Modern kimlik yönetimi, yalnızca kullanıcı hesaplarının oluşturulması ve silinmesiyle sınırlı kalmayıp, yaşam döngüsü boyunca güvenli, tutarlı ve merkezi bir şekilde yönetilmesini zorunlu kılar. Özellikle Active Directory Tiering Model kapsamında, kimlik yönetim altyapısının doğru segmentlere ayrılması ve rollere göre izole edilmesi büyük önem taşır.
Bu bölümde, Microsoft Identity Manager (MIM) çözümünün Tiering Model içerisindeki yerini ve güvenli konumlandırma stratejilerini ele alacağız. MIM’in sunduğu Self-Service Password Reset, Group Management ve Identity Synchronization gibi temel bileşenlerin, Tier-0 varlıklarıyla etkileşimi dikkatle planlanmalıdır. Ayrıca, Privileged Access Management (PAM) gibi ileri seviye modüllerin, hassas yönetici hesaplarını nasıl izole ettiğini ve denetim altına aldığını da detaylandıracağız.
Bu bölüm, MIM’in Active Directory ekosistemindeki rolünü katmanlı güvenlik prensibiyle harmanlayarak anlatmayı hedefler.
Microsoft MIM, Microsoft’un belki de en özel çözümlerinden birisidir. Farklı kurulum seçenekleri var ve bu seçenekler ortama göre değişiyor.
Bizim yapımız aşağıdaki gidir:
1 – MIM Portal ve MIM Service Server
2 – MIM Sync Server
3 – MIM SQL Server
İlk adım olarak, MIM kullanıcılara ve gruplara ihtiyacımız var ve bu grupların SPN kayıtlarını oluşturuyoruz. Bu işlemleri DC üzerinde yapıyoruz.
import-module activedirectory
$sp = ConvertTo-SecureString "Mim2025*!" –asplaintext –force
New-ADUser –SamAccountName MIMINSTALL –name MIMINSTALL -Path "OU=MIM,OU=Tier 1 Servers,OU=_lab,DC=lab,DC=local"
Set-ADAccountPassword –identity MIMINSTALL –NewPassword $sp
Set-ADUser –identity MIMINSTALL –Enabled 1 –PasswordNeverExpires 1
New-ADUser –SamAccountName MIMAdmin –name MIMAdmin -Path "OU=MIM,OU=Tier 1 Servers,OU=_lab,DC=lab,DC=local"
Set-ADAccountPassword –identity MIMAdmin –NewPassword $sp
Set-ADUser –identity MIMINSTALL –Enabled 1 –PasswordNeverExpires 1
New-ADUser –SamAccountName MIMMA –name MIMMA -Path "OU=MIM,OU=Tier 1 Servers,OU=_lab,DC=lab,DC=local"
Set-ADAccountPassword –identity MIMMA –NewPassword $sp
Set-ADUser –identity MIMMA –Enabled 1 –PasswordNeverExpires 1
New-ADUser –SamAccountName MIMSync –name MIMSync -Path "OU=MIM,OU=Tier 1 Servers,OU=_lab,DC=lab,DC=local"
Set-ADAccountPassword –identity MIMSync –NewPassword $sp
Set-ADUser –identity MIMSync –Enabled 1 –PasswordNeverExpires 1
New-ADUser –SamAccountName MIMService –name MIMService -Path "OU=MIM,OU=Tier 1 Servers,OU=_lab,DC=lab,DC=local"
Set-ADAccountPassword –identity MIMService –NewPassword $sp
Set-ADUser –identity MIMService –Enabled 1 –PasswordNeverExpires 1
New-ADUser –SamAccountName MIMSSPR –name MIMSSPR -Path "OU=MIM,OU=Tier 1 Servers,OU=_lab,DC=lab,DC=local"
Set-ADAccountPassword –identity MIMSSPR –NewPassword $sp
Set-ADUser –identity MIMSSPR –Enabled 1 –PasswordNeverExpires 1
New-ADUser –SamAccountName SharePoint –name SharePoint -Path "OU=MIM,OU=Tier 1 Servers,OU=_lab,DC=lab,DC=local"
Set-ADAccountPassword –identity SharePoint –NewPassword $sp
Set-ADUser –identity SharePoint –Enabled 1 –PasswordNeverExpires 1
New-ADUser –SamAccountName SqlServer –name SqlServer -Path "OU=MIM,OU=Tier 1 Servers,OU=_lab,DC=lab,DC=local"
