Dla tych, którzy tematem się interesują jest to wiadomość długo oczekiwana. Przez sceptyków nawet wyczekiwana była wiadomość całkiem inna … Ważne że jest. Teraz czas odświeżyć umiejętności na wersji RTM

Wersje eval FIM2010 można pobrać ze strony Microsoft Downloads.

FIM 2010 został ogłoszony przy okazji odbywającej się właśnie konferencji RSA. Na tej samej konferencji ogłoszona została wersja CTP U-Prove, która jakiś czas temu została przejęta przez Microsoft. Więcej o U-Prove I możliwości zastosowania tej technologii można znaleźć na Identity Element, linki na blogu Vittorio.  Z ciekawych rzeczy to w ramach CTP U-Prove udostępnione zostały dwa SDK  zawierające jak narazie przykłądy kodu dla C# I Javy.

Dla lubiących oficjalne ogłoszenia prasowe link to tegoż.

SYSVOL jaki jest każdy widzi, wystarczy że zajrzy do udziałów udostępnianych przez kontroler domeny. Rolą SYSVOL jest udostępnianie plików klientom usługi katlaogowej – w szczególności plików szablonów polityk GPO (duży skrót: GPO składa się z GP container (GPC) w katalogu I GP Template (GPT) na SYSVOL), skrytpów startu \ logowania itp. Przed zreplikowaniem I udostępnieniem SYSVOL kontroler domeny nie udostępnia swoich usług, bez SYSVOL klienci nie będą też przetwarzali GPO. To tak w telegraficznym skrócie.

(cc) swingnut

Z czysto technologicznego punktu widzenia SYSVOL to nic innego jak rozproszony system plików (DFS) udostępniany jako domenowa przestrzeń nazw (odwołania do SYSVOL odbywają się poprzez \\<FQDN domeny>\SYSVOL). Jego zawartość jest replikowana przy pomocy FRS w systemach starszych niż Windows 2008 I przy użyciu DFS-R w środowiskach opartych o Windows Server 2008 I wyższych, o ile administrator dokonał migracji tego mechanizmu. Szczerze mówiąc, to w zasadzie zawartość SYSVOL może być replikowana dowolnie, tak długo jak utrzymana jest jej spójność na wszystkich kontrolerach domeny.

Mówiąc o wszystkich kontrolerach domeny – skąd wiemy, z której repliki SYSVOL w skorzysta nasz klient, czyli jak lokalizowana jest ta replika przez klienta? I tutaj dochodzimy do problemu …

(more…)

(logo by joe)

Tym razem pojawił się ponownie … podobno teraz już na dobre.

Jako że po takich spotkaniach często pojawia się pytanie o materiał z prezentacji – uprzedzając pytania zamieszczam (PPS).

Tym którzy byli mam nadzieję, że się podobało. Ci którzy byli przez LiveMeeting podobno nic nie słyszeli – tak wyszło że po sali chodziłem. Ale tak czy inaczej mam nadzieję że było pożytecznie. Ewentualne komentarze dobre I krytyczne mile widziane … w komentarzach lub na e-mail.

(cc) bored-now

Poprzez blog Kima Camerona trafiłem na stronę projektu Panopticlick uruchomiony przez Electronic Frontier Foundation (EFF).  Projekt ten na podstawie anoniomowo dostępnych danych o przeglądarece użytkownika stara się określić jak łatwo byłoby odróżnić tą konkretną przeglądarkę od innych … a tym samym jak łatwo, na podstawie li tylko informacji o przeglądarce śledzić zachowania użytkownika w sieci.

Przykładowy wynik dla mojej przeglądarki poniżej.

Jak widać wśród ponad 400 tys przeglądarek moja okazała się unikalna w pewien sposób, co oznacza że *TAK* moja przeglądarka mnie zdradza. Nieładnie …

Podejście jest o tyle ciekawe, że z pozoru nieistotny element jak charakterystyczna karta graficzna czy też rzadko używany plugin do przeglądarki staje się w tym kontekście elementem wyróżniającym. I tak nagle nasza sieciowa tożsamość rozciąga się w pewnym kontekście już nie tylko na nasze dane ale również I na narzędzia, którymi się posługujemy.

