Tìm hiểu về Permission và Role Based Access Control – RBAC (phần 1)

Quản Trị Mạng - Về mặt bản chất, Microsoft Exchange Server 2010 đã được cải tiến và tích hợp thêm chức năng phân quyền Role Based Access Control – RBAC mới, và mô hình này đã cung cấp cho người dùng nhiều cách hơn trong việc giám sát, khởi tạo cũng như gán quyền tới các tài khoản quản trị khác nhau. Và những vai trò này được gán này sẽ phản ánh đúng công việc của người quản trị trong mô hình hoạt động trên thực tế.

Trước Exchange Server 2010, những người quản trị Microsoft Exchange đảm nhận việc tạo mới tài khoản admin, gán quyền tới những tài khoản có sẵn, thường gặp khá nhiều khó khăn trong khi quyết định áp dụng với nhóm Administrator nào. Từng nhóm Administrator lại có chứa nhiều mức phân quyền khác nhau, và các phiên bản Exchange cũ lại chỉ có rất ít nhóm Admin để người dùng lựa chọn. Và như vậy, cách giải quyết duy nhất là gán những tài khoản đó với các mức phân quyền không thực sự phù hợp trong hệ thống.

Role Group và Role

Để tiếp tục, chúng ta cần phải hiểu rõ và nắm bắt khái niệm cơ bản trong RBAC là mối liên quan giữa role group, role, cmdlet (commandlet) và parameter.

Trước tiên, role có thể coi là tổ hợp các tác vụ mà tài khoản quản trị có thể thực hiện được. Ví dụ, role Mail Recipients cho phép tài khoản Administrator quản lý mailbox, mail user và mail contact. Khi tài khoản quản trị được gán role thì nghĩa là mức phân quyền tương ứng của role đó. Và hành động gán quyền để thực hiện các tác vụ nhất định chúng ta có thể hiểu nôm na là trao quyền truy cập tới cmdlet hoặc parameter gắn liền với những tác vụ đó.

Trong một số trường hợp đặc biệt, thì 1 tài khoản Admin có thể được gán với nhiều role khác nhau. Và về mặt kỹ thuật, chúng ta có thể gộp các role lại với nhau, sắp xếp chúng thành nhóm – hay còn gọi là role group, sau đó thay vì việc gán nhiều role tới tài khoản nào đó thì chúng ta chỉ cần thay thế bằng role group phù hợp tương ứng.

Ngược lại, người dùng hoàn toàn có thể gán nhiều thành viên trong nhóm Administrator tới 1 role group. Có nghĩa là tất cả tài khoản trong nhóm Admin đó sẽ thực hiện được tất cả các role giống nhau, và sẽ có quyền truy cập tới cmdlet parameter trong role đó.

Predefined Role Groups và Roles

Trong Exchange 2010 còn có Predefined Role Group chúng ta có thể sử dụng thay thế cho RBAC nếu chưa hiểu rõ về tính năng cụ thể cũng như cách thức làm việc của RBAC.

Nếu bao gồm tất cả các Predefined Role Group (hoặc gọi là Predefined Universal Security Groups) thì tổng cộng sẽ có 16 thành phần. Tuy nhiên, chỉ 11 trong số đó là thực sự được sử dụng dành cho RBAC, và phần còn lại được dùng trực tiếp bởi Exchange. Trong bài viết này, chúng ta sẽ chủ yếu tập trung vào các role group của RBAC.

Các Predefined Role Group được sử dụng trong Exchange Server 2010 Role Based Access Control:

- Delegated Setup: dành cho người quản trị cần triển khai mô hình server Exchange 2010 được cung cấp bởi role group Organization Management.

- Discovery Management: đối với các tài khoản Admin muốn tìm kiếm dữ liệu trong hệ thống mailbox dựa vào thông tin ưu tiên cũng như cấu hình thiết lập của mailbox.

- Help Desk: được dùng để kiểm tra thông tin tổng quát và thay đổi các tùy chọn của Microsoft Office Outlook Web App.

- Hygiene Management: thay đổi chế độ bảo mật trong Exchange.

- Organization Management: dành cho các tài khoản quản trị muốn có toàn quyền truy cập tới tất cả hệ thống Exchange 2010.

- Public Folder Management: dùng để quản lý thư mục public và cơ sở dữ liệu trên server sử dụng Exchange 2010.

- Recipient Management: quản lý, giám sát bộ phận recipient của Exchange 2010.

- Records Management: thường được áp dụng để cấu hình, thiết lập các tính năng như phân loại policy, thông báo và quy luật lưu chuyển dữ liệu.

- Server Management: dành cho những người quản trị muốn thiết lập chế độ transport của server theo cách riêng biệt, Unified Messaging – UM, khả năng truy cập từ phía client và mailbox.

