ddamir's blog - blogging Microsoft servers & learning

Newrix Identity Management suite–baš kako treba

U jednom od ranijih blog postova pisao sam o Change Reporter skupu alata od kompanije Netwrix i utisci su bili zaista dobri. I skup alata za upravljanje identitetima od ove kompanije je na istom tragu – djelotvorni, jednostavni i efikasni. Ovaj put, predstavljam Netwrix Identity Management Suite.

Upravljanje digitalnim identitetima, te generalno management korisničkih i servisnih accounta, lozinki te polisa vezanih za to, predstavlja gotovo svakodnevni posao u životu svakog AD administratora. Automatizacija tih procesa često zahtijeva nabavku i implementaciju skupih i kompleksnih rješenja poput Microsoftovog Forefront Identity Manager-a ili sličnih alata od drugih proizvođača. Alternativno, mogu se pisati i koristiti skripte za ove poslove, no takva je rješenja obično teško za održavati, a nije ih jednostavno ni implementirati. Netwrix u ovom segmentu nudi zaista kvalitetno i efikasno rješenje. Baš kao i Change Reporter skup alata o kojem sam pisao ranije, i Identity Management suite dijeli iste osobine, a to su jednostavnost upotrebe i konfiguracije, mali softversko-hardverski zahtjevi, te rezultati koji su tačno ono što očekujemo. Identity Management suite se sastoji od nekoliko uglavnom nezavisnih proizvoda, koji se mogu instalirati pojedinačno ili zajedno. Predzahtjevi nisu posebno veliki. Bit će potreban jedan member server, sa Windows-ima 2003 ili novijim (može se koristiti i domen kontroler ali nije ni potrebno ni preporučljivo) sa instaliranim Web Server role-om odnosno IIS-om, .NET Frameworkom te Silverlightom. Za funkcije reportinga u nekim alatima, bit će potrebno imati SQL Server Express ili koristiti već postojeću instancu pune verzije SQL Servera (ako postoji).

Password Manager

Pogledajmo sada koje komponente čine Identity Management suite. Meni najinteresantniji dio Identity Management paketa je Password Manager. Naime, podrška korisnicima zbog problema sa lozinkama i zaključanim accountima čini dobar dio posla svakog administratora odnosno službe podrške. Sam Active Directory ne dozvoljava bilo kakvu vrstu self-servicinga za same korisnike (u smislu samostalnog resetovanja zaboravljene lozinke, odnosno otključavanja accounta) te je stoga sav posao prebačen na administrativnu stranu. Tek proizvodi poput ForeFront Identity Manager-a omogućavaju određen stepen funkcionalnosti u ovom smislu, no implementacija FIM-a samo da bi se postigla ova funkcionalnost i nije baš optimalno rješenje.