Czy to faktycznie jest problem ??? Pytanie czy faktycznie jest możliwe zbudowanie mechanizmu, który będzie użytkowników identyfikował (a przynajmniej się starał) w oparciu o te informacje. Pytanie czy należy coś w kierunku uniemożliwienia takiego podejścia zrobić wcześniej … na to pytanie pewnie odpowiedzą sobie ludzie zajmujący się rozwojem przeglądarek itp. Odpowiedzą, jeżeli ktoś je im zada lub sami je postawią. Zobaczymy.

Małe uaktualnienie

Witek po opublikowaniu tej notki podesłał mi link do tej wiadomości. Wiadomość jak wiadomość, kto ekscytuje się fljemami to może poczytać I analizować. To co jest interesujące to:

(…) Nie korzystano ze statystyk sprzedaży (trudne do zanalizowania w przypadku wolnego oprogramowania) ani ankiet, lecz zanalizowano dostępność specyficznych fontów na komputerach łączących się z Internetem. Każdy z pakietów zawiera unikalne fonty niedostępne w innych aplikacjach. Ich analiza pozwala na dość dokładne stwierdzenie czy na danym komputerze zainstalowany jest dany pakiet. (…)

Jak widać informacja udostępniana przez przeglądarkę, na pozór mało istotna, może zostać użyta w różnym kontekście. O podobnej kwestii informuje również Kim Cameron w kolejnym wpisie na swoim blogu:

(…) The authors claim the groups in all major social networks are represented through URLs, so history stealing can be translated into “group membership stealing”.  This brings us to the core of this new work.  The authors have developed a model for the identification characteristics of group memberships – a model that will outlast this particular attack, as dramatic as it is. (…)

Wychodzi więc, że nasza przeglądarka przez swoją charakterystykę I różne jej przypadłości może być użyta do uzyskania całkiem ciekawych informacji. Zadanie dla osób planujących kolejne wersje przeglądarek wydaje się dosyć ciekawe … uwzględnić fakt, że przeglądarka może zostać użyta do identyfikacji użytkownika w sieci w jej mechanizmach. Jak już napisałem wcześniej … zobaczymy.

(cc tobym)

Odpowiedzi padło kilka, jedna z nich też moja … jakie więc mamy opcję.

Jedną z nich jest użycie Schema Analyzer pochodzącego z AD LDS (ADAM) tak jak zostało to opisane na blogu Ask DS Team. Instalujemy więc AD LDS, generujemy plik LDIF z obecnym schematem naszego katalogu, ładujemy schemat wzorcowy AD LDS I wyciągamy różnicę. Lekkie, łatwe I przyjemne ale …

• wymaga trochę pracy jeżeli nie mamy akurat pod ręką AD LDS
• nie zawsze interesuje nas różnica LDIF, może potrzebujemy tego w innej formie, na przykład CSV.

Alternatywne podejście … możemy wykorzystać fakt, że każdy obiekt w katalogu posiada informację o dacie utworzenia w ramach atrybutu whenCreated, który jest replikowany pomiędzy kontrolerami domeny. I w prosty sposób możemy uzyskać listę atrybutów I klas schematu, wraz z informację o dacie ich utworzenia:

adfind -schema -f "(|(objectClass=attributeSchema)(objectClass=attributeClass))" ldapDisplayName whenCreated –adcsv

wrzucić to do pliku tekstowego (atrybuty do wyboru), otworzyć w jakimś Excelu … posortować i voile …

Niby prosto, ale jednak nadal wymaga trochę zachodu I narzędzi typu Excel (lub coś co potrafi posortować plik, w zasadzie może być Powershell).  Z drugiej można skorzystać z gotowego skryptu CMD SchemaDiff.cmd przygotowanego przez Deana Wellsa (archiwum z DEC do ściągnięcia I rozpakowania), który opierając się na metadanych replikacji wyciąga z katalogu informację o zmianach w schemacie. A jak działa:

