1 / 37

RBAC Y HERRAMIENTAS EN EXCHANGE 2010

RBAC Y HERRAMIENTAS EN EXCHANGE 2010. ROLE BASED ACCESS CONTROL. Exchange 2003. A través del “Delegation Wizard” de Exchange System Manager se asignan los siguientes roles a usuarios o grupos : Exchange Full Administrator Exchange Administrator Exchange View Only Administrator.

sema
Download Presentation

RBAC Y HERRAMIENTAS EN EXCHANGE 2010

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. RBAC Y HERRAMIENTAS EN EXCHANGE 2010

  2. ROLE BASED ACCESS CONTROL

  3. Exchange 2003 • A través del “Delegation Wizard” de Exchange System Manager se asignan los siguientes roles a usuarios o grupos: • Exchange Full Administrator • Exchange Administrator • Exchange View Only Administrator

  4. Exchange 2007 • En Exchange 2007 los roles de administración se incrementaron a los siguientes: • Exchange Organization Administrators • Exchange Recipient Administrators • Exchange View-Only Administrators • Exchange Public Folder Administrators • Exchange Server Administrators

  5. Objetivos • La implementación actual estálimitada • La administraciónescompleja • Los permisos se fijan en función de los objetos, no de lastareas. • Es necesariodarpermisosexcesivosparadeterminadasoperaciones. • Auditar la delegación de permisosescomplicado • No hay opción a la auto administración (Self-Service Management)

  6. Exchange Server 2010 Access Control • Nuevasfuncionalidades • Roles administrativosbasados en tareas • Roles personalizados • Ámbito de role • Permisosforzados en toda la organización • Control de acceso a nivel de tarea • Opciones de auditoría y reporting

  7. Componentes • Management Roles • Management Role Assignments • Role Groups • Role Assignment Policies • Management Role Scopes

  8. ModeloBásico

  9. Objetos de RBAC en DirectorioActivo

  10. Management Roles • Define los comandosque un usuario o un grupo de usuariospuedenejecutar. Existentrestipos: • Built-In Management Roles • Custom Management Roles • Unscoped Top Level Management Roles • Se compone de “Management Role Entries”, las tareas que los usuarios/grupos asignados pueden ejecutar

  11. Management Role Scopes • Permitedefinirdónde se puedenejecutarlastareasdefinidas en un role, sólo los objetosafectadospor el “scope” pueden ser modificadospor el usuario/grupoasignado al role • Existentrestipos de scope: • Implícito – herdado del objeto padre • Explícito - Se especifica al assignar el management role • Exclusivo – Para limitar el acceso a ciertosobjetos

  12. Management Role Scopes • SCOPE IMPLICITO • RecipientReadScope • RecipientWriteScope • ConfigReadScope • ConfigWriteScope • SCOPE EXPLICITO • predefined relative scopes • custom scopes

  13. Role Groups • GruposUniversalesde Seguridad (USG) utilizadosparafacilitar la asignación de los “management roles” • Se administrandesdelasherramientas de Exchange, no hay necesidad de utilizarlasherramientasadministrativas de DirectorioActivo

  14. Role Assignment Policies • Son objetosutilizadosparaenlazar un role con un buzón de usuario. Todaslasasignaciones de role aplicadassobre la política se aplicaránsobre el buzón del usuario. • Los buzonestienenunapropiedadllamadaRoleAssigmentPolicyapuntando al nombre de la políticaaplicadasobre el mismo. • Durante la instalación se facilitay asignaunapolíticallamada “Default Policy”. Ésta se aplicarásobretodos los buzonesdurantesucreación. • Posteriormente se pueden crear nuevas políticas y aplicarlas sobre los buzones que necesitemos.

  15. Management Role Assignments • Enlaza un management role con un objeto: User, Role Group, USG o Role Assignment Policy • Únicamentepuedeenlzar un role, aunque el objeto al queestéenlazando el management role puedetenerotros Role Assigments • Se puedeespecificar el scope cuando se aplique (si no se especificaherderá el scope implícito)

  16. Management Role Delegation • Al asignar un management role podemosespecificarsi el objetosobre el cuál lo estamosasignandopuededelegar el role haciaotrosusuarios o grupos. • La propiedadRoleAssignmentDelegationTypeproperty determina el comportamiento: • Regular– no existe la delegación • Delegating – los asignadospuedendelegar el role haciaotros • DelegatingOrgWide– los asignadospuedenmodificar el role y suasignación

  17. Authorization Model • El objetivo de RBAC es: • Forzar el control de acceso de forma consistente • Prevenirque se puedaignorareste control • RBAC se ejecutasobrePowerShell 2.0 y WinRMparafacilitaraccesoremoto a PowerShell a través de IIS • El accesoremoto de PowerShellproporciona un espacio de ejecución en el servidor, donde se ejecutan los comandos

  18. RBAC/Management Tool Interaction

  19. RBAC y Active Directory RBAC controlaquiénpuedeejecutarunatarea, quétareapuedeejecutar y sobrequéobjetospuedeejecutardichatarea. No esnecesariofaciltarpermisos a nivel de DirectorioActivo, lasacciones se ejecutandesdeel contexto de Exchange Trusted Subsystem. De esta forma se consigueseparar la administración de DirectorioActivo y de Exchange.

