none
RBAC implementace ve stredni firme

    Dotaz

  • Dobry den,

    snazime se implementovat RBAC (http://en.wikipedia.org/wiki/AGUDLP) v nasi domene, ktera je pomerne rozlehla (cca 5000stanic, 600 serveru). Dle doporuceni jsme vytvorili DL skupinu ktera reprezentuje kazdy resource a global skupinu ktera reprezentuje business roli ve firme, nasledne je uzivatel clenem global skupiny a global skupina clenem DL skupiny.

    Problemem je, ze po vytvoreni nekolika (set) skupin dostavali uzivatele hlasky ze jsou clenem mnoha skupin, pripadne not enough space, pripadne nefungovalo vyhledavani v AD, pridavani PC do domeny a tak dale.

    Problem se vyresil pridanim klice 

     

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters]
    
    "MaxTokenSize"=dword:0000ffff

     

    do registru. MaxTokenSize je dle toho co jsem zjistil defaultne nastavena na 16kB ktere jsme prekrocili, maximalni nastavitelna hodnota je 65536, kterou jsem nastavil.

    Otazkou jest. Jestli je realne v tomto prostredi prekroceni limitu 64kB a vubec, jestli je implementace tohoto zpusobu pridelovani prav vhodna pro prostredi teto velikosti. A vubec jestli existuje nejaky limit na pocet skupin, jejichz je uzivatel clenem, pripadne jestli existuje nejaky jiny zpusob implementace RBAC v takovem prostredi.

     

     

     

    čtvrtek 15. září 2011 11:59

Odpovědi

Všechny reakce

  • Dle mého názoru je velmi nepřehledné, když je uživatel členem několika set skupin. Řešením je udělat skupinu, jež v sobě bude obsahovat skupiny, jejichž členem má uživatel být.

    Tady je whitepaper zabývající se touto problematikou. Je to tam i doporučované.

    Navíc v okamžiku, kdy je jeden uživatel členem několika set skupin a ty budeš chtít jednu přidat nějakým uživatelům tak máš okamžitě práce jak nad hlavu. 

    Navíc vnořování se u vás dá rozhodně použít, protože jeho limitu (50 "levelů vnoření" asi jen tak nedosáhnete..:).

    To je podle mě cesta jakou se vydat.

    Omezení 64kB nebylo ve Windows 7 zvýšeno. Tedy ta hodnota, kterou přidáváš do registrů je maximální.

    čtvrtek 15. září 2011 12:11
  • Diky za odpoved

    Asi jsem se spatne vyjadril,

    uzivatel je napriklad clenem globalni skupiny "managers" a tahle skupina je clenem nekolika set domain local skupin, napriklad dl_fileserver\share_read, dl_fileserver\share2_readwrite atd.

    globalni skupiny reprezentuji business role (managers)

    domain local skupiny reprezentuji resource (share,tiskarna,rdp_allowed atd.)

    zadny uzivatel neni clenem primo DL skupiny.

    Kdyz prijde novy manager, prida se do skupiny managers a dostane jen ty prava ktera ma mit.

     

     

    čtvrtek 15. září 2011 13:24
  • Jasně, to jsem z té první věty nepochopil. Omlouvám se:)

    No problém je v tom, že překračuješ limit 1024 SIDů (resp, jsi ho ještě nepřekročil, ale pokud to navýšíš na těch 64kB tak se k němu můžeš dostat.

    Zkus se podívat na tenhle Whitepaper. Především bod 5.3. Tam popisují způsob jak snížit množství SID identifikátorů.

    http://www.giac.org/paper/gsec/5111/kerberos-access-token-limitations/104962

    • Označen jako odpověď Jan Bilek čtvrtek 15. září 2011 13:48
    čtvrtek 15. září 2011 13:39
  • Prostuduji, diky moc.
    čtvrtek 15. září 2011 13:48