C:\Temp>SchemaDiff.cmd w2k.pl

SchemaDiff 1.1 / Dean Wells (dwells@msetechnology.com) - March 2006

STATUS - Working [review title bar for progression] …

       - Forest/schema creation timestamp: 2009-08-23 @ 22:51:06
       - base-schema has been MODIFIED since Forest creation
       - counting classSchema and attributeSchema instances: 1438
       - querying schema …

*MOD: CN=Schema,CN=Configuration,DC=w2k,DC=pl
       - schemaInfo…………………… {modified post-instantiation}

*MOD: CN=User,CN=Schema,CN=Configuration,DC=w2k,DC=pl
       - auxiliaryClass……………….. {modified post-instantiation}

+NEW: CN=AstContext,CN=Schema,CN=Configuration,DC=w2k,DC=pl
+NEW: CN=AstExtension,CN=Schema,CN=Configuration,DC=w2k,DC=pl

(…)

Done - 57 schema object(s) added, 4 schema object(s) modified
       in Forest "DC=w2k,DC=pl"

Szybko, łatwo I przyjemnie … I bez żadnych dodatkowych narzędzi oprócz tego co powinno być dostępne na każdym DC (cmd.exe I repadmin.exe).

Miłego używania … a bardziej ogólnie mówiąc o temacie to warto by było mieć udokumentowane wszystkie zmiany wprowadzane w schemacie katalogu. Warto pomyśleć o kilku prostych procedurach z tym związanych … nie musi być to coś wymyślnego, czasami prosty plik  wystarczy … w ostateczności witryna na WSS … pozostawiam do przemyślenia.

Jeżeli chcecie sie przekonać dlaczego Paula Januszkiewicz (MVP w zakresie bezpieczeństwa) jakiś czas temu odniosła sukces w Speaker Idol na TechED i dlaczego potem jej sesja na TechED w Berlinie musiała być powtarzana … to jest idealna okazja. Paula powtórzy swoją sesję z TechED on-line na portalu VirtualStudy.pl. Tytuł to Techniki hakerskie użyteczne dla administratora IT (oryginalny tytuł w języku angielskim: Useful Hacker Techniques: Which Part of Hackers‘ Knowledge Will Help You in Efficient IT Administration).

Jeżeli więc dysponujesz wolnym czasem wieczorem 1 lutego, i interesują Cię te zagadnienia … może warto zainstalować klienta LiveMeeting i przekonać sie samemu o czym będzie mowa. Wystarczy kliknąć i się zarejestrować.

Dla zmniejszenia lekko efektu lodówki dodam jeszcze informację, ze na VirtualStudy.pl w najbliższym czasie serie sesji o Powershell przeprowadzi też Grzesiek Tworek.

Powershell niby chwilę już jest dostępny ale jeżeli ktoś jeszcze się za niego nie zabrał lub też chce zweryfikować to co już wie warto zapewne na sesje Grześka się zapisać. Zawsze warto posłuchać co o technologii (a prywatnie i nie tylko o tym) Grzesiek ma do powiedzenia.

Rejestracja również przez portal VirtualStudy.pl.

A co gdy sieci mamy podefiniowane, podpięte pod odpowiednie lokacje a pomimo tego uparty klient nadal nie korzysta z kontrolera domeny z którym jest mu najbardziej po drodze lecz preferuje ten w przysłowiowym Pcimiu (bez obrazy dla mieszkańców tegoż… pozdrowienia)? Wtedy nadchodzi czas na to co każdy administrator lubi najbardziej … troubleshooting.

(cc) trriseesthings

Konfiguracja sprawdzona, logi przejrzane … nic nie widać  … i co dalej?

W tym konkretnym przypadku, problemów z procesem lokalizacji kontrolera domeny mamy możliwość skorzytania z kilku dodatkowych mechanizmów wpierających cały proces.