Ono što omogućava Password Manager komponenta je upravo self-servicing po pitanju accounta i passworda za same korisnike. Implementacijom ove komponente, te nakon odgovarajuće konfiguracije, korisnici dobijaju mogućnost da kroz vrlo jednostavan web-bazirani interfejs sami resetiraju svoju zaboravljenu lozinku, odnosno da otključaju svoj zaključani account. Prije nego ova funkcionalnost postane dostupna, administrator mora napraviti par stvari vezano za konfiguraciju. Po želji se može konfigurisati naslov i tekst self-service stranice, postaviti logo kompanije, kontakt podaci za podršku, te linkovi za dokumente koji specificiraju zahtjeve za password. Takođe, moguće je i upravljati dostupnim funkcionalnostima – korisniku se može omogućiti jedna ili više sljedećih funkcionalnosti : reset lozinke, postavljanje opcije za promjenu lozinke na sljedećem logonu, postavljanje „Password never expires“ opcije na account, otključavanje accounta te izmjena postojeće lozinke (uz poznavanje prethodne). Ove pojedinačne funkcionalnosti mogu se uključivati odnosno isključivati po potrebi. Vjerovatno će mnogi odabrati da ne dopuste korisnicima da postavljaju atribute poput „Password never expires“ na svoje accounte. Na žalost u ovoj verziji nije moguće upravljati time koji korisnik (ili grupe korisnika) ima na raspolaganju koje opcije, nego opcije koje se podese u administrativnom dijelu vrijede za sve self service korisnike. Inače, gotovo sve self-servicing opcije temelje se na challenge-reponse tehnici odnosno odgovorima na unaprijed definisana pitanja. Ovo je dobro poznata tehnika za reset passworda koja se na Internet servisima koristi već godinama, no sam AD to, po defaultu, ne podržava. Predefinisano je ukupno 8 pitanja koja se koriste za ovu svrhu ( kao što su djevojačko prezime majke, ime prvog kućnog ljubimca i sl), no moguće je dodati i vlastita, odnosno modifikovati postojeća. Svaki korisnik, tokom enrollment procesa mora odabrati koja će pitanja koristiti kao svoja vlastita,te postaviti samo njemu poznate odgovore. Administrativna strana dozvoljava i konfiguraciju u smislu da možete definisati minimalnu dužinu odgovora na bilo koje pitanje, minimalni zahtijevani broj pitanja koji se mora postaviti kod enrollmenta, te minimalni broj odgovora koji se mora dati tačno da bi se account otključao, odnosno lozinka resetirala. Nadalje je moguće postaviti zabranu da više pitanja ima isti odgovor, odnosno da odgovor sadrži bilo koji string koji se pominje u pitanju. Vrlo korisne opcije, koje definitivno podižu sigurnost cijelog sistema. Ono što je posebno zanimljivo je da korisnik može sam da definiše ne samo odgovore nego i pitanja. Ukoliko se uključi opcija za custom questions, prilikom enrollmenta korisnik može sebi definisati i pitanja i odgovore. Na ovaj način se postiže visok stepen sigurnosti, ali i relativno nekonzistentna konfiguracija, tako da je o ovome potrebno prethodno dobro razmisliti.

Događaji odnosno postupci koji se realizuju korištenjem self-service portala mogu se kroz alerte putem maila prosljeđivati administratoru ili bilo kome drugom ko vrši auditing. Pored administrativne konzole, te konzole za krajnjeg korisnika, Password Manager obezbjeđuje i Help Desk Portal. Ovaj web portal, kako mu i samo ime govori, namijenjen je onima koji rade na Help desku. Donekle kao alternativa Self Service portalu, putem ovog interfejsa tehničari podrške mogu brzo i efikasno da obave poslove otključavanja zaključanih accounta, te reseta passworda. Takođe, ovaj portal daje i mogućnost brzog i jednostavnog reportinga o akcijama koju su kroz njega provedene odnosno o korisnicima koji su uradili enrollment u ovaj sistem.

Alternativno, ukoliko korisnike ne želimo usmjeravati na web portal radi obavljanja ovih zadataka, može se instalirati i password manager client softver koji na klijentskim računarima omogućava pristup self service password/account operacijama već sa samog logon ekrana. U slučaju da je instaliran ovaj klijent, korisnicima se ponudi enrollment u sistem već pri prvom sljedećem logovanju nakon instalacije.

Cijeli sistem upravljanja passwordima i accountima funkcioniše relativno jednostavno. Sve operacije se izvode u kontekstu servisa koji se instalira na računaru/serveru na kojem se vrti Password manager softver i portal. Account pod kojim radi sam servis se specificira tokom instalacije softvera i moraju mu se ručno delegirati prava za manipulaciju korisničkim accountima u smislu resetiranja lozinki odnosno otključavanja, te još par dodatnih operacija navedenih u dokumentaciji softvera. Ovaj pristup jeste ponešto manuelni, ali je dobar jer administrator u cijelosti zadržava kontrolu nad ovim softverom i u svakom momentu je poznato koji account i na koji način upravlja samim passwordima.

Account Lockout Examiner

Account Lockout Examiner je prilično jednostavan ali iznimno koristan komad softvera koji je namijenjen upravljanju zaključanim AD accountima te ispitivanju uzroka zaključavanja korisničkih accounta. Po njegovom pokretanju, bit će prikazana lista korisničkih accounta koji su u prethodnom periodu bili zaključani, iz bilo kojeg razloga, zajedno sa informacijama o radnoj stanici na kojoj se zaključavanje desilo, te domenskom kontroleru koji je account zaključao, te još par informacija. Osim što je moguće direktno iz ove konzole otključati account, ono za šta ona primarno služi je otkrivanje razloga zašto je došlo do zaključavanja accounta. To se vrši pokretanjem serije testova koji uključuju provjeru scheduled taskova koji se pokreću pod tim accountom (i koji možda imaju stari password pa uzrokuju lock), servisa koji koriste taj account, mapiranih drive share-ova odnosno aplikacija. Cilj je da administrator dobije nešto detaljniji uvid i potencijalno i razlog zašto dolazi do zaključavanja accounta, ukoliko to nije iz banalnog razloga tipa zaboravljenog passworda. Takođe je moguće uspostaviti i određen stepen automatizacije pri upravljanju zaključanim accountima, poput mogućnosti za otključavanje putem e-maila od strane administratora, odnosno notifikacija putem maila kada do zaključavanja dođe.

