Newrix Identity Management suite–baš kako treba
U jednom od ranijih blog postova pisao sam o Change Reporter skupu alata od kompanije Netwrix i utisci su bili zaista dobri. I skup alata za upravljanje identitetima od ove kompanije je na istom tragu – djelotvorni, jednostavni i efikasni. Ovaj put, predstavljam Netwrix Identity Management Suite.
Upravljanje digitalnim identitetima, te generalno management korisničkih i servisnih accounta, lozinki te polisa vezanih za to, predstavlja gotovo svakodnevni posao u životu svakog AD administratora. Automatizacija tih procesa često zahtijeva nabavku i implementaciju skupih i kompleksnih rješenja poput Microsoftovog Forefront Identity Manager-a ili sličnih alata od drugih proizvođača. Alternativno, mogu se pisati i koristiti skripte za ove poslove, no takva je rješenja obično teško za održavati, a nije ih jednostavno ni implementirati. Netwrix u ovom segmentu nudi zaista kvalitetno i efikasno rješenje. Baš kao i Change Reporter skup alata o kojem sam pisao ranije, i Identity Management suite dijeli iste osobine, a to su jednostavnost upotrebe i konfiguracije, mali softversko-hardverski zahtjevi, te rezultati koji su tačno ono što očekujemo. Identity Management suite se sastoji od nekoliko uglavnom nezavisnih proizvoda, koji se mogu instalirati pojedinačno ili zajedno. Predzahtjevi nisu posebno veliki. Bit će potreban jedan member server, sa Windows-ima 2003 ili novijim (može se koristiti i domen kontroler ali nije ni potrebno ni preporučljivo) sa instaliranim Web Server role-om odnosno IIS-om, .NET Frameworkom te Silverlightom. Za funkcije reportinga u nekim alatima, bit će potrebno imati SQL Server Express ili koristiti već postojeću instancu pune verzije SQL Servera (ako postoji).
Password Manager
Pogledajmo sada koje komponente čine Identity Management suite. Meni najinteresantniji dio Identity Management paketa je Password Manager. Naime, podrška korisnicima zbog problema sa lozinkama i zaključanim accountima čini dobar dio posla svakog administratora odnosno službe podrške. Sam Active Directory ne dozvoljava bilo kakvu vrstu self-servicinga za same korisnike (u smislu samostalnog resetovanja zaboravljene lozinke, odnosno otključavanja accounta) te je stoga sav posao prebačen na administrativnu stranu. Tek proizvodi poput ForeFront Identity Manager-a omogućavaju određen stepen funkcionalnosti u ovom smislu, no implementacija FIM-a samo da bi se postigla ova funkcionalnost i nije baš optimalno rješenje.
Ono što omogućava Password Manager komponenta je upravo self-servicing po pitanju accounta i passworda za same korisnike. Implementacijom ove komponente, te nakon odgovarajuće konfiguracije, korisnici dobijaju mogućnost da kroz vrlo jednostavan web-bazirani interfejs sami resetiraju svoju zaboravljenu lozinku, odnosno da otključaju svoj zaključani account. Prije nego ova funkcionalnost postane dostupna, administrator mora napraviti par stvari vezano za konfiguraciju. Po želji se može konfigurisati naslov i tekst self-service stranice, postaviti logo kompanije, kontakt podaci za podršku, te linkovi za dokumente koji specificiraju zahtjeve za password. Takođe, moguće je i upravljati dostupnim funkcionalnostima – korisniku se može omogućiti jedna ili više sljedećih funkcionalnosti : reset lozinke, postavljanje opcije za promjenu lozinke na sljedećem logonu, postavljanje „Password never expires“ opcije na account, otključavanje accounta te izmjena postojeće lozinke (uz poznavanje prethodne). Ove pojedinačne funkcionalnosti mogu se uključivati odnosno isključivati po potrebi. Vjerovatno će mnogi odabrati da ne dopuste korisnicima da postavljaju atribute poput „Password never expires“ na svoje accounte. Na žalost u ovoj verziji nije moguće upravljati time koji korisnik (ili grupe korisnika) ima na raspolaganju koje opcije, nego opcije koje se podese u administrativnom dijelu vrijede za sve self service korisnike. Inače, gotovo sve self-servicing opcije temelje se na challenge-reponse tehnici odnosno odgovorima na unaprijed definisana pitanja. Ovo je dobro poznata tehnika za reset passworda koja se na Internet servisima koristi već godinama, no sam AD to, po defaultu, ne podržava. Predefinisano je ukupno 8 pitanja koja se koriste za ovu svrhu ( kao što su djevojačko prezime majke, ime prvog kućnog ljubimca i sl), no moguće je dodati i vlastita, odnosno modifikovati postojeća. Svaki korisnik, tokom enrollment procesa mora odabrati koja će pitanja koristiti kao svoja vlastita,te postaviti samo njemu poznate odgovore. Administrativna strana dozvoljava i konfiguraciju u smislu da možete definisati minimalnu dužinu odgovora na bilo koje pitanje, minimalni zahtijevani broj pitanja koji se mora postaviti kod enrollmenta, te minimalni broj odgovora koji se mora dati tačno da bi se account otključao, odnosno lozinka resetirala. Nadalje je moguće postaviti zabranu da više pitanja ima isti odgovor, odnosno da odgovor sadrži bilo koji string koji se pominje u pitanju. Vrlo korisne opcije, koje definitivno podižu sigurnost cijelog sistema. Ono što je posebno zanimljivo je da korisnik može sam da definiše ne samo odgovore nego i pitanja. Ukoliko se uključi opcija za custom questions, prilikom enrollmenta korisnik može sebi definisati i pitanja i odgovore. Na ovaj način se postiže visok stepen sigurnosti, ali i relativno nekonzistentna konfiguracija, tako da je o ovome potrebno prethodno dobro razmisliti.
