Active Directory Trust Relationships – Bölüm 4 Kullanıcı İşlemleri
Makalemizin bundan önceki bölümlerinde detaylı olarak trust konularına değinmiş ve bir önceki bölümde de demo ortamında trust işlemlerini görmüştük. Bu 4. Bölümde ise bir önceki bölümde oluşturmuş olduğumuz forest trust üzerinden bir takım temel işlemleri gerçekleştireceğiz.
Makalemin bir önceki bölümüne aşağıdaki link üzerinden ulaşabilirsiniz;
https://www.cozumpark.com/active-directory-trust-relationships-bolum3-forest-trust/
Peki, son durumu hatırlamak adına cozumpark.local ve hakanuzuner.com domainleri için trust menülerini bir kez daha sizler ile paylaşıyorum.
Cozumpark.local domain içerisinde iki trust görünüyor; bunlardan bir tanesi kendiliğinden oluşan parent/child trust dediğimiz trust tipi olup bir diğer ise forest trust tipidir. Ancak dikkat ederseniz forest trust iki yönlü olmayı incoming yani hakanuzuner.com kaynakları sunulmaktadır.
Hakanuzuner.com domaini içinde iki trust görülmekte olup yine bir tanesi parent/child trust olup diğeri outgoing forest trust yani karşı tarafın kullanıcılarına güvenilmiş durumdadır.
İlk olarak cozumpark.local üzerinden hakanuzuner.com kaynaklarını görebiliyor muyuz ( erişim değil sadece görme dikkat edin! Çünkü selective authentication seçtiğim için izinlere konusuna makalemin bir sonraki bölümünde gireceğim ).
İlk olarak cozumpark.local domaini içerisindeki bir makinede bir klasör oluşturdum ve bu klasöre hakanuzuner.com içerisindeki bir kullanıcıya yetki vermek istiyorum, bakalım durum ne olacak ?
Ama hakanuzuner.com domain ile ilgili herhangi bir bilgi yok! Evet, çünkü hatırlarsanız biz hakanuzuner.com domaini içerisindeki kaynaklara erişecektik. Yani kaynaklar hakanuzuner.com içerisinde, kullanıcılar ise ( yetki verilecek kullanıcılar ) cozumpark.local domaininde. Bu nedenle yukarıdaki şekilde hakanuzuner kullanıcılarını göremeyiz.
Peki biz asıl amacımız olan yani hakanuzuner.com üzerindeki bir file server için aynı işlemi yapalım ?
Evet burada istediğimiz şey oldu ve hakanuzuner.com domaini içerisindeki bir file server üzerindeki klasör izinlerinin ACL tablosunda Location menüsü yardımı ile cozumpark.local forest’ ı içerisindeki kullanıcıları seçebiliyorum.
Bu sorgunun devamında bizden kimlik bilgisi istenmektedir. Sebebi ise hatırlarsanız cozumpark domaini hakanuzuner domainine güvenmiyor, bu nedenle hakanuzuner domaini içerisinden cozumpark kullanıcı listesini çekmek için kimlik bilgisi vermeniz gerekmektedir.
Liste geliyor ve bende “Administrator” kullanıcısına yetki veriyorum.
Son durum yukarıdaki gibi. Ancak bu yeterli bir durum değil, çünkü hakanuzuner.com içerisindeki hangi sunucuların trust yapısına gireceğine henüz karar vermedik. Bunu da aşağıdaki şekilde yapabiliyoruz.
Öncelikle selective authentication seçtiğimize göre amacımız hakanuzuner.com domaini içerisindeki tüm sunucu ve istemci makinelerin değil sadece seçtiğimiz makinelerin trust’ a katılmasını istiyoruz. Bu nedenle bende istemiş olduğum birden çok olan dosya sunucularımdan bir tanesini seçiyorum
Örneğin bende 3 tane file server var ben bunlardan istediğim makineyi seçiyorum ve güvenlik sekmesine geliyorum
Bu sekmede cozumpark.local içerisinde klasör bazında yetki verdiğim kişi veya gruba izin veriyorum. Add diyerek bu kişiyi ekliyorum
Location bölümünden domain olarak cozumpark’ ı seçip istemiş olduğum kullanıcı veya gruba aşağıdaki izni veriyorum
“Allowed to authenticate” demek bu kullanıcı bu makine için kimlik doğrulaması yapabilir yani bu makine için servis SPN’ i AD ye sorgular ve bunun için bilet alarak ACL de yetkisi var ise klasöre erişebilir demek.
Peki, şimdi bunu test edelim.
Cozumpark.local domaini içerisinden administrator kullanıcısı file server’ a erişirken cozumpark.local domaninden hakan kullanıcısı erişemeyecek. Ancak ben ACL de her ikisine de izin verdim.
Öncelikle file server üzerindeki klasörün paylaşım izinlerini inceleyelim
Gördüğünüz gibi “trustdenemesi” isimli klasörün paylaşımlarında cozumpark domaininden iki kullanıcı için yazma okuma izni verilmiş durumda ( hakan ve administrator ) kullanıcısı.