Inactive Users Tracker & Password Expiration Notifier

Inactive Users Tracker je dio Identity Management paketa koji prati aktivnost korisničkih accounta te u skladu sa tim vrši obavještavanje odnosno poduzima određene akcije. Izrazito koristan i jednostavan za upotrebu, ovaj alat administratorima rješava jednu prilično čestu brigu a to su stari i zaostali accounti u AD-u. Kao polazna postavka definiše se broj dana od zadnjeg logiranja nakon čega se account smatra neaktivnim. Nakon toga, može se poduzimati više akcija. Na primjer, može se poslati mail nadređenoj osobi sa upitom da li account treba još uvijek da postoji, može se setovati random password na accountu, disable-ati ga ili ga pak premjestiti u neku drugu OU. Krajnja opcija je brisanje accounta. Svaka od ovih akcija je zasebno konfigurabilna i moguće ju je podešavati u odnosu na broj dana od zadnjeg logiranja. Tehnički, ovaj alat zapravo čita atribute o zadnjem logonu sa korisničkog accounta,te na osnovu toga, korištenjem odgovarajućeg servisnog accounta izvodi određene operacije.

Srodan alat koji se nalazi u istoj konzoli kao i Inactive Users Tracker je Password Expiration Notifier. Ova komponenta prati zadnju promjenu lozinke na korisničkim accountima, te u odnosu na podešenu vrijednost maksimalnog trajanja lozinke obavještava administratora odnosno korisnike da se bliži vrijeme za promjenu passworda. Ovo je izrazito jednostavan alat, ali koji radi svoj posao te omogućava korisnicima da na vrijeme počnu razmišljati o novoj lozinki.

Privileged Account Manager

Ponešto drugačiji softver, zadnji ubačen u Identity Management suite, i čije se konzola temelji na Silverlightu je Privileged Account Manager. Zapravo se radi o rješenju za upravljanje i kontrolu nad accountima koji na bilo koji način imaju delegirana neka veća prava, bilo da se radi o accountima za administraciju sistema ili accountima koji se koriste kao servisni accounti na jednom ili više servera. Suštinska namjena Privileged Account Manager je da centralizira upravljanje passwordima za sve accounte koji su privilegovani, odnosno dijeljeni između više korisnika ili više servisa odnosno aplikacija. Dodavanjem accounta unutar PAM konzole, njemu se automatski postavlja random password koji se sinhronizira na sve sisteme gdje se taj account koristi. Promjena passworda se dešava takođe iz ove konzole, po defaultu jednom dnevno, te se kao takva sinhronizira na sva mjesta gdje se koristi taj account. Ukoliko postoji potreba, password se može i očitati iz ove konzole (kroz tzv. check out accounta) no nakon što se upotrijebi i ponovo napravi check in accounta, password se ponovo mijenja iz sigurnosnih razloga. Ovo rješenje je vrlo interesantno i moglo bi se reći i dosta originalno. Passwordi koji se postavljaju na accounte kojima se upravlja kroz ovu konzolu su random generisani, dugački 15 karaktera, i upravljivi u smislu mogućnosti definisanja broja pojavljivanja malih i velikih slova, brojeva odnosno specijalnih znakova.

Logon Reporter

Na kraju, unutar Identity Management skupine imamo i Logon Reporter. Ovaj alat skuplja event logove koji se primarno odnose na logiranje (odnosno logoff) odnosno pokušaje logiranja na serverima i radnim stanicama u domeni te iste skuplja u .evtx fajl ili sprema u SQL bazu za kasnije analiziranje. Takođe prati i događaje tipa promjene passworda, reseta passworda i zaključavanja i otključavanja accounta. Kao i ostali alati, o svemu može slati notifikacije putem maila.

