Securitate acreditărilor Managementul sharepoint - totul despre ea, și programare
CUPRINS
Este vital să înțelegem cum funcționează SharePoint cu acreditările de securitate și parole în cazul controalelor de securitate manual folosind script-uri, sau prin utilizarea unei soluții complet automatizat, cum ar fi acest lucru, care va fi prezentat într-un articol de luna viitoare. Pentru a face explicațiile mele realiste și practice, mă va baza din nou pe un mediu de testare. În această primă parte este suficient de simplă instalare server unic așa cum este descris în prospectele însoțitoare. Ca întotdeauna, memo mea și instrumentele însoțitoare sunt destinate numai pentru condițiile de testare de laborator, precum și utilizarea lor nu este prevăzută într-un mediu de producție. Folosind aceste instrumente, face acest lucru pe propriul risc.
Modificări parolă într-un mediu SharePoint
Schimbarea contului de securitate a parolei SharePoint sau contul configurației agricole este extrem de dificil acum. Printre altele, trebuie să aplicați modificările în Active Directory și baze de date locale SAM (Security Account Manager - Security Accounts Manager), serverul SharePoint, baza de date a CSM (Serviciul de Control Director - Manager Service Control) în metabazei IIS, SQL Server și cu siguranță în bazele de date de conținut și configurația SharePoint.
În plus, pentru a aplica modificările într-un mod coerent, acestea trebuie să fie reproduse la toate celelalte servere din fermă. Poate fi necesar să re-cripta parolele tuturor serviciilor SharePoint și bazine de aplicare pentru fiecare fermă de servere, în cazul în care modificările afectează credential agricole cheie, care este o cheie de criptare folosită pentru a proteja parolele conturilor de securitate SharePoint în baza de date de configurare. Când modificați parola de configurare pentru contul fermei, modificați implicit acreditările cheie de fermă. Fig. 1 ilustrează acest proces în servere cu două servere end. Sincer, faptul că această procedură funcționează atât de bine este impresionant.
Fig. 1 Modificarea parolei contului de securitate SharePoint
Toate modificările parolele conturilor începe în Active Directory, și din acel moment până atunci, până când actualizați parola corespunzătoare în SharePoint, ferma este într-o stare necorespunzătoare. Din acest moment parola este depășit în IIS și în altă parte, dar SharePoint este încă operațional.
Aceasta este o veste bună pentru organizațiile care au nevoie de disponibilitate ridicată. În cazul în care modificările parola nu necesită repornirea sistemului. Windows și IIS poate continua să utilizeze token-ul de securitate este primită atunci când vă conectați folosind contul de securitate corespunzător cu parola veche în timpul ultima pornire de server. Dar în timpul perioadei de tranziție cu starea controversată a parolelor nu trebuie să reporniți IIS sau întregul server.
Când reporniți IIS, și alte servicii care nu vor fi în măsură să vă conectați utilizând o parolă veche, iar piscina de aplicare afectate sau serviciul nu ar fi capabil să se conecteze. În această situație, IIS scrie un avertisment în jurnalul de evenimente de server (a se vedea. Fig. 2). Prin urmare, după parola este schimbat în Active Directory, nu este necesar să se întârzie actualizarea parolei în SharePoint pentru prea mult timp.
Fig. 2 IIS avertizează că acreditările pool aplicarea sunt depășite
Pentru a actualiza parola, contul pool aplicarea, trebuie să utilizați Administrare centrală SharePoint 3.0 (_admin / FarmCredentialManagement.aspx) sau următoarea comandă stsadm.exe.
Ca răspuns SharePoint criptează parolă nouă ispolzovanime acreditări cheie fermă și înlocuiește parola criptată vechi în baza de date de configurare. SharePoint actualizează apoi informațiile de cont în metabazei IIS și toate celelalte locuri necesare. După efectuarea acestor operații, SharePoint generează locuri de muncă de tip timer SPContentAppPoolCredentialDeploymentJobDefinition pentru a implementa noile acreditările pe serverele rămase în fermă, pe care o plasează în baza de date de configurare.
După cum se poate observa din Fig. 1. pentru aplicarea unităților administrative pentru toate serverele din ferma SharePoint se bazează pe locuri de muncă timer. Servicii SharePoint programate pe serverele rămase în setarea agricole și alege să actualizeze în mod corespunzător setările de securitate locale pe serverele lor, cu ajutorul serviciului de administrare AAC (spadmin), pentru a reveni la ferma de la o stare consistentă.
