🏑 🌅 ♀️ 動的アクセス制御：クレームの操作方法 🙏🏽 🌂 👨🏿‍🎨

このシリーズの前回の記事では、このコースを少し紹介し、動的アクセス制御とは何か、ACLに基づいたアクセスの提供との違い、その利点、そして最も一般的なシナリオについて簡単に説明しました。この機能を適用することをお勧めします。この記事は少し面倒で、理論的な資料だけで満たされていて、段階的な手順の説明が含まれていなかったため、理解するのは本当に困難でした。

この記事から始めて、私は自分自身を修正し、この技術に精通する方法について説明します。開始するには、記事のタイトルからわかるように、ステートメント以外の何もせずに実行する必要があります（以前の記事で既に書いたように、アプリケーション、klima、およびクレームで置き換えられる他の単語とも呼ばれます）。動的アクセス制御の主要コンポーネントの1つ。ここで、理論的な資料をできる限り少なくして、ステップバイステップの手順にほぼすぐに進むようにします。それでは、この比較的小さな記事から何を学ぶことができますか？

この記事では、次のことを説明します。

声明とは何か、そしてそれらの利点は何か。
ステートメントの種類について学びます。
条件式と演算子について。
そして、最も重要なこととして、 Active Directoryサーバーの全体管理とWindows PowerShellを使用してクレームを管理する方法を学びます。

さて、この記事の導入部分を大幅に遅延させないために、最初のセクションに目を向けます。

ステートメントとは何ですか？

私は間違いを犯すことを恐れていますが、私たちの時代には、少なくとも1回は自分のパブリックフォルダへのアクセスを提供しなかったユーザーはもういないでしょう。特にこの目的のために、Windows NTの遠い時代に、マイクロソフトはIDとしてオペレーティングシステムにIDの概念を導入しました。これは長年にわたってしっかりと定着しています。ここではすべてが明白です。私の記事で述べたように、ファイルとリソースへのアクセスはセキュリティ識別子に直接基づいていました。ユーザーが自分の資格情報に従って正常に認証されたかどうかに基づいて、パブリックファイルリソースへのアクセスが提供されたことがわかります。もちろん、ほとんどの場合、そのような資格情報は、アカウントの名前とそのパスワード、または特定のグループのユーザーのメンバーシップでした。識別の概念は皆さんご存じのとおりであり、改めて説明する意味はありません。

しかし、実際には、さまざまなグループのメンバーシップにより、場合によっては（多くのそのようなケースがあります）、ユーザーがアクセスを許可されていないリソースへのアクセスを誤って許可されることがあります。このようなケースを取り除くために、Microsoftの最新のオペレーティングシステムに新しい概念が導入されました。それが何であるかを検討してください。

現在、新しい単語または理解できない単語を聞く人口の大多数は何ですか？彼らはウィキペディアを見ています。この件について何が書かれていますか？「言語学における肯定は特別な形式の文であり、肯定的な形式ではある現象に関する仮説を提示します。」これは間違いなくそうではありません。

他に何が見つかりますか？「論理ステートメントは、論理接続詞を使用して他のステートメントから形成されたステートメントです。」また、適合しません。「プログラミングのステートメントは、プログラムに配置された述語であり、開発者は、この述語がプログラムのこの時点で常に真であることを意味することを示します。」しかし、それでも、これは現在の文脈で暗示されているものではないようです。

実際、公式用語によると、 クレームは、Active Directoryドメインサービスに格納されているこのアカウントの属性で提供される承認を実行しようとするアカウントに関する信頼できる情報源です。さまざまなアサーションには、ユーザーまたは彼のコンピューターのセキュリティ識別子、ユーザーが働くことができるユニット、彼の部屋番号、彼が住んでいる都市など、多くのプロパティが含まれます。さらに、複数のステートメントを1つのレコードに格納できるという事実に注意を払う価値があります。これにより、ほぼすべての可能性を満たす動的アクセス制御ポリシーを柔軟に設定できます。