  20. RBAC CMDLETS Get-ManagementRole New-ManagementRole Remove-ManagementRole Get-ManagementRoleEntry Add-ManagementRoleEntry Set-ManagementRoleEntry Remove-ManagementRoleEntry Get-ManagementScope New-ManagementScope Set-ManagementScope Remove-ManagementScope

  21. RBAC CMDLETS (CONTINUED) Get-RoleGroup New-RoleGroup Set-RoleGroup Remove-RoleGroup Get-RoleGroupMember Add-RoleGroupMember Update-RoleGroupMember Remove-RoleGroupMember Get-ManagementRoleAssignment New-ManagementRoleAssignment Set-ManagementRoleAssignment Remove-ManagementRoleAssignment

  22. RBAC CMDLETS (CONTINUED) Get-RoleAssignmentPolicy New-RoleAssignmentPolicy Set-RoleAssignmentPolicy Remove-RoleAssignmentPolicy Understanding Role Based Access Control http://technet.microsoft.com/en-us/library/dd298183.aspx

  23. DEMO

  24. HERRAMIENTAS EXCHANGE 2010

  25. Herramientas en versionesanteriores • Funcionalidades • Exchange 2003 • Exchange System Manager • Active Directory Users and Computers • Exchange 2007 • Windows PowerShell • Exchange Management Shell • Exchange Management Console

  26. Objetivos • Control de acceso • Se realizadandopermisos de forma granular dados directamentesobrelos objetos de configuración. • Acceso a lasherramientasadministrativas • No tenemos forma de controlar la instalación de lasherramientas y el intento de ejecución • Auditing • La auditoríasobrelasaccionesrealizadaseslimitada • Self-Management

  27. Remote PowerShell • Las herramientas de Exchange 2007 se ejecutabansobre Local PowerShell • En Exchange 2010 se ejecutansobre Remote PowerShell • Estoesasí gracias a Windows PowerShell v2.0 y Windows Remote Management (WinRM) v2.0 • WinRMes la implementación de Microsoft del protocolo Web Services for Management (WSMan)

  28. Fan-In Configuration • Los clientesqueejecutanlasherramientas de Exchange conectan a un servidor Exchange remotamente. • Estoesasíinclusocuando se estánejecutandodesde el propioservidor. • Se fuerzaa utilizarpuntos de conexióncentralizados. • Remote PowerShellutiliza IIS en el servidor Exchange paraproveerWSMan, cargar el plug-in dePowerShell, y finalmenteiniciarsesionesremotas de PowerShell • Se necesitainstalarPowerShell y WinRMen lasmáquinasclientes y servidores • Al iniciar la sesión RBAC aplica el control de acceso. Los clientessólopuedenejecutar los comandosasignados a su role y sobre los objetosespecificados en el scope

  29. DEMO

  30. Exchange Control Panel (ECP) ECP esunaaplicación AJAX diseñadaparaproveer de opciones de Self-Management a los usuarios. ECP estáconstruídosobre Exchange Management Shell y utiliza ASP.NET y Windows Communication Foundation (WCF) web services paraestablecer la comunicación entre el cliente y el servidor.

  31. Outlook Web App options page • Los usuariospuedenadministrarsupropiaconfigración. • Páginas/Opciones de “Self-Management”: • Account – Puedemodificarinformación personal • Organize Email – acceso a Reglas, RespuestasAutomáticas (OOF) y Delivery Reports • Groups – Los usuariospuedenver a quégrupospertenecen y agregarse a otrosgrupos. • Settings – Utilizadoparaadministraropciones de correo, calendario, etc, • Phone – Muestra los teléfonossincronizados y la configuración de los mensajes de texto • Block or Allow – Para configurarlistas de destinatariosseguros o bloqueados

  32. Administration page • En función del roles asignadodispondremos de cietasopciones de administración a través de Outlook Web App, dentro del display “Select what to manage”. Las opcionesdispnibles son: • Mailboxes – Se puedenhacercambios en la configuración de los buzones. • Groups – Podremosadminitrarlaslistas de distribución de la organización, ver el owner, miembros, silasaltasnecesitanaprobación, opciones de entrega, de correo y mail tips. • External Contacts – Es posiblecrearcontactosexternosqueseránincluidos en laslistas de direcciones de la organización. • Administrator Roles – Podemosver los roles de administración y modificarsusmiembros. • User Roles – Permiteasignar roles a unadeterminadapolítica • Reporting – Podemosobtener la información de seguimiento de los correos

  33. ¿Quées Toolbox? • Las herramientasquecompnen toolbox se dividen en dos categoríasprincipales: • HerramientasMicrosoft Management Console (MMC) 3.0 dedicadas, almacenadas en supropiaconsola MMC. • Herramientasindependientescomo el Best Practices Analyzer, que no estánintegradas en EMC y funcionancomo un ejecutableseparado. • Las herramientasaparecenagrupadas de la siguiente forma: • Configuration Management Tools • Performance Tools • Security Tools

  34. DEMO

  35. Q & A Grupo de soporte de Microsoft Exchange y Mensajería Unificada de Españahttp://blogs.technet.com/esexblog/

  36. Más acciones desde TechNet • Para ver los webcast grabados sobre éste tema y otros temas, diríjase a: • http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx • Para información y registro de Futuros Webcast de éste y otros temas diríjase a: • http://www.microsoft.com/spain/technet/jornadas/default.mspx • Para mantenerse informado sobre todos los Eventos, Seminarios y webcast suscríbase a nuestro boletín TechNet Flash en ésta dirección: • http://www.microsoft.es/technet/boletines/default.mspx • Descubra los mejores vídeos para TI gratis y a un solo clic: • http://www.microsoft.es/technet/itsshowtime/default.aspx • Para acceder a toda la información, betas, actualizaciones, recursos, puede suscribirse a Nuestra Suscripción TechNet en: • http://www.microsoft.es/technet/recursos/cd/default.mspx

More Related