Acest set extrem de diversă și nepotrivite de instrumente și comenzi este unul dintre dezavantajele stadiului actual al arhitecturii de securitate SharePoint. El nu se scalează bine, și în funcție de numărul de soluții personalizate în ferma de servere care utilizează acreditări de securitate poate duce la o creștere semnificativă a TCO. În a doua parte a acestei serii va fi arătat o modalitate de a face față acestei situații, și, indiferent de tipurile de servicii care au folosit pentru a rula toate actualizările necesare numai soluție.
Cel mai important caz actualizarea se aplică prerogativelor fermei. Contul ferma Parola este specială, deoarece afectează cheia acreditărilor este utilizată pentru a cripta toate parolele agricole, așa cum am menționat mai devreme. Prin urmare, ca urmare contul schimbarea parolei agricole în Active Directory, trebuie să modificați SharePoint cu următoarea comandă.
Apoi, mediul SharePoint trebuie să re-cripta toate parolele existente (criptate) în baza de date de configurare, să actualizeze contul de serviciu SharePoint timer (care, ca identificatorul utilizează contul fermei), și trebuie să se extindă din nou aceste modificări la toate serverele din fermă prin stabilirea tipului de temporizator SPAdminAppPoolCredentialDeploymentJobDefinition.
În acest stadiu, pot exista defecțiuni diferite. De locuri de muncă Timer s-ar putea obține blocat în coada de așteptare, așa cum se arată în figura 3. sau procedură, s-ar putea termina brusc de urgență, probabil din cauza unei pene de curent brusc, lăsând parolele criptate vechi care SharePoint după ce acest lucru nu va fi capabil să descifreze datorită faptului că tasta acreditărilor este schimbat.
Fig. 3 Setarea prerogativelor de implementare blocate în coada de așteptare, deoarece Serviciu Timer SharePoint nu rulează pe toate serverele din fermă
Fig. 4 întârziere de actualizare în piscina de aplicare înainte de sfârșitul sarcinilor de prelucrare a gestiona implementarea datelor de cont pool aplicarea
Depanarea prerogativelor agricole
Să examinăm echipa updatefarmcredentials. Ea are o opțiune de periculoasă, care poate aduce o mulțime de probleme, mai ales în cazul în care este utilizat așa cum este descris în articolul «Mesaj de eroare când încercați să utilizați SharePoint produse și tehnologii Wizard:„Excepție: System.ArgumentException: Eroare în timpul de criptare sau decriptarea »(mesaj de eroare atunci când încercați să utilizați expertul de configurare de produse și tehnologii SharePoint:„excepție: System.ArgumentException: eroare în timpul criptare sau decriptare). Adică parametru numit Locală. Dezvoltatorii SharePoint a introdus acest parametru pentru a efectua actualizări locale credential agricole manual. Ideea este că lucrarea Temporizatorul poate fi eliminat din coadă în Administrare centrală (_admin / ServiceJobDefinitions.aspx), în cazul în care locul de muncă este deteriorat sau pentru un motiv oarecare nu este procesat, iar apoi efectuați etapa de actualizare necesară în mod direct, prin utilizarea comenzii.
Parametrul spune updatefarmcredentials Locală echipa pe care schimbarea parolei ar trebui să fie aplicate numai pe computerul local. Este important să se înțeleagă, totuși, că această actualizare afectează cheia acreditărilor și SharePoint-timp, dar nu piscinele de aplicare, serviciul de căutare, furnizorii de servicii SSP și, etc. Se presupune că ați finalizat deja comanda updatefarmcredentials fără opțiunea pe un alt server Locală în fermă și, astfel, re-cripta toate parolele din baza de date de configurare. Nu este nevoie pentru a efectua acest pas din nou re-criptare. Ce s-ar întâmpla dacă ați utilizat parametrul Locală, fără a efectua aceste acțiuni?
Utilizarea fără a efectua comanda Locală updatefarmcredentials fără această opțiune duce la complicații, cum ar fi opțiunea schimbă cheia Locală acreditărilor. Configurarea bazei de date Parolele pool aplicație sunt criptate folosind cheia vechi, dar acum cheia este înlocuită.
