Microsoft Domain Environment

İki Etki Alanı Arasında Tek Yönlü Güven İlişkisinin Kurulması

Yazarı:

28/03/2016

1262

views

Kurumlarda farklı etki alanları arasında bilgi ve kaynak paylaşımı gerçekleştirmek, birden farklı etki alanını merkezi olarak yönetmek, şirket evlilikleri / birleşmeleri sebebi ile etki alanlarını yönetilebilir bir çatı altında toplamak için güven ilişkisi kurulma ihtiyacı olabilir. Bu yazıda iki farklı etki alanı arasında tek yönlü güven ilişkisi kurulması incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Bu yazıda güven ilişkisi kurulacak iki etki alanından birisi “sirket.com.tr” (güven duyulacak), diğeri “ornek.com.tr” (güven duyacak) olarak seçilmiş olu ağ erişimleri (88, 139,…) olduğu varsayılmıştır. Yazıda “ornek.com.tr” etki alanı, “sirket.com.tr” etki alanına tek yönlü olarak güvenecektir. Yazı 5 başlık altında incelenecektir.

“ornek.com.tr” etki alanı deneleyicisinin (DC), “sirket.com.tr” etki alanının adını çözmesi sağlanacaktır.
“sirket.com.tr” etki alanı deneleyicisinin, “ornek.com.tr” etki alanının adını çözmesi sağlanacaktır.
“ornek.com.tr” etki alanı denetleyicisinde, “sirket.com.tr” etki alanına güven duyulması için gerekli yapılandırma ayarları gerçekleştirilecektir.
“sirket.com.tr” etki alanı denetleyicisinde güven ilişkisi doğrulanacaktır.
Güven ilişkisi test edilecektir.

1) Güven Duyan DC Üzerinde Ağ Ayarlarının Yapılması

Öncelikle güven duyacak DC sunucu (“ornek.com.tr”), diğer DC’nin etki alanı adını (“sirket.com.tr”) çözümlemesi için DNS kaydı güncellenmelidir.

DNS kaydı güncellenmediği durumda sunucunun IP adresine ping atılabiliyorken, etki alanı adı çözümlenememektedir.

Şekil - 1: Güven Duyulan DC Sunucusuna Erişim Denemesi — Şekil – 1: Güven Duyulan DC Sunucusuna Erişim Denemesi

DNS ayarlama işleminin gerçekleştirilmesi için DNS yönetim konsolu başlatılır.

Şekil - 2: DNS Konsolunun Başlatılması — Şekil – 2: DNS Konsolunun Başlatılması

“sirket.com.tr” son eki ile tamamlanan tüm sorguların 192.168.100.101’e yönlenmesi için yeni bir şartlı yönlendirme oluşturulur.

Şekil - 3: Koşullu Yönlendirici Oluşturulması - 1 — Şekil – 3: Koşullu Yönlendirici Oluşturulması – 1

IP ve etki alanı eşleşmesine ait kayıt girilir.

Şekil - 4: Koşullu Yönlendirici Oluşturulması - 2 — Şekil – 4: Koşullu Yönlendirici Oluşturulması – 2

Kayıt girişi tamamlanmıştır.

Şekil - 5: Koşullu Yönlendiricinin İzlenmesi — Şekil – 5: Koşullu Yönlendiricinin İzlenmesi

Gerçekleştirilen işlemin devreye girmesi için DNS yeniden başlatılır.

Şekil - 6: DNS’in Yeniden Başlatılması — Şekil – 6: DNS’in Yeniden Başlatılması

DNS ayarından sonra “sirket.com.tr” etki alanındaki denetleyici sunucusuna hem isim ile hem de IP ile erişilebilmektedir.

Şekil - 7: Güven Duyulan DC Sunucusuna Adı İle Başarılı Şekilde Erişilmesi — Şekil – 7: Güven Duyulan DC Sunucusuna Adı İle Başarılı Şekilde Erişilmesi

Not: Eğer isim çözümleme işlemi gerçekleşmezse, aşağıdaki komut ile DNS kayıtları güncellenir.

ipconfig /flushdns

Eğer hata devam ediyorsa ağ kartı devre dışı bırakılıp, yeniden etkinleştirilir.

2) Güven Duyulan DC Üzerinde Ağ Ayarlarının Yapılması

Güven duyulacak DC sunucu (“sirket.com.tr”), diğer DC’nin etki alanı adını (“ornek.com.tr”) çözümlemesi için DNS kaydı güncellenmelidir.

DNS kaydı güncellenmediği durumda sunucunun IP adresine ping atılabiliyorken, etki alanı adı çözümlenememektedir.

Şekil - 8: Güven Duyan DC Sunucusuna Erişim Denemesi — Şekil – 8: Güven Duyan DC Sunucusuna Erişim Denemesi

DNS ayarlama işleminin gerçekleştirilmesi için DNS yönetim konsolu başlatılır.

