Správa hesel v Microsoft Identity Manageru 2016
Správa hesel pro více uživatelských účtů je jedním ze složitých úkolů při správě podnikových prostředí s více zdroji dat. Microsoft Identity Manager 2016 (MIM) poskytuje dvě řešení pro správu hesel:
Synchronizace hesel – Využívá službu PCNS (Password Change Notification Service) k zaznamenání změn hesel z Active Directory a jejich šíření do dalších připojených zdrojů dat.
Uživatelská správa změn hesel – Využívá službu WMI (Windows Management Instrumentation) prostřednictvím webové technické podpory a aplikací samoobslužného resetování hesel.
Pomocí synchronizace hesel a uživatelské správy změn hesel můžete:
Snížit počet různých hesel, která si uživatelé musí pamatovat
Hesla ve více účtech uživatele současně nastavovat nebo měnit na stejné heslo
Povolit uživatelům změnit si vlastní hesla v Active Directory a změnu hesla šířit do ostatních systémů
Eliminovat riziko vytváření dalšího úložiště hesel nebo přihlašovacích údajů
Synchronizovat hesla napříč více zdroji dat pomocí Active Directory jako autoritativního zdroje
Provádět operace správy hesel v reálném čase, nezávisle na operacích MIM
Rozšíření hesel
Agenti pro správu pro adresářové servery ve výchozím nastavení operace změny a nastavení hesel podporují. Pro souborové a databázové agenty pro správu a agenty pro správu rozšiřitelného připojení, kteří operace změny a nastavení hesel ve výchozím nastavení nepodporují, můžete vytvořit dynamickou knihovnu (DLL) rozšíření hesel .NET. DLL rozšíření hesel .NET je volána, kdykoli se spustí volání změny nebo nastavení hesla pro kteréhokoli z těchto agentů pro správu. Nastavení rozšíření hesel pro tyto agenty pro správu se konfigurují v Synchronization Service Manageru. Další informace o konfiguraci rozšíření hesel najdete v referenčních materiálech pro vývojáře FIM.
| Správa hesel je ve výchozím nastavení podporována v agentech pro správu pro: | Pomocí rozšíření hesel je správa hesel podporována také v agentech pro správu pro: |
|---|---|
| Active Directory | Textové soubory s páry atribut-hodnota |
| Active Directory Lightweight Directory Services (ADLDS) | Textové soubory s oddělovači |
| IBM Directory Server | Jazyk DSML (Directory Services Mark-up Language) |
| Lotus Notes | Extensible Connectivity |
| Novell eDirectory | Textové soubory s pevnou šířkou |
| Adresářové servery Sun a Netscape | IBM DB2 Universal Database |
| Formát LDIF (LDAP Data Interchange Format) | |
| Microsoft SQL Server | |
| Oracle Database |
Synchronizace hesel
Synchronizace hesel pracuje se službou PCNS (Password Change Notification Service ) v doméně služby Active Directory a umožňuje, aby se změny hesel, které pocházejí z Active Directory, automaticky rozšířily do dalších připojených zdrojů dat. MIM toho dosahuje tím, že funguje jako server vzdáleného volání procedur (RPC), který naslouchá oznámení o změně hesla z řadiče domény služby Active Directory. Když je žádost o změnu hesla přijata a ověřena, MIM ji zpracuje a je rozšířena do příslušných agentů pro správu.
Důležité
MIM nepodporuje obousměrnou synchronizaci hesel. Konfigurace obousměrné synchronizace hesel může vytvořit smyčku, která bude využívat prostředky serveru a mít potenciálně negativní dopad na Active Directory i MIM.
Služba PCNS běží na každém řadiči domény služby Active Directory. Systémy, které dostávají oznámení o heslech, jsou označované jako cíle. Před odesíláním oznámení o heslech musí být váš server MIM ve službě Active Directory nakonfigurovaný jako cíl služby PCNS. Konfigurace služby PCNS musí definovat skupinu pro zahrnutí a volitelně skupinu pro vyloučení. Tyto skupiny slouží k omezení toku citlivých hesel z domény. Pokud třeba chcete odesílat hesla pro všechny uživatele, ale nechcete odesílat hesla pro správu, můžete například jako skupinu pro zahrnutí použít Domain Users a jako skupinu pro vyloučení pak Domain Admins. Další informace o konfiguraci služba PCNS najdete v článku o používání synchronizace hesel.
Proces synchronizace hesel má tyto součásti:
Služba PCNS (Pcnssvc.exe) – Služba PCNS běží na řadiči domény a zodpovídá za příjem oznámení o změnách hesel z místního filtru hesel, jejich zařazení do fronty pro cílový server se spuštěným MIM a doručování oznámení pomocí RPC. Služba heslo zašifruje a zajišťuje, aby heslo zůstalo zabezpečené, dokud se úspěšně nedoručí cílovému serveru se spuštěným MIM.
