【IAM】DAC その4 ~ Dynamic Access Control のアーキテクチャ(2) ー FSRM が必要な理由
Windows Server 2012 から利用可能になった ダイナミックアクセス制御 に関して、細々と掲載を続けるシリーズです。前回までの投稿は以下の通りです。
- 【IAM】ダイナミックアクセス制御(DAC)を理解するための解説&演習手順書
https://blogs.technet.com/b/junichia/archive/2012/12/17/3541225.aspx
- 【IAM】DAC その1 ~ グループベース RBAC の破たん?
https://blogs.technet.com/b/junichia/archive/2013/03/29/3561744.aspx - 【IAM】DAC その2 ~ なぜ企業のアクセス管理に DAC が必要なのか
https://blogs.technet.com/b/junichia/archive/2013/04/01/3562095.aspx - 【IAM】DAC その3~Dynamic Access Control のアーキテクチャ(1)
https://blogs.technet.com/b/junichia/archive/2013/05/07/3571125.aspx
今回は、DAC を利用するのにファイルサーバー側に FSRM(ファイルサーバー リソースマネージャー)が必要な理由について解説しておきたいと思います。
FSRM(ファイルサーバー リソースマネージャー)は既にご存知かと思いますが、念のために紹介しておきます。詳細は以下を参照ください。
ファイル サーバー リソース マネージャーの概要
https://technet.microsoft.com/ja-jp/library/hh831701.aspx
FSRM はもともと Windows Server 2003 R2 で初めて実装されました。それが 2008 → 2008 R2 →2012 と進化し続け、今に至っています。
FSRM はひとことで言えばストレージをより高度かつ合理的に管理するための機能セットです。Windows Server 2012 FSRM の機能をザクッと洗い出すと以下の通りです。
- ファイル分類インフラストラクチャ(FCI)
- ファイル管理タスク
- クォータの管理
- ファイルスクリーニング
- 記憶域レポート
ファイルサーバーに FSRM がインストールされることにより、FSRM Protocol と呼ばれる専用のプロトコルが組み込まれ、これにより FSRM と ファイルシステム間、FSRM クライアントと FSRM サーバー間のやり取りが可能になります。
さて、上に挙げた FSRM の機能のうち、DAC にとって最も重要なのは「ファイル分類インフラストラクチャー(FCI, File Classification Infrastructure)」です。
FCI は、「分類属性(Classification Properties)」を使用してファイルを分類する機能です。例えば、ファイルの中に個人情報(電話番号や住所、メールアドレスなど)だと思われるデータが格納されている場合、FCI は自動的にファイルの分類属性(例えば Importance という名前の属性)を「High」に設定することができます。さらに、「Hight」に設定されたファイルを自動的にセキュアな格納庫に移動するといったことも可能です(詳細はまた別の投稿で)。
DAC は 「分類属性」を使用してユーザーやデバイスからのアクセスを制御していることはこれまでに解説しましたが、分類属性を使用するための基盤として FSRM が必要になります。
分類属性について、もうすこし詳しく書いておきます。
分類属性のタイプにはローカルとグローバルの2種類が存在しています。いずれのタイプでも FCI で使用することができますが、DAC によるアクセス制御に使用できるのはグローバルタイプの分類属性のみです。
FSRM の管理コンソールや Windows PowerShell の New-FsrmClassificationPropertyDefinition コマンドレットを使用するとローカルタイプの分類属性を作成することが可能ですが、グローバルタイプの分類属性は作成できません。
実は、グローバルタイプの分類属性のソースは Active Directory に格納されており(グローバル リソース プロパティ)、既定では「無効」に設定されています。新規にグローバルタイプの分類属性を作成する必要がある場合は、Active Directory 管理センターの Dynamic Access Control 管理コンソールを使用するか、Windows PowerShell の New-ADResourceProperty コマンドレットを使用します。既定で用意されているグローバル属性は、Set-ADResourceProperty を使用すれば有効化することが可能です。
では、Active Directory に格納されたグローバル リソース プロパティはどのようにファイル サーバーに反映されるのでしょう。Windows Server 2012 および Windows 8 でリニューアルされた FSRM Protocol は、Active Directory からグループ ポリシーまたは、Update-FsrmClassificationPropertyDefinition コマンドレット を使用してグローバル リソース プロパティを受け取り、グローバルタイプの分類属性として自身の属性ストアに反映できるようになりました。逆に言えば、グローバルタイプの分類属性を使用するには、ファイルサーバーが Windows Server 2012 / Windows 8 でなければなりません。
以上のように、DAC は FSRM を通じてリソースの属性を確認するとともに、Active Directory Domain Service が発行した Kerberos チケットに格納されているユーザークレームおよびデバイスクレームを比較することでアクセス制御を行っています。
次回は、Windows Server 2012 Active Directory でリニューアルされた Kereros チケット について解説します。