درس دویست و سی و سوم: پیاده سازی AD RMS

پیاده سازی AD RMS

 

 

معرفی AD RMS

با مجوزهای Share و NTFS میتوانیم محدودیت ها و مدیریت هایی در دسترس کاربران به فولدرها و فایل ها تعیین کنیم ولی نمی توانیم مستقیما برای فایل های آفیس دسترسی های دقیقتر و ریزتری ایجاد نمائیم.Active Directory Rights Management Services یا AD RMS که بصورت یک Server Role قابل نصب است این توانایی را به ما میدهد که بعنوان مثال فلان کاربر را از امکان پرینت گرفتن یک فایل آفیس محروم کنیم. کاربر فوق میتواند عضو دامین ما باشد یا عضو یک دامین یا حتی یک فارست دیگر (  که توسط ارتباطات مبتنی بر trust میتواند از منابع شبکه ما استفاده کند). موارد عمده کارگشایی این سرویس به شرح ذیل است:

  • اینکه اسناد سازمان فقط در داخل شبکه قابل استفاده باشند و کارمندها فقط بتوانند فایل ها را ببینند و بخوانند و در حد دسترسی شان اجازه مدیریت یک سند را داشته باشند. مشخصا نتوانند سند را E-mail کنند.
  • زمانی که شرکت بخواهد اطلاعات خودش را در اختیار یک شرکت دیگر بگذارد ولی نخواهد که کاربران آن شرکت توانایی copy/paste کردن اطلاعات داخل فایل ها و یا پرینت گرفتن از فایل ها را داشته باشند.
  • اینکه سیاست شرکت اقتضا کند که اصولا فایل ها در خارج از شبکه داخلی اصلا باز نشوند.

برای استفاده از سرویس ADRMS باید سیستم عامل های ماشین های ما ( سرور و کلاینت ) قابلیت کار با این سرویس را داشته باشند. در سیستم های کلاینتی، سیستم عامل های ویندوز 7 بعد و در سیستم های سرور، سیستم عامل های Server 2008 به بعد این قابلیت را دارا هستند. اما برای ویندوزهای XP و 2000 و 2003 باید آپدیت های مشخصی به نام RMS client service Pack 2 را نصب کنیم. برنامه های آفیس 2007 به بعد هم با این قابلیت سازگارند منهای نسخه های standard . پس بهتر است از نسخه های Professional Plus استفاده کنیم.

باید سرویس وب داشته باشیم و اینکه ASP.net فعال باشد. تمام کاربران و گروههای دامین باید در اکتیودایرکتوری دارای آدرس ایمیل باشند. یک برنامه پایگاه داده هم لازم است.

بهتر است حتی در شبکه بیش از یک AD RMS server داشته باشیم تا دو قابلیت Fault tolerance و Load balancing برای شبکه در مورد این سرویس فراهم باشد.

 

 

اجزای تشکیل دهنده AD RMS

پیاده سازی AD RMS نیازمند وجود کامپیوترها و نقش های ذیل است:

1- وجود یک Internal CA : سرویس AD RMS از گواهینامه های دیجیتال استفاده زیادی میکند. لذا بهتر است یک Internal CA در شبکه داشته باشیم. AD RMS از گواهینامه ها و License های ذیل استفاده میکند:

  • Server Licensor : اگر قصد ایجاد یک AD RMS Cluster ( تعدادی AD RMS Server ) داشته باشیم، Server Licensor به AD RMS Server اجازه تخصیص مواردی چون Additional Server Licensor به دیگر AD RMS Server ها، Rights Account Certificate به کلاینت ها، Client licensor Certificate ها، Publishing license ها، Use license ها و Rights Policy Template ها را میدهد.
  • Client Licensor : جهت اینکه یک کاربر بتوانند محتوای محافظت شده ( Protected Content ) را منتشر کند.
  • Machine Certificate : برای مشخص کردن یک کامپیوتر یا دیوایس.
  • Rights Account Certificate : مشخص کردن یک کاربر.
  • Publishing License : تعیین مجوزهای دسترسی که باید روی یک محتوای محافظت شده، اعمال شوند.
  • End-User License : قادر کردن یک کاربر به اینکه به یک محتوای محاظفت شده بتواند دسترسی یابد.

