (به عنوان مثال، NTLM)، و سپس به تأیید اعتبار Kerberos برای انجام اقدامات بیشتر در داخل شبکه شرکت. از آنجا که "ابر" به معنای اتصال از طریق اینترنت است، ممکن است شک نکنید که اگر از راه حل "ابری" استفاده کنید، پس از آن دیر یا زود، شما به استفاده از تغییر پروتکل Kerberos خواهید آمد.
تحت غلاف بیرونی
در حال حاضر آنچه در واقع اتفاق می افتد زمانی که شما هر یک از این چهار پارامتر را نصب می کنید، با استفاده از LDP مشاهده مقادیر ویژگی های تعیین شده برای هر یک از تنظیمات. LDP با پیش فرض به سمت راست سرویس های دامنه نصب شده است و می تواند به عنوان یک ابزار پردازش فعلی LDAP استفاده شود رابط گرافیکی. LDP به شما امکان می دهد درخواست های LDAP خود را بسازید و نتایج را در یک فرم مناسب برای ادراک مشاهده کنید. مزیت اضافی استفاده از LDP برای مشاهده مقادیر ویژگی (به عنوان مثال، userAccountControl) انتقال مقادیر پارامتر محاسبه شده به شکل بخار به جای ترکیبی از اعداد است. به هر حال، بیشتر نسخه های دیر adsiedit.msc همچنین برای پردازش مشابهی از مقادیر پارامتر محاسبه شده ارائه می دهد.
بنابراین، در ویندوز سرور 2008 و نسخه های جدیدتر LDP.exe و adsiedit.msc ارائه می دهند ترجمه خودکار مقادیر ویژگی (به عنوان مثال، userAccountControl)، که نیاز به باز کردن calc.exe و دسترسی به مستندات آنلاین در MSDN یا به پایگاه دانش مایکروسافت را از بین می برد.
در حال حاضر تغییر مقادیر ویژگی در LDP را در نظر بگیرید، بسته به نصب کننده ها. بیایید با یک حساب کاربری شروع کنیم که برای نمایندگی قابل اعتماد نیست. بر روی صفحه نمایش 3 روشن است که حساب Test2 مورد اعتماد نیست و مقدار هگزادسیمال 1020 از ویژگی userAccountControl (مربوط به اعشاری 4128) به workstation_trust_account و passwd_notreqd ترجمه شده است.
بر روی صفحه نمایش 4 یک حساب کاربری را برای نمایندگی تعیین می کند. ما می توانیم مقدار ویژگی userAccountControntrol را به trusted_for_delegation ترجمه کنیم، که نشان دهنده وضوح هیئت نامحدود ساده Kerberos به این گواهی سرویس است.
تسلیم اعتماد به خدمات خاص
تنظیمات زیر بسیار مهم است اگر در نظر گرفته شده برای استفاده از S4U یا KCD استفاده شود. اولین مورد مربوط به انتخاب اعتماد این رایانه برای اعطای خدمات فقط ("اعتماد به این رای رایانه تنها خدمات مشخص شده)) و فقط از Kerberos استفاده کنید (" فقط استفاده از Kerberos "استفاده کنید. بر روی صفحه نمایش 5، می توان دید که با چنین انتخابی ویژگی userAccountControl دوباره workstation_trust_account را دریافت می کند، و ویژگی MSDS-allowntodelegto به طور خودکار با خدمات انتخاب شده که مجاز به اعطای مجوز است، پر شده است. هیچ روش دیگری با این ویژگی پر نشده است و تحت تاثیر قرار نمی گیرد. همانطور که سوابق خدمات خاصی را بر روی کامپیوتر ارائه می دهد که اعداد مجاز است.