Pierwszy to możliwość włączenia trybu debug dla procesu netlogon. Netlogon jest to usługa systemowa, który obsługuje całość działań związanych z procesem logowania się użytkownika. W każdej wersji Windows z rodziny wywodzącej się NT możliwe jest włączenie trybu debug poprzez ustawienie odpowiednich flag w rejestrze … a jakie to flagi i jak je ustawić można przeczytać w KB 109626 Enabling debug logging for the Net Logon service. Po ustawieniu odpowiednich wartości, w pliku %widir%\debug\netlogon.log zapisywane będą informacje dotyczące procesu logowania, w tym lokalizacji kontrolera domeny. W większości przydatne :). Przykładowy log związany z lokalizacją DC przez klienta znajduje się poniżej (lekko podrasowany dla czytelności).

[SITE] Setting site name to ‘(null)’
[SESSION] \Device\NetBT_Tcpip_{33941FFA-DFED-4744-BF9A-972228BC6FF0}: Transport Added (192.168.1.10)
[SESSION] Winsock Addrs: 192.168.1.10 (1) List used to be empty.
[SESSION] V6 Winsock Addrs: (0)
[CRITICAL] Address list changed since last boot. (Forget DynamicSiteName.)
[SITE] Setting site name to ‘(null)’
[DNS] Set DnsForestName to: w2k.pl
[DOMAIN] W2K: Adding new domain
[DOMAIN] Setting our computer name to wss wss
[DOMAIN] Setting Netbios domain name to W2K
[DOMAIN] Setting DNS domain name to w2k.pl.
[DOMAIN] Setting Domain GUID to ce28b6f7-a26a-4e0f-9f39-0e63e525493e
[MISC] Eventlog: 5516 (1) "wss" "W2K"
[INIT] Replacing trusted domain list with one for newly joined W2K domain.
[SITE] Setting site name to ‘(null)’
[LOGON] NlSetForestTrustList: New trusted domain list:
[LOGON]     0: W2K w2k.pl (NT 5) (Forest Tree Root) (Primary Domain) (Native)
[LOGON]        Dom Guid: ce28b6f7-a26a-4e0f-9f39-0e63e525493e
[LOGON]        Dom Sid: S-1-5-21-1855823386-3643518527-1754427229
[INIT] Starting RPC server.
[SESSION] W2K: NlSessionSetup: Try Session setup
[SESSION] W2K: NlDiscoverDc: Start Synchronous Discovery
[MISC] NetpDcInitializeContext: DSGETDC_VALID_FLAGS is c00ffff1
[INIT] Join DC: \\resfs.w2k.pl, Flags: 0xe00013fd
[MISC] NetpDcInitializeContext: DSGETDC_VALID_FLAGS is c00ffff1
[MAILSLOT] NetpDcPingListIp: w2k.pl.: Sent UDP ping to 192.168.1.1
[MISC] NlPingDcNameWithContext: Sent 1/1 ldap pings to resfs.w2k.pl
[MISC] NlPingDcNameWithContext: resfs.w2k.pl responded over IP.
[MISC] W2K: NlPingDcName: W2K: w2k.pl.: Caching pinged DC info for resfs.w2k.pl
[INIT] Join DC cached successfully
[SITE] Setting site name to ‘Default-First-Site-Name’
[MISC] NetpDcGetName: w2k.pl. using cached information
[PERF] NlAllocateClientSession: New Perf Instance (001E6688): "\\resfs.w2k.pl"
    ClientSession: 00237D58
[SESSION] W2K: NlDiscoverDc: Found DC \\resfs.w2k.pl
[SESSION] W2K: NlSetStatusClientSession: Set connection status to 0
[DOMAIN] Setting LSA NetbiosDomain: W2K DnsDomain: w2k.pl. DnsTree: w2k.pl. DomainGuid:ce28b6f7-a26a-4e0f-9f39-0e63e525493e
[LOGON] NlSetForestTrustList: New trusted domain list:
[LOGON]     0: W2K w2k.pl (NT 5) (Forest Tree Root) (Primary Domain) (Native)
[LOGON]        Dom Guid: ce28b6f7-a26a-4e0f-9f39-0e63e525493e
[LOGON]        Dom Sid: S-1-5-21-1855823386-3643518527-1754427229
[SESSION] W2K: NlSetStatusClientSession: Set connection status to 0
[SESSION] W2K: NlSessionSetup: Session setup Succeeded
[INIT] Started successfully

Prawda że może być to pomocne??

