RBAC Y HERRAMIENTAS EN EXCHANGE 2010
ROLE BASED ACCESS CONTROL
Exchange 2003 A través del “Delegation Wizard” de Exchange System Manager se asignan los siguientes roles a usuarios o grupos: Exchange Full Administrator Exchange Administrator Exchange View Only Administrator
Exchange 2007 En Exchange 2007 los roles de administración se incrementaron a los siguientes: Exchange Organization Administrators Exchange Recipient Administrators Exchange View-Only Administrators Exchange Public Folder Administrators Exchange Server Administrators
Objetivos La implementación actual está limitada La administración es compleja Los permisos se fijan en función de los objetos, no de las tareas. Es necesario dar permisos excesivos para determinadas operaciones. Auditar la delegación de permisos es complicado No hay opción a la auto administración (Self-Service Management)
Exchange Server 2010 Access Control Nuevas funcionalidades Roles administrativos basados en tareas Roles personalizados Ámbito de role Permisos forzados en toda la organización Control de acceso a nivel de tarea Opciones de auditoría y reporting
Componentes Management Roles Management Role Assignments Role Groups Role Assignment Policies Management Role Scopes
Modelo Básico Role Assignment User, USG, Policy “Who” Scope “Where” Role “What”
Objetos de RBAC en Directorio Activo
Management Roles Define los comandos que un usuario o un grupo de usuarios pueden ejecutar. Existen tres tipos: Built-In Management Roles Custom Management Roles Unscoped Top Level Management Roles Se compone de “Management Role Entries”, las tareas que los usuarios/grupos asignados pueden ejecutar
Management Role Scopes Permite definir dónde se pueden ejecutar las tareas definidas en un role, sólo los objetos afectados por el “scope” pueden ser modificados por el usuario/grupo asignado al role Existen tres tipos de scope: Implícito – herdado del objeto padre Explícito - Se especifica al assignar el management role Exclusivo – Para limitar el acceso a ciertos objetos
Management Role Scopes SCOPE IMPLICITO RecipientReadScope RecipientWriteScope ConfigReadScope ConfigWriteScope SCOPE EXPLICITO predefined relative scopes custom scopes
Role Groups Grupos Universales de Seguridad (USG) utilizados para facilitar la asignación de los “management roles” Se administran desde las herramientas de Exchange, no hay necesidad de utilizar las herramientas administrativas de Directorio Activo
Role Assignment Policies Son objetos utilizados para enlazar un role con un buzón de usuario. Todas las asignaciones de role aplicadas sobre la política se aplicarán sobre el buzón del usuario. Los buzones tienen una propiedad llamada RoleAssigmentPolicy apuntando al nombre de la política aplicada sobre el mismo. Durante la instalación se facilita y asigna una política llamada “Default Policy”. Ésta se aplicará sobre todos los buzones durante su creación. Posteriormente se pueden crear nuevas políticas y aplicarlas sobre los buzones que necesitemos.
Management Role Assignments Enlaza un management role con un objeto: User, Role Group, USG o Role Assignment Policy Únicamente puede enlzar un role, aunque el objeto al que esté enlazando el management role puede tener otros Role Assigments Se puede especificar el scope cuando se aplique (si no se especifica herderá el scope implícito)
Management Role Delegation Al asignar un management role podemos especificar si el objeto sobre el cuál lo estamos asignando puede delegar el role hacia otros usuarios o grupos. La propiedad RoleAssignmentDelegationType property determina el comportamiento: Regular – no existe la delegación Delegating – los asignados pueden delegar el role hacia otros DelegatingOrgWide – los asignados pueden modificar el role y su asignación
Authorization Model El objetivo de RBAC es: Forzar el control de acceso de forma consistente Prevenir que se pueda ignorar este control RBAC se ejecuta sobre PowerShell 2.0 y WinRM para facilitar acceso remoto a PowerShell a través de IIS El acceso remoto de PowerShell proporciona un espacio de ejecución en el servidor, donde se ejecutan los comandos
RBAC/Management Tool Interaction
RBAC y Active Directory RBAC controla quién puede ejecutar una tarea, qué tarea puede ejecutar y sobre qué objetos puede ejecutar dicha tarea. No es necesario faciltar permisos a nivel de Directorio Activo, las acciones se ejecutan desde el contexto de Exchange Trusted Subsystem. De esta forma se consigue separar la administración de Directorio Activo y de Exchange.
