Softver

Windows Server 2012 R2 - BYOD tehnologije

Najnovija verzija Microsoft serverskog, kao i klijentskog OS-a, donosi nekoliko tehnologija koje podržavaju BYOD koncept, a u ovom tekstu govorimo o tehnologiji - Workplace Join. Dok je tehnologija Work Folders namijenjena prvenstveno sinhronizaciji podataka na razne vrste uređaja, tehnologija o kojoj u ovom tekstu govorimo ima nešto drugačiju namjenu i kreće se u pravcu registrovanja i prepoznavanja uređaja koji nisu članovi Active Directory domene.

Dosadašnji koncept u Windows Serveru 2012 i ranijim verzijama ovog OS-a je poznavao dva stanja klijentskog računara – mogao je biti član domene ili je bio član neke radne grupe (Workgroup). Drugi scenario praktično znači da računar nema nikakve veze sa Active Directory sistemom. Pokušaj pristupa bilo kojem AD baziranom resursu sa računara koji nije član domene rezultirao je uglavnom zahtjevom za autentifikaciju sa domenskim setom kredencijala. Ukoliko ih je korisnik posjedovao, te nije bilo drugog vida zaštite samog resursa (kao npr. IPSec baziranih izolacijskih polisa), mogao se ostvariti pristup. Međutim svaki pokušaj pristupa zahtijevao je novu autentifikaciju, obzirom da single-sign-on zahtijeva prisustvo Kerberosa, što u ovom scenariju nije slučaj. Domenski računari su, sa druge strane, nakon početnog logiranja u svim daljim scenarijima pristupa na AD resurse koristili set kredencijala kojima se korisnik logirao, te tako omogućavali nesmetan rad bez dodatnih zahtjeva za autentifikaciju.

Koncept BYOD (Bring Your Own Device) nameće pak nešto drugačije zahtjeve. Pošto se u poslovnom okruženju koriste privatni uređaji, od njih se po definiciji ovog koncepta ne može očekivati da budu članovi domene. Korisnici ovih uređaja, sa druge strane, očekuju nesmetan pristup kompanijskim resursima koji jesu unutar Active Directory domene. Ovi, na prvi pogled suprotstavljeni, zahtjevi, nametali su i potrebu za nešto drugačijim pristupom registrovanja uređaja sa kojih se pristupa podacima, a koji nisu članovi domenskog okruženja. Umjesto dosadašnjeg načina tretiranja ove grupe uređaja, Microsoft je u Windows Serveru 2012 R2 uveo jednu vrstu hibridnog pristupa, pa je omogućio da korisnik obavi Workplace Join operaciju na klijentskom uređaju, koja rezultira parcijalnim uključivanjem takvog uređaja u domensko okruženju sa prvenstvenim ciljem da omogući pristup resursima unutar Active Directory okruženja, konkretno poslovnim aplikacijama, kao i resursima koji zahtijevaju pristup sa poznatog klijenta. Na ovaj način se postiglo da klijentski računari (mada je ovdje bolje koristiti nešto širi pojam – uređaji) koje korisnici donose kao svoje privatne, ne budu sasvim nepoznati Active Directory okruženju, nego da u istom budu reprezentovani određenim atributima. Sprovođenje Workplace Join procedure korisnicima ne nameće stroga ograničenja, niti se od uređaja zahtijeva da se ponaša u skladu sa polisama koje se inače primjenjuju na računare koji su članovi domene.

Da bi se koristio Workplace Join sa klijentske strane potrebno je imati odgovarajuću softversku platformu. Od Microsoft operativnih sistema podržan je Windows 8.1 u svim izvedbama uključujući i RT verzije. No, slično kao i kod Work Folders tehnologije, Microsoft je i ovdje napravio iskorak i prema drugim platformama. Workplace Join je trenutno, pored Windowsa 8.1, podržan i na novijim verzijama iOS operativnog sistema za Apple uređaje. Ovo se naravno na prvom mjestu odnosi na iPad, mada bi teoretski bilo primjenjivo i na iPhone, mada je upotrebljivost u tom slučaju upitna. Interesantno je ipak da se za sada ne spominju OS X bazirani računari kao dio ovog koncepta. Microsoft je najavio podršku i za neke Android bazirane uređaje, no u ovom momentu nije poznato kada će ta podrška biti omogućena.

Provođenje Workplace Join procesa sa klijentske strane je prilično jednostavno. U Windows 8.1 klijentu potrebno je otvoriti Change PC Setting meni iz Modern interfejsa, te zatim kliknuti na Network dio. Unutar tog skupa opcija, odabirom opcije Workplace dobiva se mogućnost za upisivanje domenskih kredencijala, čime se inicira proces. Pored toga što računar ne mora biti dio domene, korisnik mora da ima validne domenske kredencijale, odnosno validan korisnički account. Po okončanju procedure, korisnik će dobiti i mogućnost pristupa kompanijskom portalu aplikacija, ako takav postoji, kao i mogućnost korištenja ograničenog SSO-a, te multifaktorske autentifikacije.

Ukoliko se Workplace Join provodi sa iOS baziranih uređaja, na iste se putem web browsera forsira odgovarajući konfiguracijski profil, koji se generiše na strani servera. Pri sprovođenju Workplace join procesa, klijent mora biti u mogućnosti kontaktirati interni DNS, kao i sam AD (tačnije ADFS). Pored toga, domenski CA (Certificate Authority) mora biti na Trusted listi na strani klijenta.

Sa serverske strane, potrebno je nešto više truda da bi se korištenje Workplace Join tehnologije omogućilo. Potrebno je kreirati jedan fiksan DNS zapis pod nazivom "enterpriseregistration", te ga usmjeriti na AD FS server, koji je, također, obavezan dio ove cijele priče. Inače, AD FS komponenta koja se ranije koristila u vrlo ograničenim scenarijima, sa BYOD konceptom postaje mnogo važnija, te je njena implementacija neophodna kako za ovu, tako i za neke druge BYOD orijentisane tehnologije. Microsoft Technet sadrži precizne upute za konfiguraciju AD FS za Workplace Join kao i za provođenja procesa sa strane klijenta, pa savjetujem da konsultujete ovaj vodič tokom konfiguracije. Proces nije previše složen i može se relativno brzo sprovesti. AD FS je u ovom slučaju neophodan da bi se izvela autentifikacija klijentskog uređaja koji nije član domenskog okruženja, te da bi se uspostavio odnos ograničenog povjerenja između klijenta i Active Directory domene.

Iako ova tehnologija ne predstavlja neki posebno revolucionaran napredak, treba je uzeti u razmatranje ukoliko se kompanijska politika vezana za klijentske računare kreće u BYOD pravcu. Kako se radi o prvoj verziji, ne treba previše očekivati na početku, a održivost samog BYOD koncepta sasvim sigurno će usmjeravati i dalji razvoj ove kao i srodnih tehnologija.

Izvor: info.ba