Birde ACL’ i kontrol edelim
ACL de de durum aynıdır. Hem hakan hemde administrator kullanıcısı full izinli.
Şimsi cozumpark domainindeki bir Windows 8 istemci makineden bu klasöre sırası ile önce administrator kullanıcısı ile sonra hakan kullanıcısı ile ulaşmaya çalışacağım.
Not; Bu makine için administrator kullanıcısı için Allowed to Authenticate izni verildiğini unutmayın.
Administrator kullanıcısı ile herhangi bir istemci makineden veya sunucu da olabilir hakanuzuner.com içerisindeki sunucuya bağlanıyorum ve gördüğünüz gibi file sharing’ e erişiyorum.
Şimdi ise hakan kullanıcısı ile deneyelim, yine cozumpark.local içerisindeki herhangi bir makineden hakan ile login oluyoruz
Ancak gördüğünüz gibi hakan kullanıcısı aynı kaynaklara erişemiyor çünkü hakan kullanıcısı için bu makine hesabı üzerinde “Allowed to Authenticate” kutucuğu işaretli değil.
İşte bu örnek tam olarak selective authentication konusuna güzel bir örnek.
Yapmış olduğum demo sayesinde hem tek yönlü hem de selective authentication konusunu örneklemiş oldum ki bu konuda yazılmış tek makale olma özelliğini de şu anda elinde bulunduruyoruz.
Peki, kimlik doğrulama bölümünü tamamladığımıza göre birazda trust özelliklerini inceleyelim.
Bunun için aşağıdaki gibi mevcut bir trust üzerinden ilerleyebiliriz
Trust özelliklerinde iki sekme yer almaktadır. Birinci sekme “General”, ikinci sekme ise “Name Suffix Routing”’ dir.
General sekmesinde genel olarak hangi domain den hangi domain’ e trust yapıldığına dair bir açıklama yer almaktadır. Hemen bunun altında ise bu trust’ ın tipi belirtilmektedir.
Hemen altında yer alan kutucuk ise karşı tarafın Kerberos AES Encryption destekleyip desteklemediği bilgisini doğrular. Eğer daha güvenli bir iletişim istiyor ve karşı domain AES destekliyor ise bu kutucuğu işaretleyebilirsiniz.
Ancak bu konuda bilinen bir bug olup aşağıdaki makaleyi incelemenizi öneririm
http://support.microsoft.com/kb/975616
Daha alt bölümlerde ise trust için incoming – outgoing yani yön bilgisi ve geçişli olup olmadığı hakkında bilgi verilmektedir.
Validate butonu sayesinde mevcut trust ilişkisini doğrulayabilir veya sıfırlayabiliriz.
Son bölümde ise bu trust için mevcut bilgileri bir dosyaya kayıt edebiliriz.
Diğer sekme ise name suffix routing olup bu konuda çok detaylı bir bilgiyi makalemin ikinci bölümünde paylaşmıştım.
Bir daha bu bölümü paylaşmamın amacı gerçek hayat senaryosunda ki bir trust yapısında nasıl bir routing tanımı olur onu göstermek istedim.
Name Suffix Route üzerine bir kere tıklayıp edit dersek yukarıdaki menü açılır, burada yine daha önce bahsetmiş olduğum karmaşık trust yapılarında ortaya çıkan kimlik doğrulama sorunlarınız çözmek için uyguladığımız exclude bölümü yer almaktadır. Yukarıda görüldüğü gibi hakanuzuner.com için tanımlı olan ; *.hakanuzuner.com route bilgisi içerisinde makale child bilgisini de barındırmaktadır. Eğer siz external bir trust ile iki child domain’ i ( sozluk.cozumpark.local ve makale.hakanuzuner.com ) bir birine bağlarsanız buradaki kimlik doğrulama sürecinin performansını iyileştirmek için bu yukarıdaki pencereye makale.hakanuzuner.com için bir exclude girebilirsiniz ( veya makale.hakanuzuner.com üzerine tıklayıp disable seçeneğini seçebilirsiniz). Bu sayede hakanuzuner.com için kimlik doğrulama istekleri root domain’ e gönderilirken, makale.hakanuzuner.com içerisindeki kaynaklara erişmek için gerekli olan kimlik doğrulama paketleri external trust üzerinden direkt child’ ın dc makinesine gönderilir.
Tabiki bu kadar küçük yapılar için gerekli bir aksiyon değildir, çünkü siz bun yapmasanız bile sozluk child içerisindeki bir kişi, makale child yapısındaki bir file server’ a forest trust üzerinden her şekilde erişebilir.
Evet bu son bilgi ile beraber makalemin bu bölümünün de sonuna gelmiş oldum. Bundan sonraki ve son bölüm ise External trust oluşturmak ve forest trust ile external trust’ ın aynı anda kullanılması noktasındaki bilgilendirmeleri içerecektir.
Makalemin bir sonraki bölümü için aşağıdaki linki kullanabilirsiniz
Active Directory Trust Relationships – Bölüm 5 External Trust