2- یک ADRMS Server:  از نوع ویندوز Server  که سرویس های IIS و ASP.net و World wide web publishing و Message Queuing روی آن نصب باشد. AD RMS Server باید یک Member Server باشد.

3- یک Database Server : از نوع Windows Server 2008 به اینسو که بسته نرم افزاری Microsoft SQL Server 2005 به بعد روی آن نصب باشد. البته میتوان بجای یک Database server از پایگاه داده داخلی خود ویندوز سرور یعنی WID ( Windows Internal Database ) استفاده کرد اما اگر چنین کاری بکنیم قادر نخواهیم بود عملیات ADRMS را روی اتصالات ریموت فعال کنیم و نیز در آینده نمی توانیم AD RMS server دیگری به شبکه اضافه کنیم چون قادر به برقراری ارتباط با پایگاه داده داخلی سرور فعلی ADRMS نخواهد بود.

4- کلاینت ها هم باید دارای ویندوز 7 به بعد و نیز Microsoft Office 2007 به بعد باشند.

 

 

معرفی سناریوی پیاده سازی AD RMS

قصد پیاده سازی AD RMS را داریم. سناریوی ما شامل کامپیوترهای ذیل است:

1- کامپیوتر DC1.ITPerfection.local که DC و DNS Server دامین است. ما در این سناریو روی این کامپیوتر اقدام به نصب AD CS نیز کرده و این کامپیوتر را به CA Server شبکه نیز تبدیل کرده ایم. نام CA دامین خود را نیز ITP-CA گذاشته ایم.

2- کامپیوتر Vserver008.ITPerfection.local : نقش AD RMS Server را عهده دار خواهد شد.

3- یک کامپیوتر از نوع Windows Client نیز داریم که روی آن Windows 10 و همچنین بسته نرم افزاری Microsoft Office 2016 Professional Plus را نصب کرده ایم. این کامپیوتر نیز عضو دامین ITPerfection.local میباشد.

البته با توجه به محدودیت های سخت افزاری شبیه سازی شبکه است که اولا از داشتن یک Database Server صرف نظر کرده ایم و دوما AD CS را روی DC نصب کرده ایم. در یک پروژه واقعی بهتر است هم Database Server داشته باشید و هم یک کامپیوتر مخصوص برای AD CS .

 

 

آماده سازی پیش نیازها

این سرویس نباید روی DC دامین راه اندازی شود. بلکه باید روی یک Member server نصب گردد. قبل از شروع نصب باید در اکتیو دایرکتوری دو کاربر جدید تعریف کنیم.

کاربر نخست را با نام t.grant@ITPerfection.local ایجاد کرده و آنرا عضو گروه Enterprise Admins میکنیم. هنگام نصب AD RMS باید با این کاربر به member server که قصد نصب AD RMS روی آن را داریم( یعنی Vserver008.ITperfection.local ) لاگین کنیم. باید این کاربر عضو گروه Local administrators این member server نیز باشد. در ضمن اگر قصد استفاده از Database Server مجزا داشته باشیم ( که بهتر است داشته باشیم) باید این کاربر را برای انجام عملیات نصب، عضو local administrators سروری که قرار است Database server باشد نیز بکنیم. البته می توانیم وقتی کار نصب AD RMS خاتمه یافت، این کاربر را حذف کنیم و یا از گروه Enterprise Admins حذفش نماییم. همینطور از گروه local administrators کامپیوترهایAD RMS server و DB server نیز می توانیم حذفش کنیم.

یک کاربر دیگری نیز باید بسازیم که لازم نیست عضو هیچ گروه خاصی باشد. ما کاربری به نام ADRMUser تعریف می کنیم.