この段階で、あなたは非常に論理的な質問をするかもしれません：これらのステートメントは私たちに何を与え、それらのポイントは何ですか？クレームを使用して、ファイルとフォルダーの両方へのアクセスを制限できます。また、クレームに関して最も価値があるのは、作成されたすべてのクレームがActive Directoryに直接公開されることです。さらに、この技術に関する以前の記事で述べたように、一般的な動的アクセス制御および特にステートメントの完全な機能については、組織のドメインまたはフォレストの機能レベルに制限はありません。

このシリーズの前回の記事で紹介したKerberosネットワーク認証プロトコルに関する記事の1つで、Kerberosとクレームとの関係について詳しく説明したので、すぐに次のようなトピックに進みます。

クレームタイプ

公式の定義によれば、Windows Server 2012のクレームの種類は、関連付けられているオブジェクトに関する検証ステートメントです。おそらく既に推測されているように、承認の種類はActive Directory属性に基づいており、一元化されたアクセスルールを開発するときにアクセス許可を決定するために使用されます。 Windows Server 2012では、次の3種類のクレームのいずれかを使用できます。

ユーザーステートメント 。この種類のクレームは、ユーザーアカウントに関連する属性値に関連付けられています。当然、Windows Server 2012を実行しているドメインコントローラーでは、この種類の要求に対してActive Directoryで利用可能なユーザーアカウント属性の最大数を使用できます。
デバイスの承認 。同様に、この種類のクレームは、クレームで提供される情報を担当します。これは、Active Directoryドメインサービスでコンピューターアカウントとして表されるデバイスに関連しています。当然、このタイプのステートメントでは、このタイプのセキュリティプリンシパルで使用可能な属性のほとんどを使用することもできます。
変換ステートメント 。最後の種類のクレームは、承認変換ポリシーを使用してドメインコントローラーによって発行されたクレームです。このシリーズの最初の記事で述べたように、Windows Server 2012を実行しているドメインコントローラーを使用すると、信頼されたフォレストまたは信頼されたフォレストに入るクレームを変換できます。この種の主張は、この技術に関する今後の記事で議論されます。

条件式と演算子

ゆっくりと、より興味深い部分に進みます。より正確に言うと、クレームに基づいて承認サポートを実装できるように、Windows Server 2012オペレーティングシステムに具体的に登場するOSセキュリティサブシステムに関連する条件式を検討します。

これらの条件式はステートメントに関連していますか？実際、これらの条件式はブール式または論理式であり、通常、特別な演算子で区切られた2つのオペランドが含まれます。条件式の結果は常に2つの値のみ、またはより正確には、これらはTRUEとFALSEになります。また、ACE式は許可の場合とアクセス監査中の両方で評価されるため、最初と2番目のケースでは同じ式を使用できることに注意する価値があります。

しかし、これらの式はどうなりますか？ LSAサブシステムがPACから必要な情報を読み取り、アクセストークンを作成することを以前に書きました。その後、ユーザーから提供された情報に基づいてアクセスチェックが実行され、セキュリティトークンで割り当てられたアクセス許可に基づいて、リソースへのアクセスがエンドユーザーに許可されるか拒否されるかが決定されます。これはすべて明らかです。ただし、Kerberosプリンシパル情報のアサーションの出現により、セキュリティプリンシパルのSIDに加えて、これらの条件式で見つかる追加情報を含めることもできます。

ステートメント自体は、ステートメントのタイプやステートメントの名前などのエンティティのコレクションであり、ピリオドで区切る必要があります（以下を参照）。前のセクションで説明したように、最初の部分はステートメントの種類を決定するために直接使用されることは明らかであり、 ユーザーまたはデバイスとして機能できます。ステートメントのタイプに言及する前に、 @記号を示し、その後にタイプ自体を指定する必要があります。ステートメントの名前を持つ部分は、そのようなステートメントを作成するときに付けることができる名前です。