Zaključak

Na kraju, teško je reći bilo šta drugo osim da bi ovakav skup alata poželio bi svaki Active Directory administrator. Već na prvi pogled svako može vidjeti da značajno olakšavaju rad sa digitalnim identitetima odnosno accountima uopšte. Ipak treba reći da je polje na kojem djeluju ovi alati izrazito osjetljivo te je stoga vrlo bitno dobro razumjeti kako radi svaki od njih, te držati pod kontrolom njihovu upotrebu. Cijena licenci, koja se kreće od 5.25 USD po korisniku je takođe vrlo razumna i može se reći da zaista opravdava ovo što se dobije. Nakon 13-godišnjeg iskustva u radu sa Active Directory servisom, zaista mogu dati tople preporuke ovom softveru.

System Center 2012–svega na gomili

Godina koja je nedavno započela, bar kad je u pitanju IT, bit će po mnogo čemu specifična. Ne sumnjam da će tako biti i u drugim sferama života, no bolje da se toga sada ne dotičemo. Ipak, kada je u pitanju Microsoft, nije se baš mnogo puta do sada desilo da se tokom jedne godine na tržište izbacuju nove verzije gotovo svih bitnih proizvoda. Pored System Centra 2012 o kojem ćemo ovdje pričati, očekuje nas novi Windows 8 (desktop i Server), novi SQL Server, novi Office, Exchange, itd. Iako svaki od ovih proizvoda donosi bitna poboljšanja i vrlo interesantne novosti, System Centar je napravio možda najveći iskorak u tome kako posmatramo management platformu uopšte, i proizvode koji nam u tome pomažu.

Porodica System Centra nije nova. Krenula je sa relativno malo proizvoda, da bi vremenom narasla do osam članova. Ranije, svi proizvodu su se prodavali i licencirali odvojeno. Danas, to više nije slučaj. Od verzije 2012, Microsoft je odlučio da sve System Center proizvode isporučuje u jednom paketu, po jedinstvenoj cijeni, naravno znatno nižoj nego što bi bio zbir cijena svih proizvoda. Razloge za ovakvu licencnu politiku nije teško dokučiti.Činjenica je da nisu svi proizvodi koji danas dolaze u System Center porodici bili jednako popularni. Dok su Configuration Manager, Operations Manager i Virtual Machine Manager bili vrlo često korišteni proizvodi, dotle su Data Protection Manager, Service Manager, te Opalis (današnji Orchestrator) stajali prilično po strani. Isporučivanjem svih proizvoda zajedno (iako su to defakto i dalje nezavisni softveri koji mogu funkcionisati odvojeno), Microsoft korisnike stavlja u iskušenje da makar probaju i ono što im možda ne treba, ali su dobili u System Center paketu. Moram se složiti da je ova strategija prilično dobra i vjerujem da će donijeti nove korisnike. U svakom slučaju, prije donošenja odluke o nabavci potrebno je dobro proučiti modele licenciranja, koji su već objavljeni na Microsoft stranicama, iako RTM verzija System Centra još nije izašla. Takođe, preporučujem da skinete RC verzije ovih proizvoda, te da ih isprobate budući da su u cijelosti funkcionalni.

Šta ima u System Centru 2012?

Namjera ovog teksta nije da se detaljno bavi bilo kojim proizvodom pojedinačno, nego da damo jedan opšti pregled onoga što donosi System Center 2012, a u narednih brojevima ćemo se posvetiti pojedinačnim proizvodima.

System Center Configuration Manager 2012 – stari znanac, ranije poznat kao System Management Server, predstavlja moćnu platformu za deployment operativnih sistema i aplikacija svih vrsta, kao i ažuriranja za iste, te inventory alat za cijelu IT infrastrukturu. Ranije prilično kompleksan za korištenje i konfigurisanje, u verziji 2012 donosi osvježeni interfejs i dosta novih funkcionalnosti. Namijenjen je pretežno nešto većim firmama, koje besplatna rješenja za deployment i ažuriranje poput WDS-a i WSUS ne mogu zadovoljiti.