RBAC CMDLETS Get-ManagementRole New-ManagementRole Remove-ManagementRole Get-ManagementRoleEntry Add-ManagementRoleEntry Set-ManagementRoleEntry Remove-ManagementRoleEntry Get-ManagementScope New-ManagementScope Set-ManagementScope Remove-ManagementScope
RBAC CMDLETS (CONTINUED) Get-RoleGroup New-RoleGroup Set-RoleGroup Remove-RoleGroup Get-RoleGroupMember Add-RoleGroupMember Update-RoleGroupMember Remove-RoleGroupMember Get-ManagementRoleAssignment New-ManagementRoleAssignment Set-ManagementRoleAssignment Remove-ManagementRoleAssignment
RBAC CMDLETS (CONTINUED) Get-RoleAssignmentPolicy New-RoleAssignmentPolicy Set-RoleAssignmentPolicy Remove-RoleAssignmentPolicy Understanding Role Based Access Control http://technet.microsoft.com/en-us/library/dd298183.aspx
DEMO
HERRAMIENTAS EXCHANGE 2010
Herramientas en versiones anteriores Funcionalidades Exchange 2003 Exchange System Manager Active Directory Users and Computers Exchange 2007 Windows PowerShell Exchange Management Shell Exchange Management Console
Objetivos Control de acceso Se realiza dando permisos de forma granular dados directamente sobre los objetos de configuración. Acceso a las herramientas administrativas No tenemos forma de controlar la instalación de las herramientas y el intento de ejecución Auditing La auditoría sobre las acciones realizadas es limitada Self-Management
Remote PowerShell Las herramientas de Exchange 2007 se ejecutaban sobre Local PowerShell En Exchange 2010 se ejecutan sobre Remote PowerShell Esto es así gracias a Windows PowerShell v2.0 y Windows Remote Management (WinRM) v2.0 WinRM es la implementación de Microsoft del protocolo Web Services for Management (WSMan)
Fan-In Configuration Los clientes que ejecutan las herramientas de Exchange conectan a un servidor Exchange remotamente. Esto es así incluso cuando se están ejecutando desde el propio servidor. Se fuerza a utilizar puntos de conexión centralizados. Remote PowerShell utiliza IIS en el servidor Exchange para proveer WSMan, cargar el plug-in de PowerShell, y finalmente iniciar sesiones remotas de PowerShell Se necesita instalar PowerShell y WinRM en las máquinas clientes y servidores Al iniciar la sesión RBAC aplica el control de acceso. Los clientes sólo pueden ejecutar los comandos asignados a su role y sobre los objetos especificados en el scope
DEMO
Exchange Control Panel (ECP) ECP es una aplicación AJAX diseñada para proveer de opciones de Self-Management a los usuarios. ECP está construído sobre Exchange Management Shell y utiliza ASP.NET y Windows Communication Foundation (WCF) web services para establecer la comunicación entre el cliente y el servidor.
Outlook Web App options page Los usuarios pueden administrar su propia configración. Páginas/Opciones de “Self-Management”: Account – Puede modificar información personal Organize Email – acceso a Reglas, Respuestas Automáticas (OOF) y Delivery Reports Groups – Los usuarios pueden ver a qué grupos pertenecen y agregarse a otros grupos. Settings – Utilizado para administrar opciones de correo, calendario, etc, Phone – Muestra los teléfonos sincronizados y la configuración de los mensajes de texto Block or Allow – Para configurar listas de destinatarios seguros o bloqueados
Administration page En función del roles asignado dispondremos de cietas opciones de administración a través de Outlook Web App, dentro del display “Select what to manage”. Las opciones dispnibles son: Mailboxes – Se pueden hacer cambios en la configuración de los buzones. Groups – Podremos adminitrar las listas de distribución de la organización, ver el owner, miembros, si las altas necesitan aprobación, opciones de entrega, de correo y mail tips. External Contacts – Es posible crear contactos externos que serán incluidos en las listas de direcciones de la organización. Administrator Roles – Podemos ver los roles de administración y modificar sus miembros. User Roles – Permite asignar roles a una determinada política Reporting – Podemos obtener la información de seguimiento de los correos
¿Qué es Toolbox? Las herramientas que compnen toolbox se dividen en dos categorías principales: Herramientas Microsoft Management Console (MMC) 3.0 dedicadas, almacenadas en su propia consola MMC. Herramientas independientes como el Best Practices Analyzer, que no están integradas en EMC y funcionan como un ejecutable separado. Las herramientas aparecen agrupadas de la siguiente forma: Configuration Management Tools Performance Tools Security Tools
DEMO
Q & A Grupo de soporte de Microsoft Exchange y Mensajería Unificada de España http://blogs.technet.com/esexblog/
Más acciones desde TechNet Para ver los webcast grabados sobre éste tema y otros temas, diríjase a: http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx Para información y registro de Futuros Webcast de éste y otros temas diríjase a: http://www.microsoft.com/spain/technet/jornadas/default.mspx Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección: http://www.microsoft.es/technet/boletines/default.mspx Descubra los mejores vídeos para TI gratis y a un solo clic: http://www.microsoft.es/technet/itsshowtime/default.aspx Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en: http://www.microsoft.es/technet/recursos/cd/default.mspx