Implementacija AD RMS Trust polisa zahteva poznavanje tipova Trust polisa i poverljivih korisnika (Trusted User) i objavljivanje interakcije domena (Publishing Domain Interaction). Administrator bi takođe trebalo da poznaje konfiguraciju Trust polisa i izgradnju AD RMS koristeći AD FS.

Metodi definisanja Trust polisa

Administrator može da implementira nekoliko Trust hijerarhija u organizaciji. Trust hijerarhija sadrži AD RMS klaster. AD RMS Root klaster iznajmljuje RACs korisnicima. Po defoltu AD RMS klaster ne servisira zahteve za korisnike koji imaju RAC od AD RMS Root klastera u različitoj Trust hujerarhiji. Administrator može da kreira polise tako da AD RMS sistem veruje i procesira Licesing zahteve od korisnika ili grupa u različitim AD DS šumama.

Administrator može da koristi sledeće metode za definisanje Trust polisa:

  • Trusted User Domains: Administrator može da doda Trusted User Domain tako da AD RMS klaster procesira zahteve za Client Licensor sertifikate. Trusted User Domain takođe dozvoljava AD RMS Root klasteru da procesira licence od korisnika koji imaju RACs koje je dodelio različiti AD RMS Root klaster. Administrator može da doda Trusted Claster Domain importovanjem Server Licensor sertifikata AD RMS klastera u poverenje.
  • Trusted Publishing Domains: Administrator može da doda Trusted Publishing Domain tako da AD RMS klaster može da iznajmljuje Use Licenses protiv licenci koje je dodelio drugi klaster. Administrator može da doda Trusted Publishing Domain importovanjem Server Licensor sertifikata i privatnog ključa servera, u poverenje.
  • Windows Live ID: Administrator može da konfiguriše poverenje (Trust) sa Windows Lice ID tako da AD RMS korisnik može da pošalje Rights-protected sadržaj ka korisniku koji ima Windows Live ID. Ipak, Windows Live ID korisnik neće biti u mogućnosti da kreira sadržaj koji je Rights-protected (zaštićen) AD RMS klasterom.
  • Federated Trust: Administrator može da uspostavi Federated Trust između dve šume koristeći AD FS. Neke AD DS šume možda neće imati instalirani AD RMS. Korisnici ovih šuma mogu da koriste Federated Trust kada im je potrebno da pristupe Rights-protected sadržaju koji se nalazi u drugoj šumi.


Predstavljanje Trusted User Domain Interakcije

Po defoltu, AD RMS ne iznajmljuje Use Licenses korisnicima kojima je RASc dodelio drugi korisnički domen. Da bi konfigurisali AD RMS da iznajmljuje Use Licenses, administratori moraju da importuju server Licensor sertifikat potrebnog korisničkog domena. Administrator nakon toga mora da doda importovani sertifikat u listu trusted User Domains za AD RMS.

Nakon konfigurisanja AD RMS, korisnici sa RACs koje je dodelio poverljivi korisnički domen (trusted user domain) mogu da kreiraju zahteve za Use Liceses i šalju ih ka AD RMS. AD RMS nakon toga procesuira ove Use Liceses kao zahteve koje je dobio od internih korisnika.

Svaka organizacija ima prateću AD RMS instalaciju. Nakon što smo konfigurisali Trusted User Domains (poverljive korisničke domene), organizacija može da doda AD RMS instalaciju druge organizacije u listu poverljivih korisničkih domena (Trusted User Domains). Korisnici iz obe organizacije nakon toga mogu da rade zajedno na zaštićenom sadržaju. Ovi korisnici takođe mogu da razmene sadržaj kroz Internet ili Extranet.

Predstavljanje Trusted Publishing Domain interakcije

Po defoltu, AD RMS serveri ne iznajmljuju Use Licenses protiv Publishing Licenses koje je iznajmio AD RMS server iz drugog klastera. AD RMS klaster nakon toga može da implementira Trusted Publishing Domain (TPD) za iznajmljivanje Use Liceses protiv Publishing Licenci.

Za organizaciju, administrator možda objavi sadržaj koristeći AD RMS Root klastere u drugoj organizaciji ili u jednom delu druge šume. Administrator mora da konfiguriše TPDs kada objavljuje takav sadržaj. Koristeći TPD, AD RMS klaster koji je administrator implementirao može da dodeli Use Liceses korisnicima koji koriste objavljeni sadržaj.

Kada administrator doda TPD, administrator implementira Trust Relationship (odnos poverenja)  između AD RMS klastera koji je instalirao i drugog Root klastera. Za Trust Repationship, administrator importuje Server Licensor Certificate (SLC) drugog klastera. Administrator može da konfiguriše bilo koji broj TPD-ova za jedan AD RMS klaster.

Izgradnja AD RMS sa AD FS

AD RMS zavisi od AD DS koji treba da autentifikuje pokušaj korisnika da pristupi Rights-protected sadržaju. Ako je korisnik autorizovan da pristupa dokumentima koji su zaštićeni (Rights-protected), autentifikacija se daje korisniku.

  • Identity Federation podrška u AD RMS omogućava poslovnim organizacijama da kontrolišu postojeće Federated Relationship-ove. Takođe pomaže poslovnim organizacijama da učestvuju sa partnerima izvan njihovih poslovnih granica. Organizacije zbog toga mogu da šeruju pristup zaštićenom sadržaju između organizacija.
  • Organizacija u kojoj je AD RMS izgrađen može da uspostavi odnos federacije (Federated Relationship) sa drugom organizacijom koja nije izgradila AD RMS. Ovo uspostavljanje odnosa federacije se odrađuje šerovanjem pristupa Rights-protected sadržaju u organizaciji u kojoj AD RMS nije izgrađen bez potrebe uspostavljanja odvojenog poverenja.
  • Administrator može da autentifikuje eksterne korisnike koji pokušavaju da pristupe zaštićenom sadržaju organizacije, koristeći AD FS. AD RMS polise se primenjuju nakon što su ovi eksterni korisnici prošli proces autentifikacije. AD RMS će nakon toga automatski ponuditi eksternom korisniku koji ima odgovarajuće licence za sadržaj da radi na zaštićenom sadržaju organizacije.
  • Federated AD RMS u Windows Server 2008 je potpuno kompatibilan sa postojećim Office SharePoint 2007 serverom i potpuno podržava Down-level AD RMS klijente. AD RMS može da koristi Federation servere koji rade na Windows Server 2003 R2 Enterprise Edition-u ili na Windows Server 2008 Enterprise-u. Da bi konfigurisali klijente za Federation podršku u AD RMS, administratori moraju da dodele AD FS Home Realm for AD RMS u klijentskom redžistriju.
Dodaj komentar Sviđa mi se - (0) Ne sviđa mi se - (0)    

  • Implementacija AD RMS Trust polisa 1
  • Implementacija AD RMS Trust polisa 2
  • Implementacija AD RMS Trust polisa 3