Događaji odnosno postupci koji se realizuju korištenjem self-service portala mogu se kroz alerte putem maila prosljeđivati administratoru ili bilo kome drugom ko vrši auditing. Pored administrativne konzole, te konzole za krajnjeg korisnika, Password Manager obezbjeđuje i Help Desk Portal. Ovaj web portal, kako mu i samo ime govori, namijenjen je onima koji rade na Help desku. Donekle kao alternativa Self Service portalu, putem ovog interfejsa tehničari podrške mogu brzo i efikasno da obave poslove otključavanja zaključanih accounta, te reseta passworda. Takođe, ovaj portal daje i mogućnost brzog i jednostavnog reportinga o akcijama koju su kroz njega provedene odnosno o korisnicima koji su uradili enrollment u ovaj sistem.
Alternativno, ukoliko korisnike ne želimo usmjeravati na web portal radi obavljanja ovih zadataka, može se instalirati i password manager client softver koji na klijentskim računarima omogućava pristup self service password/account operacijama već sa samog logon ekrana. U slučaju da je instaliran ovaj klijent, korisnicima se ponudi enrollment u sistem već pri prvom sljedećem logovanju nakon instalacije.
Cijeli sistem upravljanja passwordima i accountima funkcioniše relativno jednostavno. Sve operacije se izvode u kontekstu servisa koji se instalira na računaru/serveru na kojem se vrti Password manager softver i portal. Account pod kojim radi sam servis se specificira tokom instalacije softvera i moraju mu se ručno delegirati prava za manipulaciju korisničkim accountima u smislu resetiranja lozinki odnosno otključavanja, te još par dodatnih operacija navedenih u dokumentaciji softvera. Ovaj pristup jeste ponešto manuelni, ali je dobar jer administrator u cijelosti zadržava kontrolu nad ovim softverom i u svakom momentu je poznato koji account i na koji način upravlja samim passwordima.
Account Lockout Examiner
Account Lockout Examiner je prilično jednostavan ali iznimno koristan komad softvera koji je namijenjen upravljanju zaključanim AD accountima te ispitivanju uzroka zaključavanja korisničkih accounta. Po njegovom pokretanju, bit će prikazana lista korisničkih accounta koji su u prethodnom periodu bili zaključani, iz bilo kojeg razloga, zajedno sa informacijama o radnoj stanici na kojoj se zaključavanje desilo, te domenskom kontroleru koji je account zaključao, te još par informacija. Osim što je moguće direktno iz ove konzole otključati account, ono za šta ona primarno služi je otkrivanje razloga zašto je došlo do zaključavanja accounta. To se vrši pokretanjem serije testova koji uključuju provjeru scheduled taskova koji se pokreću pod tim accountom (i koji možda imaju stari password pa uzrokuju lock), servisa koji koriste taj account, mapiranih drive share-ova odnosno aplikacija. Cilj je da administrator dobije nešto detaljniji uvid i potencijalno i razlog zašto dolazi do zaključavanja accounta, ukoliko to nije iz banalnog razloga tipa zaboravljenog passworda. Takođe je moguće uspostaviti i određen stepen automatizacije pri upravljanju zaključanim accountima, poput mogućnosti za otključavanje putem e-maila od strane administratora, odnosno notifikacija putem maila kada do zaključavanja dođe.
