Active Directory.pdf - Gattner

700 Kapitel 18: Active Directory-Rechteverwaltungsdienste
1. Der Autor empfängt beim erstmaligen Versuch, Informationen durch Rechte zu schützen, ein
RAC und ein CLC vom AD RMS-Stammcluster (oder reinen Lizenzierungscluster). Dieser Schritt
wird einmalig ausgeführt, um die AD RMS-Anmeldeinformationen des Benutzers (das RAC) zu
erstellen und die Offlineveröffentlichung von durch Rechte geschützten Informationen (unter
Verwendung des CLC) in der Zukunft zu ermöglichen.
2. Ein Autor erstellt unter Verwendung einer AD RMS-fähigen Anwendung eine Datei und gibt
verschiedene Nutzungsrechte und -bedingungen für diese Datei an. Anschließend wird eine Veröffentlichungslizenz
mit den Nutzungsrichtlinien generiert.
3. Die Anwendung verschlüsselt die Datei mit einem symmetrischen Schlüssel, der dann mit dem
öffentlichen Schlüssel des AD RMS-Clusters des Autors verschlüsselt wird. Der Schlüssel wird in
die Veröffentlichungslizenz eingefügt, und die Veröffentlichungslizenz wird an die Datei gebunden.
Nur der AD RMS-Cluster des Autors kann Nutzungslizenzen zum Entschlüsseln dieser Datei
ausstellen. Wenn der Autor die Offlineveröffentlichung eingesetzt hat, wird eine weitere Kopie des
symmetrischen Schlüssels mit dem öffentlichen Schlüssel des CLC des Autors verschlüsselt und
in der Veröffentlichungslizenz eingefügt. Dieser zusätzliche Verschlüsselungsschritt führt zur
Erstellung einer Besitzerlizenz, über die der Autor den Inhalt ohne Lizenzierung über einen
AD RMS-Server nutzen kann.
4. Anschließend verteilt der Autor die Datei.
5. Eine durch Rechte geschützte Datei wird über einen normalen Verteilungskanal an die Empfänger
übermittelt und unter Verwendung einer AD RMS-fähigen Anwendung oder eines AD RMSfähigen
Browsers geöffnet. Wenn der Empfänger auf dem aktuellen Computer nicht über ein RAC
verfügt, wird zu diesem Zeitpunkt ein solches Zertifikat ausgestellt.
6. Die Anwendung sendet eine Anforderung für eine Nutzungslizenz an den AD RMS-Cluster, der
die Veröffentlichungslizenz für die geschützten Informationen ausgestellt hat. Diese Anforderung
umfasst das Kontozertifikat des Empfängers (welches den öffentlichen Schlüssel des Empfängers
enthält) sowie die Veröffentlichungslizenz (welche den zur Verschlüsselung der Datei verwendeten
symmetrischen Schlüssel enthält).
7. Der AD RMS-Stammcluster (oder der reine Lizenzierungscluster) bestätigt, dass der Empfänger
autorisiert ist, prüft, ob es sich um einen benannten Benutzer handelt, und erstellt eine Nutzungslizenz.
Während dieses Vorgangs entschlüsselt der Server den symmetrischen Schlüssel unter Verwendung
des privaten Schlüssels des Servers, verschlüsselt den symmetrischen Schlüssel erneut
mithilfe des öffentlichen Schlüssels des Empfängers und fügt anschließend den verschlüsselten
symmetrischen Schlüssel zur Nutzungslizenz hinzu. Über diesen Schritt wird sichergestellt, dass
nur der gewünschte Empfänger den symmetrischen Schlüssel und somit die geschützte Datei entschlüsseln
kann. Der Server fügt ferner alle gegebenenfalls relevanten Bedingungen zur Nutzungslizenz
hinzu, wie z.B. das Ablaufdatum oder den Ausschluss bestimmter Anwendungen
oder Betriebssysteme.
8. Im Anschluss an diese Bestätigungsschritte gibt der AD RMS-Stammcluster oder reine Lizenzierungscluster
die Nutzungslizenz an den Clientcomputer des Empfängers zurück.
9. Nach dem Empfang der Nutzungslizenz untersucht die Anwendung die Lizenz und das Kontozertifikat
des Empfängers, um zu ermitteln, ob ein Zertifikat in einer der Vertrauensketten eine
Sperrliste erfordert. Wenn dies zutrifft, prüft die Anwendung, ob eine lokale Kopie der Sperrliste
vorhanden ist, die nicht abgelaufen ist. Gegebenenfalls wird eine aktuelle Kopie der Sperrliste
abgerufen. Anschließend wendet die Anwendung alle für den aktuellen Kontext relevanten Sperrbedingungen
an. Wenn der Dateizugriff nicht durch eine Sperrbedingung blockiert wird, werden
die Daten angezeigt, und der Benutzer kann die Aufgaben ausführen, für die er berechtigt ist.