RMS (Rights Management Services - Haklar Yönetimi Servisleri)

Eyl 06, 2013
Günümüzde yaygınlaşan İnternet kullanımı ile bilginin güvenilirliği ve korunması  büyük bir problem olmaya başlamıştır. Özellikle resmi kurumlarda ve özel şirketlerde gerçekleşen önemli yazışmalar, belgeler ve ihale dosyaları ciddi anlamda korunmaya ihtiyaç duymaktadır. Bu soruna karşı farklı çözümler üretilmiştir(çeşitli şifreleme programları vs). Microsoft’un bu problem için ürettiği çözüm ise AD RMS (Active Directory Rights Management Service-Aktif Dizin Haklar Yönetimi Servisleri) dir.
AD RMS'nin amacı belgelerin içeriğini nereye giderse gitsin farketmeksizin korumaktır. RMS kuralları belge içerisine uygulandıktan sonra bu kuralları kaldırabilecek tek kişi belgenin kurallarını koyan kişidir. Belge sahibi diğer kullanıcıların belge üzerindeki haklarını istediği gibi düzenleyebilir. Okuma, yazma, yazdırma, değiştirme, kopyalama, iletme vs. gibi izinler kontrol edilebilir, kısıtlama getirilerek üst düzey koruma ve güvenlik sağlanabilir.
Belge koruması için kuralları belgenin sahibi oluşturabileceği gibi AD RMS sunucusu üzerinde de çeşitli şablonlar oluşturulabilir. Aşağıdaki grafikte RMS mekanizması kısaca özetlenmiştir.

AD RMS Gereksinimleri

  • AD RMS sunucusu Windows Server 2003-2008 işletim sistemi barındıran bir bilgisayarda çalışabilmektedir. AD RMS sunucusu üzerinde, IIS 7.0 (İnternet Bilgi Servisleri - Internet Information Services), World Wide Web Publishing Service (WWW Yayımlama Hizmeti), and Message Queuing (Mesaj Kuyruğu) ‘in yüklü olması gerekmektedir.
  • RMS aynı etki alanı içerisinde çalışan bir veritabanı sunucusuna ihtiyaç duyar. RMS üzerinde belge kullanım izinleri için çeşitli şablonlar oluşturulabilir ve bunların izinleri ayarlanabilir. İşte oluşturulan tüm bu kurallar ve izinler bir veritabanında tutulması gerekmektedir. Bu veritabanı farklı bir sunucu üzerinde çalışabileceği gibi RMS ile aynı sunucu üzerinde de çalışabilir. Ayrıca bir veritabanı sunucusu kurulumuna gerek yoktur. Kurulum sırasında seçenekler arasında gelen Windows Internal Database (Windows Entegre Veritabanı) de kullanılabilir. Tabiki bunun birçok dez avantajı vardır. Örneğin RMS kümeye yeni bir sunucu eklenmek istendiği zaman veritabanı, sunuculardan birisi üzerinde çalıştığı için buna izin vermeyecektir.
  • Server 2000, Server 2003, Server  2008 veya  Server 2008 R2 çalıştırılan bir Active Directory (Aktif Dizin) e ihtiyaç vardır ve RMS sunucusu etki alanı içerisine alınmalıdır. RMS'yi kullanan tüm kullanıcıların etki alanı içerisinde olmaları ve burada tanımlanmış bir e-posta adresine sahip olmaları gerekmektedir.
  • AD RMS kullanan istemcilerde ise, Windows Vista ve Windows 7 işletim sistemleri AD RMS client (istemci) özelliğini içerir ancak daha eski işletim sistemlerinde (Xp, Win98 vs.)  bu özellik olmadığı için yüklenmesi gerekemektedir. Microsoft'un sitesinden AD RMS istemci özelliği yüklenebilir.
  • RMS sunucusu bir domain (etki alanı) içine alınmalıdır. Domain'e alındıktan sonra etki alanındaki herhangi bir kullanıcı RMS sunucusu üzerinde yerelde Administrator (Yönetici) yapılır ve kurulumlar bu kullanıcı ile yapılmalıdır. Aşağıdaki örnek yapı içerisinde bir adet Server 2008’de çalışan RMS sunucusu, bir adet Server 2003’de çalışan AD, ve istemci bilgisayar bulunmaktadır. İlk olarak tüm bilgisayarlar domainde olmalıdır ve RMS kullanacak olan tüm kullanıcıların bir e-posta adresi olmalıdır.

RMS  Kurulumu

  1. Yüklenecek olan sunucu rolü seçilir.




  2. AD RMS’nin ilk defa kurulumu yapılıyorsa Root Cluster(Kök Küme) olarak kurulum yapılması gerekir. Eğer ortamda bir root cluster varsa, buradaki Join an existing AD RMS cluster (Mevcut bir AD RMS kümesine katıl) seçilerek kurulmakta olan RMS eski RMS yapısı içerisine dahil edilebilir. Create a new AD RMS cluster(Yeni bir AD RMS kümesi oluştur) seçilerek devam edilir.




