Dynamic Access Control a Device Claims

Dnes jsem se začal trochu více do hloubky šťourat v Dynamic Access Control. Konfigurace Resource Properties a Claims pro uživatele podle atributu v Active Directory fungovala okamžitě a bez problémů. Měl jsem tedy chuť vyzkoušet Device Claim.

Všude v Microsoft prezentacích se popisuje krásný příklad, kdy povolujete přístup pouze z určitého zařízení (příklad obsahuje podmínku Device.Managed = True). Tak jsem se rozhodl si udělat Device Claim s identifikací země stanice (takže atribut Country (c) na Computer objektu).

dac1-computer

dac1-car

Protože tedy kvůli tomu potřebuji řešit i Device Claim, tak jsem přes Group Policy povolil politiku „Computer Polices – Administrative Templates – System – Kerberos – Kerberos Client support for claims, compound authentication and Kerberos Armoring“. GPupdate na stanici a hned se to chytlo. Ze stanice ze země, která neodpovídala pravidlu, jsem přístup nedostal. Takže funkční scénář.

dac1-kerbarmor-enabled

Co takhle to zkusit ale ze stanice, která je na stejné síti, ale není členem domény. Takže Windows 8.1 klient, přihlášení pod Microsoft Accountem a test na UNC cestu toho file sharu. Samozřejmě se to zeptalo na credentials a následně to přístup nedalo. Takže taky super funkční.

Protože jsem ale ještě pak trochu modifikoval tu doménovou politiku, tak se mi podařilo dostat do situace, kdy jsem podporu pro Claims, apod. vypnul.

dac1-kerbarmor-disabled

Zkusil jsem to v tu chvíli ze stroje mimo doménu a na share jsem se dostal! Asi je to tak správně, protože si to v mám politice zapnout, ale pak mi přijde, že je to celé takové pochybné. Dám tu ještě pár hodin a pak to budu akceptovat jako vlastnost 🙂

UPDATE: Po dalších třiceti minutách jsem na to přišel. Není to tou politikou, ale jen pravidlem, což dává samozřejmě smysl. Když udělám Central Access Rule bez Device Claimu, tak se z nedoménové stanice na share dostanu a když s Device Claimem, tak samozřejmě ne. Chovalo se mi to předtím blbě, protože jsem občas zapomněl udělat gpupdate asi 🙂 Tady jsou pro zajímavost ještě screenshoty z Effective Accessu. První bez device claimu a druhý s device claimem.

dac1-effectiveaccess-userclaimdac1-effectiveaccess-userclaim-and-devicelaim

Written on January 23, 2014