Active Directory Rights Management Services-قسمت دوم

همانطور که پیش تر اشاره شد، با استفاده از AD RMS می توان استراتژی های سازمان جهت محافظت از حقوق معنوی اسناد را پیاده کرد. AD RMS از سیاست های IRM یا Information Right Management بهره می برد و با استفاده از این سیاست ها می توان سیاست های دسترسی و استفاده از اسناد را معین کرد. این محافظت سبب می گردد تا اطلاعات از پرینت گرفتن، کپی شدن و فروارد شدن توسط افراد غیر مجاز محافظت گردد. بزرگترین مزیت آن است که این سیاست ها به نوع اسناد وابسته نیستند.این سیاست ها حتی امکان منقضی شدن را نیز فراهم می آورند. در Windows Server 2012 ویژگی های متعددی به AD RMS اضافه شده است تا بتواند به خوبی از اسناد سازمان ها محافظت کند. عدم استفاده از راهکار های حقوق دسترسی در سازمان ها مخاطرات بسیاری به همراه داشته است از این روی این زیرساخت برای سازمان ها اهمیت بسیار زیادی دارد.

راه اندازی AD RMS

راه اندازی AD RMS سناریو های متعددی ایجاد می کند و با توجه به یکپارچگی آن با سرویس های متعدد دیگری یک راه اندازی طولانی محسوب می گردد. در اینجا از جزئیات با هدف کوتاه سازی مطلب صرف نظر شده است.ابتدا پیشنیاز های راه اندازی مطرح شده است و با نصب سرویس مطلب ادامه یافته.

راه اندازی SQL Server

AD DS اولین پیش نیاز AD RMS است. برای انجام این سناریو، دو اکانت در Active Directory Users and Computers ایجاد کنید. در اینجا برای دسترسی به تمام امکانات توصیه می گردد از یک SQL Server استفاده کنید با این وجود این مسئله الزام آور نیست و می توانید به راحتی از این مورد صرف نظر کنید. در اینجا از نام های ADRMSSVC و ADRMSADMIN برای این منظور استفاده خواهیم کرد. همچنین فرض می شود به تعدادی اکانت مختلف جهت مشاهده و بررسی عملکرد دسترسی دارید. (الزام آور نیست)

یک SQL Server برای ذخیره Database مربوط به AD RMS لازم است ایجاد شود. در نظر داشته باشید NET Framework. با ورژن مناسب پیش از نصب SQL Server ممکن است نیاز باشد. برای این منظور به Add role and features مراجعه کنید. SQL Server را به دامین Join کنید و سپس SQL Server را نصب کنید. در نصب SQL Server توجه داشته باشید Feature های Database Engine Services و Management Tools – Basic نصب کنید. همچنین Default instance را با مقادیر Instance ID و Instance root directory می توانید بپذیرید. در خصوص Authentication از Windows authentication استفاده کنید و به عنوان SQL Server Administrator اکانت کاربری خود را معین کنید. به اکانت ایجاد شده ی ADRMSADMIN آن حقوق sysadmin در SQL بدهید تا بتواند این اکانت بتواند از طریق AD RMS دیتابیس مورد نیاز را ایجاد کند. همچنین این اکانت را روی سروری که می خواهید AD RMS را راه اندازی کنید، عضو گروه Local Admins کنید.

در Windows Firewall روی SQL Server لازم است Exception های مورد نیاز را ایجاد کنید. برای این منظور در قسمت Inbound Rules یک Rule جدید بر اساس شماره پورت TCP 1433 ایجاد کنید و برای پروفایل های مختلف (یا تنها برای پروفایل مطلوب- Private, Public,Domain) آن را accept کنید. همچنین این عملیات را برای UDP 1434 انجام دهید. توجه داشته باشید که سرویس SQL Server Browser به صورت Automatic باشد و آن را Start کنید.

همانطور که مطرح شد، AD RMS به IIS نیاز دارد. پیش از شروع به نصب می توانید یک وب سایت جدید برای AD RMS ایجاد کنید و یا از Default Web Site استفاده کنید.

شروع به نصب

نصب AD RMS از طریق Server Manager مشابه سایر Role ها امکان پذیر است و دو Role مختلف این سرویس دارا است:

۱) Active Directory Rights Management Server: نصب این رول برای ارائه سرویس الزام آور است.

۲) Identity Federation Support: نصب این رول اختیاری است و برای پشتیبانی توسط AD FS الزام آور است.

