RBAC Y HERRAMIENTAS EN EXCHANGE 2010
ROLE BASED ACCESS CONTROL
Exchange 2003
A través del “Delegation Wizard” de Exchange System Manager se asignan los siguientes roles a usuarios o grupos: Exchange Full Administrator Exchange Administrator Exchange View Only Administrator
Exchange 2007
En Exchange 2007 los roles de administración se incrementaron a los siguientes: Exchange Organization Administrators Exchange Recipient Administrators Exchange View-Only Administrators Exchange Public Folder Administrators Exchange Server Administrators
Objetivos
La implementación actual está limitada La administración es compleja Los permisos se fijan en función de los
objetos, no de las tareas. Es necesario dar permisos excesivos para
determinadas operaciones. Auditar la delegación de permisos es
complicado No hay opción a la auto administración
(Self-Service Management)
Exchange Server 2010 Access Control
Nuevas funcionalidades Roles administrativos basados en tareas Roles personalizados Ámbito de role Permisos forzados en toda la
organización Control de acceso a nivel de tarea Opciones de auditoría y reporting
Componentes
Management Roles Management Role Assignments Role Groups Role Assignment Policies Management Role Scopes
Modelo Básico
Role Assignment
User, USG,Policy“Who”
Scope “Where”
Role“What”
Objetos de RBAC en Directorio Activo
Management Roles
Define los comandos que un usuario o un grupo de usuarios pueden ejecutar. Existen tres tipos: Built-In Management Roles Custom Management Roles Unscoped Top Level Management Roles
Se compone de “Management Role Entries”, las tareas que los usuarios/grupos asignados pueden ejecutar
Management Role Scopes
Permite definir dónde se pueden ejecutar las tareas definidas en un role, sólo los objetos afectados por el “scope” pueden ser modificados por el usuario/grupo asignado al role
Existen tres tipos de scope: Implícito – herdado del objeto padre Explícito - Se especifica al assignar el
management role Exclusivo – Para limitar el acceso a ciertos
objetos
Management Role Scopes
SCOPE IMPLICITO RecipientReadScope RecipientWriteScope ConfigReadScope ConfigWriteScope
SCOPE EXPLICITO predefined relative scopes custom scopes
Role Groups
Grupos Universales de Seguridad (USG) utilizados para facilitar la asignación de los “management roles”
Se administran desde las herramientas de Exchange, no hay necesidad de utilizar las herramientas administrativas de Directorio Activo
Role Assignment Policies Son objetos utilizados para enlazar un role con un
buzón de usuario. Todas las asignaciones de role aplicadas sobre la política se aplicarán sobre el buzón del usuario.
Los buzones tienen una propiedad llamada RoleAssigmentPolicy apuntando al nombre de la política aplicada sobre el mismo.
Durante la instalación se facilita y asigna una política llamada “Default Policy”. Ésta se aplicará sobre todos los buzones durante su creación.
Posteriormente se pueden crear nuevas políticas y aplicarlas sobre los buzones que necesitemos.
Management Role Assignments
Enlaza un management role con un objeto: User, Role Group, USG o Role Assignment Policy
Únicamente puede enlzar un role, aunque el objeto al que esté enlazando el management role puede tener otros Role Assigments
Se puede especificar el scope cuando se aplique (si no se especifica herderá el scope implícito)
Management Role Delegation
Al asignar un management role podemos especificar si el objeto sobre el cuál lo estamos asignando puede delegar el role hacia otros usuarios o grupos.
La propiedad RoleAssignmentDelegationType property determina el comportamiento: Regular – no existe la delegación Delegating – los asignados pueden delegar el role
hacia otros DelegatingOrgWide – los asignados pueden
modificar el role y su asignación
Authorization Model
El objetivo de RBAC es: Forzar el control de acceso de forma
consistente Prevenir que se pueda ignorar este control
RBAC se ejecuta sobre PowerShell 2.0 y WinRM para facilitar acceso remoto a PowerShell a través de IIS
El acceso remoto de PowerShell proporciona un espacio de ejecución en el servidor, donde se ejecutan los comandos
RBAC/Management Tool Interaction
RBAC y Active Directory
RBAC controla quién puede ejecutar una tarea, qué tarea puede ejecutar y sobre qué objetos puede ejecutar dicha tarea. No es necesario faciltar permisos a nivel de Directorio Activo, las acciones se ejecutan desde el contexto de Exchange Trusted Subsystem. De esta forma se consigue separar la administración de Directorio Activo y de Exchange.