ステートメントの左側と右側の部分は特別な演算子で比較する必要があり、右側のオペランドはリテラル値にすることができます。これは左側のオペランドの値のフラグメントにすることができます。

合計で、13のオペレーターを区別できます。これは、おそらく他のソフトウェア製品の操作にすでに慣れているはずです。このような演算子については詳しく説明しませんが、単にその意味を説明します。この演算子は、（ == ）、 等しくない （！= ）、 より大きい （ > ）、 より小さい （ < ）、以上（ > = ）、以下（ <= ）、ではない （！）、 および （ && ）、 または （ || ）、 contains （ Contains ）、つまり、このような演算子を使用する場合、左オペランドには右オペランドのフラグメントが含まれている必要があります。（ Any_Of ）のいずれか 。その目的は、右オペランドの値のフラグメントのみが値として機能できることを除いて、前の演算子といくらか似ています。 グループメンバー （ MemberOf ）- 含まれているものとほぼ同じ、オペランドのみがSIDであり、 メンバーグループ演算子（ MemberOF_Any ）も演算子のいずれかと比較できます。

ここで、動的アクセス制御シナリオを実装するときにステートメントで使用できる条件式の例を検討してみましょう。たとえば、次の式を使用します。

 
  @ User.Department ==” Marketing” &&（@ User.Title ==” Financier” || @ User.Title ==“ Marketing”）

この式は条件付きで3つの部分に分割でき、各部分はステートメントを使用し、括弧内の2番目と3番目の部分も同時に処理されます。ここで、もう少し詳しく、部分的に説明します。

条件式の優先度に基づいて、最初に実行されるのは括弧内にある式です。この括弧内には、2つの演算子==と||があります。繰り返しますが、優先順位を見ると、==演算子を常に最初に処理する必要があります。したがって、式は左から右に処理されます。

ここで、従業員の地位を担当するUser .Titleは、ユーザーの承認のタイプです。これは、「フィナンシェ」の位置がユーザーの位置であるかどうかを確認することを意味します。ユーザーがマーケティング担当者であるとします。つまり、最初の式では、値はFALSE、つまりfalseになります。ただし、2つの式の間には||演算子があり、論理「OR」を意味します。これは、2番目の式が真の場合、左端の条件式がチェックされることを意味します。

この場合、ユーザーはマーケティング担当者であるため、括弧内の2番目の条件式は値TRUEを取ります。これは、条件をさらに確認できることを意味します。この段階では、次の式があります。

 
  @ User.Department ==”マーケティング” &&（FALSE || TRUE）

これは、式をさらに次のように縮小できることを意味します。

 
  @ User.Department ==”マーケティング” && TRUE

その後、左端の条件式がチェックされます。ここでは、すべてが明確だと思います。ユーザーの部署が「マーケティング」かどうかを確認します。ユーザーはマーケティング担当者であるため、彼の部門がマーケティング部門であると仮定します。これは、表現が正しいことを意味します。次のものが得られます。

 
  TRUE && TRUE

&&演算子は論理ANDであるため、これは両方の条件が真でなければならないことを意味します。私たちの場合、そうです。したがって、条件は真であり、アクセスが許可されます。ここでFALSEが表示された場合、&&演算子を使用すると優先され、最終的にFALSEの結果が得られます。

つまり、次の図に示す式が得られます。

図 1.フォルダーの許可ボックス内の条件式の例

丁寧な読者への質問：次の条件式とは何ですか？また、上で説明した同じユーザーを扱っている場合のチェックの実行方法：

 
  （@ User.Title ==” Accountant” || @ User.Title ==” Financier”）||  @ User.Department！=「カスタマーサポート」

