370 likes | 568 Views
RBAC Y HERRAMIENTAS EN EXCHANGE 2010. ROLE BASED ACCESS CONTROL. Exchange 2003. A través del “Delegation Wizard” de Exchange System Manager se asignan los siguientes roles a usuarios o grupos : Exchange Full Administrator Exchange Administrator Exchange View Only Administrator.
E N D
Exchange 2003 • A través del “Delegation Wizard” de Exchange System Manager se asignan los siguientes roles a usuarios o grupos: • Exchange Full Administrator • Exchange Administrator • Exchange View Only Administrator
Exchange 2007 • En Exchange 2007 los roles de administración se incrementaron a los siguientes: • Exchange Organization Administrators • Exchange Recipient Administrators • Exchange View-Only Administrators • Exchange Public Folder Administrators • Exchange Server Administrators
Objetivos • La implementación actual estálimitada • La administraciónescompleja • Los permisos se fijan en función de los objetos, no de lastareas. • Es necesariodarpermisosexcesivosparadeterminadasoperaciones. • Auditar la delegación de permisosescomplicado • No hay opción a la auto administración (Self-Service Management)
Exchange Server 2010 Access Control • Nuevasfuncionalidades • Roles administrativosbasados en tareas • Roles personalizados • Ámbito de role • Permisosforzados en toda la organización • Control de acceso a nivel de tarea • Opciones de auditoría y reporting
Componentes • Management Roles • Management Role Assignments • Role Groups • Role Assignment Policies • Management Role Scopes
Management Roles • Define los comandosque un usuario o un grupo de usuariospuedenejecutar. Existentrestipos: • Built-In Management Roles • Custom Management Roles • Unscoped Top Level Management Roles • Se compone de “Management Role Entries”, las tareas que los usuarios/grupos asignados pueden ejecutar
Management Role Scopes • Permitedefinirdónde se puedenejecutarlastareasdefinidas en un role, sólo los objetosafectadospor el “scope” pueden ser modificadospor el usuario/grupoasignado al role • Existentrestipos de scope: • Implícito – herdado del objeto padre • Explícito - Se especifica al assignar el management role • Exclusivo – Para limitar el acceso a ciertosobjetos
Management Role Scopes • SCOPE IMPLICITO • RecipientReadScope • RecipientWriteScope • ConfigReadScope • ConfigWriteScope • SCOPE EXPLICITO • predefined relative scopes • custom scopes
Role Groups • GruposUniversalesde Seguridad (USG) utilizadosparafacilitar la asignación de los “management roles” • Se administrandesdelasherramientas de Exchange, no hay necesidad de utilizarlasherramientasadministrativas de DirectorioActivo
Role Assignment Policies • Son objetosutilizadosparaenlazar un role con un buzón de usuario. Todaslasasignaciones de role aplicadassobre la política se aplicaránsobre el buzón del usuario. • Los buzonestienenunapropiedadllamadaRoleAssigmentPolicyapuntando al nombre de la políticaaplicadasobre el mismo. • Durante la instalación se facilitay asignaunapolíticallamada “Default Policy”. Ésta se aplicarásobretodos los buzonesdurantesucreación. • Posteriormente se pueden crear nuevas políticas y aplicarlas sobre los buzones que necesitemos.
Management Role Assignments • Enlaza un management role con un objeto: User, Role Group, USG o Role Assignment Policy • Únicamentepuedeenlzar un role, aunque el objeto al queestéenlazando el management role puedetenerotros Role Assigments • Se puedeespecificar el scope cuando se aplique (si no se especificaherderá el scope implícito)
Management Role Delegation • Al asignar un management role podemosespecificarsi el objetosobre el cuál lo estamosasignandopuededelegar el role haciaotrosusuarios o grupos. • La propiedadRoleAssignmentDelegationTypeproperty determina el comportamiento: • Regular– no existe la delegación • Delegating – los asignadospuedendelegar el role haciaotros • DelegatingOrgWide– los asignadospuedenmodificar el role y suasignación
Authorization Model • El objetivo de RBAC es: • Forzar el control de acceso de forma consistente • Prevenirque se puedaignorareste control • RBAC se ejecutasobrePowerShell 2.0 y WinRMparafacilitaraccesoremoto a PowerShell a través de IIS • El accesoremoto de PowerShellproporciona un espacio de ejecución en el servidor, donde se ejecutan los comandos
RBAC y Active Directory RBAC controlaquiénpuedeejecutarunatarea, quétareapuedeejecutar y sobrequéobjetospuedeejecutardichatarea. No esnecesariofaciltarpermisos a nivel de DirectorioActivo, lasacciones se ejecutandesdeel contexto de Exchange Trusted Subsystem. De esta forma se consigueseparar la administración de DirectorioActivo y de Exchange.