گزینه دوم کمتر امن است - از هر پروتکل احراز هویت استفاده کنید ("از هر پروتکل برای احراز هویت استفاده کنید)، اجازه تغییر پروتکل و سایر گزینه های افزونه را می دهد. علاوه بر نوشته ها در ویژگی MSDS-USDSTODELEGATETO، این تنظیم ویژگی UserACCOUNTCONTROL را تغییر می دهد که Trusted_To_Authentice_For_Delegation (T2A4D) را دریافت می کند، همانطور که در صفحه نمایش 6 نشان داده شده است. بدون پرچم T2A4D، می توانید یک خطای تغییر پروتکل را انتظار داشته باشید. هیچ جزء دیگری در این پرچم استفاده نمی شود. توجه داشته باشید که این سوئیچ ساده بسیار مهم است، زیرا اگر آن را انتخاب نکنید، S4u2elf، S4U2Proxy و تغییر پروتکل به طور متفاوتی رفتار می کنند، که می تواند مشکلات را برای برنامه های کاربردی و خدمات در انتظار انواع مربوط به بلیط های مربوطه ایجاد کند. به طور خاص، تغییر پروتکل با یک خطا پایان خواهد یافت و بلیط صادر نخواهد شد. S4U2Proxy و S4U2Eself پرچم قابل حمل (تغییر مسیر)، که منجر به خطا می شود: برای S4U2Proxy - در هر صورت، و برای S4U2 خودتان - در شرایط، زمانی که شما نیاز به ارسال یک بلیط به یک سرویس یا گره دیگر.
"خودتان آن را انجام دهید"
چه اتفاقی می افتد اگر گزارش سرویس سرویس مورد استفاده توسط برنامه یا سرویس باید اقداماتی را انجام دهد که نیاز به تغییر پروتکل دارد، و برگه هیئت مدیره تنها به استفاده از Kerberos ("فقط استفاده از Kerberos") تنظیم می شود پروتکل احراز هویت ("از هر گونه تأیید اعتبار پروتکل استفاده کنید)؟ برای برنامه مشتری، یک خطا می تواند فرم دسترسی را رد کند ("دسترسی ممنوع") هنگامی که شما سعی می کنید دسترسی به منابع شبکه را دریافت کنید، یا یک خطا ممکن است بدون اطلاع رسانی NTLM، یا یک خطای وابسته به برنامه غیر منتظره رخ دهد. عدم قطعیت تظاهرات خطا، این کار را پیچیده تر می کند. به احتمال زیاد نتیجه، با این حال، دسترسی به انکار خواهد شد ("دسترسی ممنوع"). در چنین شرایطی، مطمئن شوید که مستند سازی برنامه یا خدمات را یاد بگیرید و ببینید آیا پروتکل تغییر یا درخواست برای دریافت بلیط از خدمات بدون TGT نمی شود. مشکل این است که اکثریت کامپایلر مستندات واقعا معنای پیکربندی KCD را درک نمی کنند و بنابراین توضیحات کافی را ارائه نمی دهند، یا به طور کلی بدون آنها هزینه می شود.
روش روشن کردن علل خطا بر اصل "DIY" می تواند یک مجموعه ساده از داده های ردیابی شبکه از یک سرور مورد اعتماد برای هیئت نمایندگی باشد. فیلتر داده های جمع آوری شده توسط Kerberos (Kerberosv5 در Microsoft Network Monitor یا Kerberos در Wireshark). درخواست یک بلیط برای صدور یک بلیط (TGS_REQ) به مرکز توزیع کلیدی مرکز توزیع Kerberos (KDC) منتقل می شود و شامل پارامترهای KDC با پرچم محدود هیئت مدیره است. اگر شما از صدور یک بلیط رد شوید، پاسخ سرور (TGS_REP) حاوی یک خطا kdc_err_bad_option است که در نتایج ردیابی شبکه قابل توجه است.
اطلاعات بیشتر در مورد کارهای پیاده سازی مایکروسافت Kerberos را می توان در مشخصات آنلاین پروتکل های باز یافت. Extensions پروتکل Kerberos (msdn.microsoft.com/en-us/library/cc233855 ٪28V\u003dProt.13 ٪29.aspx) شامل مستندات عمومی برای Kerberos و "برنامه های کاربردی پروتکل Kerberos: خدمات برای کاربر و مشخصات پروتکل اختصاصی هیئت مدیره" ( msdn.microsoft.com/en-us/library/cc246071٪28v\u003dProt.13٪29.aspx) - مستند سازی در هیئت محدود Kerberos و S4U.