- UM Management: được dùng dể quản lý các bước cấu hình server có liên quan tới UM, thuộc tính của mailbox, thông tin cảnh báo...

- View-Only Organization Management: để xem và kiểm tra thuộc tính của bất kỳ đối tượng nào trong Exchange.

Predefined Role:

Trước tiên, các bạn mở Exchange Management Console, trong phần cửa sổ bên trái chúng ta chọn Toolbox, kéo xuống phía dưới và nhấn Role Based Access Control (RBAC) như hình dưới:

mở Role Based Access Control (RBAC)

Bạn sẽ được chuyển tới phần Exchange Control Panel tiếp theo, tại đây hệ thống sẽ yêu cầu người dùng đăng nhập. Sau đó, mở Administrator Roles:

chọn Administrator Roles:

Bên dưới Role Groups, các bạn sẽ thấy đầy đủ 11 Predefined Role Groups đã được đề cập ở phía trên. Và mỗi lần lựa chọn role bất kỳ, hệ thống hiển thị thông tin Description của role được gán tới (hay còn gọi là Assigned Roles), các tài khoản quản trị được gán những role đó (gọi là Members) sẽ được hiển thị ở phần cửa sổ bên phải.

Nếu muốn gán 1 Member bất kỳ tới Predefined Role Group, các bạn chỉ cần nhấn đúp vào phần Predefined Role Group tương ứng trong danh sách. Ví dụ khi chọn Discovery Management thì hệ thống sẽ hiển thị cửa sổ điều khiển chính như hình dưới:

gán thêm member

Tại đây, chúng ta sẽ nhìn thấy tên của role group (trong ví dụ này là Discovery Management) – chính là đoạn mô tả ngắn gọn của role group, Assigned Roles, cũng như danh sách thành viên ở phía dưới cửa sổ hiển thị (thông thường là trống rỗng). Để gán thêm member, các bạn nhấn nút Add như ảnh chụp màn hình trên.

Tại cửa sổ tiếp theo, tìm và chọn tên tài khoản Admin cần gán, sau đó nhấn nút OK:

chọn member

Chúng ta sẽ thấy member vừa được gán trong ô Members như hình dưới:

tài khoản hiển thị trong phần Members

Nếu muốn gán thêm nhiều tài khoản thì các bạn thực hiện tương tự như trên, nhấn Finish khi hoàn tất. Tuy nhiên, chúng ta cần lưu ý rằng không những có thể gán nhiều tài khoản Admin thành member của role group mà còn gán nhiều role group tới 1 tài khoản Admin duy nhất. Và quá trình này sẽ được thực hiện bên trong Administrator Roles:

gán tài khoản và mức phân quyền

Cơ chế làm việc của RBAC

Trước khi kết thúc bài viết này, chúng ta hãy cùng xem lại cơ chế hoạt động của RBAC qua hình vẽ minh họa – thường gọi là Triangle of Power:

Mô hình này được tạo dựng từ 4 thành phần chính: Where, What, Who, và Glue. Trong đó:

- Where hoặc Scope đại diện cho các đối tượng, tác vụ từ role cụ thể được gán cho tới những đối tượng được hỗ trợ, chẳng hạn như 1 tài khoản người dùng cá nhân, 1 nhóm người dùng, hoặc toàn bộ mô hình, tổ chức.

- What hoặc Role tương ứng với những gì mà role có thể thực hiện được. Trên thực tế thì Exchange Server 2010 có tổng cộng tất cả 65 role dành cho người sử dụng.

- Who hoặc Role Group như chúng ta đã đề cập trước đó, chỉ là bộ tổ hợp nhiều role được sắp xếp với nhau. Chúng ta có thể kết hợp với Scope để tạo thành đối tượng Role Assignment hoàn chỉnh.

Như đã đề cập tới ở trên, việc sử dụng các nhóm role chưa được định nghĩa - predefined của RBAC có thể đơn giản hóa quá trình phân quyền quản trị tới nhiều tài khoản Administrator khác nhau. Tuy nhiên, những gì chúng ta vừa thảo luận bên trên chỉ là cách mở rộng của quá trình phân quyền qua RBAC.

Nhưng nếu chúng ta muốn tài khoản quản trị thiết lập rule transport nhưng lại không để ảnh hưởng tới rule retention hoặc message thì phải làm thế nào? Rõ ràng việc gán tài khoản đó tới nhóm rule Records Management sẽ không đáp ứng được nhu cầu vì hệ thống sẽ gán nhiều phân quyền hơn mức cần thiết. Chúng ta sẽ cùng nhau tìm hiểu về vấn đề này trong phần II của bài viết.

Chúc các bạn thành công!

Thứ Năm, 20/08/2020 16:52
2,98 👨 10.236
0 Bình luận
Sắp xếp theo