همچنین در Windows Server 2012 برای Microsoft Report Viewer 2008 که جهت تولید گزارشات system health به کار گرفته می شود؛ .NET Framework 3.5 لازم است نصب گردد. به صورت جایگزین می توانید در PowerShelll از دستورات زیر استفاده کنید:

Install-WindowsFeature ADRMS -IncludeManagementTools
Install-WindowsFeature NET-Framework-Core

توجه داشته باشید که افزودن AD RMS و تنظیم یک AD RMS Cluster دو پروسه جداگانه هستند و تا کنون تنها AD RMS افزوده شده است.

تنظیم Root Cluster جدید

در Server Manager در روی آیکون Notifications کلیک کنید و  Perform additional configuration برای AD RMS را بزنید.

image

در Wizard AD RMS Configuration پس از مطالعه توضیحات ارائه شده، در مرحله بعدی؛ گزینه ی Create a new AD RMS root cluster را انتخاب کنید و سپس DefaultInstance روی  SQL Server از پیش راه اندازی شده را انتخاب کنید. می توانید به صورت جایگزین از WID استفاده کنید. (توصیه نمی گردد). در مرحله بعدی لازم است اکانت ایجاد شده ی ADRMSSVC  را به عنوان Service Account به همراه پسورد آن وارد کنید.

image

با توجه به توضیجات مطرح شده نوع روش رمزنگاری مطلوب را معین کنید. روش دوم، روش توصیه شده است.

image

در مرحله بعد در صورتی که از یک Hardware Security Module یا HSM جهت نگه داری و Cluster Key قصد دارید استفاده کنید، گزینه CSP را انتخاب کنید و در غیر این صورت Use AD RMS centrally managed key storage را بزنید. لازم به ذکر است Cluster Key جهت رمز کردن Certificate ها و لایسنس های صادر شده به کار می رود و در Disaster Recovery بسیار اهمیت دارد لذا نگه داری و حفظ از این کلید بسیار اهمیت دارد.

imageدر مرحله بعدی لازم است Web Site برای Virtual Directory را معین کنید و سپس لازم است Cluster Address را تعریف کنید. توجه داشته باشید Port تعیین شده قابل تغییر نخواهد بود. توصیه می گردد از Https استفاده کنید. در مرحله بعدی لازم است Certificate برای SSL را معین کنید که توصیه می گردد از Certificate هایی که قبلا توسط CA برای AD RMS در این خصوص صادر شده است استفاده کنید. می توانید به صورت جایگزین از Self Signed استفاده کنید.

imageدر مرحله بعدی لازم است نام Licensor Certificate را معین کنید. توجه شود از این Certificate لازم است Backup تهیه گردد.

imageدر پایان با بررسی تنظیمات وارد شده، گزینه Install را بزنید.

imageهمچنین می توانید از دستورات زیر در PowerShell به صورت جایگزین با روش فوق استفاده کنید:

Import-Module ADRMS
New-PSDrive -PSProvider ADRMSInstall -Name RC -Root RootCluster
# Set the AD RMS service account
$adrmssvc = Get-Credential
Set-ItemProperty –Path RC:\ -Name ServiceAccount -Value $svcacct
# Configure the AD RMS server to use the SQL1 server and the default instance
Set-ItemProperty –Path RC:\ClusterDatabase -Name ServerName -Value SQL1
Set-ItemProperty –Path RC:\ClusterDatabase -Name InstanceName -Value MSSQLSERVER
# Securely store the cluster key password string in a variable and assign it to your AD RMS installation
$password = Read-Host -AsSecureString -Prompt “Password:”
Set-ItemProperty -Path RC:\ClusterKey -Name CentrallyManagedPassword -Value $password
# Set the AD RMS cluster address
Set-ItemProperty -Path RC:\ -Name ClusterURL -Value “http://app1.corp.contoso.com:80”
# Set the SLC name for your AD RMS installation
Set-ItemProperty -Path RC:\ -Name SLCName -Value “APP1”
# Register the SCP connection point
Set-ItemProperty -Path RC:\ -Name RegisterSCP -Value $true
# Install the AD RMS root cluster using the settings provided
Set-Location RC:\
Install-ADRMS –Path
.

عملیات پس از نصب

در خصوص AD RMS Clients توجه داشته باشید به صورت پیش فرض AD RMS Client 1.0 در Windows 8 وجود دارد. برای سایر نسخ لازم است پکیج مربوطه دانلود و نصب گردد. در پایان نصب، صحت عملکرد AD RMS را مورد بررسی قرار دهید.