Hlavní název služby (SPN) – SPN je vlastnost na objekt účtu ve službě Active Directory, kterou využívá protokol Kerberos ke vzájemnému ověření služby PCNS a cíle. SPN zajišťuje, aby se služba PCNS ověřila na správném serveru se spuštěným MIM a aby oznámení o změně hesla nemohla obdržet žádná jiná služba. SPN se vytváří a přiřazuje pomocí nástroje setspn.exe. Další informace o konfiguraci SPN najdete v článku o používání synchronizace hesel.
Filtr oznámení o změnách hesel (Pcnsflt.dll) – Filtr hesel slouží k získání hesel v prostém textu ze služby Active Directory. Tento filtr je načten místním úřadem zabezpečení (LSA) v každém řadiči domény Windows Serveru, který se účastní distribuce hesel do cílového serveru se spuštěným MIM. Po nainstalování filtru a restartování řadiče domény začne filtr přijímat oznámení o změnách hesel pro změny hesel vzniklé na řadiče domény. Filtr oznámení o heslech je spouštěný souběžně s jinými filtry, které jsou spuštěné na řadiči domény.
Nástroj pro konfiguraci služby PCNS (Pcnscfg.exe) – Nástroj pcnscfg.exe slouží ke správě a údržbě parametrů služby PCNS uložených v Active Directory. Tyto parametry konfigurace, například definování cílových serverů, interval opakování fronty hesel a povolení nebo zakázání cílového serveru, se používají při ověřování a odesílání oznámení o heslech cílovému serveru se spuštěným MIM. Konfigurace služby je uložená v Active Directory, takže ji stačí aktualizovat jenom na jednom řadiči domény. Active Directory změnu replikuje do všech ostatních řadičů domény.
Server vzdáleného volání procedur (RPC) na serveru se spuštěným MIM – Pokud je povolená synchronizace hesel, spustí se na serveru se spuštěným MIM server RPC, který umožňuje dostávat oznámení od služby PCNS. RPC dynamicky vybere rozsah portů k použití. Pokud požadujete, aby MIM komunikoval s doménovou strukturou služby Active Directory přes firewall, musíte otevřít rozsah portů.
DLL rozšíření hesel – Knihovna DLL rozšíření hesel poskytuje způsob, jak implementovat operace nastavení nebo změny hesla formou rozšíření pravidel pro libovolného databázového či souborového agenta pro správu nebo agenta pro správu rozšiřitelného připojení. Toho se dosahuje tak, že vytvoříte šifrovaný atribut jenom pro export s názvem „export_password“, který ve skutečnosti v připojeném adresáři neexistuje, ale dá se k němu přistupovat a dá se nastavit v rozšířeních pravidel zřizování nebo se dá použít během toku atributů exportu. Další informace o konfiguraci rozšíření hesel najdete v referenčních materiálech pro vývojáře FIM.
Příprava na synchronizaci hesel
Před nastavením synchronizace hesel pro vaše prostředí MIM a Active Directory zkontrolujte tyto podmínky:
MIM je nainstalovaný podle pokynů k instalaci.
Jsou už vytvoření agenti pro správu pro připojené zdroje dat, které se mají spravovat z hlediska synchronizace hesel, a objekty se úspěšně připojují a synchronizují.
Nastavení synchronizace hesel:
Rozšiřte schéma Active Directory, abyste přidali třídy a atributy nezbytné pro instalaci a spuštění služby PCNS.
Nainstalujte službu PCNS na každý řadič domény.
Nakonfigurujte hlavní název služby (SPN) v Active Directory pro účet služby MIM.
Nakonfigurujte službu PCNS pro komunikaci s cílovou službou MIM.
Nakonfigurujte agenty pro správu pro připojené zdroje dat, jejichž synchronizace hesel se má spravovat.
Povolte synchronizaci hesel v MIM.
Další informace o nastavení synchronizace hesel najdete v Používání synchronizace hesel.
Proces synchronizace hesel
Proces synchronizace žádosti o změnu hesla z řadiče domény služby Active Directory do jiných připojených zdrojů dat je popsaná v tomto schématu:
Uživatel zahájí žádost o změnu hesla stisknutím kombinace kláves Ctrl+Alt+Del. Žádost o změnu hesla, včetně nového hesla, se odešle na nejbližší řadič domény.
Řadič domény žádost o změnu hesla zaznamená a upozorní filtr oznámení o změnách hesel (Pcnsflt.dll).
Filtr oznámení o změnách hesel předá žádost službě PCNS.
Služba PCNS žádost o změnu hesla ověří, pak ověří hlavní název služby (SPN) pomocí Kerberosu a žádost o změnu hesla předá v zašifrovaném RPC cílovému serveru MIM.
MIM ověří zdrojový řadič domény a pak pomocí názvu domény vyhledá agenta pro správu, který tuto doménu obsluhuje, a s využitím informací o uživatelském účtu v žádosti o změnu hesla vyhledá odpovídající objekt v prostoru konektoru.
MIM pomocí informací z tabulky spojení určí, kteří agenti pro správu změnu hesla obdrží, a změnu hesla jim zašle.
