ダイナミックアクセス制御~概要と設定(2)

今日はダイナミックアクセス制御の第2回目です。
前回はダイナミックアクセス制御の機能を使って、Kerberosチケットの中に入るクレームを
拡張する方法について解説しましたが、
今回はクレームをベースにアクセス許可を設定する方法について解説します。

■ ■ ■

ダイナミックアクセス制御に必要な3つの設定

最初に、前回の話をおさらいしておこう。

ダイナミックアクセス制御とは、ユーザーやコンピューターの属性に合わせてアクセス許可などを制御する機能であり、3つの設定が必要であった。

1.ダイナミックアクセス制御で利用するユーザーやコンピューターの属性に関する設定
2.アクセス許可を定義する集約型アクセスポリシーの設定
3.ファイルサーバーなど、ダイナミックアクセス制御を利用するサーバー側の設定

このうち、1.については前回解説させていただいた。今回は2.の集約型アクセスポリシーの概要とその具体的な設定について見ていくことにする。

アクセス許可を定義する集約型アクセスポリシーの設定

集約型アクセスポリシー(Central Access Policy)とは、ファイルサーバーなどで実際のアクセス制御を行うための設定が入ったコンポーネントである。例えば、図1にもあるように「重要度が高だったら、Title属性が部長となっているAuthenticated Usersグループのユーザーに変更アクセス許可を与える」のような設定が入る。このような設定をActive Directoryで行い、グループポリシーを通じてファイルサーバーなどに配布する、というのが集約型アクセスポリシーの担当する分野である。

では、もう少し細かく見ていこう。もう一度、図1をご覧いただきたい。

図3-4 図1●ダイナミックアクセス制御 – Active Directory側の設定概要

集約型アクセスポリシーは具体的なアクセス制御設定を入れておく「入れ物」としての役割を担っており、実際のアクセス制御設定は、集約型アクセス規則(Central Access Rule)と呼ばれるコンポーネントで定義される。

集約型アクセス規則では「重要度」が「高」の場合、アクセス許可を割り当てるようにルールを設定する。ここでの「重要度」とは、「リソースプロパティ」と呼ばれるコンポーネントで定義される属性で、Active Directoryの中であらかじめ定義しておく。リソースプロパティは[Active Directory管理センター]管理ツールから[ダイナミックアクセス制御]-[Resource Properties]から作成する。新規作成することも可能だが、あらかじめ用意されているリソースプロパティを流用することも可能だ。

画面1では、「Confidentiality」というリソースプロパティを「重要度」という名前に変更し、重要度の要素であるHigh、Medium、Lowもそれぞれ高、中、低に書き換えて利用している。

また、既定のリソースプロパティは無効に設定してあるので、有効に設定変更しておくこともお忘れなく。

画面4-1
画面1●リソースプロパティの編集画面。重要度と高・中・低を書き換えた。

設定できたら、続いてリソースプロパティを使った集約型アクセス規則の設定についても確認しておこう。集約型アクセス規則は[Active Directory管理センター]管理ツールから[ダイナミックアクセス制御]-[Central Access Rules]から作成する。[新規]をクリックして、ルールを新規作成すると、画面2が表示されるので、各項目を指定していく。

画面4-2 画面2●集約型アクセス規則の設定画面と設定項目

まず、リソースプロパティで設定した「重要度」がどのような値をとるときにアクセス許可を割り当てるか?という条件(ここでは重要度=高)を集約型アクセス規則の[ターゲットリソース]欄で指定する。そして、アクセス許可を集約型アクセス規則の[アクセス許可]欄で指定する。アクセス許可を指定するとき、[次のアクセス許可を現在のアクセス許可として使用する]のラジオボタンを合わせて選択しておく。

さらに[Active Directory管理センター]管理ツールから[ダイナミックアクセス制御]-[Central Access Policy]から集約型アクセスポリシーを作成し、前の手順で作成した集約型アクセス規則を追加すれば、Active Directoryでのすべての設定は完了である。

ここまでの設定が完了したら、グループポリシーから集約型アクセスポリシーの設定をドメイン内の各サーバーに配布する。ドメイン内のすべてのサーバーを対象に配布する場合、[グループポリシーの管理]管理ツールからDefault Domain Policyグループポリシーオブジェクトを右クリックして[編集]をクリックする。編集画面では、[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[ファイルシステム]-[集約型アクセスポリシー]を開き、Active Directory管理センターで作成した集約型アクセスポリシーを登録する(画面3)。

画面4-3

画面3●グループポリシーオブジェクトに集約型アクセスポリシーを追加した様子

次回の予告:ダイナミックアクセス制御を利用するサーバー側の設定

集約型アクセスルールでは、「重要度が高だったら…」という条件を設定した。
これは、ダイナミックアクセス制御を利用するサーバー側(リソース)の特徴を表すものである。例えば、共有フォルダーに「重要度=高」と設定すれば、それが共有フォルダーの特徴となる。このことからわかるように、ダイナミックアクセス制御では共有フォルダーなどのリソースの特徴に合わせて、自動的にアクセス許可を制御するような仕組みとなっている(図2)。

図4-2
図2●集約型アクセス規則と共有フォルダーを組み合わせたときのアクセス許可が適用される様子

「Titleが部長だったらアクセスを許可する」のようなアクセス許可を割り当てられることこそがActive Directoryのグループを使って割り当てるNTFSアクセス許可との最大の違いであり、直観的なアクセス許可が割り当てられるというメリットなのである。

次回は、共有フォルダーに「重要度」を割り当てて、集約型アクセス規則で設定したアクセス許可が実際に割り当てられる様子を確認するので楽しみに。