IT & IoT Security | Cloud | It's all about the life itself

Nothing in life is as important as you think it is, while you are thinking about it.

BizTalk Server 2010 Kurulumu–Windows Group`ları ve Service Account’ları (Multi Server Installation)

Biztalk Server`ı  workgroup’da bir sunucuya değilde domain yapısında ve SQL server’ı farklı olacak olan bir yapıya (Multi Server-Computer Installation) kuruyorsanız kullanacağınız gruplar ve hesaplar hem biztalk server’a erişim hemde SQL server’a erişim açından domain kullanıcısı ve grubu olmalıdır.

Bu durumda ayrı sunucularda olan Biztalk ve SQL server için kullanacağınız hesapları ve grupları merkezi bir veritabanından (ntds.dit’den ) yönetebilirsiniz ve her iki sunucuya uygun hesaplarla bağlanabilirsiniz.

Kullanıcı ve grup hesapları konfigürasyon şu şekildedir.

Biztalk kurulumu işlemi ,  gereken kullanıcı ve grup hesaplarını domain controller’da oluşturamaz. Yöneticinin oluşturması gerekmektedir.Local account’lar kullanılmamalıdır.

Biztalk server’ın kullandığı , kullanıcı ve grup hesabı naming convention’ını şu şekilde destekler. domain_netbios_adı\kullanıcı_adı

Kullanacağınız gruplar ; Domain Local group , Global Group yada Universal Group olabilir.

NT AUTHORITY\LOCAL SERVICE, NT AUTHORITY\NETWORK SERVICE, NT AUTHORITY\SERVICE, NT AUTHORITY\SYSTEM ve Everyone objeleri multi server intallation senaryolarında desteklenmez.

AD yapısında uygun grupların ve servis hesaplarının açılması için bir organizational unit kullanabilirsiniz.

Biztalk Server’da kullanılan gruplar:

SSO Administrators : Enterprise Single Sign-On servisini yönetir. Biztalk Server Enterprise SSO servisi için kullanılacak olan servis account’larını(user-group) içermelidir. http://go.microsoft.com/fwlink/?LinkID=89383

SSO Affiliate Administrators:  SSO Affiliate uygulamalarının yöneticileridir. SSO affiliate uygulamalarını siler oluştururlar , user mapping’i yönetirler , affiliate uygulamaları kullanan kullanıcılar için credential ataması yaparlar. Herhengi bir servis account’u içermez. Biztalk Server Administrators hesaplarını içerir.

Biztalk Server Administrators : Yönetimsel görevleri yapabilecek en az yetkilere sahiptir (least priviledge ilkesi ) . Deployment  , uygulama yönetimi , message process olaylarını çözümleyebilir. SSO Affiliate Administrators grubuna üye olmalıdır. Biztalk Server’ı yönetmekte kullanacağınız hesapları grupları içermelidir.

Biztalk Server Operator : Gözlem ve hata denetimi izinleri ile donatılmıştır. Bu işlemleri yapacak olan kullanıcıları veya grupları içermelidir.

Biztalk Application Users : Biztalk Host group için tasarlanan In-Process host instance’ına ait servis account’larını veya gruplarını içermelidir.

Biztalk Isolated Host Users : Configuration Manager tarafından yaratılan varsayılan Isolated Biztalk Host grubunun ismidir.Http ve Soap gibi Isolated Biztalk host’ları biztalk server üzerinde çalışmazlar. Her isolated environment için bir tane kullanılır. Tasarladığı Biztalk Isolated host instance’ı için gereken account’ları veya grupları içermedir.

EDI Subsystem Users : EDI veritabanına erişim izni vardır. Biztalk EDI servisi için kullanılacak olan accout’ları yada grupları içermelidir.

BAM Portal Users: Biztalk Activity Monitor Portal web sayfasına erişimi vardır(BAM Portal) . Varsayılanda Everyone grubunun bu izni vardır.

BizTalk SharePoint Adapter Enabled Hosts : Sharepoint servisleri adaptörü web servisine erişim izni vardır. Biztalk host instance’ında Sharepoint adatörünü arayabilecek/çağırabilecek kullanıcıları ve grupları içermelidir.

BizTalk Server B2B Operators : Sadece gözlem ve hata denetimi izinleri ile donatılmıştır. Bu işlemleri yapacak olan kullanıcıları veya grupları içermelidir.
AD içerisinde bu grupları oluşturmak için bir OU açtıysanız , OU içine new group sihirbazı ile bu grupları açabilirsiniz.

