powershell 5.0 jea (just enough administration) first step
TRANSCRIPT
PowerShell 5.0 JEA
(Just Enough Administration)
First StepSystem Center User Group Japan #14 (2015.12.19)
Kazuki Takai
自己紹介
高井一輝 (Takai Kazuki)
某ISP勤務
クラウドサービスの開発、設計、設備維持
Windows Server / System Center / Linux / etc…
System Center User Group Japan (SCUGJ)
Twitter : @zhuky7 / Facebook : kazuki.takai
Blog : http://operationslab.wordpress.com/
2
セッション・アジェンダとゴール
Agenda
Just Enough Administration (JEA) とは
Demo: JEA の動作イメージ
JEA の(簡易)構成
Goal
JEA がどのようなものか何となく分かる
JEAを検証用に構成できる
3
はじめる前に
本資料の内容は個人的な検証結果に基づきます
所属する会社や組織、マイクロソフト社の公式な見解を記載するものではありません
表記や内容に誤りがあるなど、お気づきの点があれば、facebook等でご連絡いただけると幸いです
この資料では Preview 版の製品、テクノロジーについて記載しています
2015/12 時点の情報をベースにしています
今後のリリースで機能や動作が変更、削除される可能性があります
ご利用は自己責任で!!
4
なのですが…
WMF 5.0 RTM is now available !!
Windows Management Framework (WMF) 5.0 / PowerShell 5.0
2015/12/16 に RTM (KB3094174 - KB3094176)
http://blogs.msdn.com/b/powershell/archive/2015/12/16/windows-management-framework-wmf-5-0-rtm-is-now-available.aspx
12/19 04:00 am (JST) 時点でリリースノートは未 Upload
必要な方は Production Previewの Release Notesを参照
本日のデモ環境はWindows Server 2016 TP4 です
Windows Server 2012 R2 + WMF 5.0 RTM でも同様のはずです
それよりも古いOSは…未確認です
5
Just Enough Administration とは
操作 (Operation) に関する、セキュリティレベルを向上させるための機能
管理者権限を持つユーザーが多すぎるのでは?
必要十分な権限で管理を行う
PowerShell をベーステクノロジーとして利用
PowerShell Remoting
PowerShell Session Configuration / Endpoint
Command visibility & Proxy command
6
(補足)JEA と JIT Adminの違い
Just Enough Administration (JEA)
管理者が実行可能な操作、範囲を制限する
できることを制限する
Base Technology - PowerShell
Just-in-Time Administration (JIT Admin)
管理者権限に有効期限を設定し、必要なときに(のみ)権限を付与する
できる時間を制限する
Base Technology – Active Directory + MIM 2016 ( + PowerShell )
7
DemoJust Enough Administration
8
JEA の仕組み9
Operator
PowerShell Client
Target Server
Active Directory
Domain ServicePS Remoting
Endpoint
ACL (Permission)
RunAsUser
Role Capability
Cmdlets
External cmds
Authentication / Authorization
JEA の構成要素
Endpoint (Session Configuration)
PS Remoting の受け口
誰が接続できるのか、接続した後どのような権限で実行するのか、などを定義
実行ユーザー(の所属グループ)を定義しない場合、デフォルトでは Administrators (Domain Admins) グループのメンバーとして実行
Role Capability
Endpointに紐づけられた、具体的な役割(に応じた実行内容)
何ができるのか(何を実行してよいのか)を定義
10
JEA の構成
現時点 (2015/12/19 時点) では、2種類の方法が利用可能
xJEAモジュールを使用して構成
超簡単!(5分で構成可能)
Windows Server 2016 TP2 の頃から存在する方法(今後は推奨されないかも)
WorkGroup環境でも利用可能(現時点では)
RoleCapabilityと SessionConfiguration を使用して構成
xJEAモジュールを使用する方法より、若干ステップ数が多い
Windows Server 2016 TP4 (PP1) or Windows Server 2012 R2 + WMF 5.0 RTM が必要
xJEAモジュールで実現していたいくつかの機能が PowerShell Core に取り込まれたことにより、xJEAモジュールに依存せず構成可能(今後推奨となる可能性が高い)
11
xJEAモジュールを使用した構成
PS Remotingの有効化
Enable-PSRemoting / Set-Item wsman:¥localhost¥Client¥TrustedHosts -Value *
xJEAモジュールのインストール
Install-Module xJea
構成の記述
Show-JeaExamples – ISE でサンプルコンフィグを開く
Show-JeaWhitePaper – White Paper を開く (docx)
Show-JeaWhitpaper – TechED 2014 のスライドを開く (pptx)
DSCによる構成の配布
12
RoleCapabilityと SessionConfiguration
による構成
Target Server をドメインに参加
PS Remoting の有効化
ACL 用のユーザー、グループを構成、(必要があれば)実行ユーザーの作成
Role Capability の記述
New-PSRoleCapabilityFile
Session Configurationの記述
New-PSSessionConfigurationFile
記述した Session Configuration を Endpoint として登録
Register-PSSessionConfiguration
13
DemoConfigure JEA
14
まとめ
JEA を利用することで、何ができるかを細かく制御可能
誰が、何を、どのような権限で実行するのか
Configurationは難しくない
何をどう制御したいかが決まっていれば、実装は書くだけ
運用設計、業務設計が重要
15
参考資料
Just Enough Administration (JEA) Infrastructure: An Introduction
https://gallery.technet.microsoft.com/Just-Enough-Administration-6b5ad370
Windows Management Framework 5.0
https://www.microsoft.com/en-us/download/details.aspx?id=50395
Windows Management Framework 5.0 Production Preview
https://www.microsoft.com/en-us/download/details.aspx?id=48729
PowerShell xJea Module
http://www.powershellgallery.com/packages/xJea/
16