Uitați-vă la Fig. 5. nu mai este posibil updatefarmcredentials echipei pentru a rula fără un parametru Locală, deoarece este nevoie de re-criptare a parolelor, care nu mai poate fi decriptat. Odată ajuns în jurnalul de evenimente de aplicații echipe de urgență evidențe complete apar după cum urmează: «eroare la criptarea Id-acreditărilor 022e607e b49e-40e4-bd3f-f56a3c69f94d cu ID-ul proprietarului 431b6897-16eb-4b9a-be65-60f1f603008d pe durata desfășurării prerogativelor pool aplicarea de administrare, vă rugăm recrea manual datele de conectare. Operația nu este validă din cauza stării actuale a obiectului. »(Eroare la criptarea ID acreditărilor 022e607e-b49e-40e4-bd3f-f56a3c69f94d cu ID-ul proprietarului 431b6897-16eb-4b9a-be65-60f1f603008d în timpul desfășurării datelor contului pool aplicarea administrare. Re-creați manual acreditările.)
Fig. 5 Nu se poate re-cripta parolele pool aplicarea datorită faptului că parolele nu pot fi decriptate Mai mult
Dacă ați schimbat doar contul fermei într-o implementare cu un singur server cu contul de serviciu de rețea pe contul de domeniu, aveți probleme serioase, deoarece, în acest caz, nu mai poate reveni la cheia acreditărilor vechi. Serviciul de rețea nu utilizează o parolă, și, prin urmare, cheia acreditărilor aleatoare.
În căutarea de informații de fond s-ar putea veni peste un articol «mesaj de eroare când încercați să utilizați SharePoint produse și tehnologii Wizard:„Excepție: System.ArgumentException: Eroare în timpul criptare sau decriptare»(mesaj de eroare atunci când încercați să utilizați Produsele SharePoint și tehnologii de configurare Wizard „excepție: System.ArgumentException: eroare în timpul criptare sau decriptare), deja menționat de mine mai devreme, și, în lipsa unor cunoștințe suplimentare, necazurile tale va crește, pentru că acum știți că aveți nevoie pentru a crea o nouă bază de date de configurare pentru a scăpa de aceste parole, că nev Posibil descifra mai mult. Este de neimaginat confluență de circumstanțe nefericite. În primul rând, nu ar trebui să fie capabil de a rula comanda cu parametrul updatefarmcredentials Locală, sau echipa ar trebui să creeze o copie de rezervă a cheii vechi de acreditare, astfel încât să puteți apoi re-cripta parolele. Sau ar trebui să detecteze pur și simplu că parolele nu sunt încă re-criptați, iar în acest moment pentru a efectua lor de re-criptare.
Vestea bună este că comanda updateaccountpassword vă permite să criptați noile parole, conturi pool aplicarea fără a fi nevoie pentru a decripta parolele vechi. Prin urmare, această comandă ar trebui să fie utilizate pentru a actualiza toate rezervele de aplicații care utilizează conturi de domeniu. În acest caz, ar trebui să fie manipulate majoritatea, dacă nu toate, dintre parolele sparte. Din păcate, această comandă nu poate fi utilizată pentru a actualiza rezervele de aplicații care utilizează contul de serviciu de rețea. parola nu este necesară pentru acest cont, astfel încât updateaccountpassword comandă nu este aplicabilă.
Există o situație absurdă, deoarece se presupune că utilizatorii trebuie să renunțe la configurațiile lor de baze de date, pentru că mai imposibil de descifrat, „gunoi“ și date complet inutil! Dacă ești norocos, puteți schimba configurația pool aplicarea în Administrația centrală (_admin / FarmCredentialManagement.aspx) și specificați uchetchnuyu cont de domeniu. Dacă ești norocos, veți întâlni eroarea de criptare / decriptare afișat în Fig. 6. Nu se poate schimba contul în administrația centrală, nu puteți utiliza updateaccountpassword comanda, nu puteți rula Expertul de configurare SharePoint produse și tehnologii, și nu puteți actualiza acreditările agricole care echipa updatefarmcredentials. Ce ai de gând să faci acum?
Fig. 6 Complicațiile parola rămâne serviciu de rețea, prezentă în baza de date de configurare
Pentru a rezolva această problemă, aveți nevoie de un instrument care funcționează în mod direct în baza de date de configurare și eliminarea acestor reziduuri, cum ar fi resetarea parolei AppPool înseamnă, așa cum este prezentat în Fig. 7 și a inclus cu codul sursă în materialul de companie. Acest instrument este foarte simplu. Acesta preia rezervele de aplicații de date care folosesc conturi cu parole criptate corespunzătoare direct din baza de date de configurare, și apoi utilizează modelul de obiect SharePoint pentru a determina posibilitatea de decodare parola pool aplicarea.
