原文:Should Microsoft Identity Integration Server Be Part of Your Security Plan?
<http://www.windowsecurity.com/articles/Microsoft_Identity_Integration_Server.html>
作者:Deb Shinder
翻译:Long
Email:[email protected]; [email protected]
Website:http://www.ph4nt0m.net
2004.8.8 – 2004.8.11
Microsoft集成身份认证服务器(Microsoft Identity Integration Server - MIIS)和它的“精简版”——为Windows Server 2003准备的集成身份认证服务包(Identity Integration Feature Pack - IIFP),能够帮助您的组织管理位于不同数据库系统中的个人身份认证信息。在这篇文章中,我们将简略的介绍MIIS是什么,它如何工作,以及它最新的版本能够给我们提供些什么。
您的网络中可能有成千上万的用户,他们都需要依靠大量的应用程序以完成他们的工作。在今天的商业情景中,安全已经成为一个重点话题。您希望您的用户有合适的权限去访问他们需要用到的信息,除此以外,他们不应该有更多的权限访问其他信息,尤其是一些机密的内部数据。
您可能已经部署了访问控制以防止意外事件的发生,但是那些访问控制依靠用户的登陆信息及密码。当用户迷失在大量的账号密码中时,盗窃密码就变得更加容易。甚至在更复杂的环境中,可能每个应用都有它自己的用户数据库或目录,它们可能用了不同的验证方式,用户对于不同的应用也可能使用着不同的密码。
管理所有的身份认证数据将会成为管理上的噩梦。当员工离开公司时或他们不再拥有相应权限时,账号可能没有及时的删除或禁用。同样,新员工也不能够方便快捷的获得所有系统的新账号,以至于他们不能完成他们的某些工作。
更糟糕的事情时,一些政府部门的规章,像美国的HIPAA和COPPA、英国的Data Protection Act以及类似的法规,均要求组织依照严格的标准保存和发布身份验证信息。
我们需要做的就是建立一个安全的集成身份验证数据库,并将它放置在一个集中区域加以管理。在这篇文章中,我们将讨论Microsoft集成身份认证服务器是如何帮助企业级的网络管理员去完成上述任务的。
何为MIIS?
微软公司提供了大量的企业服务器产品,以至于您很容易迷失在各个产品名称或其缩写的变更之中。很多网络管理员对MIIS并不十分熟悉(甚至您有时会看到MIIS被用来指代Microsoft Internet信息服务(Microsoft Internet Information Services)的web服务器,更常见的叫法是IIS)。MIIS的早期产品叫做Microsoft元目录服务(Microsoft Metadirectory Services – MMS),直到新的2003版本,它才被叫做Microsoft集成身份认证服务器。
附注:微软公司不再提供MMS 2.x产品,该产品的售后支持也将于2004年9月30日结束。
产品原来的名称可能更恰当的描述了MIIS的用途。它作为一项服务运行在Windows Server 2003上,它构建了一个元目录,该目录将分散在其他目录或数据库中的信息统一组织起来,并放在一个集中区域。元目录服务于其他目录建立一个链接以便于您能够控制他们间的数据如何共享。例如,一个数据库中的数据修改可以自动被同步到与之关联的其他数据库。
MIIS特别强化了身份认证信息,包括用户登录的ID和密码、e-mail的账号信息、电话号码、地址、社会保障号码、职员ID以及其他信息。
总结一下,MIIS主要执行以下工作:
l 账号的发布与回收
l 目录同步
l 认证信息的集成与管理
账号的发布与回收是如何工作的
账号的发布与回收即自动的创建和删除用户账号。例如,当录用了一个新的职员后,他的个人信息就被汇总到了人事部门的数据库。通过MIIS,这些信息就可以自动的同步到其他与之关联的数据库,并自动的为该用户创建账号。同样的,当人事部门解雇一个职员时候,他在组织中所有数据库上的登陆账号,e-mail账号和其他的账号就会自动的被禁用或删除。
目录同步是如何工作的
目录同步就是确保每一条输入的信息(例如email地址和社会保障号码)在不同的数据库中都有同样的副本。这是通过元目录正确地将信息复制到其他目录来实现的。
集成身份认证和管理是如何工作的
管理身份认证的关键,就是从大量分离的数据库中找出哪一个来源是权威的。也就是当两个或者更多的数据库出现冲突的时候,哪一个应该被看作是正确的?
