Je parle souvent de la technologie IAG/UAG pour de la confidentialité des données, d'éviter la perte de données, … dans un scénario de mobilité essentiellement. A travers quelques articles que je vais publier on va découvrir ensemble un module, pour lesquels les entreprises s'intéressent de plus en plus. D'autant que ce module est désormais intégré dans Windows 2008 et 2008 R2. Nous allons donc parler de RMS, qui permettra de faire de la protection de données de manière très avancée.
Microsoft RMS existait déjà avec Windows 2003, et avait pour numéro de version 1.0. Ce composant est gratuit et devait être téléchargé séparément. Actuellement la dernière version de RMS 1.0 est en Service Pack 2 : http://www.microsoft.com/downloads/details.aspx?familyid=5794538F-E572-4542-A5BD-901B2720F068&displaylang=en
Microsoft RMS 2.0 change de nom, Windows Active Directory RMS et est uniquement disponible pour Windows 2008, alors que la première version ne l'est que pour 2003. Au cours des articles qui vont être écrits sur le sujet, nous ne verrons que la version 2.0 en tant que nouvelle installation. Mais alors, à quoi sert RMS ? Pour la version longue vous pouvez vous rendre sur le site de Microsoft (http://technet.microsoft.com/fr-fr/library/cc771627(WS.10).aspx); vous y trouverez les prérequis nécessaire par la même occasion sur ce lien. Sinon pour simplifier, AD RMS va permettre à une entreprise de protéger activement ces documents et informations sensibles. Cette protection consiste à donner des droits sur un document ou un mail, quel que soit l'emplacement du document. En effet, sur un partage on connait les droits NTFS, mais comment faire si on envoie un document par mail à un collaborateur … Ce dernier le possède désormais et pourra l'imprimer, le transférer, le modifier, … Avec RMS l'utilisateur qui envoie un document sensible pourra définir si son correspondant à le droit de l'imprimer, le transférer, le modifier et toutes autres actions pouvant nuire à la confidentialité de ce document. Ceci peut marcher également avec les utilisateurs extérieurs à une entreprise. Nous allons donc explorer ce rôle, et pour information les services RMS de Microsoft sont gratuits.
Dans ce premier billet, nous allons commencer par installer RMS. L'installation du rôle de RMS n'est pas recommandée pour être installé sur un DC, mais ce sera mon cas à travers ce dossier pour des raisons de performances sur ma maquette.
Impression écran | Description |
| Pour installer RMS, il faut se rendre dans l'ajout de rôle et sélectionner : « Active Directory Rights Management Services ». |
| Des composants supplémentaires seront nécessaires, ils vous sont proposés d'être installé. Validez l'installation. |
| Dans les composants de rôle RMS, il est possible d'installer « Identity Federation Support ». Ce composant permettra de s'appuyer sur de la fédération avec ADFS.
Pour plus d'informations : http://technet.microsoft.com/en-us/library/cc771425(WS.10).aspx
|
| Lors de la création du premier serveur, seule la première option est disponible.
Il sera possible d'ajouter d'autres serveurs ultérieurement pour assurer une haute disponibilité des services en utilisant la seconde option. |
| L'assistant va vous proposer de sélectionner une base de données. Si l'utilisation de RMS au sein de l'entreprise ne nécessite pas une haute disponibilité, une petite organisation ou seulement pour un lab l'utilisation de la base de données intégrée est suffisante.
En cas de besoin avancées et de haute disponibilité, il faut alors utiliser un serveur SQL. Dans ce cas, il faudra fournir les informations du serveur SQL.
Il sera possible de modifier ce paramètre ultérieurement avec un outil complémentaire que nous borderons plus tard. |
| Les services RMS nécessitent l'utilisation d'un compte de service. Le compte doit être un compte standard sans droits spécifiques. Si cependant, vous avez décidé d'installer sur un DC, alors il faudra un compte membre des Domain Admins.
Pour finir, le compte utilisé ne doit pas être le compte avec lequel vous être connecté pour installer RMS. |
| A présent, il vous est demandé comment sera stockée la clé de sécurité nécessaire pour signer les certificats.
Il est possible d'utiliser un matériel spécifique ou un service de cryptographie spécifique ou encore de la stocker de manière centralisée à l'aide d'un mot de passe.
Pour plus d'informations : http://technet.microsoft.com/en-us/library/cc754905.aspx
|
| Dans mon cas, n'ayant pas de matériel HSM je vais utiliser le chiffrement par mot de passe. Je suis donc inviter à le spécifier ici. |
| AD RMS nécessite l'utilisation d'IIS pour y installer des Web Services. Il faut donc indiquer le site web qui sera utilisé.
Si vous voulez dédier le site web, et ne pas utiliser le Default Web Site alors il faudra créer le site au préalable. |
| La connexion aux Web Services peut être effectuée avec SSL, ce que je vous recommande. Dans ce cas-là il faut s'assurer d'avoir déjà installé le certificat serveur dans IIS.
Le bouton « Validate » permettra de vérifier que les paramètres sont ok. |
| Indiquez ici un nom convivial du certificat RMS |
| Comme dit plus haut, RMS nécessite Active Directory car les services RMS vont créer un point de connexion (SCP).
Pour enregistrer le SCP il faut que l'utilisateur actuellement connecté pour l'installation de RMS soit membre du groupe « Entreprise Admins ». |
| Les composants IIS supplémentaires vous sont rappelés ici, validez avec Next. |
| Un récapitulatif vous est affiché, avant de valider l'installation. |
| A la fin de l'installation il n'est pas nécessaire de redémarrer le serveur.
Cependant il faudra faire une fermeture puis ouverture de session pour prendre en compte les changements. Cela fait suite surtout aux modifications des groupes de membre dans l'AD. |
Voilà à présent l'installation de RMS est finie. Pour les prochains billets on va rentrer dans la configuration du serveur, des clients, et reprendre des scénarios typique d'une entreprise.