Set-ADAccountPassword –identity SqlServer –NewPassword $sp
Set-ADUser –identity SqlServer –Enabled 1 –PasswordNeverExpires 1
New-ADUser –SamAccountName BackupAdmin –name BackupAdmin -Path "OU=MIM,OU=Tier 1 Servers,OU=_lab,DC=lab,DC=local"
Set-ADAccountPassword –identity BackupAdmin –NewPassword $sp
Set-ADUser –identity BackupAdmin –Enabled 1 -PasswordNeverExpires 1
New-ADUser –SamAccountName MIMpool –name MIMpool -Path "OU=MIM,OU=Tier 1 Servers,OU=_lab,DC=lab,DC=local"
Set-ADAccountPassword –identity MIMPool –NewPassword $sp
Set-ADUser –identity MIMPool –Enabled 1 -PasswordNeverExpires 1New-ADGroup –name MIMSyncAdmins –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncAdmins -Path "OU=MIM,OU=Security Groups,OU=Groups,OU=_lab,DC=lab,DC=local"
New-ADGroup –name MIMSyncOperators –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncOperators -Path "OU=MIM,OU=Security Groups,OU=Groups,OU=_lab,DC=lab,DC=local"
New-ADGroup –name MIMSyncJoiners –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncJoiners -Path "OU=MIM,OU=Security Groups,OU=Groups,OU=_lab,DC=lab,DC=local"
New-ADGroup –name MIMSyncBrowse –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncBrowse -Path "OU=MIM,OU=Security Groups,OU=Groups,OU=_lab,DC=lab,DC=local"
New-ADGroup –name MIMSyncPasswordSet –GroupCategory Security –GroupScope Global –SamAccountName MIMSyncPasswordSet -Path "OU=MIM,OU=Security Groups,OU=Groups,OU=_lab,DC=lab,DC=local"
Add-ADGroupMember -identity MIMSyncAdmins -Members Administrator
Add-ADGroupmember -identity MIMSyncAdmins -Members MIMService
Add-ADGroupmember -identity MIMSyncAdmins -Members MIMAdmin
setspn -S http/mim.lab.local lab\mimpool
setspn -S http/mim lab\mimpool
setspn -S http/passwordreset.lab.local lab\mimsspr
setspn -S http/passwordregistration.lab.local lab\mimsspr
setspn -S FIMService/mim.lab.local lab\MIMService
setspn -S FIMService/corpservice.lab.local lab\MIMService
- mim.lab.local’u MIM Portal ve MIM Service Server fiziksel IP adresine yönlendirin.
- passwordreset.lab.local’adresini MIM Portal ve MIM Service Server fiziksel IP adresine yönlendirin.
- passwordregistration.lab.local”u MIM Portal ve MIM Service Server fiziksel IP adresine yönlendirin.
Not: Tüm kurulumlar MIMAdmin kullanıcısı ile yapılmalı ve MIMAdmin kullanıcısı lokal admin olmalıdır.
MIM SQL Kurulumu
İlk olarak kurulum yapacağımız hesap olan MIMAdmin ile login oluyoruz ve MIMAdmin ve MIMService hesaplarını bu sunucuda lokal admin yapıyoruz.
Kurulum sırasında Database Engine Services ve Full-Text and Semantic Extractions for Search bileşenleri seçilmelidir.
SQL kurulumu bu kadar.
MIM Services ve Portal Kurulumu
Ön Hazırlıklar
İlk olarak SQL üzerinde MIMAdmin kullanıcısının “sysadmin” yetkisine sahip olduğunu doğrulayınız.
Sonrasında aşağıdaki bileşenleri yükleyiniz.
import-module ServerManager
Install-WindowsFeature Web-WebServer,Net-Framework-Features,rsat-ad-powershell,Web-Mgmt-Tools,Windows-Identity-Foundation,Server-Media-Foundation,Xps-Viewer –includeallsubfeature -restart -source d:\sources\SxSKurulum öncesinde MIM servis hesaplarının çalışabilmesi için “Log on as a service” yetkisi tanımlanmalıdır.