Şekil - 9: DNS Konsolunun Başlatılması — Şekil – 9: DNS Konsolunun Başlatılması

“ornek.com.tr” son eki ile tamamlanan tüm sorguların 192.168.101.101’e yönlenmesi için yeni bir şartlı yönlendirme oluşturulur.

Şekil - 10: Koşullu Yönlendirici Oluşturulması - 1 — Şekil – 10: Koşullu Yönlendirici Oluşturulması – 1

IP ve etki alanı eşleşmesine ait kayıt girilir.

Şekil - 11: Koşullu Yönlendirici Oluşturulması - 2 — Şekil – 11: Koşullu Yönlendirici Oluşturulması – 2

Kayıt girişi tamamlanmıştır

Şekil - 12: Koşullu Yönlendiricinin İzlenmesi — Şekil – 12: Koşullu Yönlendiricinin İzlenmesi

Gerçekleştirilen işlemin devreye girmesi için DNS yeniden başlatılır.

Şekil - 13: DNS’in Yeniden Başlatılması — Şekil – 13: DNS’in Yeniden Başlatılması

DNS ayarından sonra “sirket.com.tr” etki alanındaki denetleyici sunucusuna hem isim ile hem de IP ile erişilebilmektedir.

Şekil - 14: Güven Duyan DC Sunucusuna Adı İle Başarılı Şekilde Erişilmesi — Şekil – 14: Güven Duyan DC Sunucusuna Adı İle Başarılı Şekilde Erişilmesi

Not: Eğer isim çözümleme işlemi gerçekleşmezse, aşağıdaki komut ile DNS kayıtları güncellenir.

ipconfig /flushdns

3) Güven İlişkisinin Kurulmasının Talep Edilmesi

Bu başlıkta yapılacak işlemler güven ilişkisi kurulmasını talep eden DC sunucusu üzerinde gerçekleştirilecektir.

Şekil - 15: Active Directory Domains and Trusts Uygulamasının Çalıştırılması — Şekil – 15: Active Directory Domains and Trusts Uygulamasının Çalıştırılması

Şekil - 16: İlgili Etki Alanı Üzerinden Trust Özelliğine Geçiş — Şekil – 16: İlgili Etki Alanı Üzerinden Trust Özelliğine Geçiş

Şekil - 17: Yeni Bir Trust İlişkisinin Oluşturulması — Şekil – 17: Yeni Bir Trust İlişkisinin Oluşturulması

Şekil - 18: Trust İlişkisi Kurulmak İstenen Etki Alanının Belirtilmesi — Şekil – 18: Trust İlişkisi Kurulmak İstenen Etki Alanının Belirtilmesi

Bu adımdan sonra, kurulacak trust ilişkisinin türü seçilmelidir. Aynı forest içerisinde olan etki alanları arasında bu tür bir ilişki kurulacak ise Forest trust, farklı forest’lere ait etki alanları arasında trust ilişkisi kurulacaksa External trust seçilmelidir.

Şekil - 19: Trust İlişkisinin Türünün Belirtilmesi — Şekil – 19: Trust İlişkisinin Türünün Belirtilmesi

Bu adımdan sonra trust ilişkisinin şekli belirlenmelidir, iki tarafın da birbiri üzerinde kimlik doğrulaması sağlayabileceği (Two-way), taraflardan birinin diğeri üzerinde kimlik doğrulama sağlayabileceği (One-way:incoming veya One-way:outgoing) trust ilişkisinin yönü belirtilir.

Şekil - 20: Trust İlişkisinin Yönünün Belirtilmesi — Şekil – 20: Trust İlişkisinin Yönünün Belirtilmesi

Sıradaki adımda güven ilişkisine yönelik ayarlamaların her iki etki alanında da yapılması için gelen ekranda Both this domain and the specific domain seçilmelidir.

Şekil - 21: Trust İlişkisine Ait Ayarlamalar — Şekil – 21: Trust İlişkisine Ait Ayarlamalar

Şimdiki adımda her iki etki alanda da trust ayarlamaları yapılacağı için, karşı etki alanında yetkili bir kullanıcı hesap bilgisi girilmelidir.

Şekil - 22: Kullanıcı Bilgilerinin Girilmesi — Şekil – 22: Kullanıcı Bilgilerinin Girilmesi

Şekil - 23: Trust İlişkisinin Kapsamı — Şekil – 23: Trust İlişkisinin Kapsamı

Şekil - 24: Trust İlişkisine Ait Özet — Şekil – 24: Trust İlişkisine Ait Özet

Şekil - 25: Trust İlişkisine Ait Özet -2 — Şekil – 25: Trust İlişkisine Ait Özet -2

Karşı etki alanında gereken güven ayarlamalarının doğru yapılıp yapılmadığının kontrolü için aşağıdaki ekrana ait ayarlar gösterilen şekilde seçilmelidir.