 

Biztalk Server’da kullanılan servis account’ları:

Gereken servis account’ları ve olması gereken üyelikleri aşağıdaki gibidir. Kullanıcı hesaplarının isimleri değişebilir , aşağıdakidir sadece benim önerim.

Enterprise SSO (servis için) :  svc-entsso –> SSO administrator grubuna üye olmalıdır.

SSO veritabanına erişim için kullanılan Enterprise SSO servis account’udur.

Enterprise SSO ( Administrator için) : adm-entsso –> SSO administrator grubuna üye olmalıdır.

SSO Admin account’udur

SSO Affiliate user : sso-affiliate –> SSO Affialte Administrators grubuna üye olmalıdır.

SSO admin grubu hesabıdır.

Biztalk Host Instance Account :hostinstance-svc –> BizTalk Application Users grubuna üye olmalıdır.

Biztalk In-Process Host instance’ını çalıştırır.

Biztalk Isolated Host Instance Account : isolatedhost-svc –> BizTalk Isolated Host UsersIIS_WPG grubuna üye olmalıdır.

Biztalk Isolated Host Intance’ını ( http/soap) çalıştırır.

Bam Notification Service Account :

bam-svc –> SQLServer2005NotificationServicesUser$<Sunucu_ismi> objesine  üye olmalıdır.

BAM veritabanına erişen BAM notification servisini çalıştıran account’un

BAM Management Web Service Account : bamweb-svc –> IIS_WPG grubuna üye olmalıdır.

İlgili BAM kaynaklarına erişen BAM management web servisini çalıştıran account’tur

BAM Application Pool Account : bampool-svc –> IIS_WPG grubuna üye olmalıdır.

BAM portal web sayfasını kullanan BAMAPPpool’u için servis account’udur.

BizTalk Base EDI service : edi-svc –>  İncelediğim kadarı ile Base EDI adaptörü biztalk 2006 r2 ve sonrasında  işlevselliği kaybetmiş ve uprage için kullanılıyormuş. Yerini Native EDI’a bırakmış.

Base EDI servisini kullanan servis account’udur.

Rule Engine Update Service : ruleeng-svc . bknz Technet.

Rule Engine Update servisi çalıştıran servis account’udur. Rule Engine servisi Rule engine veritabanaından notification’lar alır.

Biztalk Administrator Account : btadmin-svc  –> BizTalk Server Administrators grubuna üye olmalıdır.

Bu grubun amacını üst kısımlarda yazmıştım.

BizTalk Server Operator Account : btserveradm-svc –> BizTalk Server Operators grubuna üye olmalıdır.

Bu grubun amacını üst kısımlarda yazmıştım.

BizTalk Server B2B Operator Account : b2b-svc—> BizTalk Server B2B Operators grubuna üye olmalıdır.

Bu grubun amacını üst kısımlarda yazmıştım.

Açıkladığımız servis hesaplarınıda aynı OU içinde açıp uygun şelikde grup üyeliklerini yapılandırınız.

SQL Server Service Account’ları :

SQL Server Agent Servisi : agent-svc –>Server Agent servisini çalıştırır.

SQL Server Database Engine Servisi : dbengine-svc –> DB’yi çalıştırır.

SQL Server Analysis servisi : analysis-svc –> Analiz servisini çalıştırır.

SQL Server Reporting : reporting-svc –> Reporting Servisini çalıştırır.

SQL Server Integration : integration-svc –> SQL Server intragration servisini çalıştırır.

İsterseniz tüm sql server servisleri için tek bir domain hesabı kullanabilirsiniz. Melesa AD’de sql-svc şeklinde bir hesap açıp bu hesabı sql servislerini çalıştırması için kullanabilirsiniz. (bu hesaba sql için yeterli yetkiyi vermeyi unutmayınız.)

Bence aynı durum Biztalk Servisleri içinde yapılabilir. Örneğin ; bt-svc isimli domain account’u açılıp biztalk için kullanılabilir. Hatta test etmek için svcacc isminde bir domain user account’u açıp bütün biztalk server ve sql server yapılandırmaları ve kurulumları için bu hesabı kullanabildiğini göreceksiniz. ( svcacc, biztalk ve sql sunucularından local administrator olmalıdır!!!)

Kişisel önerim : Güvenlik üst düzey olacaksa üstte yazdıklarım olmalıdır. Güvenlik ve account seçimi sizdeyse üstteki paragraf harika bir çözümdür.

neşeli günler….

Kaynak : TechNet , Sandro PEREIRA Blog.