Управление учетными данными безопасности SharePoint

ОГЛАВЛЕНИЕ

Ко всему этому добавляется проблематичная техническая помощь от службы поддержки корпорации Майкрософт (PSS - Product Support Services). С одной стороны, существуют полезные статьи базы знаний (KB - Knowledge Base), например «How to Change Service Accounts and Service Account Passwords in SharePoint Server 2007 and in Windows SharePoint Services 3.0» (Изменение учетных записей службы и паролей учетных записей службы в SharePoint Server 2007 и Windows SharePoint Services 3.0). А с другой стороны, существуют такие ужасы, как «Error Message When You Try to Use the SharePoint Products and Technologies Wizard: 'Exception: System.ArgumentException: Error during Encryption or Decryption» (Сообщение об ошибке при попытке использовать мастера настройки продуктов и технологий SharePoint: 'Исключение: System.ArgumentException: ошибка при шифровании или дешифровке).

В указанной статье утверждается, что если учетные данные веб-приложения больше не поддаются расшифровке, необходимо создать новую базу данных конфигурации. Это может произойти, если важный параметр команды используется в неподходящий момент времени или процесс обновления учетных данных фермы по какой-то причине завершается аварийно. Данная статья KB прекрасно справляется с задачей внушения администраторам страха перед тем, что изменение учетных данных фермы может непоправимо повредить ферму серверов. Можно ли рассчитывать на то, что перед лицом такой опасности пользователи будут поддерживать безопасность в средах SharePoint, часто изменяя пароли фермы и учетных записей безопасности?

Пользователи не уничтожают Active Directory с целью сброса учетных записей пользователей, и не следует их вынуждать уничтожать базы данных конфигурации только по той причине, что пароль веб-приложения утрачен. Нет необходимости в создании новой базы данных конфигурации. В большинстве случаев для того, чтобы перезаписать поврежденные учетные данные, достаточно использовать стандартное средство Stsadm.exe. А во всех других случаях можно сбросить пароли и сохранить базу данных конфигурации, воспользовавшись инструментами, включенными в сопровождающий материал, доступный в разделе Февраль 2008. Загрузка кода. Для сброса паролей в средах Windows SharePoint Services (WSS) 3.0 и MOSS 2007 не требуется ни доступа к старым ключам учетных данных, ни новой базы данных конфигурации. Но для выполнения этой задачи требуются улучшенные инструменты поддержки от корпорации Майкрософт и хорошая документация по лежащим в основе процедурам, которые облегчают процедуру изменения паролей.

Данная статья открывает серию из двух частей, в которой будет дан обзор стандартных процедур и инструментов для управления учетными записями безопасности SharePoint security, будут обсуждаться их ограничения, возможные опасности и предложен альтернативный подход для повышения безопасности, сокращения издержек, связанных с администрированием и, как результат, уменьшение совокупной стоимости владения (TCO) в средах SharePoint. Первая часть посвящена деталям архитектуры и сложному процессу выполнения изменений паролей.

Крайне важно понимать, как SharePoint работает с учетными данными безопасности и паролями в случае управления безопасностью вручную с помощью сценариев, или с помощью полностью автоматизированного решения, например такого, какое будет представлено в статье следующего месяца. Чтобы сделать мои объяснения реалистичными и практичными, я снова буду опираться на тестовую среду. В этой первой части будет достаточно простой односерверной установки, как описано в сопровождающих памятках. Как всегда, мои памятки и сопровождающие инструменты предназначены только для тестовых лабораторных условий, и их использование в производственной среде не предусмотрено. Используя эти инструменты, вы действуете на свой страх и риск.