Все чаще вынесение отдельных деловых процессов за пределы предприятия (Out-Tasking), подключение к его сети деловых партнеров и поставщиков, а также растущая интернационализация ставят перед ИТ новые задачи, которые при использовании традиционных технологий и методов с трудом поддаются решению.
Обычно отделы ИТ создавали доверительные отношения (Trusts) между доменами или лесами Active Directory предприятий-партнеров или передавали внутренние учетные записи пользователей вовне. В последнее время такие сценарии считаются негибкими, частично ненадежными и лишь в редких случаях прозрачными для конечных пользователей, что, в свою очередь, увеличивает объем работы задействованных в цепочке сторон.
Новый и многообещающий подход к решению подобных проблем основывается на комбинации двух технологий, на первый взгляд, несовместимых, однако очень хорошо друг друга дополняющих. Речь идет об Active Directory Federation Services от Microsoft и Citrix Presentation Server (CPS). А роль связующего звена выполняет Citrix Web Interface, поставляемый компанией Citrix в качестве бесплатного приложения, в том числе и к CPS.
Выпущенное в конце 2005 г. обновление Update R2 от Microsoft обогатило операционную платформу Windows Server 2003 некоторыми функциями, прежде всего, в части администрирования авторизации и доступа, управления серверами филиалов, а также создания и администрирования хранилищ. К их числу относятся и Active Directory Federation Services (ADFS).
ADFS предоставляет технологию однократной регистрации (Single Sign-On, SSO), с помощью которой пользователь во время одного сеанса может аутентифицироваться в нескольких приложениях Web. Наряду с инфраструктурой Active Directory, ADFS обеспечивает доступ к ресурсам, предоставляемым через Internet доверенными партнерами — другими компаниями или различными отделами одного предприятия. Если две организации хотят ввести доверительные отношения ADFS, то ADFS должны быть развернуты на обоих предприятиях. Доверительные отношения ADFS задаются явным образом, но носят однонаправленный и не транзитивный характер.
Сторона, которая отвечает за размещение пользовательских учетных записей, в доверительных отношениях именуется «партнер учетных записей». Сторона, берущая на себя размещение приложений, к которым пользователи получают доступ, — «партнер по ресурсам». Для использования ADFS каждому партнеру требуется связующий сервер. Для повышения безопасности эти серверы могут располагаться в пределах доверенной сети (Intranet) каждого предприятия, а их ресурсы предоставляться через посредника в демилитаризованной зоне (Demilitarized Zone, DMZ), что в большинстве случаев обязательно. На рисунке 1 схематически показано соединение ADFS. Более детально работа ADFS описана ниже (см. Рисунок 2).
- Пользователь вызывает страницу Web внешнего делового партнера, которая с помощью Web-агента ADFS подключена к комплексу ADFS.
- Пользователь перенаправляется к связующему серверу ресурсов, и ему предлагается выбрать название своего предприятия (Home Realm) из списка.
- Пользователь переадресуется на связующий сервер учетных записей своего предприятия и проходит аутентификацию на основе регистрационной информации Windows.
- Пользователю выдается токен безопасности ADFS, а затем осуществляется переход на связующий сервер ресурсов.
- Пользователь отправляет свой токен ADFS связующему серверу ресурсов, который проверяет его достоверность, присваивает пользователю регистрационную учетную запись локальной Active Directory (теневая учетная запись) и с этой дополнительной информацией отправляет на исходную страницу.
- Web-агент ADFS получает информацию о теневой учетной записи и создает на ее основе действительный токен Kerberos, используемый для дальнейшей аутентификации.
Несмотря на эти сложные процессы, аутентификация ADFS остается для пользователя полностью прозрачной вплоть до выбора предприятия. Конечному пользователю не надо знать даже имя теневой учетной записи, не говоря уж о ее пароле. Для сохранения конфиденциальности информации, пересылаемой между предприятиями, весь обмен предусматривает шифрование SSL и происходит исключительно через порт TCP 443.
Читатель, знакомый с Citrix, знает, что интеграция интерфейса Citrix Web в подобную конструкцию оказывается совсем не сложной, поскольку этот компонент представляет собой довольно простое приложение Web — фактически страницу Web. Однако, когда речь идет о выполнении описанной в самом начале задачи, внедрение Citrix Web Interface — лишь половина дела. Дополнительно нужны CPS и некоторые незначительные изменения конфигурации соответствующих объектов Active Directory, связанные с функциональностью Kerberos (Trust for Delegation). Точные параметры детально описаны в руководстве по администрированию Citrix Web Interface (CTX113749).
CITRIX PRESENTATION SERVER
После того как были внедрены все компоненты и системы инфраструктуры (комплекс ADFS, Citrix Web Interface и CPS), решение готово к использованию во всей своей полноте. К описанной процедуре добавляются следующие этапы (Рисунок 3).
-
Страница Web (здесь: интерфейс Web) пересылает токен Kerberos теневой учетной записи дальше на CPS.
-
CPS составляет список доступных приложений, которые демонстрируются пользователю посред-ством Citrix Web Interface.
-
Пользователь запускает одно из предложенных приложений при помощи щелчка мыши и после построения сеанса ICA может работать с приложением. Примечание: дополнительный компонент Citrix Access Gateway, включенный в Рисунок 3, предназначается для шифруемого доступа SSL к CPS, но является опциональным.
Поскольку предприятия все чаще вместо отдельных приложений и серверов виртуализируют и переносят в ЦОД рабочие места (настольные системы с Windows XP или Vista), то следует упомянуть и такой сценарий. В этом случае надо использовать вместо CPS или вместе с ним решение Citrix Xen Desktop, но порядок взаимодействия с ADFS останется неизменным.
ОГРАНИЧЕНИЯ
Народная мудрость гласит: «Где свет, там и тень». Так и мы отметим небольшое ограничение, которое в определенных ситуациях оказывается очень существенным: при создании токена Kerberos (шаг 6.) используется механизм смены протокола (Protocol Transition), поскольку осуществляется переход из Web в Windows, и в результате возникает «ограниченное делегирование» (Constrained Delegation), когда действие токена Kerberos распространяется лишь на один домен Active Directory и предварительно определенные сетевые ресурсы. Поэтому для эффективного использования инфраструктуры ADFS/Citrix необходимо детальное планирование.
Таркан Кочуглу и Томас Бергер — сотрудники консультационной службы компании Citrix Systems.
© AWi Verlag