Synchronizace LDAPnení triviálním úkolem

Rozhodl jsem se pomoci jinému IT manažerovi se strategickým cílem automatizace rušení účtů. Projekt má zajisté bezp...


Rozhodl jsem se pomoci jinému IT manažerovi se strategickým cílem automatizace
rušení účtů. Projekt má zajisté bezpečnostní dopady, ale působí na mne i jiný
stimul. Všichni manažeři v mé společnosti na konci fiskálního roku berou prémie
a výše tohoto bonusu závisí zčásti na splnění osobních a firemních
strategických cílů. Jedním z mých osobních strategických cílů například je
úspěšně rozjet šifrování laptopů. Pokud to neučiním do určitého data, ztrácím
body, ze kterých se moje prémie vypočítává. A moji podřízení také ztrácejí
body.Takže jsme motivováni k pomoci jeden druhému, a to je zčásti důvodem, proč
projekt automatického rušení účtů přitáhl moji pozornost. Jednoduše řečeno
chceme zajistit, aby bývalí zaměstnanci dále neměli přístup ke kterémukoliv z
našich systémů na síti. Je to cíl spojený nejen s dodržováním Sarbanes-Oxleyova
zákona, ale je to také strategický cíl naší firmy. Nakonec chceme, aby systém
poté, co osobní oddělení označí v PeopleSoftu poměr zaměstnance jako ukončený,
automaticky spustil sérii aktivit, které smažou nebo zruší účet uživatele i v
jiných systémech. Základem LDAP
Jako naší hlavní adresářovou infrastrukturu používáme Microsoft Active
Directory (AD). Tu jsme nastavili tak, aby účty zaměstnanců označené v databázi
PeopleSoftu jako ukončené byly automaticky odstraněny. Toto mazání znamená, že
propuštění zaměstnanci nemají dále přístup k produktu Microsoft Exchange, ke
sdílení souborů, k SharePointu, k přihlašovací infrastruktuře a několika dalším
firemním aplikacím.
Problém ale spočívá v tom, že pokud zakážeme osobě další používání našich
systémů, proces bude muset také zahrnovat automatické ukončení účtů spojených s
RSA SecurID. Momentálně používáme tokeny SecurID pro zabezpečení pomocí
dvoufaktorové autentizace ke dvěma hlavním prostředím: naší virtuální privátní
síti (VPN) a k našemu extranetovému portálu. Obyčejní zaměstnanci mají
autorizaci pro přístup k VPN, dodavatelé, partneři a odběratelé zase k
příslušným portům. Díky portálu mají tyto třetí strany přes SSL (Secure Sockets
Layer) VPN přístup ke kontrolované podskupině vnitřních zdrojů naší
společnosti. Plánuji rozšířit dvoufaktorovou autentizaci také pro přístup k
infrastruktuře naší sítě (například ke směrovačům, přepínačům a firewallům) a
rovněž k našim unixovým a windowsovým serverům a integrovat ji do významných
aplikací, jako je třeba SAP a naše vznikající infrastruktura PLM (řízení
životního cyklu výrobků).
Databázi serveru RSA lze synchronizovat s externími adresáři typu Lightweight
Directory Access Protocol (LDAP), jako například Microsoft AD. Ale v
současnosti, pokud znemožníme uživateli přístup k AD, nejsou tito uživatelé
automaticky odstraněni z databáze příznaků SecurID. Uživatelé, s nimiž byl
rozvázán pracovní poměr a kteří mají i nadále token a firemní klientskou
aplikaci VPN, mohou získat přístup k naší vnitřní síti. Nemají sice přístup k
doméně sítě Windows, protože byl ukončen jejich AD účet, nicméně jsou přítomni
na síti, a to je z hlediska bezpečnosti neakceptovatelné. Musíme náš SecurID
server nakonfigurovat tak, aby si automaticky synchronizoval databázi s AD.
Pocit ze synchronizování Tato úloha není triviální. Pokud bychom udělali chybu,
mohli bychom úplně vymazat nebo poškodit databázi SecurID. Samozřejmě tuto
změnu otestujeme v laboratorním prostředí a stávající databázi budeme
zálohovat, ale vymazání databáze je přesto celkem hrozivá myšlenka. Navíc se
musí udělat spousta přípravných prací. Protože je proces synchronizace svázán
se jmény uživatelů, musíme se ujistit, že uživatelská jména v databázi SecurID
jsou tatáž jako v databázi AD. Sladění účtů zajištění, aby jedna osoba nebyla
vedena pod více uživatelskými jmény nějaký čas trvá, obzvlášť, když je v
databázi více než 5 000 jmen. Pokud najdeme uživatele s více než jedním
uživatelským jménem, musíme dotyčnému uživateli změnu oznámit.
Server SecurID nabízí slušnou dávku flexibility ve způsobu, kterým provádíme
synchronizaci. Plánujeme provést synchronizaci tak, aby obyčejní zaměstnanci
byli automaticky přidáni do skupiny SecurID, která jim zajistí přístup k VPN,
zatímco dodavatele, partnery a odběratele přidáme do standardní skupiny bez
možnosti přístupu. Tento krok budeme moci udělat pomocí vícenásobných
synchronizací LDAP. Uživatelé řádně zaregistrovaní v AD se správným
uživatelským jménem automaticky získají přístup ke zdrojům, ke kterým jej
získat mají. Například partneři získají SecurID přístup k portálu, ale nikoliv
ke koncentrátoru VPN. A pokud synchronizace zjistí, že dotyčný uživatel už dále
není zaměstnancem nebo některým z partnerů, je automaticky vymazán ze SecurID
serveru a jeho token je vrácen do skupiny znovu použitelných tokenů. Další kroky
Když jednou rozšíříme infrastrukturu SecurID i do dalších oblastí, budeme
schopni provádět další synchronizace, které například sdruží síťové nebo
unixové techniky do skupin, ve kterých budou mít automaticky zabezpečen SecurID
přístup k síti nebo k serverové infrastruktuře. Pokud je tento projekt prováděn
pečlivě, získáme komplexní proces pro automatické vytváření a mazání účtů.
Ten nejenže zajistí dosažení strategického cíle naší společnosti, ale také
minimalizuje rizika pro naši společnost.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.(pal)
6 1146









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.