  3. RMS kullanımı için ortamda bir veritabanı olması gereklidir. Bunun için Windows Internal Database(Windows Entegre Veritabanı) kullanılabileceği gibi farklı bir sunucuda kullanılabilir. Windows Internal Database ile kuruluma devam edilebilir. Ancak bunun birkaç dezavantajı vardır. Örneğin sonrasında RMS kümesi içerisine yeni RMS’ler tanımlanmasına izin vermez.




  4. Diğer servislerle bağlantı kurulabilmesi için domain(etki alanı) kullanıcı hesabına ihtiyaç vardır. Buradaki belirtilen kullanıcı hesabı RMS’nin servis hesabıdır. Bu hesabı kullanarak etki alanı içerisindeki diğer servisler ile bağlantı kurar. Burada sadece kullanıcı adı belirtilerek devam edilir.
    NOT: RMS yapısı için farklı bir SQL veritabanı kullanılıyorsa buradaki belirtilen kullanıcı hesabı SQL sunucusu üzerinde gerekli izinlere sahip olmalıdır.

  5. Yeni eklenecek AD RMS sunucuların kullanması için bir Cluster Key Storage(Küme Anahtar Deposu) oluşturulacaktır ve bunu diğer AD RMS’ler kümeye dahil olurken otomatik olarak paylaştıracaktır. Use AD RMS centrally managed key storage (Merkezden yönetilen anahtar saklama) seçilerek devam edilir ve gelen ekranda söz konusu şifre belirtilir. Bu şifre ayrıca yapıya yeni RMS'ler dahil olurken de kullanılacaktır.







  6. AD RMS’nin Web hizmetlerinin yüklenebileceği bir Web sitesi istenmektedir. Default Web Site seçilerek devam edilir.




  7. Burada AD RMS ile nasıl iletişim kurulacağının bilgisi sorulmaktadır. Gelen pencerede Use an SSL-encrypted connection (Şifreli bağlantı) seçilerek devam edilebilir. Ayrıca AD RMS'nin tam etki alanı adı da burada belirtilmelidir.




  8. Gelen pencerede, AD RMS ile istemci bilgisayarlar arasındaki iletişim SSL destekli olacağı için uygun bir kimlik doğrulama biçimi istenmektedir. Create a self-signed certificate for SSL encryption (SSL şifrelemesi için imzalı sertifika oluştur) seçilerek devam edilebilir. Bu seçenek işaretlendiği için kurulum yapıldıktan sonra AD RMS sertifikası iletişim kurulacak tüm istemcilere elle yüklenmelidir. Choose an existing certificate for SSL encryption (SSL şifrelemesi için mevcut sertifikayı yükle) seçeneği ise daha çok büyük kurumlar için, kendi yapısı içerisinde internal CA kullanan kurumlar içindir. Örneğin İTÜ içerisinde RMS kurulumunda ITU sertifikaları yüklenebilir.




  9. AD RMS'ye verilecek olan isim belirtilir.





  10. Gelen ekranda Service Connection Point (Servis bağlantı noktası) kaydı istenmektedir. bu kayıt Active Directory (Aktif Dizin) üzerinde yapılacağı için Enterprise Admin izinlerine sahip olunması gerekmektedir. Değil ise sonradan da bu işlem gerçekleştirilebilir.




  11. Son olarak IIS ve bilenşenlerin kontrolü yapılır ve kurulum tamamlanır.




  12. AD RMS yönetim konsolu bu şekildedir.


Yönetim
  1. Aşağıdaki grafikte olduğu gibi bir Microsoft Word dosyası üzerinde restricted access (kısıtlanmış erişim) kuralları tanımlamak istenildiği zaman Word, ortamda AD RMS sunucusu olup olmadığını kontrol eder. Eğer var ise gerekli izinleri ayarlamanıza olanak sağlar.





  2. Kısıtlanmış izinler seçildiğinde ortamda RMS’nin varlığı durumunda sunucuya bağlanmak için bir kullanıcı adı ve şifre istenecektir. Bu etki aanındaki herhangi bir kullanıcı olabilir.


  3. Bağlantı gerçekleştikten sonra belgeye gerekli izinler verilebilir. More Options (Daha Fazla Ayarlama) seçeneğine tıklandığı zaman daha esnek ayarlamalar yapılabilir.



    Örneğin, "user3" kullanıcısına değiştirme izni, "user4" kullanıcısına da sadece okuma izni verilmiştir.



  4. Belge için izni olmayan kişiler belgeye erişmeye çalıştıkları zaman aşağıdaki uyarı alacaklardır.