آشنایی با Active Directory Rights Management Services – قسمت اول
Active Directory Rights Management Services یا به اختصار AD RMS یکی از سرویس های Active Directory است که جهت حفاظت از حقوق معنوی اطلاعات و دارایی های سازمان به کار گرفته می شود.گزارشات مالی، مشخصات و طراحی های محصولات، فایل های مولتی مدیا و ایمیل های محرمانه مثال های مناسبی از این موارد هستتند. AD RMS از هر نوع داده باینری محافظت می کند و حقوق استفاده از اطلاعات همواره با اطلاعات باقی می ماند به عبارت دیگر، حتی خارج از شبکه سازمان اطلاعات محافظت شده باقی می مانند. علاوه بر یکپارچگی با Active Directory Domain Services این سرویس با Active Directory Certificate Services برای زیرساخت کلید عمومی و با Active Directory Federation Services برای پشتیبانی از حفاظت حقوق در ماورای فایروال یکپارچه شده است.
اطلاعات AD RMS شامل تنظیمات و log ها در یک Database ذخیره می گردد که در محیط آزمایشی می توانید از Windows Internal Database یا WID استفاده کنید اما در محیط عملیاتی توصیه می گردد از یک SQL Server روی یک سرور جداگانه استفاده کنید. این امر سبب می گردد امکان Load balancing برای سرور های AD RMS به وجود آید و در صورت استفاده از WID از آنجا که اطلاعات تنها به صورت local قابل دسترس هستند این امکان وجود ندارد.همچنین IIS 7.0 برای Web Services و Microsoft Message Queuing برای تراکنش ها لازم اند. AD RMS برای تشخیص هویت کاربران به AD DS نیاز دارد.همچنین از Microsoft Federation Gateway نیز پشتیبانی به عمل می آید. در تصویر زیر نحوه ارتباط این سرویس ها با هم به خوبی مشخص شده است.
Cluster ها شامل یک یا چند سرور AD RMS هستند.به صورت پیش فرض، با نصب اولین سرور AD RMS؛ یک Root Cluster ایجاد می گردد. یک Root Cluster هم عملیات Certification و هم Licensing (دو عملیاتی که AD RMS انجام می دهد) را بر عهده خواهد داشت. امکان ایجاد سرور های Licensing Only وجود دارد. Cluster ها تنها زمانی در دسترس قرار می گیرند که database روی یک سرور دیگر نصب شده باشد. هر زمان که یک سرور AD RMS جدید ایجاد می کنید، آن سرور به cluster مربوطه یکپارچه می گردد. مایکروسافت به دلایل زیر توصیه می کند تنها از root role استفاده گردد:
1) Root Cluster می توانند تمام عملیات مربوط به AD RMS را انجام دهند.
2) سرور های Root و licensing Only به یکدیگر غیر مرتبط اند و نمی توانند با یکدیگر Load Balance شوند در حالی که اگر تمام سرور ها root باشند با یکدیگر می توانند load balance گردند.
برای مدیریت AD RMS چهار گروه کاربری به صورت Local به صورت پیش فرض، ایجاد می گردد. این گروه ها عبارت اند از:
1) AD RMS Enterprise Administrator
2) AD RMS Template Administrator
3) AD RMS Auditors
4) AD RMS Services
رویه کلی محافظت و دسترسی به محتوا
زمانی که از AD RMS جهت حفاظت از اطلاعات استفاده می کنید، برای صادر کردن Rights Account Certificate به AD RSM Server اتکا می شود. این Certificate ها مولفه های قابل اعتماد (Trusted) را همانند کاربران، گروه ها، کامپیوترها، نرم افزار و سرویس ها را معین می کنند که می توانند اسناد دارای حقوق را ایجاد و منتشر کنند. پس از آنکه یک تولید کننده ی محتوا trusted شده باشد،می تواند روی محتوای تولید شده ی خود حقوق و شرایط را معین کند. هر زمان که یک کاربر، سیاست محافظت از یک سند (محتوا) را ایجاد می کند، AD RMS یک لایسنس برای آن محتوا صادر می کند. با یکپارچه کردن آن لایسنس با آن محتوا، دیگر لازم نیست برای محافظت از آن محتوا با AD RMS ارتباطی صورت گیرد. به این لایسنس، Protection License می گوییم.
از انجایی که حقوق ها می تواند با هر فایل باینری دیتا یکپارچه گردد و درون و خارج از شبکه؛ آنلاین یا آفلاین استفاده گردد محافظت مناسبی روی محتوا های ایجاد صورت می گیرد. زمانی که محتوا محافظت شده باشد، محتوا با استفاده از کلید خاصی رمزنگاری شده است. این کلید ها بسیار مشابه همان کلید هایی است که AD CS تولید می کند. جهت دسترسی به اطلاعات لازم است از یک نرم افزاری که از AD RMS پشتیبانی می کند استفاده گردد و در غیر این صورت قادر به دسترسی نخواهند بود. زمانی که کاربران دیگر به محتوا های محافظت شده دسترسی می یابند، AD RMS Client یک درخواست Usage License به سرور به نام ارسال می کند. اگر آن کاربر نیز Trusted باشد سرور برای آن کاربر یک لایسنس صادر می کند. با استفاده از Use License می توان Protection License را خواند و AD RMS Client آن را در مدت lifetime معین شده اعمال می کند.
برای تسهیل انتشار محتوا، کاربران Trusted می توانند از روی قالب های از پیش تعریف شده ای، Protection License را معین کنند و از طریق ابزار هایی که به آن ها آشنایی دارند همانند نرم افزار های Word Processing یا Email Clients جهت انتشار محتوا ها استفاده کنند. تصویر زیر روند فوق الذکر را نشان می دهد:
سناریو های مختلف AD RMS
1) Single Server Deployment
استفاده از WID و AD RMS روی یک سرور. از آنجا که اطلاعات تنها local در دسترس خواهند بود، امکان فراهم آوردن high availability وجود ندارد. برای محیط آزمایشی مناسب است.
2)Internal Deployment
استفاده از چند سرور AD RMS و قرار گرفتن Database روی یک سرور مستقل
3) External Deployment
تنظیم Exception های مناسب برای دسترسی از خارج از شبکه
4) Multi Forest Deployment
در صورت وجود partnership با سازمان های دیگر بر اساس AD DS trust
5) AD RMS with AD FS Deployment
روش توصیه شده برای دسترسی از خارج از شبکه
6) Licensing only Deployments
برای ساختار های پیچیده forest می تواند مفید باشد.
7) upgrade کردن از RMS به AD RMS