Sommario
Active Directory è un database gerarchico di risorse integrato nei domini Windows 2000 e Windows 2003. Il principale utilizzo è quello di conservare i riferimenti a risorse di vario tipo quali utenti, gruppi, cartelle condivise, stampanti, ecc. in un unico posto (dal punto di vista dell'amministrazione) in modo da poter reperire agevolmente le informazioni richieste.
Questo database contiene informazioni che possono essere utili ad eXtensiveControl® per gestire le policy dei proxy WEB e SMTP, in particolare nel database Active Directory sono memorizzati la lista degli utenti e dei gruppi appartenenti al dominio. Attraverso un collegamento col domain controller eXtensiveControl® può presentare una lista di utenti e gruppi che l'amministratore può utilizzare per comporre le regole di accesso.
eXtensiveControl® utilizza i dati estratti da Active Directory nelle seguenti circostanze:
Autenticazione WEB: è possibile comporre le regole di accesso al WEB inerenti all'autenticazione utente, selezionando direttamente gruppi e utenti da una gui grafica piuttosto che doverli inserire manualmente. Per maggiori informazioni vedere la sezione chiamata «Regole di accesso»
Filtro sui messaggi (SMTP): se il mail server impiegato per la ricezione della posta è un server Exchange intergrato nel dominio Active Directory, è possibile utilizzare i dati del database per impostare un filtro che respinga tutte le mail indirizzate ad utenti del dominio non esistenti.
In questo modo i messaggi (tipicamente di SPAM) che presentano destinatari fasulli non raggiungono nemmeno il server di posta (che normalmente è l'entità che li respinge), ma si fermano a monte sul filtro SMTP di eXtensiveControl®.
Il proxy SMTP, se viene abilitato il filtro su Exchange, interroga periodicamente il domain controller per aggiornare una cache locale che viene utilizzata per decidere se un particolare messaggio deve essere accettato oppure no.
Il tempo di refresh viene impostato per default a 1200 secondi (20 minuti), ragione per la quale occorrono mediamente 10 minuti (nel peggiore dei casi 20 minuti, nel migliore l'aggiornamento è di pochi secondi) prima che un ipotetico utente appena creato sul domain controller possa ricevere posta.
Se necessario il tempo di refresh della cache può essere alterato attraverso la sezione Regole di relay, sottosezione Controllo destinatari. Riducendo il tempo si ottengono ritardi inferiori nella acquisizione di eventuali cambiamenti, ma al tempo stesso si carica maggiormente il domain controller. Al contrario se i tempi vengono allungati, il domain controller viene interrogato e quindi vengono impiegate più raramente le sue risorse a discapito di una latenza maggiore nell'aggiornamento dei dati. Una eventuale modifica deve essere dunque ponderata in base alle necessità e alle risorse della rete in questione.
Il configuratore provvede attraverso il wizard al rilevamento automatico o semi automatico della configurazione del dominio se si decide di collegare eXtensiveControl® a quest'ultimo. Esistono tuttavia situazioni in cui per effettuare il collegamento è necessario inserire dati manualmente; tipicamente queste circostanze sono provocate da una configurazione anomala della rete che richiede l'intervento diretto sui parametri di configurazione o comunque un sistema per aggirare il problema.
Nella sottocartella config della cartella di installazione è presente il file LDAP.conf che memorizza le impostazioni Active Directory rilevate dal wizard o successivamente modificate attraverso l'omonima sezione. La struttura di questo file è piuttosto semplice. Ogni dominio (per default ne viene richiesto soltanto uno) ha il nome DNS racchiuso fra parentesi quadre, e da lì segue una lista di parametri che definiscono le caratteristiche del dominio. Questi parametri sono:
DC: nome DNS o indirizzo IP del domain controller (possono essere più di uno, distribuiti su altrettante righe). Se vengono trovati (o specificati manualmente) più domain controller i proxy provvederanno a contattarli secondo una politica di tipo Round Robin (uno dopo l'altro in modo circolare) passando a quello successivo ogni qualvolta il programma non ottiene rispota dal domain controller di riferimento. In questo modo viene garantita una certa tolleranza ai guasti se un domain controller dovesse essere temporaneamente non disponibile.
NetBiosName: nome netbios del dominio
AccountName e AccountPassword: contengono le credenziali cifrate dell'utente avente i diritti per fare le query sul domain controller che il programma utilizza per collegarsi al dominio Active Directory. Per modificare questi valori occorre utilizzare l'interfaccia grafica. In questo caso si è preferito privilegiare la sicurezza delle credenziali piuttosto che la praticità di avere i dati in chiaro diretamente modificabili con un editor di testo (ma che sarebbero anche facili da acquisire da un intruso).
Port: porta di comunicazione (usata dal proxy SMTP per connettersi al domain controller). Per default è la 389.
Questo file viene letto all'avvio dai quei proxy che necessitano i dati per connettersi al dominio (per ora il proxy SMTP se viene attivato il filtro Exchange).
Quando eXtensiveControl® viene installato su una macchina appartenente ad un dominio, un eventuale collegamento ad Active Directory viene di norma effettuato in modo automatico una volta forniti i parametri richiesti (nome del dominio e credenziali per il collegamento). Esistono casi in cui questo non è immediato, da una parte se la macchina è fuori dal dominio, occorre fornire anche l'indirizzo di un domain controller, ma possono verificarsi anche casi più difficili, come quando eXtensiveControl® viene collocato in una DMZ e a separare il domain controller dal programma è un firewall che lascia passare solo determinate porte.
Tale situazione potrebbe ad esempio verificarsi se si desidera utilizzare eXtensiveControl® solo come filtro a monte per la posta e non si è interessati al controllo sulla navigazione.
In questi casi è fondamentale permettere il passaggio della porta LDAP (389) verso il domain controller (nell'esempio citato quindi dalla DMZ verso la rete interna), del servizio DNS e configurare le impostazioni Windows della macchina su cui è installato eXtensiveControl® per poter accedere a tale servizio.
Inoltre dovrà essere impostato un gateway opportuno se il firewall effettua una traslazione di indirizzi di rete (NAT), oppure dovrà essere possibile raggiungere il domain controller attraverso il forwarding di una porta. In ogni caso dovranno essere forniti i parametri per poter raggiungere i domain controller nella rete interna.