Pytanie po co serwer LDAP dla Windows XP?? Na przykład dla developoerów piszących aplikację korzystającą z LDAP, aby do kontrolerów domeny nie musieli mieć dostępu w trakcie jej tworzenia lub dla administratorów którzy coś chcą w wolnej chwili potestować. Może to kogoś zdziwi ale są też w przyrodzie aplikacje, kóre korzystają z ADAM jako z podręcznego serwera LDAP na własne potrzeby zamiast SQL Express.

Wraz z nadejściem Windows Server 2008 ADAM zmienił swoją nazwę na AD LDS i zniknął z systemów klienckich co niektórym się mocno nie spodobało (oba fakty).

(logo by joe)

Jak widać Microsoft czasami wsłuchuje się w takie pomruki niezadowolenia i właśnie ADLDS powróciło na stacje robocze … dokładniej na Windows 7 :). Do pobrania z Microsoft Downloads.

O federacji mówi sie już długo … i to nie w kontekście kolejnych inicjatyw UE tylko w kontekście zarządzania dostępem do usług udostępnianych wewnątrz i pomiędzy organizacjami. Mówi się, mówi … i różnie z tym bywa. Z pewnych względów rok 2010 może być rokiem, w którym usługi federacji i podejście oparte na federacji i claims mogą zyskać masę krytyczną … a dlaczego .. i czy tak będzie?

(cc) *L

Krajobraz widziany optymistycznie …

Po pierwsze, świat się zmienia … usługi coraz częściej nie są zamknięte w jednym miejscu a rozproszone, świadczone są przez firmy trzecie, organizacje świadczą je sobie nawzajem, łączą się i dzielą. Użytkownicy są mobilni jak nigdy dotąd, i chociaż duża część organizacji przez tą mobilnością się broni lub nawet jej nie potrzebuje (w końcu po co w Banku mobilni kasjerzy) to jednak rzesza użytkowników, którzy potrzebują dostępu do usług zawsze i wszędzie, i jeszcze bez niepotrzebnych formalności (czytaj rejestrowanie się, logowanie się, profile, VPNy itp) rośnie.

Co prawda sceptyczny jestem jeżeli chodzi o akceptację chmury w kraju nad Wisłą, ale ale poza naszym PL światem to również jest czynnik, który na zmianę świata postrzeganego z punktu widzenia dostępu do usług będzie znaczący. W szczególności ze chmura będzie nie tylko jedna ale będzie ich wiele … i będą korpoaracyjne, i publiczne … i różne.

Po drugie, federacja dotąd kojarzyła się z czymś bardzo skomplikowanym.  Przynajmniej takie mam wrażenie po rozmowach z uczestnikami moich sesji chociażby. W A.D. 2010 jest szansa aby to zmienić, przynajmniej w świecie systemów opartych o Windows a to za sprawę dwóch elemetów: ADFS v2 i Sharepoint 2010.

ADFSv2 to w zasadzie nowy produkt, który z poprzednim wiąże nazwa i oczywiście wsteczna kompatybilność (co do protokołów). ADFS v2 tyle właśnie co osiągnął fazę Release Candidate i wszystkich zainsteresownych odsyłam do materiałów źródłowych udostępnionych przez grupę produktową, a tych jest naprawdę dużo (zarówno w formie maszyn jak i dokumentacji). Najbardziej istona zmiana to wsparcie ADFS dla protokołu SAML, którego kompatybilność z innymi implementacjami została potwierdzona w ramach testów prowadzonych przez Liberty Alliance. To otwiera drogę do współpracy z innymi środowiskami i rozwiązaniami w tym zakresie. Czy to Sibboleth czy Sun OpenSSO teraz ADFS może z nimi współpracować bezpośrednio.

Drugim ważnym (a nawet może ważniejszym) elementem układanki jest Windows Identity Foundation (WIF), wydane zresztą ostatnio również dla Windows 2003. Dzięki temu programiści aplikacji .NET uzyskali prosty sposób implementacji w swoich aplikacjach modelu uwierzytelnienia i autoryzacji w oparciu o usługi federacji i poświadczenia (claims) o użytkowniku. Tak … wiem, że .NET to nie cały świat ale jego jakiś spory kawałek … dla innych technologii wsparcie dla SAML również jest obecne.  Programistów zainteresowanych tematem odsyłam do Identity Developer Training Kit oraz połączonych z nim materiałów do samodzielnego szkolenia.

