Ограничение одновременных сессий

Минимум административных сессий с помощью LimitLogin...

Жан де Клерк

Минимум административных сессий с помощью LimitLogin

При развертывании операционных систем организациям часто требуются инструменты, позволяющие задавать и отслеживать ограничения на число одновременных сессий для какой-либо учетной записи. Для пользователей с высокими привилегиями, например с учетной записью Administrator, это ограничение обязательно. Как правило, все стараются полностью блокировать одновременные сессии от имени Administrator. Если пользователь регистрируется от имени учетной записи Administrator с разных мест в одно и то же время, с большой вероятностью он оставит одну из сессий открытой, в результате чего возрастает риск для всей сетевой среды.

Ограничение числа сессий для одного пользователя поддерживается собственными средствами многих операционных систем — например, Novell NetWare, но в Windows до сих пор таких средств не было. Теперь Microsoft предлагает дополнительный инструмент для Windows, который можно использовать для ограничения числа одновременных сессий в Windows. Рассмотрим, как работает инструмент LimitLogin, как его установить и настроить так, чтобы число сессий от лица Administrator, открытых в данный момент, было ограничено.

Требования и компоненты

Инструмент LimitLogin представляет собой усовершенствованную версию инструмента Cconnect, которая входит в комплект ресурсов Microsoft Windows 2000 Server Resource Kit. Cconnect предоставляет основную функциональность для ограничения числа одновременных сессий в средах Windows 2000 и Windows NT 4.0, а LimitLogin обеспечивает более эффективное управление регистрацией при работе с Active Directory (AD) и административными средствами AD. Инструмент LimitLogin добавляет в AD данные по количеству подключений; для Cconnect необходима база данных SQL Server. Так же как Cconnect, LimitLogin может ограничивать только интерактивные сессии и сессии служб Windows Terminal Services. Интерактивные сессии — это сессии, которые пользователи и администраторы инициируют с консоли (нажатием Ctrl+Alt+Del или в окне регистрации Windows XP Welcome).

Для инструмента LimitLogin нужна среда Windows Server 2003 AD и Web-сервер Microsoft IIS 6.0, который имеет разблокированную поддержку ASP.NET. Оба сервера также должны иметь уже загруженную инфраструктуру .NET Framework 1.1 или более поздней версии.

LimitLogin работает на следующих клиентских платформах Windows: Windows 2003, XP Professional Service Pack 1 (SP1), Windows 2000 Professional SP4 и Windows 2000 Server SP4, а также более новых версиях. Как в случае с другими утилитами из набора ресурсов и дополнениями Windows, служба поддержки Microsoft Product Support Services (PSS) не оказывает официальной поддержки LimitLogin. Используя LimitLogin, нельзя проследить процесс регистрации на тех рабочих станциях, которые управляются операционными системами, не поддерживающими LimitLogin.

Инструмент LimitLogin требует наличия конфигурационных изменений и специальных компонентов клиентов Windows, Web-сервера IIS 6.0 и контроллеров доменов AD (DC). Большая часть этих изменений и компонентов создается автоматически, когда устанавливается программа Limit-Login. Сценарии регистрации и завершения сеанса, которые использует LimitLogin (llogin.vbs и llogoff.vbs), поставляются с программным обеспечением, но они должны копироваться вручную на общий ресурс, к которому могут иметь доступ указанные клиенты Windows. Кроме того, пользовательские настройки объекта групповой политики Group Policy Object (GPO) сценариев регистрации и завершения сеанса (находятся в контейнере User Configuration/Windows Settings/Scripts (Logon/Logoff) GPO) должны меняться вручную для указания на конкретные сценарии. Эти сценарии дают дополнительную нагрузку к обычному сценарию регистрации.

Компоненты клиентской стороны LimitLogin состоят из среды исполнения Simple Object Access Protocol (SOAP), специального набора DLL для LimitLogin и исполняемых файлов. На Web-сервере LimitLogin устанавливает Web-службу LimitLogin в виртуальном каталоге WSLimitLogin. По умолчанию WSLimitLogin создается на Web-узле Default Web, а доступ к Web-службе выполняется через порт 80.

Экран 1. Раздел приложения LimitLogin в AD

Хотя клиент LimitLogin не передает пользовательские учетные данные Web-службе, Microsoft рекомендует организациям с более строгими требованиями системы безопасности вручную настраивать протокол защищенных сокетов Secure Sockets Layer (SSL) для виртуального каталога WSLimitLogin. Автоматически LimitLogin не предоставляет эту защиту SSL.

LimitLogin расширяет схему AD и создает раздел приложения для размещения данных настройки LimitLogin — вот почему для LimitLogin нужна служба Windows 2003 AD. На экране 1 показан вид раздела приложения LimitLogin AD в окне Microsoft Management Console (MMC) оснастки ADSI Edit (который приходит с набором Windows Server 2003 Support Tools).

Раздел приложения AD называется DC=limitlogin,dc=domainname,dc=domainname. Новый тип объекта LimitLogin, который использует для хранения квоту сессий, называется msLimitLoginUser. Он имеет следующие атрибуты LimitLogin:

• msLimitLoginDenyLoginOnQuota Exceed — пользователь доступен для проверки LimitLogin, если значение этого параметра установлено в true;
• msLimitLoginQuota — данный атрибут содержит квоту сессий LimitLogin;
• msLimitLoginInfo — этот атрибут содержит текущие сессии, которые зарегистрированы в настоящее время в AD. Данные в этом атрибуте сравниваются с квотой в предыдущем атрибуте для принятия решения о возможности организации пользователем другой сессии;
• MsLimitLoginUsername — этот атрибут содержит имя учетной записи пользователя.

Объект AD и его атрибуты можно настроить с помощью расширений LimitLogin оснастки MMC Active Directory Users and Computers и утилит командной строки LimitLogin, которые будут описаны ниже.

Функционирование

На рисунке показаны компоненты и функционирование LimitLogin в момент регистрации пользователя в интерактивном режиме в домене Windows с запущенной службой LimitLogin. Происходят следующие события:

1. Пользователь инициирует последовательность интерактивной регистрации с клиента Windows. Сценарий регистрации LimitLogin (Llogin) запускается.
2. Сценарий Llogin посылает данные о пользователе и компьютере в Web-службу LimitLogin. Данные посылаются в формате XML с помощью SOAP, они содержат имя пользователя, имя компьютера, IP-адрес, ID сессии и аутентифицирующий DC.
3. Web-служба LimitLogin проверяет, отслеживается ли пользователь LimitLogin, и если да, то какова квота на количество сессий пользователя. Эти данные хранятся в разделе приложения LimitLogin в AD.
4. AD дает ответ на запрос.
5. Если пользователь не отслеживается LimitLogin, служба LimitLogin Web вызывает сценарий регистрации, который должен продолжить обычный процесс регистрации пользователя. Если пользователь отслеживается Limit-Login и имеет установленную квоту на сессии, служба LimitLogin Web определяет число сессий, которые в настоящее время открыты пользователем в разделе приложения LimitLogin. С этого момента возможны два варианта: если квота на сессии пользователя больше числа зарегистрированных сессий в AD, то Web-служба обновляет информацию о сессиях в разделе приложения LimitLogin и позволяет сценарию регистрации продолжать процесс регистрации в нормальном режиме.

07.12.2006г