Tìm hiểu về Permission và Role Based Access Control – RBAC phần 2

Quản Trị Mạng - Trong phần trước của bài viết, chúng tôi đã giới thiệu với các bạn cách thiết lập, cấu hình mở rộng mức phân quyền với RBAC – Role Based Access Control bằng cách triển khai Predefined Role Groups qua giao diện đồ họa của Exchange Control Panel. Tuy nhiên, khi gặp trường hợp cần phải thiết lập nhiều mức phân quyền hơn so với Predefined Role Groups có thể hỗ trợ thì đây là thời điểm chúng ta nên sử dụng Exchange Management Shell để xử lý.

Kiểm tra thiết lập RBAC qua Exchange Management Shell:

Tại phần này, chúng tôi sẽ hướng dẫn các bạn cách xem thông tin kỹ thuật trong Exchange Management Shell cũng như trong Exchange Control Panel.

Ví dụ, chúng ta có thể áp dụng chế độ Exchange Control Panel (ảnh chụp màn hình bên dưới) để kiểm tra Assigned Roles đang thuộc về role group Recipient Management:

kiểm tra Assigned Roles

Và nếu muốn làm như vậy trong Exchange Management Shell thì các bạn gõ lệnh:

Get-RoleGroup “Recipient Management” | fl

gõ lệnh Exchange Management Shell

Đây là kết quả hệ thống hiển thị khi chúng ta nhấn Enter. Lưu ý rằng thông tin Assigned Roles (trong hộp đỏ) sẽ hiển thị chính xác với 2 ảnh chụp màn hình trên. Bên cạnh role, các bạn cũng có thể thấy phần thông tin mô tả ngắn gọn – Description của role group Recipient Management, member tương ứng (tại thời điểm này là trống rỗng) và nhiều thông tin khác:

thông tin hiển thị

Tuy nhiên, những gì chúng ta nhìn thấy tại đây chưa chỉ ra được bất kỳ ưu điểm nào của Exchange Management Shell so với Exchange Control Panel.

Để tìm hiểu kỹ hơn, chúng ta sẽ phải tham khảo qua mô hình mẫu như dưới đây. Ví dụ, công ty của bạn vừa quyết định thuê một vài nhân viên quản trị qua hình thức thực tập, nhiệm vụ của bạn là gán cho họ một số mức phân quyền nhất định để thiết lập, cấu hình những thành phần có liên quan như: Office, Phone no., Mobile no., Department và Managers.

Như đã đề cập tới trong phần 1 của bài viết, chúng ta có thể dễ dàng thực hiện bằng cách gán mỗi tài khoản Admin với role Mail Recipients đầy đủ. Tuy nhiên, làm như vậy cũng sẽ kích hoạt toàn bộ quyền truy cập của họ tới các bộ phận khác trong hệ thống – yếu tố này không có trong kế hoạch cũng như yêu cầu. Hãy cùng xem mức độ mạo hiểm trong tình huống này nếu người quản trị gán toàn quyền role Mail Recipients, các đối tượng Role Entries (cmdlets parameters) có liên quan tới role cụ thể đó.

Trước tiên, các bạn mở Exchange Management Shell và gõ lệnh:

Get-ManagementRoleEntry “Mail Recipients\*”

Hệ thống sẽ hiển thị một số thông tin như hình dưới:

kết quả hiển thị

Chúng ta có thể dễ dàng nhận ra rất nhiều các bản ghi của role. Chắc chắn rằng không ai muốn gán toàn bộ quyền Admin cho những nhân viên thực tập bao giờ. Phương án giải quyết ở đây là tạo 1 role nhỏ bên trong hệ thống của role Mail Recipients và gán quyền cần thiết cho họ.

Lập kế hoạch với RBAC và tìm hiểu về Cmdlet:

Trước khi bắt tay vào quá trình tìm hiểu về Exchange Management Shell và thực thi Cmdlet, chúng ta cần phải chuẩn bị và lên kế hoạch cụ thể. Các bạn hãy tham khảo thêm về RBAC tại đây.

Scope – Where:

Việc trước tiên là các bạn cần phải xác định được đối tượng Scope hay còn gọi là Where. Thông thường, chúng ta cần phải sử dụng cmdlet New-ManagementScope để khởi tạo scope mới. Tuy nhiên, kể từ khi người quản trị bỏ qua mục role parent, các role quản lý mới sẽ kế thừa chức năng và scope của role ở cấp trên. Do vậy, không cần phải khởi tạo scope, và cũng không cần sử dụng cmdlet New-ManagementScope. Mà thay vào đó, giống như role ở cấp trên, các role mới được tạo sẽ cung cấp chức năng Read – Write cho đối tượng nhận thông tin, dữ liệu và cấu hình, thiết lập cho toàn bộ hệ thống.

Role – What:

Thành phần tiếp theo được đề cập tại đây là Role, bởi vì role Mail Recipients – chúng ta muốn role mới được kế thừa, được gán với rất nhiều đối tượng không thực sự cần thiết. Mà cách thực hiện ở đây sẽ bao gồm:

- Sử dụng cmdlet New-ManagementRole cmdlet để gán tên mới cho role quản lý (ví dụ Exinterns) và chỉ định role cấp trên sẽ kế thừa cho role mới (ví dụ Mail Recipients).

- Loại bỏ tất cả các đối tượng được kế thừa từ role Mail Recipients, sau đó sắp xếp lại tất cả mọi thứ bằng cmdlet Get-ManagementRoleEntry, Remove-ManagementRoleEntry, và Add-ManagementRoleEntry.