また、ステートメント自体のオブジェクトは何ですか？

ご存知のように、Active Directoryスキーマでは、Active Directoryドメインサービスで使用できるすべてのオブジェクトの説明を見つけることができます。そして、動的アクセス制御技術のオブジェクトは決して例外ではありません。これまでのところ、現在のテクノロジーと何らかの関係があるすべてのオブジェクトを説明する理由はありませんが、このようなオブジェクトは9個あります（もちろん、ほぼ3倍の属性があります）が、この段階で考慮されるステートメントの場合、つまり、次の2つのオブジェクトのみを区別できます。

msDS-ClaimTypePropertyBase 。このActive Directoryクラスは、 msDS-ClaimTypeクラスオブジェクトの共通属性とmsDS-ResourcePropertyの事前定義によく使用される抽象クラスオブジェクトであり、次の記事で学習します。このオブジェクトに関連付けられた3つの属性があります。有効（説明なしですべてがクリア）、 msDS-ClaimPossibleValues （ユーザーインターフェイスで期待される値を定義する文字列Unicode値。通常、この値はXMLファイルに格納されます）およびmsDS-ClaimsSharesPossibleValuesWith （ msDS-ClaimTypeオブジェクトの識別名を受け入れ、msDS-ResourcePropertyオブジェクトのmsDS-ClaimPossibleValuesの値を決定する属性として使用されます。
msDS-ClaimType 。ただし、このActive Directoryクラスは、組織のセキュリティプリンシパルが使用するステートメントを表すために使用されるオブジェクトの構造クラスとして機能します。このオブジェクトには、 msDS-ClaimAttributeSource （承認ソースとして使用される属性定義スキームの識別名を含む）、 msDS-ClaimIsSingleValued （ステートメントに含まれるかどうかを決定するブール値を表す）を含む多数の属性が既に含まれています。または、ステートメントタイプは1つの値のみ）、 msDS-ClaimIsValueSpaceRestricted （再び、現在のクラスオブジェクトがmsDS-ClaimPossibleValues属性で定義された値と異なる値を受け入れることができるかどうかを決定するブール値を含む）、 msDS-Cla imSource （そのような属性は、 msDS-ClaimTypeオブジェクトの非属性ソース、たとえば証明書などに責任があります）、 msDS-ClaimSourceType （承認タイプのソースに責任がある属性）、 msDS-ClaimTypeAppliesToClass （クラススキームを定義する属性）ステートメントの発行先のセキュリティプリンシパルオブジェクト）、 msDS-ClaimValueType （一意の値を長整数としてバインドする属性）。

次の図に、 msDS-ClaimTypeクラスオブジェクトを示します。

図 2.クラスmsDS-ClaimTypeのオブジェクト

クレーム管理

Microsoftの最新のサーバーオペレーティングシステムでは、開発者がActive Directory管理センターやWindows PowerShellコマンドシェルなどのツールに特別な注意を向けようとしたため、最初または2番目のいずれかを使用してクレームタイプを管理できます。意味します。 1つのツールのみを検討するのは不公平であるため、次のセクションでは、これらの管理ツールの両方を使用してクレームを処理する方法を示します。そして、当然、私たちは

Active Directoryサーバーの全体管理のクレーム管理

原則として、純粋に理論的な部分は長い間引き出されてきたので、不必要な前奏曲なしに、おそらくその点に移ります。そのため、Active Directoryサーバーの全体管理を使用して、その後の集中アクセスポリシーに使用されるアサーションを作成するには、次の手順を実行する必要があります。

ドメインコントローラーで、「 Active Directory管理センター 」ウィンドウを開きます。リストエリアで「 ダイナミックアクセス制御 」ノードを選択し、「 クレームタイプ 」ノードを選択します（ ダイナミックアクセス制御 > クレームタイプ ）。
表示されるノードで、詳細ペインを右クリックし、次の図に示すように、コンテキストメニューから[ 新規およびクレームの種類 ]を選択するか、[Active Directoryサーバーの全体管理]ページの動的ディレクトリに移動します。アクセス制御およびActive Directoryアクショングループで、クレームタイプの作成と呼ばれる最初のアクションを選択します。最初と2番目の両方のケースで、新しいタイプのステートメントを作成するためのダイアログボックスが開きます。

