PI Services

Le blog des collaborateurs de PI Services

Présentation des contrôles d’accès dynamiques

Fonctionnement

Les contrôles d’accès dynamiques sont une nouveauté introduite avec Windows Server 2012 qui se base sur les concepts de classifications et d’accès centralisé.

Les classifications sont, rappelons-le, des attributs permettant de catégoriser un objet, elles sont aujourd’hui couramment utilisées dans les systèmes de messagerie.

Les accès centralisés sont tout simplement le fait que les stratégies et règles d’accès sont stockées sur les contrôleurs de domaine Active Directory.

clip_image002

Prérequis

La mise en place d’une infrastructure repose sur l’emploi de revendication par le biais de Kerberos. Cette technologie n’est cependant prise en charge uniquement sur les systèmes d’exploitation Windows 8 (pour les clients) et Windows Server 2012 (pour les serveurs).

Il sera donc nécessaire d’utiliser des contrôleurs de domaine Active Directory dont le niveau fonctionnel de forêt est supérieur ou égal à « Windows Server 2012 ».

De plus, les serveurs de fichiers nécessitent le service de rôle FSRM.

Mise en place

Pour cela nous allons donc devoir définir des propriétés de ressources et d’utilisateurs, qui serviront de correspondance à une règle.

Par la suite nous pourrons agréger nos règles dans une stratégie.

Stratégie qui sera publiée sur les serveurs de fichiers, puis appliquées sur les ressources.

clip_image004

Les utilisateurs qui respecteront les propriétés définis auront donc accès aux ressources en fonction des permissions établies dans les règles.

Dans le billet suivant, nous mettrons en place pas à pas un système d’autorisation n’autorisant uniquement les utilisateurs à accéder aux fichiers qui sont dans le même département et la même compagnie que celle définie dans la classification.

Configuration des utilisateurs

Attribution des propriétés d’organisation

Par exemple, l’utilisateur User1, ayant les champs Department et Company respectivement définis sur « Administration » et « PIServices », ne pourra accéder qu’aux ressources ayant les même valeurs.

clip_image006

Définition des types de revendication.

Afin que l’utilisateur puisse communiquer ses propriétés Department et Company, ce dernier doit étendre son ticket Kerberos avant les revendications correspondantes.

clip_image008

Pour cela, ajoutez les types de claims correspondant dans la section Active Directory > Dynamic Access Control > Claim Types.

Dans le cas présent, il s’ajout d’une revendication « company » et d’une seconde « department ».

Configuration des ressources

Définition des propriétés de ressource

A présent, créez des propriétés de ressources depuis la section Active Directory > Dynamic Access Control >Ressource Property.

Microsoft met à disposition un certain nombre de propriétés de ressources, libre à vous de les personnaliser ou d’en créer de nouvelles.

clip_image010

Dans le cadre de notre exemple, nous allons activer et personnaliser les propriétés de ressources « Company » et « Department ».

La personnalisation consiste à ajouter, éditer ou supprimer des valeurs suggérées, qui seront proposée lors de la classification de la ressource.

Configuration de l’accès

Définition des Règles d’accès centralisées

Une fois que les propriétés de ressources sont éditées, il suffit de les ajouter dans une règle d’accès centralisée.

Cette dernière pourra donc être créée depuis la section Active Directory > Dynamic Access Control > Central Access Rules.

Nous allons donc créer une règle s’appliquant aux ressources (donc fichiers) dont la classification « Company » correspondra à « PIServices ».

Pour cela, éditez les ressources cibles pour y intégrer la condition Ressource.Company Equals « PIServices » depuis l’assitant.

clip_image012

Enfin, dans les permissions, intégrez le groupe d’utilisateurs qui doit avoir le droit d’accès à la ressources et spécifiez les contraintes de revendications.

Dans notre cas, il faut que l’utilisateur soit dans la même compagnie et le même département que le fichier.

clip_image014

Définition des Stratégies d’accès centralisées

Enfin, agrégez les règles dans une nouvelle stratégie depuis la section Active Directory > Dynamic Access Control > Central Access Policies.

clip_image016

Publication des Stratégies d’accès centralisées

Pour que les serveurs de fichiers chargent les stratégies d’accès, créez une nouvelle GPO, qui injectera les stratégies définies aux serveurs correspondant au périmètre de votre GPO.

clip_image017

Activation du support des revendications auprès des systèmes du domaine

Pour que les systèmes de votre parc étendent le ticket Kerberos, activez l’option « KDC support for claims, compound authentication and Kerberos armoring » sur l’ensemble de votre domaine Active Directory.

clip_image019

Application de la classification sur la ressource

Enfin, testons nos configurations.

En effectuant un clic droit « propriétés », nous appliquerons des valeurs aux classifications disponibles.

clip_image021

Puis depuis les paramètres de sécurité avancée, il sera nécessaire de définir la stratégie précédemment créée.

clip_image023

Note : si vos stratégies ne sont pas disponibles effectuez la commande PowerShell suivante sur le serveur de fichier : Update-FsrmClassificationPropertyDefinition.

Les évolutions

Il est aujourd’hui possible d’utiliser le (Microsoft File Server Resource Manager) FSRM pour classifier automatiquement les dossiers et documents et réduire drastiquement le temps d’administration lié à l’application des permissions.

Ajouter un commentaire

Loading