不同的数据库应该被指定为不同的信息的权威。因此,身份验证信息将被分隔成独立的属性。以和用户相关两个属性——email地址和工作职位为例,人事部门的LDAP数据库中的工作职位属性通常被认为是权威的。因为,这个部门通常有最新的职员晋升或更改信息。另外的,人事数据库中的email地址可能会是过期的,因为它们可能是员工第一次加入公司时的信息。而公司的Exchange服务器逻辑上来说应该是这个信息的权威来源。
MIIS允许从相连的数据库中选择不同属性,并通过权威属性来解决冲突,并将那些属性重新整理后放在元目录中。当与MIIS相连的数据库中的数据改变时,MIIS识别出来,并同步(按照您设定的规则)到其他数据库。这些规则包括何时将什么样的变更复制到企业的其他数据库。
身份认证管理的组成
让我们大体上的了解一下MIIS的组成,以及身份认证管理架构的各个组件。
一个专门的SQL数据库包含了一系列的存放认证信息的表。这些表被叫做Metaverse。其中的一个Metaverse作为每个对象(人)的入口,它包含了一个从与MIIS相联的其他数据库中取出的对象属性。
目录、数据库、文本文件以及其他的身份认证原始数据,这些在Metaverse(元目录中的信息)中被重新整理的数据,都叫做数据源。它们通过管理代理,有时也被叫做连接器,这些运行在MIIS上的程序与MIIS建立连接。有不同的管理代理以连接不同的数据源。这些管理代理控制着哪些属性将从特定的数据库中集成到Metaverse中。
MIIS具有大量的管理代理,可以支持活动目录AD /应用程序模式的活动目录ADAM、NT 4.0、Exchange全局通讯簿(GAL)、Novell eDirectory、Oracle 8i和9i、Lotus Notes / Domino、SQL 7 / 2000、SunOne / iPlanet / Netscape、IBM Informix、dBase等等。MIIS也可以与一些文件类型的数据元建立连接,如文本文件、Excel、XML。
每一个管理代理在元目录中都有一个独立的存储区域,被叫做连接器存储空间。这里保存着每一个被保存对象的属性的子集。每个对象的不同版本(指过去特殊时期的属性的不同状态)也保存在这里。
MIIS 2003的新特性
除了名称从旧的MMS改为MIIS2003以外,最大的改变在于,MMS的专用数据库转换成了一个标准的SQL数据库,以提供更好的可监控性、更佳的性能、标准的安全模块以及可编程性。其他的增强和新特性包括:
l 对于Windows管理规范(Windows Management Instrumentation – WMI)的支持。
l 基于web界面的用户和管理界面。
l 可与BizTalk服务器集成。
l 新的或增强的管理代理以支持不同的数据库,包括活动目录(AD)、Exchange、LDAP、Lotus Notes和XML。
l 支持全球化语言,如日语和德语。
这些改变带来了大量的新特性,因此也需要MMS的管理员重新进行一些的学习。原来的MMS专用数据库是基于X.500标准的,它支持LDAP的访问和X.500类型复制和推送。新的SQL数据库不再允许这些(相应的,客户端可以进行SQL查询)。另外的一个不同是去除了内置的HTTP服务。
另外一个受到欢迎的改变是对于Visual Basic和C#的脚本支持取代了原有的对Zoomit脚本语言(zscript)的支持,因为很多企业的程序员都工作在VB和C#平台。而且少量的脚本编程在MIIS 2003中是必需的。
附注:Zoomit是制作元目录Zoomit Via的公司,该产品于1999年被微软公司收购并改为MMS。
新的密码管理功能允许用户自己可以修改密码,技术支持人员也可以通过一个基于web的界面复位用户密码。保存密码信息的数据库支持AD/ADAM,NT 4.0,Novell eDirectory和SunOne Directory Server。
试用MIIS
如果您认为MIIS正好能够帮助您管理企业网络中复杂混乱的目录,我们不得不告诉您,它并不便宜。完整版的MIIS,也就是企业版,每CPU的报价为$24,999。如果您仅仅是有兴趣测试一下。一个非生产环境的授权包含在MSDN的宇宙版中。如果您不是MSDN会员,也不要沮丧。您可以在以下的地址下载到一个MIIS 2003的180天试用版。
http://www.microsoft.com/downloads/details.aspx?FamilyId=E2CF0ECE-9F0D-4D73-BDD7-A32091AB3F30&displaylang=en
如果您要做的仅仅是同步AD数据库到森林中,以用于Exchange的全局通讯簿(Global Address Lists – GAL),请考虑为活动目录准备的集成身份认证服务包(Identity Integration Feature Pack - IIFP)。这个也被叫做MIIS的“精简版”,它只提供账号的发布,AD/ADAM和Exchange数据库的身份认证集成与同步。最重要的是,IIFP是免费的,您可以在下面的地址中得到它:
http://www.microsoft.com/downloads/details.aspx?FamilyID=d9143610-c04d-41c4-b7ea-6f56819769d5&DisplayLang=en
安装MIIS
要想完整的安装MIIS或者IIFP,您需要一台具有以下最低硬件配置的Windows Server 2003:
l PIII 500MHz或以上(推荐P4)。
l 512MB内存(推荐1GB)。
l 20MB的磁盘空间以用于MIIS应用程序。
l 8GB或者更多的磁盘空间以用于数据库文件。
l CD或DVD驱动器。
l SVGA显示器
l 指向设备
您还需要SQL Server 2000 with Service Pack 3。如果您希望自己扩展规则,您还需要Visual Basic .NET 2003或Visual Studio .NET 2003。
了解更多关于MIIS的信息
如果您想在投资前了解更多关于MIIS的信息,以下链接可以提供一些帮助:
l Microsoft的MIIS站点:
http://www.microsoft.com/windowsserver2003/technologies/directory/miis/default.mspx
l Yahoo中的MIIS用户讨论组:
http://groups.yahoo.com/group/mmsug/
l Microsoft Metadirectory新闻组:
http://support.microsoft.com/newsgroups/default.aspx?ICP=GSS3&NewsGroup=microsoft.public.metadirectory&SLCID=US&sd=GN&id=fh;en-us;newsgroups
小结
Microsoft集成身份认证服务器(Microsoft Identity Integration Server - MIIS)和它的“精简版”——为Windows Server 2003准备的集成身份认证服务包(Identity Integration Feature Pack - IIFP),能够帮助您的组织管理位于不同数据库系统中的个人身份认证信息。MIIS提供一个集中的方式来管理这些信息,并确保他们的正确性。正确的身份认证信息是企业网络安全的核心,如果您的企业身份认证的管理混乱或者已经失控,MIIS或IIFP应当作为您的安全计划中重要的一环。
本文地址:http://com.8s8s.com/it/it35704.htm