図 3.新しいクレームタイプを作成するためのダイアログボックスを開く
[ 承認タイプの作成 ]ダイアログボックスが表示されたら、クレームタイプの作成に基づいて、[ ソース属性 ]セクションでソース属性と追加の構成要素を決定できます。次の図からわかるように、現在のダイアログボックスを開くとすぐに目を引くのは、多くのさまざまな属性を含む「 ソース属性 」の大きなリストで、そこから作成したいソース属性を選択できます承認。このようなリストは、 Userクラス、 Computerクラス、 inetOrgPersonクラス、 ManagerServiceAccountグループ 、 GroupManagerServiceAccountクラス、およびオブジェクトの補助クラスを含む、オブジェクトの多くのクラスから形成されます。属性を選択する際は、Unicode、ブール値、大きな整数を含む整数、OIDおよびSID文字列などの文字列値を持つ属性のみが現在のリストに表示されることに注意してください。また、もちろん、レプリケートされない属性、ブロックされた属性、および読み取り専用ドメインコントローラー（つまりRODC）で利用できない属性は、このリストに表示されません。たとえば、この場合、部門属性が選択されますが、属性を選択する前に、後続の集中型アクセスポリシーのためにクレームの構造を時期尚早に計画することに注意してください。

図 4.作成されたクレームタイプのセクション「ソース属性」
さらに、アサーションタイプを作成するためのダイアログボックスのこのセクションには、他のパラメーターもあります。
- 表示名 。これは、作成したクレームの種類に割り当てられる一意の表示名を含むテキストボックスです。そのような名前は後続の操作で表示されるため、将来そのような名前として読みやすく理解しやすい名前を使用するのが最適です。当然、作成された承認タイプの名前には、英数字と英数字の値を使用できます。
- 説明作成しているクレームのタイプに関するコメント用のフィールドを表します。このフィールドの文字数は1024文字に制限されています。したがって、コメントを追加し、作成されたタイプのステートメントを使用する目的がある場合は、簡潔にする必要があります。
- このタイプのクレームは、次のクラスに対して発行できます 。クレームを特定の種類のセキュリティプリンシパル（たとえば、ユーザーのみまたはコンピューターのみ）にのみ適用するか、両方のチェックボックスを選択することにより、両方の種類のアカウントに対して現在の種類のクレームの使用を有効にするかを選択できる制御要素。
- 信頼に関連付けられたフォレストでのクレームの使用を簡素化するために、信頼されたフォレストで識別子を意味的に同一のクレームに割り当てます（ 信頼されたフォレストで意味的に同一のクレームタイプにIDを設定します ）。これは、承認タイプ識別子の作成方法を決定するために設計されたフラグです。このフラグが設定されていない場合、Active Directoryサーバーの全体管理はそのような識別子を自動的に割り当てます。彼はどのように見えますか？この識別子は小文字のadで始まり、その後にコロン、2つのスラッシュ、 ext、およびもう1つのスラッシュ（ ad：// ext / ）が続きます。これは、識別子の標準的な始まりです。その後、サーバーの全体管理によって選択した属性の名前が追加され、コロンの後に16進形式の値がランダムに追加されます。これは通常のGUIDである程度思い出すことができます。つまり、最終的に、この例の識別子は次のようになります。
  
