Microsoft Ortamında Aktif Dizin Güven İlişkileri

Kurumlarda farklı etki alanları arasında bilgi ve kaynak paylaşımı gerçekleştirmek, birden farklı etki alanını merkezi olarak yönetmek, şirket evlilikleri / birleşmeleri sebebi ile etki alanlarını yönetilebilir bir çatı altında toplamak için güven ilişkisi kurulma ihtiyacı olabilir. Bu yazıda güven ilişkileri incelenecektir.

Güven ilişkisi kurulması ile kaynak paylaşımı sağlanır, farklı bir etki alanındaki kullanıcının kimlik doğrulaması için geçen süre ve kaynak gereksinimi azalır, yönetim kolaylığı sağlanmaktadır.

Güven ilişkisinde; güven yönü ve erişim yönünün birbiri ile ters olduğu göz önünde bulundurulmalıdır. Güvenen (trusting) etki alanı kaynaklarını açan etki alanını; güvenilen (trusted) etki alanı ise kaynaklara erişim sağlayacak kullanıcıları içeren tarafı etki alanını temsil eder.

Oluşturulan güven ilişkilerinde trafiğin güvenliği için VPN veya IPSec kullanılması tavsiye edilmektedir.

 

1) Güven Çeşitleri

Windows Server 2008 üzerinde kurulabilecek güven ilişkileri geçişliliğine, yönüne ve türüne göre gruplandırılabilir.

 

1.1) Geçişine Göre Güven İlişkileri

Güven ilişkileri geçişliliğine göre ikiye ayrılabilir:

  • Transitive (Geçişli): Zincir halinde gerçekleşen güven yapısıdır. A ve B etki alanları kendi arasında, B ve C etki alanları kendi arasında birbirlerine güvendiği durumlarda geçişli güven ilişkisi varsa, A ve C arasında da bir güven ilişkisi oluşmuş olur.
  • Non-transitive (Geçişsiz): Bu güven türünde güven ilişkisi iletilemez. A ve B etki alanları kendi arasında, B ve C etki alanları kendi arasında birbirlerine güvendiği durumlarda Geçişsiz Güven ilişkisi varsa, A ve C arasında bir güven ilişkisi oluşmaz. Bu ilişkinin oluşması için A ve C arasında bir güven ilişkisinin kurulması gerekmektedir. Geçişsiz güven ilişkilerinin kurulması daha güvenlidir.

 

1.2) Yönüne Göre Güven İlişkileri

Güven ilişkileri yönüne göre ikiye ayrılabilir:

  • One-way (Tek yönlü): Güvenilen etki alanı, güven duyan etki alanın kaynaklarına erişebildiği güven türüdür.
  • Two-way (Çift-yönlü): Güvenilen ve güven duyan etki alanlarının birbirlerinin kaynaklarına eriştiği güven türüdür.

 

1.3) Türüne Göre Güven İlişkileri

Güven ilişkileri türüne göre altıya ayrılabilir. Türüne göre güven ilişkileri aşağıdaki şekilde gösterildiği gibidir.

Şekil - 1: Türüne Göre Güven İlişkileri

Şekil – 1: Türüne Göre Güven İlişkileri

 

  • External (Dış): Farklı orman içerisinde olan etki alanları arasında oluşturulur. Geçişli bir Dış Güven oluşturulamaz, Dış güven geçişsizdir. Genelde NT4 etki alanları ile kurulacak olan güven ilişkisi için oluşturulur. NT 4.0 etki alanları ile başka türde bir güven ilişkisi kuramaz. Dış güven ilişkileri el (manuel) olarak oluşturulur, otomatik oluşmaz. NTLM ile kimlik doğrulaması gerçekleştirilir, Kerberos kullanılamaz. Ortak olarak Genel Katalog ile Aktif Dizin veritabanının şema ve konfigürasyon bölümlerini kullanmazlar. Güven ilişkisi kuran farklı ormanlardaki etki alanları, kendi veritabanlarını kullanırlar.
  • Realm (Erişim Alanı): Windows olmayan ve Kerberos V5 kimlik doğrulama metodunu kullanan bir etki alanı ile oluşturulan güven ilişkisidir.
  • Forest (Orman): Farklı orman içerisinde yer alan kök etki alanları arasında oluşturulur. Geçişsiz bir Orman Güveni oluşturulamaz, Orman güveni geçişlidir. Şirket evliliklerinde veya etki alanı taşınması durumlarında genellikle orman güveni oluşturulur. SID filtreleme otomatik olarak etkin durumda olmasının yanında, Seçmeli Kimlik Doğrulama (Selective Authentication) otomatik olarak etkin gelmemektedir. Ayrıca, Kerberos bilet delegasyonu gerçekleştirilmemektedir.
  • Shortcut (Kısa yol): Aynı orman içerisinde farklı ağaç üzerinde bulunan etki alanları arasında oluşturulur. Geçişsiz bir kısa yol güveni oluşturulamaz, kısa yol güveni geçişlidir. Performansı arttırmak için kullanılır.
  • Parent-Child ve Tree-Root: Aynı ormandaki farklı etki alanları arasında oluşturulur. Geçişli ve iki yönlü bir güven olışturulur. Taraflar arasında Genel Katalog ile Aktif Dizin veritabanının şema ve konfigürasyon bölümleri ortak olarak kullanılır, replike edilir.