Inactive Users Tracker & Password Expiration Notifier
Inactive Users Tracker je dio Identity Management paketa koji prati aktivnost korisničkih accounta te u skladu sa tim vrši obavještavanje odnosno poduzima određene akcije. Izrazito koristan i jednostavan za upotrebu, ovaj alat administratorima rješava jednu prilično čestu brigu a to su stari i zaostali accounti u AD-u. Kao polazna postavka definiše se broj dana od zadnjeg logiranja nakon čega se account smatra neaktivnim. Nakon toga, može se poduzimati više akcija. Na primjer, može se poslati mail nadređenoj osobi sa upitom da li account treba još uvijek da postoji, može se setovati random password na accountu, disable-ati ga ili ga pak premjestiti u neku drugu OU. Krajnja opcija je brisanje accounta. Svaka od ovih akcija je zasebno konfigurabilna i moguće ju je podešavati u odnosu na broj dana od zadnjeg logiranja. Tehnički, ovaj alat zapravo čita atribute o zadnjem logonu sa korisničkog accounta,te na osnovu toga, korištenjem odgovarajućeg servisnog accounta izvodi određene operacije.
Srodan alat koji se nalazi u istoj konzoli kao i Inactive Users Tracker je Password Expiration Notifier. Ova komponenta prati zadnju promjenu lozinke na korisničkim accountima, te u odnosu na podešenu vrijednost maksimalnog trajanja lozinke obavještava administratora odnosno korisnike da se bliži vrijeme za promjenu passworda. Ovo je izrazito jednostavan alat, ali koji radi svoj posao te omogućava korisnicima da na vrijeme počnu razmišljati o novoj lozinki.
Privileged Account Manager
Ponešto drugačiji softver, zadnji ubačen u Identity Management suite, i čije se konzola temelji na Silverlightu je Privileged Account Manager. Zapravo se radi o rješenju za upravljanje i kontrolu nad accountima koji na bilo koji način imaju delegirana neka veća prava, bilo da se radi o accountima za administraciju sistema ili accountima koji se koriste kao servisni accounti na jednom ili više servera. Suštinska namjena Privileged Account Manager je da centralizira upravljanje passwordima za sve accounte koji su privilegovani, odnosno dijeljeni između više korisnika ili više servisa odnosno aplikacija. Dodavanjem accounta unutar PAM konzole, njemu se automatski postavlja random password koji se sinhronizira na sve sisteme gdje se taj account koristi. Promjena passworda se dešava takođe iz ove konzole, po defaultu jednom dnevno, te se kao takva sinhronizira na sva mjesta gdje se koristi taj account. Ukoliko postoji potreba, password se može i očitati iz ove konzole (kroz tzv. check out accounta) no nakon što se upotrijebi i ponovo napravi check in accounta, password se ponovo mijenja iz sigurnosnih razloga. Ovo rješenje je vrlo interesantno i moglo bi se reći i dosta originalno. Passwordi koji se postavljaju na accounte kojima se upravlja kroz ovu konzolu su random generisani, dugački 15 karaktera, i upravljivi u smislu mogućnosti definisanja broja pojavljivanja malih i velikih slova, brojeva odnosno specijalnih znakova.
Logon Reporter
Na kraju, unutar Identity Management skupine imamo i Logon Reporter. Ovaj alat skuplja event logove koji se primarno odnose na logiranje (odnosno logoff) odnosno pokušaje logiranja na serverima i radnim stanicama u domeni te iste skuplja u .evtx fajl ili sprema u SQL bazu za kasnije analiziranje. Takođe prati i događaje tipa promjene passworda, reseta passworda i zaključavanja i otključavanja accounta. Kao i ostali alati, o svemu može slati notifikacije putem maila.
Zaključak
Na kraju, teško je reći bilo šta drugo osim da bi ovakav skup alata poželio bi svaki Active Directory administrator. Već na prvi pogled svako može vidjeti da značajno olakšavaju rad sa digitalnim identitetima odnosno accountima uopšte. Ipak treba reći da je polje na kojem djeluju ovi alati izrazito osjetljivo te je stoga vrlo bitno dobro razumjeti kako radi svaki od njih, te držati pod kontrolom njihovu upotrebu. Cijena licenci, koja se kreće od 5.25 USD po korisniku je takođe vrlo razumna i može se reći da zaista opravdava ovo što se dobije. Nakon 13-godišnjeg iskustva u radu sa Active Directory servisom, zaista mogu dati tople preporuke ovom softveru.