یک گروه Global-Security نیز ایجاد میکنیم به نام ADRMS Users و کاربرانی که قرار است توسط سرویس AD RMS دسترسی آنها مدیریت شود را به عضویت این گروه در می آوریم.

همانطور که گفتیم یک PKI روی DC1.ITPerfection.local ایجاد و پیکربندی میکنیم به نام ITP-CA .

در ضمن باید  در پنجره Properties تک کاربرها و گروه هایی که قرار است توسط AD RMS برای آنها دسترسی مشخص کنیم، آدرس ایمیل وارد کنیم.

قبل از شروع نصب باید رول ها و ویژگی های ذیل را روی ADRMS server نصب کنید:

  1. IIS
  2. Message Queuing
  3. Remote Server Administration Tools
  4. .net Framework

کار بعدی اینست که در کنسول DNS یک Alias-record برای A-record متعلق به کامپیوتر Vserver008.ITPerfection.local با نام adrms.ITPerfection.local ایجاد کنیم.

و سرانجام یک گواهینامه SSL مناسب نیز باید توسط internal CA صادر و روی کامپیوتر AD RMS Server نصب شود. طرز تهیه و توزیع این گواهینامه را در بخش آینده خواهید آموخت.

 

 

نصب و پیکربندی AD RMS

همانطور که گفته شد با اکانت کاربری t.grant@ITPerfection.local به کامپیوتر AD RMS Server یعنی Verver008.ITPerfection.local لاگین کرده و در کنسول Server Manager روی Add roles and features کلیک میکنیم. ویزارد نصب شروع بکار میکند.

در صفحه Select Server Roles طبعا چکباکس Active Directory Rights Management Services را تیک میزنیم.

233-1 add AD RMS Role

در صفحه Select Role Service نیز مجددا چکباکس Active Directory Rights Management Server را تیک میزنیم. اگر قصد ادغام کردن دو سرویس AD RMS و AD FS را داشته باشیم باید چکباکس Identify federation Support را نیز تیک بزنیم.

233-2 select role service

ویزارد را تا انتها ادامه میدهیم.

این Server Role را میتوان از طریق وارد کردن دستور ذیل در محیط Windows PowerShell نیز نصب کرد:

Install-WindowsFeature ADRMS -includeManagementTools         

کار نصب AD RMS خاتمه یافت. بر خلاف بسیاری از server Role ها بهتر است که حتما اکنون یک بار کامپیوتر را Restart کنیم. پس از پایان یافتن عملیات Restart و لاگین مجدد با کانت کاربری t.grant@ITPerfection.local اکنون قبل از پیکربندی AD RMS باید حتما کنسول IIS را اجرا کنیم. از پنل سمت راست این کنسول روی گزینه create Domain Certificate کلیک میکنیم. یک پنجره ظاهر میشود که مشخصات را در آن وارد می نمائیم. هر چیزی که در فیلد common name وارد کنیم، تبدیل میشود به آن چیزی که کاربران باید در web browser خود جهت اتصال به AD RMS وارد کنند. ما قصد ایجاد یک گواهینامه را داریم. Common name باید شبیه آن DNS Alias Record باشد که در مرحله پیش نیازها ایجاد کردیم. یعنی adrms.ITPerfection.local

در صفحه بعد مشخص می کنیم که certificate authority یعنی ITP-CA اقدام به ساخت گواهی بکند و friendly name مربوط به گواهی را نیز انتخاب و وارد می نمائیم. ویزارد خاتمه می یابد.

233-3 create domain cert

اکنون گواهینامه adrms.ITPerfection.local را از طریق GPO و کنسول Group Policy Management روی تمام دامین یا OU یا site مورد نظر توزیع میکنم. در درس 225 با چگونگی توزیع گواهینامه توسط GPO آشنا شده اید.