جهان کامل
من امیدوارم که تجزیه و تحلیل فوق تنظیمات در پنجره رابط Kerberos و مکاتبات آنها در تبلیغ به شما کمک کند تا معنای خود را بهتر درک کنید. ایده آل می تواند یک جهان باشد که مستند سازی خدمات اداره شده شامل راهنمای فنی آنها خواهد بود تنظیم مناسب برای احراز هویت با این حال، اگر واقعیت به دور از ایده آل باشد، این اطلاعات باید به منظور بهبود ابزار شما کمک کند. درک جنبه فنی کار پارامترها کلید موفقیت خواهد بود.
2 پاسخ
حل کرد.
نیمه اول من بیش از حد بود. نیمه دوم ... خوب، من هیچ کلمه ای در مورد آنچه اشتباه بود ندارم. در واقع، این یک اشتباه نیست، یا ناسازگاری نیست، اما چیزی بسیار ناراحت کننده است، متناوب و دشوار است. اول، خلاصه، و سپس توضیح طول برای کسانی که مراقبت می کند:
علی رغم جملات پیام های خطا، این یک مشکل با مدل مفهومی (CSDL) نیست، اما مشکل مقایسه ستون ها، که خود را با وقفه ها بازسازی کرد.
مدل مفهومی با استفاده از EDMXWriter برای تجزیه و تحلیل نحوی DBContext و قطعات اصلی آن ساخته شده است.
سپس مدل برای تولید اسکریپت های SQL برای انتقال مدار به یک پایگاه داده جدید استفاده شد. تمرکز این است که پایگاه داده اوراکل است.
اوراکل یک کودک است و نام های ستون طولانی را قبول نمی کند. بنابراین، اسکریپت های EDMX و SQL تولید شده باید اصلاح شوند تا قطعات مدل مفهومی را با نام های ستون کوتاه ایجاد و مقایسه کنند.
یک معامله بسیار بزرگ نیست این کار خوب است. پس کجا همه چیز اشتباه کرد؟
اوراکل از "کد اول" پشتیبانی نمی کند. و اگر چه این کار به صورت دستی انجام شد، استفاده از EDMXWRITER یک رویکرد کد در اوراکل است. بنابراین، زمانی که اولین طرح EDMX برچیده شد، آن را بر روی مقایسه های منطقی قرار داد. این تصمیم به طور موقت از مدل های C # من حذف شد، آنها را به EDMX به صورت دستی اضافه کنید و نقشه برداری Web.config Oracle (Mapping Bool به شماره (1.0)).
همه دوباره Groovy. اما چرا او همچنان به تکرار ادامه می دهد؟
در زمان های مختلف در طول فرآیند توسعه، برخی از اهداف توافق - یا C #، EDMX یا تغییر اوراکل. و هر بار به نظر می رسد ستون ها به طور خودکار مجددا مجددا مجددا مجددا مجددا مجددا می دانستند. اگر مدل EDMX از اوراکل به روز شود، قابل مقایسه بود خواص C #، که نبود (نام ستون کوتاه). اگر مدل از کد C # به روز شده است، نقشه برداری ذخیره نشده بود، و آنها سعی کردند نام های طولانی ستون هایی را که در اوراکل نبودند مقایسه کنند.
اشکال با این رویکرد (اول اولین کد هیبریدی و مدل) اگر من می خواهم به کنترل مدل های خودم ادامه دهم و تنظیمات لازم برای نگرش کوچک نسبت به یک کودک را کنترل کنم، باید بسیار مراقب باشید و از ویژگی فایل EDMX پیروی کنم .
سایت ها، برنامه ها، بازی ها - منابع اطلاعاتی که توسط کاربران مدیریت می شوند. برای تقسیم عملیات مجاز و ممنوعه برای یک یا چند کاربر از عمل، حقوق دسترسی (PD) استفاده می شود. دامنه نقش های PD را شکل می دهد. به عنوان مثال، با امکان ثبت نام به سایت پایه نگاه کنید.
در این سایت "زندگی" 3 نقش با حقوق و تعهدات خود را:
1.