  ad：// ext / department：88d0094e632018a6
  
  次に、信頼に関連付けられたフォレストのクレームの種類を作成すると、各クレームの種類のメタデータは既定でフォレストごとに一意になり、その結果、信頼するドメインコントローラーは信頼されたフォレストからのクレームを処理できなくなります。このため、作成されたクレームの種類の識別子が、信頼されたフォレストと信頼されたフォレストの間で意味的に同一であることを確認する必要があります。したがって、このフラグは上記の場合にのみ設定する必要があります。もちろん、識別子を手動で指定する場合は、少し前に言及したネーミングコンテキストに準拠する必要があります。 ext /が32文字以下であることを示す必要があり、特殊文字を含まず、スラッシュで終わる必要がある場合、各識別子の開始方法を忘れないでください。これらは前提条件です。もちろん、そのような識別子は一意でなければならないことを忘れないでください。
- 誤った削除に対する保護 （ 誤った削除 から保護する ）。 Active Directoryで既に知られている操作の場合のように、作成されたクレームタイプが誤って削除されないようにするフラグ。既定では、管理者のみが既定でクレームの種類を作成、変更、および削除できるという事実にもかかわらず、場合によっては、このオプションが役立つことがあります。
推奨値と呼ばれるセクションは、条件式でステートメントタイプを使用するときに選択できる選択可能な値を事前定義します。次の図でわかるように、ここでは次の値の選択で停止できます。

図 5.作成されたクレームタイプの[推奨値]セクション
- 値は提案されません 。任意の種類のクレームを作成するときにデフォルトで設定されるパラメーター。ステートメントのタイプの値をオーバーライドしないことを前提とし、そのような値は、条件式自体を作成するときに手動で入力されます。
- 次の値が提案されます。この場合、条件式の後続の作成中に対応するリストから選択できる1つまたは複数の値を作成できます。したがって、そのような値を操作するには、作成されたクレームタイプのプロパティのダイアログボックスの現在のセクションにある[ 追加 ]、[ 変更 ] 、および[削除]ボタンを使用できます。これらの値はどのくらい正確に作成されますか？
  
  [ 追加 ]ボタンをクリックすると、[ 推奨値の追加 ]ダイアログボックスが表示されます。このダイアログボックスには、3つのテキストフィールドがあります。 [ 値 ]は、条件式の対応するテキストフィールドの推奨値、現在の値を担当し、そのような値を選択したときに表示される名前と、そのような値の任意の説明を担当するDescription 。
  
  :
  
  図 6.
. できた

, , : . , . , « » ( Disable ).

Windows PowerShell

PowerShell , , . , Microsoft , , .

, , , Active Directory Windows PowerShell. PowerShell, , , , . , , , Active Directory.

, ( ), , . :

, New-ADClaimType . 21 , . , . :

 
New-ADClaimType –AppliesToClasses:@('user') –Description:”  division” -DisplayName:”division” –IssingkeValued:$true –Server:”DC.biopharmaceutic.local” –ProtectedFromAccedentialDeletion:$true –SourceAttribute:”CN=Division,CN=Schema,CN=Configuration,DC=biopharmaceutic,DC=local”

. , –AppliesToClasses : @, . , . , . , –ID , , -ID:ad://ext/division:88d00962e3d07cd1 .

, . , マーケティング担当者、会計士、投資家：

 
New-ADClaimType -AppliesToClasses:@('user') -Description:" " -DisplayName:"title" -IsSingleValued:$true -Server:"DC.biopharmaceutic.local" -ProtectedFromAccidentalDeletion:$true -SourceAttribute:"CN=Title,CN=Schema,CN=Configuration,DC=biopharmaceutic,DC=local" -SuggestedValues:@((New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("", "", "   ")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("", "", "   ")), (New-Object Microsoft.ActiveDirectory.Management.ADSuggestedValueEntry("", "", "   ")))

, . , . –SuggestedValues , , . , . , @ , New-Object , Microsoft Active Directory Management ADSuggestedValueEntry , . . - .

, . , , . Set-ADClaimType , , - Enabled . , :

 
Set-ADClaimType -Identity "CN=ad://ext/division:88d00968ab6e025f,CN=Claim Types,CN=Claims Configuration,CN=Services,CN=Configuration,DC=biopharmaceutic,DC=local" -Enabled:$false

, – Identity distinguishedName . , , .

Windows PowerShell :

図 7. ,

, , Active Directory , . :

図 8. Active Directory

?

, . , , , , , « Active Directory » Windows PowerShell.

, , , , . , .

動的アクセス制御：クレームの操作方法