Active Directory.pdf - Gattner

716 Kapitel 18: Active Directory-Rechteverwaltungsdienste
1. Adatum exportiert und sendet das Server-Lizenzgeberzertifikat (.bin-Datei) an NWTraders.
2. NWTraders importiert die .bin-Datei und legt Adatum als vertrauenswürdige Benutzerdomäne
fest.
3. Kim (Mitarbeiter von NWTraders) sendet ein durch Rechte geschütztes Dokument an Don.
4. Nach dem Erhalt der Inhalte werden Dons RAC und Veröffentlichungslizenz beim Versuch, das
Dokument zu öffnen, an den Lizenzierungsserver von NWTraders gesendet.
5. Der AD RMS-Cluster bei NWTraders erkennt die Adatum-Domäne als vertrauenswürdige Benutzerdomäne
und verwendet das importierte SLC, um Dons RAC zu verifizieren und ihm eine Nutzungslizenz
auszustellen.
Hinweis In der ursprünglichen Konfiguration der Lizenzierungspipeline ist lediglich die Windows-Authentifizierung
aktiviert. Um einem Benutzer einer anderen Domäne das Anfordern von Nutzungslizenzen zu
ermöglichen, muss sich der Benutzer gegenüber dem Server authentifizieren können, auf dem IIS ausgeführt
wird. Dies kann durch die Konfiguration einer Active Directory-Vertrauensstellung mit der anderen
Gesamtstruktur erfolgen, um die anonyme Authentifizierung in der Lizenzierungspipeline in IIS zu ermöglichen,
oder durch die Erstellung von Schattenkonten für die Authentifizierung.
Vertrauenswürdige Veröffentlichungsdomänen
Ein AD RMS-Cluster kann standardmäßig lediglich Nutzungslizenzen für rechtegeschützte Informationen
mit einer Veröffentlichungslizenz ausstellen, die von demselben AD RMS-Cluster ausgestellt
wurde. In einigen Szenarien kann es jedoch erforderlich sein, einen AD RMS-Cluster so zu konfigurieren,
dass dieser Nutzungslizenzen für Veröffentlichungslizenen ausstellen kann, die von einem
anderen AD RMS-Cluster ausgestellt wurden. Beispiel: Die Adatum Corporation übernimmt Northwind
Traders, und es wurde entschieden, dass keine zwei AD RMS-Installationen benötigt werden.
Northwind Traders kann das SLC und den privaten Schlüssel des Unternehmens exportieren, und der
AD RMS-Cluster von Adatum kann das Zertifikat und den Schlüssel anschließend importieren. So
wird Northwind Traders innerhalb des AD RMS-Clusters von Adatum als vertrauenswürdige Veröffentlichungsdomäne
festgelegt. Anschließend kann der AD RMS-Cluster von Adatum für sämtliche
rechtegeschützten Inhalte, die ursprünglich über die RMS-Installation bei Northwind Traders verwaltet
wurden, Veröffentlichungslizenzen entschlüsseln und Nutzungslizenzen ausstellen.
Zum Konfigurieren einer vertrauenswürdigen Veröffentlichungsdomäne muss die Konsole der Active
Directory-Rechteverwaltungsdienste geöffnet und die Datei einer vertrauenswürdigen Veröffentlichungsdomäne
importiert werden. Bei einer Domänendatei handelt es sich um eine XML-basierte
Datei, die das Server-Lizenzgeberzertifikat, den Clusterschlüssel und gegebenenfalls die Vorlagen für
Benutzerrechterichtlinien des AD RMS-Clusters enthält, der als vertrauenswürdig festgelegt werden
soll. Zur Erstellung der XML-Datei wählen Sie das unterhalb des Knotens Vertrauenswürdige Veröffentlichungsdomänen
aufgeführte SLC und klicken anschließend im Fenster Aktionen auf die Option
Vertrauenswürdige Veröffentlichungsdomäne exportieren. Zudem muss für zusätzliche Sicherheit und
zum Verschlüsseln der Datei der vertrauenswürdigen Veröffentlichungsdomäne ein Kennwort angegeben
werden. Wenn die Datei in einen RMS-Cluster mit einer Vorgängerversion der RMS importiert
wird, kann das Kontrollkästchen Wurde als V1-kompatible vertrauenswürdige Veröffentlichungsdomänendatei
gespeichert aktiviert werden. Die Datei kann anschließend gespeichert und an den Administrator
übermittelt werden, der die Datei der vertrauenswürdigen Veröffentlichungsdomäne in den
AD RMS-Zielcluster importiert. Abbildung 18.13 zeigt das Dialogfeld für den Export der Datei der
vertrauenswürdigen Veröffentlichungsdomäne.