Şekil - 26: Diğer Etki Alanına Ait Trust Ayarlarının Kontrolü — Şekil – 26: Diğer Etki Alanına Ait Trust Ayarlarının Kontrolü

Bu adımlardan sonra güven ilişkisinin talep edilme işlemi tamamlanmıştır.

Şekil - 27: Güven İlişkisinin Tamamlanması — Şekil – 27: Güven İlişkisinin Tamamlanması

Finish butonuna basıldığında SID filtrelemesinin etkin olduğu uyarısı ile karşılaşılır.

Şekil - 28: SID Filtrelemesinin Etkin Olduğuna Dair Uyarının Gözlenmesi — Şekil – 28: SID Filtrelemesinin Etkin Olduğuna Dair Uyarının Gözlenmesi

Diğer etki alanının kontrolünden sonra işlem tamamlanmış olur, her iki etki alanına ait trust ilişkileri aşağıdaki gibi olmalıdır.

Şekil - 29: "ornek.com.tr" Etki Alanında Trust Görünümü — Şekil – 29: “ornek.com.tr” Etki Alanında Trust Görünümü

Yapılan işlemlerin doğrulaması için yukarıdaki ekranda Properties butonuna basıldığında aşağıdaki ekran görüntüsü ile karşılaşılır. Bu ekranda Validate butonuna basıldığında güven ilişkisinin uygun bir şekilde gerçekleştirildiğine dair bir mesaj görüntülenecektir.

Şekil - 30: "ornek.com.tr" Etki Alanında Güven İlişkisinin Doğrulanması — Şekil – 30: “ornek.com.tr” Etki Alanında Güven İlişkisinin Doğrulanması

Talep Edilen Güven İlişkisinin Onaylanması

Bu başlıkta yapılacak işlemler güven ilişkisi kurulması talep edilen DC sunucusu üzerinde gerçekleştirilecektir.

İkinci etki alanında talep edilen bu güven ilişkisinin onaylanması gerekmektedir. Bu amaçla ikinci DC sunucusunda Active Directory Domains and Trusts konsoluna gelinir. Bu konsolda etki alanı adı (sirket.com.tr) sağ tıklanıp “Properties” seçildiğinde Trust sekmesine gelinir. Aşağıdaki ekran görüntüsünde talep edilen güven ilişkisi görülmektedir.

Şekil - 31: "sirket.com.tr" Etki Alanına Ait Trust Görünümü — Şekil – 31: “sirket.com.tr” Etki Alanına Ait Trust Görünümü

Şekil - 32: "sirket.com.tr" Etki Alanında Güven İlişkisinin Doğrulanması — Şekil – 32: “sirket.com.tr” Etki Alanında Güven İlişkisinin Doğrulanması

Doğrulama işleminden sonra güven ilişkisinin tamamlandığına dair bir mesaj görüntülenecektir.

Şekil - 33: Güven İlişkisinin Onaylama Sürecinin Tamamlanması — Şekil – 33: Güven İlişkisinin Onaylama Sürecinin Tamamlanması

Güven İlişkisinin Test Edilmesi

İkinci etki alanı (ornek.com.tr), birinci etki alanına (sirket.com.tr) güvendiği için; ikinci etki alanındaki bir kaynağa (PC.ornek.com.tr), birinci etki alanındaki bir kullanıcı (Sirket\*) erişebilmektedir. Ancak tam tersi geçerli değildir. Çünkü kurulum sırasında “One-way: outgoing” güven ilişkisi kurulmuştur.

Birinci etki alanındaki bir bilgisayarda (PC.sirket.com.tr), ikinci etki alanının yöneticisi oturum açmaya çalıştığında şu şekilde bir hata almaktadır.

Şekil - 34: Güvenilen Kaynağa Güven Duyan Tarafın Erişmesi — Şekil – 34: Güvenilen Kaynağa Güven Duyan Tarafın Erişmesi

İkinci etki alanındaki bir bilgisayarda (PC.ornek.com.tr), ikinci etki alanının yöneticisi oturum açmaya çalıştığında şu şekilde bir hata almaktadır.

Şekil - 35: Güvenen Kaynağa Güvenilen Tarafın Erişmesi — Şekil – 35: Güvenen Kaynağa Güvenilen Tarafın Erişmesi

Yani bir kimlik doğrulama mekanizması tarafından bu işlemin gerçekleştirilmediği belirtilmektedir. Bu mekanizma da güven ilişkisi kurulumu sırasında belirtilen “Selective Authentication” korumasıdır. Bu koruyucu mekanizma ile ilgili uygulama daha sonraki yazıda gerçekleştirilecektir.