System Center Operations Manager 2012 – takođe stari proizvod, nekada poznat kao Microsoft Operations Manager. Namijenjen je primarno monitoringu uređaja, računara, servera, kao i velikog broja aplikacija, servisa i različitih softvera. Nezamjenjiv izbor ako želite uspostaviti kvalitan monitoring sa proaktivnim djelovanjem na promjene koje se dese na sistemu. Slično kao i SCCM, i SCOM donosi dosta novih funkcionalnosti, te novih agenta za monitoring.

System Center Virtual Machine Manager 2012 – Ovaj proizvod je zasigurno jedan od miljenika svih administratora koji koriste Hyper-V kao virtualizacijsku platformu. U ranijim verzijama primarno namijenjen managementu fizičkih hostova i samih virtualnih mašina, u verziji 2012 doživio je značajan zaokret postavljanjem fokusa na privatni oblak te servise i aplikacije, gurnuvši same virtualne mašine pomalo u drugi plan. Danas je VMM izrazito moćan proizvod, ali će administratorima ranijih verzija biti potrebno neko vrijeme da se prilagode na nove koncepte.

System Center App Controller – Ovo je novi proizvod i može ga se posmatrati donekle kao ekstenziju VMM-a. On zapravo proširuje koncept Self-Service portala iz VMM, te kroz web interfejs sada nudi portal kroz koji korisnici mogu vršiti deployment i management novih servisa i aplikacija (instaliranih na virtualne mašine) kako u privatnom tako i u javnom oblaku (poput Azure-e). Vrlo interesantno i intuitivno rješenje, koje svakako savjetujem implementirati uz VMM.

System Center Service Manager – ovo je proizvod za ljubitelje ITIL-a i sličnih standarda. Za razliku od većine ostalih proizvoda, ovaj proizvod out-of-the-box ne radi apsolutno ništa, nego je potrebno provesti dosta vremena u prilagođavanju i podešavanju. Radi se zapravo o proizvodu koji daje mogućnost kreiranje centraliziranog help deska, service portala, te portala za unos zahtjeva za promjenama na sistemu (pored ostalog). Sa druge strane, brine se o rješavanju prijavljenih incidenata, eskalaciji prema višim nivoima, iniciranju procedura i sl. Vrlo moćan, izrazito kompleksan proizvod, ali definitivno nije za svakoga.

System Center Data Protection Manager – Microsoftovo backup rješenje. Nastalo još u vremenu kada je popularni ntbackup u Windows-u 2008 definitivno sahranjen i zamijenjen sa slabo funkcionalnim Windows Server Backup-om. U to vrijeme, Microsoft je lansirao prvu verziju DPM-a, kao nezavisnog backup softvera. Iako do danas nije stekao veliku popularnost poput nekih proizvoda kao što su Veritasovi (zapravo Symantecovi), DPM uopšte nije loše rješenje. Izvrsno radi backup/restore Microsoft okruženja, ima podršku za mnoge MS aplikacije i vrlo intuitivan i relativno jednostavan interfejs.

System Center EndPoint Protection – antivirusno rješenje koje je do sada promijenilo mnogo imena. Radi se zapravo o ForeFront Protection rješenju koje je namijenjeno primarno za klijente. Kao unmanaged rješenje postoji u obliku besplatnog Security Essentials rješenja. U System Centru 2012, EndPoint protection dolazio kao dio Configuration Manager-a, što može djelovati pomalo neobično, ali je smisleno budući da se deployment svakako radi kroz SCCM. U svakom slučaju, dobar potez jer omogućava korisnicima da na jednostavan način urade deployment sasvim solidnog antivirus rješenja.

System Center Orchestrator – pomalo mističan proizvod, koji sam namjerno ostavio za kraj. Proizašao iz nekadašnjeg Opalis rješenje, Orchestrator ima za cilj da uveže sve (ili bar veći dio) ostalih proizvoda iz System Center porodice te da omogući proaktivno i automatsko djelovanje u raznih sferama. Slično kao i Service Manager, ovo neće biti proizvod „široke potrošnje“ i namijenjen je samo kompleksnim i izrazito zahtjevnim okruženjima, koje imaju velike potrebe za automatizacijom procesa unutar IT infrastrukture.