تمام پیش فرض های ناشناس در این نقش کار می کنند. اگر ما مهمانان سایت را از طریق حق "اضافه کردن نظرات" لباس، پس از آن کاربر که به سایت آمد، قادر به نظر شما خواهد بود. و اگر نه، پس از آن به نظر شما باید ابتدا ثبت نام کنید.
2.
احراز هویت گذشته و مجوز ناشناس نقش جدید. فقط کاربران مجاز می توانند مدیریت کنند حساب شخصی، اضافه کردن و ویرایش اطلاعات شخصی، مشاهده اطلاعات در مورد شخصیت های دیگر. کاربران ثبت نشده حق این عملیات را ندارند.
3. مدیر
این نقش پیش فرض به کاربر دسترسی کامل به سایت را می دهد. مدیر منابع اضافه می کند، بلوک ها را حذف می کند و از کاربران دیگر حق دسترسی به یک یا چند قابلیت دسترسی پیدا می کند.
چگونه تست کنید و توجه کنید؟
اول از همه، ما سعی خواهیم کرد که "Super-Admin" را حذف کنیم، با تنظیمات بازی کنیم.
- یک شخصیت امن ایجاد کنید
برای نزدیک شدن به فعالیت های واقعی در این پروژه، کاربر کافی با قدرت های اداری مشابه وجود دارد. و در حال حاضر توسط این شخصیت، ما منابع را آزمایش می کنیم و مجوزها را برای دسترسی کاربران دیگر تغییر می دهیم.
- در چند مرورگر بررسی کنید
ما در همان زمان انجام می دهیم: در یک اصلاح PD، در یکی دیگر از شما استفاده از حقوق کاربر را بررسی کنید، بنابراین جلسات کاربر را به اشتراک بگذارید.
- ما با لینک مستقیم عبور می کنیم
محدودیت های بلوک تست، حرکت به آنها آدرس نشانی اینترنتی. مشاهده برخی از داده های منابع باید با اشاره به یک سایت مهمان غیر مجاز در دسترس نباشد. اگر دسترسی محدود باشد، همه چیز درست است: به جای اطلاعات بسته، ناشناس یک پیام هشدار دهنده را به صورت یک صفحه خاص دریافت می کند، اغلب با کد 403.
- ما مسدود کردن اشخاص را آزمایش می کنیم
برای منابع، مانند بلیط برای بلیط ها و تورهای، مهم است که این مورد را مسدود کنید زمانی که چندین کاربر می توانند بلافاصله به آن دسترسی پیدا کنند. دو گزینه مسدود کننده وجود دارد:
+ مسدود کردن خوش بینانه هنگامی که صرفه جویی در پایگاه داده را برای بیشتر بررسی می کند نسخه جدید داده ها توسط کاربر دیگری باقی مانده است. اگر این باشد، کاربر فعلی این نمونه از نهاد را به روز می کند.
+ مسدود کردن بدبینانه نهادها استفاده می شود زمانی که خوش بینانه تولیدات بیش از حد بسیاری را تولید می کند. در این مورد، تنها یک کاربر در حال حاضر از آن استفاده می کند و تغییر می کند این گزینه موجودیت ها.
می تواند از یک کامپیوتر در چند مرورگر یا حساب های مختلف مورد آزمایش قرار گیرد.
- ما از یک ماتریس تست استفاده می کنیم
او کار تستر را ساده می کند، به وضوح اقدامات مجاز و ممنوعه را نشان می دهد، و فقط به هیچ چیز کمک نمی کند. ما در آن همه نقش ها، کاربران، تغییرات محدودیت های امکانات شخصیت های ما را رنگ می کنیم.
و در اینجا ساده ترین نمونه از یک ماتریس تست است:
کنترل دسترسی یکی از چک های اصلی در داخل است. حتی بررسی سایت کتابخانه محلی با سه نقش با آزمایش مشکلات مواجه می شود. اما منابع محبوب با ده ها تن از نقش ها، هزاران نفر از کاربران و میلیون ها مجوز نیاز به یک ارتش کامل از مدیران! ما دشوار است که ما بتوانیم مقیاس آسیب را تصور کنیم اگر تست Dislettage را می گیرد. جذب متخصصان صالح و اجازه ندهید فضاهای امن محصولات خود را!