RBAC CMDLETS Get-ManagementRole New-ManagementRole Remove-ManagementRole Get-ManagementRoleEntry Add-ManagementRoleEntry Set-ManagementRoleEntry Remove-ManagementRoleEntry Get-ManagementScope New-ManagementScope Set-ManagementScope Remove-ManagementScope
RBAC CMDLETS (CONTINUED) Get-RoleGroup New-RoleGroup Set-RoleGroup Remove-RoleGroup Get-RoleGroupMember Add-RoleGroupMember Update-RoleGroupMember Remove-RoleGroupMember Get-ManagementRoleAssignment New-ManagementRoleAssignment Set-ManagementRoleAssignment Remove-ManagementRoleAssignment
RBAC CMDLETS (CONTINUED) Get-RoleAssignmentPolicy New-RoleAssignmentPolicy Set-RoleAssignmentPolicy Remove-RoleAssignmentPolicy Understanding Role Based Access Control http://technet.microsoft.com/en-us/library/dd298183.aspx
Herramientas en versionesanteriores • Funcionalidades • Exchange 2003 • Exchange System Manager • Active Directory Users and Computers • Exchange 2007 • Windows PowerShell • Exchange Management Shell • Exchange Management Console
Objetivos • Control de acceso • Se realizadandopermisos de forma granular dados directamentesobrelos objetos de configuración. • Acceso a lasherramientasadministrativas • No tenemos forma de controlar la instalación de lasherramientas y el intento de ejecución • Auditing • La auditoríasobrelasaccionesrealizadaseslimitada • Self-Management
Remote PowerShell • Las herramientas de Exchange 2007 se ejecutabansobre Local PowerShell • En Exchange 2010 se ejecutansobre Remote PowerShell • Estoesasí gracias a Windows PowerShell v2.0 y Windows Remote Management (WinRM) v2.0 • WinRMes la implementación de Microsoft del protocolo Web Services for Management (WSMan)
Fan-In Configuration • Los clientesqueejecutanlasherramientas de Exchange conectan a un servidor Exchange remotamente. • Estoesasíinclusocuando se estánejecutandodesde el propioservidor. • Se fuerzaa utilizarpuntos de conexióncentralizados. • Remote PowerShellutiliza IIS en el servidor Exchange paraproveerWSMan, cargar el plug-in dePowerShell, y finalmenteiniciarsesionesremotas de PowerShell • Se necesitainstalarPowerShell y WinRMen lasmáquinasclientes y servidores • Al iniciar la sesión RBAC aplica el control de acceso. Los clientessólopuedenejecutar los comandosasignados a su role y sobre los objetosespecificados en el scope
Exchange Control Panel (ECP) ECP esunaaplicación AJAX diseñadaparaproveer de opciones de Self-Management a los usuarios. ECP estáconstruídosobre Exchange Management Shell y utiliza ASP.NET y Windows Communication Foundation (WCF) web services paraestablecer la comunicación entre el cliente y el servidor.
Outlook Web App options page • Los usuariospuedenadministrarsupropiaconfigración. • Páginas/Opciones de “Self-Management”: • Account – Puedemodificarinformación personal • Organize Email – acceso a Reglas, RespuestasAutomáticas (OOF) y Delivery Reports • Groups – Los usuariospuedenver a quégrupospertenecen y agregarse a otrosgrupos. • Settings – Utilizadoparaadministraropciones de correo, calendario, etc, • Phone – Muestra los teléfonossincronizados y la configuración de los mensajes de texto • Block or Allow – Para configurarlistas de destinatariosseguros o bloqueados
Administration page • En función del roles asignadodispondremos de cietasopciones de administración a través de Outlook Web App, dentro del display “Select what to manage”. Las opcionesdispnibles son: • Mailboxes – Se puedenhacercambios en la configuración de los buzones. • Groups – Podremosadminitrarlaslistas de distribución de la organización, ver el owner, miembros, silasaltasnecesitanaprobación, opciones de entrega, de correo y mail tips. • External Contacts – Es posiblecrearcontactosexternosqueseránincluidos en laslistas de direcciones de la organización. • Administrator Roles – Podemosver los roles de administración y modificarsusmiembros. • User Roles – Permiteasignar roles a unadeterminadapolítica • Reporting – Podemosobtener la información de seguimiento de los correos
¿Quées Toolbox? • Las herramientasquecompnen toolbox se dividen en dos categoríasprincipales: • HerramientasMicrosoft Management Console (MMC) 3.0 dedicadas, almacenadas en supropiaconsola MMC. • Herramientasindependientescomo el Best Practices Analyzer, que no estánintegradas en EMC y funcionancomo un ejecutableseparado. • Las herramientasaparecenagrupadas de la siguiente forma: • Configuration Management Tools • Performance Tools • Security Tools
Q & A Grupo de soporte de Microsoft Exchange y Mensajería Unificada de Españahttp://blogs.technet.com/esexblog/
Más acciones desde TechNet • Para ver los webcast grabados sobre éste tema y otros temas, diríjase a: • http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx • Para información y registro de Futuros Webcast de éste y otros temas diríjase a: • http://www.microsoft.com/spain/technet/jornadas/default.mspx • Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección: • http://www.microsoft.es/technet/boletines/default.mspx • Descubra los mejores vídeos para TI gratis y a un solo clic: • http://www.microsoft.es/technet/itsshowtime/default.aspx • Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en: • http://www.microsoft.es/technet/recursos/cd/default.mspx