حال باید آدرس URL وبسایت مربوط به AD RMS را در کامپیوترهای کلاینت اضافه کنیم. یک راه اینست که روی هر کدام از کلاینتها وارد کنترل پنل شده و گزینه internet Options را انتخاب میکنیم. در تب security در کادر بالا، آیکن local intranet و سپس دکمه site را انتخاب می نمائیم. سپس در کادر URL آدرس adrms.ITPerfection.ir را وارد کرده و OK کنیم. اما اگر تعداد کلاینت ها زیاد باشد این روش اصلا جالب نیست. پس از قابلیت های GPO باید استفاده کنیم. پس در DC دامین در کنسول Group policy management اقدام به ادیت default domain policy در مسیر ذیل می کنیم:

User configuration/preferences/windows settings/registry

در پنجره ای که ظاهر میشود، در فضای خالی کلیک کرده و از منویی که ظاهر میشود به ترتیب گزینه های New و  Registry Item را انتخاب میکنیم. پنجره New Registry Properties ظاهر میشود. در قسمت key path آدرس ذیل را وارد میکنیم: ( قسمت Itperfection\www باید تایپ شود)

Software\Microsoft\Windows\CurrentVersion\Internet settings\ZoneMap\Domains\TPerfection.local\www\

233-4 http Properties

سپس روی دکمه OK کلیک کرده و در کنسول cmd عبارت gpupdate /force را وارد می نمائیم. اکنون سایت adrms.ITPerfection.ir در قسمت sites از local Intranet های تمام کلاینت ها قرار می گیرد.

اکنون باید پیکربندی AD RMS server را آغاز نمائیم.

1- در کنسول Server Manager در قسمت notifications روی لینک Perform Additional Configuration کلیک میکنیم تا ویزارد پیکربندی آغاز بکار کند. در صفحه نخست روی دکمه next کلیک میکنیم.

2- در صفحه Create or Join an AD RMS Cluster باید مشخص کنیم که آیا در حال ساختن اولین ADRMS هستیم ( ADRMS root  cluster ) یا میخواهیم به ADRMS موجود ملحق بشیم؟ طبعا گزینه اول را انتخاب می کنیم.

233-5create or an join ADRMS Cluster Page

3- در صفحه Configuration Database اگر SQL Server در شبکه داریم باید توسط دکمه Select کامپیوتر میزبان این Server Role را مشخص کرده و سپس در کادر list هم Instance مربوطه را مشخص کنیم. اما ما در سناریوی خود قصد استفاده از WID ( Windows Internal Database ) را داریم. لذا دکمه رادیویی use Windows Internal Database on this server را انتخاب میکنیم. مجددا تاکید میشود که چنانچه قصد ایجاد AD RMS Cluster را دارید باید حتما از SQL Server استفاده کنید.

233-6 Configuration Database page

4- در صفحه Service Account باید یک اکانت عضو دامین را مشخص کنیم. AD RMS Cluster از این اکانت جهت برقراری ارتباط با سایر سرویس ها و کامپیوترهای شبکه استفاده میکند. این اکانت همین که عضو دامین باشد کافی است و نیاز به هیچ مجوز خاصی یا عضویت در گروه خاصی را ندارد. پس از طریق دکمه specify آن کاربر دوم که در مرحله پیش نیازها ایجاد کردیم و عضو گروه خاصی نیست (کاربری به نام ADRMUser ) را معرفی کنیم. دقت کنید که هرگاه پسورد این کاربر تغییر کند، سیستم AD RMS از کار میفتد تا زمانی که پسورد جدید این کاربر را به ADRMS مجددا معرفی کنیم. پس بهتر است در قسمت تنظیمات این اکانت هر دو چکباکس Password Never Expire و User Cannot Change Password تیک زده شده باشند.

233-7 service account page

5- در صفحه Cryptographic Mode باید یکی از دو مد موجود را انتخاب کرده و روی دکمه next کلیک کنیم.