W ten sposób dochodzimy do drugiego punktu, który może mieć duży wpływ na adopcję federacji wśród użytkowników czyli Sharepoint 2010, w którym korzystając z WIF cały model bezpieczeństwa został oparty właśnie na claims. Zainteresowanych szczegółami odsyłam do video na ten temat opublikowane w ramach ID Element.  Jest to pierwszy (i mam nadzieję nie ostatni) produkt serwerowy Microsoft, który korzysta z tej technologii w takim zakresie i co tutaj ukrywać … również jeden z bardziej popularnych ostatnio produktów ze stajni MSFT. Wraz z jego wdrożeniem podejście oparte na federacji i claims wkłada przysłowiową nogę w drzwi. Teraz tylko kwestia zbudowania świadomości i wykorzystanie tego faktu w organizacjach.

Krajobraz mniej optymistyczny …

Z drugiej jednak strony większość organizacji nadal nie pozbyła się w swoim środowisku aplikacji korzystających z NTLM a najczęściej spotykana formą uwierzytelnienia i autoryzacji aplikacji z użyciem usługi katalogowej to LDAP simple bind i enumeracja grup jako obiektów lub atrybutu użytkownika.

Większość organizacji nie zajmuje się ustandaryzowaniem podejścia w tym zakresie a decyzje o tym,  w jaki sposób dana aplikacja będzie dokonywała uwierzytelnienia i autoryzacji użytkowników jest podejmowana ad-hoc i to niekoniecznie przez osoby za to odpowiedzialne - często przez tak zwany biznes lub po prostu arbitralnie przez programistę który tworzy daną aplikację. W tym procesie często zdarzają się kardynalne błedy, wynikające przeważnie z dostosowywania tych mechanizmów do świata obserwowanego, z założeniem że świat ten nigy nie ulegnie zmianie.

Organizacje nie podeszły jeszcze do tematu standaryzacji uprawnień, rozwiązania podstawowych problemów z obsługą zmiany hasła … gdzie tutaj myśleć o federacji i tych klejmach Panie. 

To wszystko powoduje, że myślenie o adpocji takich mechanizmów jak uwierzytelnienie z użyciem STS i autoryzacja oparta o claims, które przyznajmy to dla większości ludzi jest w tej chwili są dosyć abstrakcyjnymi pojęciami może nie być łatwa. Co nie oznacza że niemożliwa …

To jak to będzie …

W zasadzie mógłbym tutaj zacytować wykład pewnego analityka w tej dziedzinie, który stwierdził jak to analityk, że albo się to przyjmie … albo się nie przyjmie … zobaczymy. Szanse na to napewno są … zainteresowanie też sądząc po fakcie że w ciągu pierwszych dwóch tygodni stycznia w ramach obowiązków zawodowych będę rozmawiał z dwoma klientami w tym temacie.

Jak będzie zobaczymy. Ja staram się patrzeć na temat optymistycznie i zakładam że takie podejście, bardziej usystematyzowane i przemyślane w zakresie metod zarządzania dostępem do aplikacji będzie wygrywać. W końcu chaos w tym zakresie kosztuje niemałe pieniądze, zarówno w postaci opłat za aplikacje, w których koło jest wymyślane po raz kolejny, potem w jej utrzymaniu a w bardziej rozwiniętych organizacjach na końcu w tworzeniu systemów, które mają nad tym chaosem zapanować.

Jeżeli więc ktoś mnie na jakieś wystąpienia lub konferencje postanowi zaprosić to pewnie będzie to jeden z moich preferowanych tematów. Co prawda o wykładach i konferencjach narazie nic nie wiem, więc jest szansa też że Was tematem nie zanudzę :).

To tak jakoś na koniec roku trochę czasu na podsumowanie tematu i myślenie coby było gdyby mi zeszło.