RBAC CMDLETS Get-ManagementRole New-ManagementRole Remove-ManagementRole Get-ManagementRoleEntry Add-ManagementRoleEntry Set-ManagementRoleEntry Remove-ManagementRoleEntry Get-ManagementScope New-ManagementScope Set-ManagementScope Remove-ManagementScope
RBAC CMDLETS (CONTINUED)
Get-RoleGroup New-RoleGroup Set-RoleGroup Remove-RoleGroup Get-RoleGroupMember Add-RoleGroupMember Update-RoleGroupMember Remove-RoleGroupMember Get-ManagementRoleAssignment New-ManagementRoleAssignment Set-ManagementRoleAssignment Remove-ManagementRoleAssignment
RBAC CMDLETS (CONTINUED)
Get-RoleAssignmentPolicy New-RoleAssignmentPolicy Set-RoleAssignmentPolicy Remove-RoleAssignmentPolicy
Understanding Role Based Access Controlhttp://technet.microsoft.com/en-us/library/dd298183.aspx
DEMO
HERRAMIENTAS EXCHANGE 2010
Herramientas en versiones anteriores
Funcionalidades Exchange 2003
Exchange System Manager Active Directory Users and Computers
Exchange 2007 Windows PowerShell Exchange Management Shell Exchange Management Console
Objetivos Control de acceso
Se realiza dando permisos de forma granular dados directamente sobre los objetos de configuración.
Acceso a las herramientas administrativas No tenemos forma de controlar la instalación
de las herramientas y el intento de ejecución Auditing
La auditoría sobre las acciones realizadas es limitada
Self-Management
Remote PowerShell Las herramientas de Exchange 2007 se
ejecutaban sobre Local PowerShell En Exchange 2010 se ejecutan sobre Remote
PowerShell Esto es así gracias a Windows PowerShell v2.0
y Windows Remote Management (WinRM) v2.0
WinRM es la implementación de Microsoft del protocolo Web Services for Management (WSMan)
Fan-In Configuration Los clientes que ejecutan las herramientas de Exchange
conectan a un servidor Exchange remotamente. Esto es así incluso cuando se están ejecutando desde el
propio servidor. Se fuerza a utilizar puntos de conexión centralizados.
Remote PowerShell utiliza IIS en el servidor Exchange para proveer WSMan, cargar el plug-in de PowerShell, y finalmente iniciar sesiones remotas de PowerShell
Se necesita instalar PowerShell y WinRM en las máquinas clientes y servidores
Al iniciar la sesión RBAC aplica el control de acceso. Los clientes sólo pueden ejecutar los comandos asignados a su role y sobre los objetos especificados en el scope
DEMO
Exchange Control Panel (ECP)
ECP es una aplicación AJAX diseñada para proveer de opciones de Self-Management a los usuarios.
ECP está construído sobre Exchange Management Shell y utiliza ASP.NET y Windows Communication Foundation (WCF) web services para establecer la comunicación entre el cliente y el servidor.
Outlook Web App options page
Los usuarios pueden administrar su propia configración. Páginas/Opciones de “Self-Management”:
Account – Puede modificar información personal Organize Email – acceso a Reglas, Respuestas
Automáticas (OOF) y Delivery Reports Groups – Los usuarios pueden ver a qué grupos
pertenecen y agregarse a otros grupos. Settings – Utilizado para administrar opciones de
correo, calendario, etc, Phone – Muestra los teléfonos sincronizados y la
configuración de los mensajes de texto Block or Allow – Para configurar listas de destinatarios
seguros o bloqueados
Administration page En función del roles asignado dispondremos de cietas opciones
de administración a través de Outlook Web App, dentro del display “Select what to manage”. Las opciones dispnibles son: Mailboxes – Se pueden hacer cambios en la configuración de
los buzones. Groups – Podremos adminitrar las listas de distribución de la
organización, ver el owner, miembros, si las altas necesitan aprobación, opciones de entrega, de correo y mail tips.
External Contacts – Es posible crear contactos externos que serán incluidos en las listas de direcciones de la organización.
Administrator Roles – Podemos ver los roles de administración y modificar sus miembros.
User Roles – Permite asignar roles a una determinada política Reporting – Podemos obtener la información de seguimiento
de los correos
¿Qué es Toolbox? Las herramientas que compnen toolbox se dividen en dos
categorías principales: Herramientas Microsoft Management Console (MMC)
3.0 dedicadas, almacenadas en su propia consola MMC. Herramientas independientes como el Best Practices
Analyzer, que no están integradas en EMC y funcionan como un ejecutable separado.
Las herramientas aparecen agrupadas de la siguiente forma: Configuration Management Tools Performance Tools Security Tools
DEMO
Q & A Grupo de soporte de Microsoft Exchange y Mensajería Unificada de España
http://blogs.technet.com/esexblog/
Más acciones desde TechNet
Para ver los webcast grabados sobre éste tema y otros temas, diríjase a: http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_an
t.aspx
Para información y registro de Futuros Webcast de éste y otros temas diríjase a: http://www.microsoft.com/spain/technet/jornadas/default.mspx
Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección: http://www.microsoft.es/technet/boletines/default.mspx
Descubra los mejores vídeos para TI gratis y a un solo clic: http://www.microsoft.es/technet/itsshowtime/default.aspx
Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en: http://www.microsoft.es/technet/recursos/cd/default.mspx