Fig. 7 Setați la null nevalide parole
Dacă accesarea parolei prin modelul de obiect nu reușește cu un argument, cu excepția, atunci parola este deteriorat. În această situație, acest instrument face posibilă pentru a înlocui o serie de octet criptat valori de referință nulă parola și salvează modificările înapoi în baza de date de configurare. Liniile goale nu sunt necesare pentru a decripta și, prin urmare, acestea nu conduc la excluderea argumentului. Problemă rezolvată.
Pentru a finaliza procesul de recuperare Vă recomandăm să utilizați Stsadm.exe și Central Administration pentru a actualiza datele de conectare de fermă și, ulterior, toate conturile pool aplicarea. Ferma a revenit la o stare consistentă, și nu trebuie să renunțe la baza de date de configurare.
concluzie
În ciuda faptului că schimbarea prerogativelor agricole și parolele conturilor de securitate este o procedură plictisitoare și predispusă la erori, nu trebuie să se teamă de ceea ce schimbarea prerogativelor agricole deteriora iremediabil de servere. Configurarea bazei de date pot fi restaurate, chiar dacă pierdeți cheia curentă acreditărilor. Trebuie doar pentru a reseta parolele afectate, iar acest lucru este posibil, folosind instrumentul standard de Stsadm.exe sau un instrument de date de baze de date de nivel scăzut, cum ar fi Reset AppPool parolă. Prin urmare, ar trebui să schimbați în mod frecvent acreditările de fermă și de securitate conturi de înregistrare, utilizați o parolă puternică, și nu utilizați serviciul de rețea ca un cont de securitate, deoarece complică configurația fermei și depanare. conturi de domeniu specific care urmează să fie utilizate.
Acum, că înțelegeți riscurile de corupție de baze de date prin schimbări ale parolei, vă puteți concentra pe lipsa reală a arhitecturii de securitate SharePoint: arhitectura de securitate actuală nu este potrivită pentru a schimba parolele. Ai nevoie de a aplica prea multe comenzi într-o ordine mai mult sau mai puțin specifice, în funcție de tipurile de servicii care sunt actualizate la o fermă. Utilizarea unora dintre parametrii comenzii asociate cu consecinte periculoase; unele echipe nu sunt setări periculoase. Unele comenzi pot afecta baza de date de configurare; altele destul de inofensiv. Unele servicii trebuie să fie actualizate la nivel global pe întreaga fermă, iar altele sunt locale la un anumit server.
În orice caz, costurile administrative sunt ridicate din cauza dificultăților întâmpinate, și, în general, nivelul de securitate este redusă, datorită faptului că programul nu include modificări frecvente și din cauza parole slabe, și script-uri care lucrează cu parolele în text clar. În următorul meu articol vă voi arăta cum să abordeze aceste probleme și să le abordeze - pentru serviciile de toate tipurile, inclusiv cele care nu au fost încă dezvoltate, și indiferent de cerințele lor pentru actualizarea parolelor. Nu există alte modificări parolele manual!
Pav Cerny (Pav Cerni)
Cu toate acestea, pentru a începe cu SharePoint nu este întotdeauna ușor. Terminologia poate fi confuz. Arhitectura sistemului poate fi foarte dificil, iar pentru SharePoint necesită utilizarea de mai multe componente, inclusiv IIS, Microsoft .NET Framework, SQL Server, și, eventual, alte tehnologii, cum ar fi utilizate.
Mi-ar recomanda pentru a descărca proiectul de probă atașat la articol și să urmeze codul, pe care le va introduce în text. Proiectul este setat pentru a rula după procesul de asamblare, un fișier batch care va compila toate componentele de proces în pachetul de soluții AAC și instalați pachetul pe WS agricole locale.
Ghid de securitate Office SharePoint Server, de exemplu, este format din mai mult de 300 de pagini dedicate multe alte probleme de securitate planificarea și punerea în aplicare a site-ului și a Ierarhii de conținut, metode de autentificare, rolurile de securitate, conturi de administrator, și servicii și. Ta.