Role Group – Who:

Việc cuối cùng cần làm ở đây là khởi tạo Role Group, hoặc là Who sử dụng cmdlet New-RoleGroup. Đồng thời, đây cũng là quá trình kết nối các bước khác nhau bên trên (WhereWhat) thành Role Assignment hoàn chỉnh.

Cấu hình, thiết lập RBAC qua Exchange Management Shell:

Để tạo role có tên là Exinterns có khả năng kế thừa chức năng của role Mail Recipients, các bạn gõ lệnh:

New-ManagementRole -Name “ExInterns” -Parent “Mail Recipients”

Sau khi nhấn Enter, hệ thống sẽ hiển thị kết quả như hình dưới:

sử dụng lệnh New-ManagementRole
Nghĩa là chúng ta đã tạo role ExInterns thành công

Tiếp theo, các bạn cần phải tiến hành thu thập tất cả các đối tượng role quản lý của ExInterns và loại bỏ chúng, ngoại trừ 1 thành phần. Đó là bởi vì hệ thống luôn yêu cầu phải có ít nhất 1 role. Do vậy, chúng ta sẽ giữ lại cmdlet Get-User vì muốn role ExInterns tận dụng được ưu điểm của cmdlet Set-User – chỉ có thể hoạt động hiệu quả khi áp dụng kết hợp với Get-User. Gõ lệnh:

Get-ManagementRoleEntry “ExInterns\*” | Where {$_.name -ne “GetUser”} | RemoveManagemRoleEntry

Về mặt cơ bản, Set-User sẽ kích hoạt Interns để thiết lập mailbox. Ngay sau khi nhấn Enter, chúng ta sẽ nhìn thấy bảng thông báo hiển thị như hình dưới:

kết quả hiển thị tại bước này

Và sau đó là rất nhiều các thông tin xác nhận hiển thị, nhấn A tương ứng với Yes to All, YYes, N là No và L là No to All. Sau đó, gõ lệnh:

Get-ManagementRoleEntry “ExInterns\*”

thông tin tùy chọn

Chúng ta có thể dễ dàng thấy rằng, không giống với lần đầu thực hiện lệnh cmdlet, role ExInterns mới sẽ không còn chứa bất kỳ đối tượng role nào được kế thừa từ role cấp cao như cũ. Và tại thời điểm này, chúng ta đã sẵn sàng gán thêm role mới được kích hoạt Exchange Interns để cấu hình, thiết lập Office, Phone no., Mobile no., Department và Managers theo như yêu cầu. Để thực hiện việc đó, các bạn gõ lệnh:

Add-ManagementRoleEntry “ExInterns\Set-User” -Parameters Office,Phone,Mobilephone,Department,Manager

gõ lệnh Add-ManagementRoleEntry

Bên cạnh đó, nếu bỏ qua các thành phần như: Parameters Office, Phone, Mobilephone, Department, Manager thì Exchange Interns sẽ có thể truy cập tới toàn bộ tham số của cmdlet Set-User. Do vậy, chúng ta không chỉ bị hạn chế khả năng của Interns để nhận cmdlet của Get-UserSet-User, mà còn trở nên đặc biệt so với các thông số Office, Phone, Mobilephone, Department, và Manager của Set-User.

Và cuối cùng, chúng ta khởi tạo Role Group (ví dụ ExInterns) và chỉ định role cần phải gán tới (ví dụ ExInterns) bằng cách gõ lệnh:

New-RoleGroup “ExInterns” -Roles “ExInterns”

sử dụng lệnh New-RoleGroup

Thao tác tiếp theo cần thực hiện ở đây là tạo Role AssignmentExInterns-ExInterns. Để kiểm tra lại, chúng ta có thể liệt kê tất cả các role group hiện tại bằng cách sử dụng Get-RoleGroup. Kết quả hiển thị sẽ trông giống như hình dưới:

tạo tạo Role Assignment

Sau đó, các bạn sẽ có thể gán Interns tới role group ExInterns.

Gán tài khoản User vào role group:

Mặc dù chúng ta có thể gán tài khoản User vào role group bằng Exchange Management Shell, nhưng việc này sẽ trở nên đơn giản hơn nếu dùng Exchange Control Panel. Do vậy, các bạn chuyển về Exchange Control Panel và chọn tab Administrator Roles, nhấn nút Refresh vài lần để kiểm tra lại các role group vừa được gán thêm:

nhấn Refresh để kiểm tra Role Groups

Tiếp theo, tìm role group ExInters và nhấn đúp vào đó:

tìm role group ExInters

Cửa sổ thiết lập của role group sẽ hiển thị, nhấn nút Add để gán thêm member mới:

nhấn nút Add để gán thêm tài khoản mới tại đây

Chúng ta có thể chọn 1 hoặc nhiều tài khoản người dùng để gán vào đây, mỗi 1 member được lựa chọn sẽ hiển thị trong ô text box. Nhấn OK khi hoàn tất:

chọn tài khoản

Và khi quay lại cửa sổ chính của role group, chúng ta sẽ thấy các member vừa được gán hiển thị tại đây. Nhấn Save:

nhấn Save

Trong khi các phiên bản cũ của Exchange chỉ có vài nhóm Administrator để lựa chọn thì mô hình phân quyền mới mẻ của RBAC trong Exchange 2010 cho phép người dùng thiết lập, khởi tạo nhiều chế độ hơn, cải thiện và nâng cao tính linh hoạt của role assignment được đưa ra bởi Role Based Access Control, hỗ trợ người quản trị trong việc thiết lập role và quyền hạn chính xác, cụ thể hơn nhiều so với trước kia. Chúc các bạn thành công!

Thứ Ba, 25/08/2020 17:20
31 👨 3.486
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp