RBAC und AGDLP auf den Punkt
Lesezeit: bunte 4 Minuten
1. network acces control ... so what???
In diesem Beitrag soll es um ein sehr wichtiges und nicht zu unterschätzendes Thema gehen: um das Thema Ordnung! Ok, jeder echte IT Admin bekommt bei diesem Begriff – gleich nach dem Begriff “Dokumentation” – einen mittelschweren bis schweren Hautausschlag.
Doch weiter: Hier soll es jetzt auch nicht um deinen Schreibtisch gehen, der vielleicht wie eine gerade erst explodierte Müllkippe in Kalkutta aussieht – mir egal aber dennoch kein gutes Zeichen.
Vielmehr geht es um Datenstrukturen und network acces control, genauer um Zugriffsberechtigung bzw. Zugriffskontrollen auf Ressourcen in deinem Netzwerk.
Der MS Active Directory Verzeichnisdienst stellt hier den Standard dar und bietet über die reine Freigabe hinaus die Möglichkeit der Aggregation in übersichtliche Gruppenstrukturen, die auch noch untereinander verschachtelt sein können oder sogar domänenübergreifend in die Berechtigungsstruktur eingreifen.
Das Ganze soll dann letztendlich dazu führen, z.B. in einem Audit die Frage “Wer hat auf was Zugriff?” einfach beantworten zu können – oder noch einfacher: die Fehlersuche zu erleichtern oder gar ganz überflüssig zu machen. Ja wirklich
Werbung
2. RBAC
Doch der Reihe nach:
Bevor das ganze Berechtigungsmanagement bzw. network acces control in völligem Chaos endet, bietet MS hier jetzt eine glasklare Vorgehensweise an, um diesen Zauber in die Praxis erfolgreich umzusetzen und damit eine sichere und zugleich dynamische Umgebung für die Zugriffskontrolle zu realisieren.
Über allem steht hier zuerst der RBAC Ansatz, Role Based Acces Control oder einfach die rollenbasierte Zugriffskontrolle mit der konkreten Ausprägung AGDLP oder AGUDLP.
So what? Ganz einfach!
– zuerst steht der Account, also der User oder Computer, der auf irgendwas im Netzwerk Zugriff haben möchte wie z.B. Warteschlange von Druckern oder irgendwelche Datenbankeinträge.
– diese Accounts werden dann in einer globalen Gruppe oder auch Rollengruppe zusammengefasst
– auf der anderen Seite bildet man eine domänenlokale Gruppe oder auch Zugriffsgruppe mit eben Freigabe für diese bestimmte Ressource im Netz
– jetzt verschachtelt man die globale Gruppe oder Rollengruppe mit der domänenlokalen Gruppe oder Zugriffsgruppe – e voilà, es läuft!
– ergänzen lässt sich das Ganze dann auch noch mit Rollengruppen aus anderen Domänen – universelle Gruppen.
Also, die Trennung zwischen Rollengruppen und Zugriffsgruppen ist essentiell in diesem RBAC Ansatz und sorgt für eine effektive network acces control – niemals darf dem User oder Computer eine direkte Freigabe auf eine Ressource – die Druckerwarteschlange oder Datenbank – gewährt werden, nur eben getrennt über oder durch Zugriffsgruppen – und schon blickt man bei der ganzen Sache wieder durch!
3. Namenskonventionen
Klar, bei der Benennung der Gruppen sind jetzt der eigenen Kreativität zuerst einmal keine Grenzen gesetzt, so kann ich eine Gruppe auch “Xc349578bc” benennen – aber ist das wirklich zielführend und wäre nicht vielleicht “HR_DE_Management” etwas zielführender? Und die Zugriffsgruppe auf einen bestimmten Drucker heißt dann einfach “HPLC4501_Stock2”? Genau!
Also:
– Gruppennahmen sollten irgendwie sprechend sein – auf english oder deutsch – besser english
– auch domänenübergreifende Gruppennahmen in universellen Gruppen sollten übereinstimmen und passen
– und stelle dir vor, du bist ein Skript und musst jetzt einen solchen Gruppennamen einlesen bzw. verarbeiten: also bitte keine wilden Sonderzeichen und auch kein blank – underscore geht gerade noch so durch, mehr bitte nicht
Check – also alles ganz einfach, oder?
Die konkrete Umsetzung bzw. das Aufräumen eines völlig vermurksten Berechtigungskonzepts oder eben network acces control in eine lesbare und saubere RBAC Alternative ist jetzt eine andere, nicht ganz triviale und sicherlich herausfordernde Aufgabe.
Werbung
4. Umsetzung
Zuerst einmal sollte man sich über das neue Berechtigungskonzept dediziert Gedanken machen und dieses neue Konzept soweit wie möglich auch dokumentieren – ich weiß, das böse Wort mit “d” am Anfang – immer mit dem Ziel einer radikalen Komplexitätsreduktion.
Doch woran orientieren? Aus hohler Hand irgendetwas hinzaubern kann es wohl nicht sein – besser man bezieht schon frühzeitig die Personalabteilung mit ein und orientiert sich an der tatsächlichen bzw. formellen Organisationsstruktur.
Einzelne Abteilungen mit einzubeziehen, dort Abteilungs- oder Teamleiter dieses Vorhaben vorstellen und nach Meinungen zu fragen macht erst einmal wenig Sinn – das wird am Ende zu komplex und außerdem haben wir hier kein Wunschkonzert.
Und weiter im bunten Galopp: steht der Plan erst einmal im Groben, kann es losgehen – weitere Verfeinerungen, Änderungen oder Erweiterungen ergeben sich dann noch im Laufe des Projekts – heute ist eben alles agil.
Und los geht’s!
– Testen, testen und nochmal testen heißt eigentlich der eiserne Grundsatz bei jedem Change, bevor man diesen auf den User loslässt. Geht jetzt aber in diesem speziellen Fall Berechtigungskonzept nicht, da viel zu komplex und unüberschaubar – hier muss letztendlich der User selbst testen
– deshalb den User schon im Vorfeld auf das Vorhaben hinweisen und natürlich auf die besondere Bedeutung dieses Vorhabens verweisen – Security, Kosteneinsparung, blah – halt irgendwas Wichtiges als Grund benennen, funktioniert übrigens immer
– deshalb eben den User auf mysteriöse Fehlermeldungen oder Störungen vorbereiten und gleich ein Quick Fix mitliefern wie z.B. “Bitte einmal abmelden und wieder anmelden!” – so aktualisiert sich das Kerberos-Ticket und die neuen Berechtigungen ziehen
– deshalb auch und auf gar keinen Fall die Hotline vergessen. Wegen evtl. erhöhtem Anrufaufkommen diese am besten gleich doppelt besetzen und vorbereiten, kein User hängt gerne stundenlang in der Warteschleife!
– deshalb in der Umsetzung des neuen Berechtigungskonzepts immer nur in kleinen Schritten vorgehen und abwarten, um aus den eingehenden Fehlermeldungen irgendwie oder irgendwo noch die Ursache in deiner fehlerhaften Umsetzung herausfinden zu können.
Werbung
5. So, ich habe erst einmal fertig
network acces control – viel Spaß mit deinem Vorhaben und deinen Anwendern [übrigens unter Admins eine ganz böse Beschimpfung: ” … du Anwender!”]
Kritik [auch vernichtend] und Anregung sind gerne erwünscht!
Vielen Dank – BIG THX
Markus
und weiter:
oder gleich:
Werbung