Güven ilişki türlerinin birbirlerine göre durumları aşağıdaki tablodaki gibidir.

Güven Tipi Güven Geçişliliği Güven Yönü
Parent – Child Geçişli İki yönlü
Tree – Root Geçişli İki yönlü
Orman Geçişli Bir veya İki yönlü
Kısayol Geçişli Bir veya İki yönlü
Dış Geçişsiz Bir veya İki yönlü
Erişim Alanı Geçişsiz Bir veya İki yönlü

Tablo – 1: Güven İlişkileri

 

2) SID Tarihçesi ve SID Filtreleme

Dış (External) güven ilişkilerinde kullanıcı veya grup hesaplarının bir etki alanından diğer etki alanına taşınması (migrasyonu) gerekebilmektedir. Taşınma sırasında, taşınan hesabın SID değeri, yeni hesabın SID değeri ile aynı olmayacaktır ve SID değeri değiştiği için taşınan etki alanındaki hesap, taşıma işleminin yapıldığı etki alanında daha önceden erişebildiği kaynaklara erişemeyecektir. Bunun önüne geçmek için hesapların taşınması sırasında yeni hesabın SIDHistory özelliğine (attribute), eski hesabın SID değeri eklenir. Böylece yeni kullanıcı taşıma işleminin başlatıldığı etki alanındaki kaynaklara erişebilecektir.

Ancak bu durum tavsiye edilmemekte ve taşınan kullanıcının eriştiği tüm (gerekli) kaynaklara yeni hesabın SID değerinin eklenmesi tavsiye edilmektedir. Eğer güven ilişkisi kurulan etki alanının yöneticisi veya yönetici seviyesinde erişim hakkı olan bir kullanıcı kötü niyetli ise, ağ dinlenerek (sniff) taşınan kullanıcının eski SID değeri elde edilebilir. Taşınan kullanıcı, taşındığı etki alanındaki kaynaklara erişmek için o etki alanında kimlik doğrulaması yapmak için eski SID değerini de yollar. Bu durumda kötü niyetli bir kullanıcı bu SID değerini kendi etki alanında oluşturduğu yeni bir kullanıcıya verirse, o kullanıcı da taşınan hesabın eriştiği ilk etki alanındaki kaynaklara erişmiş olur. Bu sebeple, taşıma işleminin başlatıldığı etki alanında SID filtrelemesinin yapılması tavsiye edilmektedir.

Not: Aynı orman içerisinde SID Filtreleme etkin değildir. Etkinleştirilmesi durumunda birçok problemle karşılaşılabilir. Örneğin, replikasyon gerçekleşmeyebilir, Universal güvenlik grupları kullanılamayabilir, Exchange sunucusunda problemler yaşanabilir, geçişli güven ilişkisi çalışmayabilir.

Güven duyulan bir sistem / ağ yapısı olduğu sürece SID filtrelemenin yapılmasına da gerek bulunmamaktadır. Bu sebeple SID filtreleme devre dışı da bırakılabilir. Ancak, bu durum tavsiye edilmemektedir.

 

3) Selective Authentication (Seçmeli Kimlik Doğrulama)

Etki alanlarındaki kaynaklara erişimler genellikle kimliğini doğrulamış kullanıcılar için etkindir. Yani Authenticated Users grubundaki, bu da neredeyse etki alanındaki her kullanıcı demek oluyor, etki alanındaki her kaynağa erişebilir. Buna benzer olarak farklı ormanlardaki etki alanları arasında bir güven ilişkisi kurulduktan sonra, bir etki alanındaki kullanıcı, diğer etki alanındaki bir kaynağa erişebilir. Bu da bazı durumlar için pek istenmeyen bir durumdur. Bunun önüne geçmek için Seçmeli Kimlik Doğrulama özelliği getirilmiştir. Böylece dosya sunucuları, mail sunucuları gibi bazı kritik kaynaklara erişimler diğer ormandaki etki alanı içinde bulunan bazı kullanıcı veya gruplara verilebilir. Dış ormanlar ile yapılacak güven ilişkilerinde bu şekilde bir ayarlamanın yapılması ve yapılan işlemlerin kayıt altına alınıp, takibinin sağlanması tavsiye edilmektedir.

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.