Zabezpečení synchronizace hesel
Vyřešeny byly následující otázky zabezpečení synchronizace hesel:
Ověření ze zdroje hesla – Při přijetí oznámení o změně hesla provede MIM i zdrojový řadič domény ověření pomocí Kerberosu, aby se zaručila platnost příjemce i odesílatele. Při přijetí oznámení o změně hesla MIM zkontroluje, jestli má volající účet v kontejneru Řadiče domény příslušné domény.
Nezdařená synchronizace hesla do cílového zdroje dat kvůli nezabezpečenému připojení – Pokud je agent pro správu nakonfigurovaný tak, aby vyžadoval zabezpečené připojení, ale to není zjištěno, synchronizace se nezdaří. Pokud je agent pro správu nakonfigurovaný tak, aby umožňoval nezabezpečená připojení, k synchronizaci dojde. Nezabezpečená připojení byste měli povolit jenom v případě, že přezkoumáte související rizika a rozumíte jim.
Zabezpečené úložiště hesel – MIM ukládá jenom šifrovaná hesla a jenom dočasně. Všechna hesla, která MIM během operace oznámení změny hesel přijme, se ihned po vstupu do procesu MIM zašifrují. V okamžiku úspěšného odeslání do cílového zdroje dat se dešifrují a paměť, v níž byla hesla uložená, se ihned vymaže. Pokud se zápis do cílového zdroje dat nezdaří, zašifrované heslo zůstává uložené, dokud se neprovedou všechny opakované pokusy, a pak se z paměti vymaže.
Zabezpečené fronty hesel – Hesla uložená ve frontách služby PCNS jsou až do doručení zašifrovaná.
Scénáře obnovení po chybě synchronizace hesel
V ideálním případě se vždy, když uživatel změní heslo, změna synchronizuje bez chyb. Následující scénáře popisují, jak se MIM obnoví z běžných chyb synchronizace:
Selhání oznámení o změně hesla ze služby Active Directory do MIM – K tomu může dojít, pokud nefunguje síť nebo je nedostupný server se spuštěným MIM. Služba PCNS oznámení o změně hesla zařadí do místní fronty na řadiči domény. Služba PCNS se o oznámení pokusí znovu podle své konfigurace intervalu opakování.
Selhání synchronizace hesel do cílového zdroje dat – K tomu může také dojít, pokud nefunguje síť nebo je nedostupný cílový zdroj dat. Oznámení o změně hesla se zařadí do fronty a opakují se pokusy podle konfigurace opakovaných pokusů a intervalu opakování agenta pro správu. Všechna hesla jsou během uložení pro opakované pokusy zašifrovaná a po úspěšné operaci nebo dosažení limitu opakování se smažou.
Aktivace záložního pohotovostního serveru se spuštěným MIM po selhání – V případě selhání primárního serveru se spuštěným MIM můžete nakonfigurovat záložní pohotovostní server pro synchronizaci hesel a aktivovat ho, aniž by došlo ke ztrátám změn hesel. Další informace najdete v článku o nástroji k aktivaci serveru MIISactivate
Některé chyby jsou natolik závažné, že by se operace nejspíš nezdařila bez ohledu na počet opakování. V takových případech se zaznamená událost chyby a proces se ukončí. Neopakují se tyto události:
| Událost | Závažnost | Popis |
|---|---|---|
| 6919 | Informace | Operace nastavení synchronizace hesel se neprovedla, protože časové razítko bylo zastaralé. |
| 6921 | Chyba | Operace nastavení synchronizace hesel se nezpracovala, protože v cílovém agentovi pro správu není povolená správa hesel. |
| 6922 | Chyba | Operace nastavení synchronizace hesel se nezpracovala, protože v cílovém agentovi pro správu není nakonfigurovaná správa hesel. |
| 6923 | Upozornění | Operace nastavení synchronizace hesel se nezpracovala, protože v připojeném adresáři nebyl nalezen cílový objekt prostoru konektoru. |
| 6927 | Chyba | Operace nastavení synchronizace hesel se nezdařila, protože heslo nesplňuje zásady hesla cílového systému. |
| 6928 | Chyba | Operace nastavení synchronizace hesel se nezdařila, protože rozšíření hesla pro cílového agenta pro správu není nakonfigurované, aby podporovalo operace nastavení hesla. |
Uživatelská správa změn hesel
MIM poskytuje dvě webové aplikace, které používají rozhraní WMI (Windows Management Instrumentation) k resetování hesel. Správu hesel aktivujete při konfiguraci agenta pro správu v Management Agent Designeru stejně jako při synchronizaci hesel. Informace o správě hesel a WMI najdete v referenčních materiálech pro vývojáře MIM.
MIM během instalace vytvoří dvě skupiny zabezpečení, které specificky podporují operace správy hesel:
FIMSyncBrowse – Členové této skupiny mají oprávnění ke shromažďování informací o uživatelových účtech při provádění operací vyhledávání s dotazy WMI.
FIMSyncPasswordSet – Členové této skupiny mají oprávnění k provádění operací vyhledávání účtů, nastavování hesel a změn hesel pomocí rozhraní pro správu hesel s WMI.