6- در صفحه Configure ADRMS Cluster key Storage دو انتخاب وجود دارد:

  • Use AD RMS centrally managed key storage : یعنی انتخاب یک پسورد که هم با کلید رمزنگاری جهت رمزنگاری اطلاعات پایگاه داده ترکیب میشود و هم بعدها هر ADRMS server جدیدی که قصد پیوستن به این کلاستر را داشته باشد، این کلید بصورت خودکار برایش Share میشود و از طریق استفاده از این کلید میتواند به کلاستر ملحق شود. این کلید همچنین در Disaster Recovery نیز مورد استفاده قرار میگیرد.
  • Use CSP Key Storage : استفاده از یک certificate بجای پسورد که باید آنرا export کنیم تا زمانی که یک AD RMS جدید قصد الحاق به کلاستر فعلی را داشت، روی آن import نمائیم.

ما در سناریوی خود دکمه رادیویی نخست یعنی Use AD RMS Centrally… را انتخاب کرده و روی دکمه next کلیک میکنیم.

233-8 cluster key storage page

7- در صفحه Cluster Key Password باید یک password وارد کنیم. از این پسورد در رمزنگاری کردن Cluster Key استفاده میشود. بهتر است یک Password پیچیده وارد کنیم.

8- در صفحه Cluster Web Site باید یک وبسایت روی همین کامپیوتر را برای میزبانی از کامپوننت های AD RMS مشخص کنیم. بصورت پیشفرض Default Web Site مورد استفاده قرار میگیرد. بهتر است تغییری ایجاد نکرده و روی دکمه next کلیک میکنیم. طراحی Default Web Site فراموش نشود که البته خارج از بحث فعلی ماست.

9- صفحه Cluster Address ظاهر میشود. باید یک URL برای Cluster وارد کنیم. AD RMS Client ها از این URL برای برقراری ارتباط با AD RMS Server استفاده میکنند. این URL قابل تغییر نخواهد بود. بهتر است پروتکل http را انتخاب کنیم. بخاطر دارید که در مرحله انجام پیش نیازها برای این کامپیوتر در کنسول DNS یک Alias Record بنام adrms.ITPerfection.local ایجاد کردیم؟ اکنون در کادر URL همین عبارت adrms.ITPerfection.local را وارد میکنیم. نیز چون از http میخواهیم استفاده کنیم باید یک SSL Certificate با همین نام روی این کامپیوتر نصب باشد که این کار را نیز انجام داده ایم.

233-9 cluster address page

10- در صفحه Choose a server authentication certificate for SSL encryption باید گواهینامه ای که برای ارتباطات SSL قرار است از آن استفاده شود و قبلا آنرا ایجاد کرده ایم، مشخص کنیم. توجه کنید که از self-signed certificate ها اجتناب کنید.

233-10 Server Certificate page

11- در صفحه Licensor Certificate یک Server Licensor Certificate که در مورد کارکرد آن توضیح دادیم ساخته میشود. بصورت پیشفرض با نام کامپیوتر AD RMS Server یعنی Vserver008 . در این صفحه روی دکمه next کلیک میکنیم.

12- صفحه SCP Registration ظاهر میشود. در این صفحه باید یک نقطه اتصال برای AD RMS ثبت کنیم. این نقطه ارتباط بین AD DS و AD RMS را برقرار میکند. SCP مخفف Service Connection Point است. تا زمانی که این نقطه مشخص نشود کلاینت ها نمی توانند با AD RMS Server ارتباط برقرار کنند. اینکه تاکید میشود که کار پیکربندی AD RMS با یک اکانت کاربری عضو گروه Enterprise Admins انجام شود دقیقا بخاطر همین نقطه اتصال است. بهرحال در این صفحه میتوان مشخص کرد که SCP را همین الان یا بعدا ثبت کنیم. ما گزینه Register the SCP now را انتخاب کرده و روی دکمه next کلیک میکنیم.

233-11 SCP Registration page

13- در صفحه Confirmation خلاصه ای از پیکربندی و تنظیمات ظاهر میشود. اگر موافق بودیم روی دکمه installکلیک میکنیم. پیکربندی AD RMS خاتمه یافت.

233-12results page

در این صفحه توصیه شده است که قبل از هر کاری یک بار عملیات log off/log on انجام شود.

مشاهده همه افزودن یک یادداشت
شما
دیدگاه خود را وارد کنید
رفتن به نوار ابزار