Kakve god da su Vam trenutno potrebe za management platformom, ako Vam je okruženje bazirano na Microsoft tehnologijama, System Center 2012 definitivno vrijedi razmotriti. Iako se ne radi o proizvodima koje je lako implementirati i održavati, benefit primjene nekih ili svih proizvoda iz ove porodice je definitivno velik. Povoljni modeli licenciranja takođe mogu biti jedan razlog više za ozbiljno razmatranje ovog rješenja. Treba ipak imati u vidu da će odluka o eventualnoj implementaciji, pored nesumnjivih benefita donijeti i potrebu za dodatnom edukacijom postojećeg IT osoblja.

Kurs 10233B: Designing and Deploying Messaging Solutions with Microsoft Exchange Server 2010 SP2 + Amazon Kindle po posebnim uslovima za MSCommunity

Kao i do sada, Logosoft Edukacija, omogućava aktivnim članovima MSCommunity zajednice da pohađaju oficijelne Microsoft kurseve po iznimno povoljnim uslovima.
Ovaj put, radi se o sasvim novom kursu za Exchange Server 2010 SP2, koji je pored ažuriranja na verziju SP2 obogaćen i sadržajem za Office365.Ovaj kurs predstavlja detaljan i opsežan vodič za dizajniranje Exchange Server 2010 okruženja, kao i za deployment same messaging platforme bazirane na Exchange Serveru 2010. Kroz 5 dana obrađuje sve aspekte dizajniranja i deploymenta Exchange Servera 2010,za svaku ulogu posebno, migraciju sa prethodnih platformi, integraciju sa drugim messaging sistemima, te konfiguracije svih serverskih uloga i raspoloživih postavki.

Kao posebnu pogodnost, u sklopu akcije "Go Green With Us" svaki polaznik ovog kursa dobija i Amazon Kindle e-book reader.
Svi zainteresovani da pohađaju ovaj trening po nižoj cijeni od regularne, mogu mi se javiti direktno na mail. Više detalja o samom kursu možete pročitati na adresi: http://www.logosoft.ba/edukacija/news/news78.aspx

Pozdrav svima,

Community aktivnosti i događaji za naredni period

Zima nam se lagano bliži kraju, ove godine je bila baš onako “kako treba” pa će valjda i ostatak godine biti takav. Kako se bude priroda, tako se bude i razne aktivnosti, pa i ove koje se tiču naših user grupa. U narednom periodu dosta toga zanimljivog bit će nam na raspolaganju, a kroz MSCommunity potrudit ćemo se da to učinimo dostupnim i samim članovima. Da napravimo mali pregled stvari :

• Ako već ranije niste, kroz MSCommunity možete dobiti besplatan trial Windows Azure i SQL Azure servisa. Više detalja je u prethodnom postu, imamo još par vaučera, pa ako Vas ovo zanima, javite mi se!
  
• Ako ste developer, i radite u .NET okruženju sigurno će Vam djelovati privlačno poklon koji nam daje kompanija Telerik a radi se o Ultimate kolekciji njihovih UI kontrola i pratećih alata
  
• Bliži nam se i MS Network konferencija, na kojoj imamo i MSCommunity track. Još 10 dana imate za prijavu predavanja, pa Vam toplo savjetujem da to i uradite. Ako ne želite predavati, pratite mscommunity.ba portal jer ćemo poklanjati i kotizacije za tu konferenciju.
  
• Ako Vas interesuje Microsoft private cloud inicijativa, preko linka http://www.gomct.com/?0493 možete vidjeti trenutnu Microsoft ponudu resursa za učenje o ovoj temi. Ako Vas pored toga zanima i specifično Exchange Server 2010, vrlo skoro ćemo objaviti i posebnu ponudu za članove MSCommunity-a za jedan od novih Exchange treninga (sa Office365 sadržajem) na kojem će svaki polaznik pored novih znanja dobiti i Amazon Kindle!

Uz sve ovo, planiramo i vrlo zanimljive teme na predstojećim MSCommunity sastancima. Mislim da zaista vrijedi biti član (nadam se da BIHAMK neće zamjeriti što sam im ukrao ideju).

Vidimo se na sljedećem sastanku a onda i u Mostaru!

Windows Azure i SQL Azure trial accounti

Imam nekoliko vaučera za 30-dnevni trial period za Windows Azure i SQL Azure, koje mogu podijeliti. Ako nekoga zanimaju ovi servisi, javite mi se na mail da Vam pošaljem vaučer i upute za registraciju. Sa ovim vaučerima dobijate na probu sljedeće :