Bu işlem, secpol.msc (Local Security Policy) üzerinden yapılır.
Eklenmesi gereken hesaplar:
LAB\MIMServiceLAB\MIMSyncLAB\MIMMALAB\MIMSSPRLAB\SharePoint- L
AB\SqlServer
Deny access to this computer from the network” güvenlik ilkesin eklenmelidir.
LAB\MIMServiceLAB\MIMSync
İlgili ayar, secpol.msc üzerinden şu yol izlenerek düzenlenir:
Local Policies → User Rights Assignment → Deny access to this computer from the network
Gerekli bişelenler yüklenir.
Add-WindowsFeature NET-HTTP-Activation,NET-Non-HTTP-Activ,NET-WCF-Pipe-Activation45,NET-WCF-HTTP-Activation45,Web-Server,Web-WebServer,Web-Common-Http,Web-Static-Content,Web-Default-Doc,Web-Dir-Browsing,Web-Http-Errors,Web-App-Dev,Web-Asp-Net,Web-Asp-Net45,Web-Net-Ext,Web-Net-Ext45,Web-ISAPI-Ext,Web-ISAPI-Filter,Web-Health,Web-Http-Logging,Web-Log-Libraries,Web-Request-Monitor,Web-Http-Tracing,Web-Security,Web-Basic-Auth,Web-Windows-Auth,Web-Filtering,Web-Digest-Auth,Web-Performance,Web-Stat-Compression,Web-Dyn-Compression,Web-Mgmt-Tools,Web-Mgmt-Console,Web-Mgmt-Compat,Web-Metabase,WAS,WAS-Process-Model,WAS-NET-Environment,WAS-Config-APIs,Web-Lgcy-Scripting,Windows-Identity-Foundation,Xps-Viewer -verbose
Install-WindowsFeature Web-WebServer, Net-Framework-Features,rsat-ad-powershell,Web-Mgmt-Tools,Windows-Identity-Foundation,Server-Media-Foundation,Xps-Viewer –includeallsubfeatureIIS Windows Authentication Konfigürasyonları
iisreset /STOP
C:\Windows\System32\inetsrv\appcmd.exe unlock config /section:windowsAuthentication -commit:apphost
iisreset /STARTPortal Kurulumu
Microsoft MIM, SharePoint Portal’a ihtiyaç duyar bu nedenle ilk olarak SP kurulumu yapıyoruz.
SP 2016 iso içerisindeki “prerequisiteinstaller.exe” i çalıştarak gerekli bileşenlerin kurulumunu sağlıyoruz.
Kurulum sonrası ilk ayarları yapmaya başlıyoruz.
MIM Portal kurulumu sırasında SharePoint Configuration Wizard açıldığında, aşağıdaki seçenek belirlenmelidir:
- Create a new server farm
Bu seçenek ile SharePoint, MIM için bağımsız ve yeni bir yapı (farm) olarak yapılandırılır.
Var olan bir farm yapısına bağlanılması önerilmez, çünkü MIM yalnızca kendi farm’ı üzerinde sağlıklı çalışır.
Yeni bir SharePoint farm oluşturulurken, yapılandırma veritabanı ayarları aşağıdaki gibi girilmelidir:
- Database server:
mimsql - Database name:
SharePoint_Config
Ayrıca SharePoint’in bu veritabanına erişebilmesi için bir hizmet hesabı tanımlanmalıdır:
- Username:
lab\sqlserver - Password: İlgili domain kullanıcısının şifresi girilir.
Bu hesap, veritabanı üzerinde gerekli izinlere sahip olmalı ve kurulum sırasında “Log on as a service” yetkisi atanmış olmalıdır.
Kurulum sonrası bu ekran bizi karşılıuyor ve “No..” ile devam ediyoruz
Şimdi sırada SharePoint’i MIMPortal için hazırlamamız gerekiyor
SharePoint ortamında uygulama havuzlarında kullanılacak servis hesabını tanımlamak için aşağıdaki PowerShell komutu çalıştırılır:
New-SPManagedAccountKomut çalıştırıldığında kimlik bilgisi ekranı açılır. Buraya MIM için kullanılacak servis hesabı girilir:
- Username:
lab\mimpool - Password: İlgili şifre girilir ve işlem onaylanır.
Bu hesap, SharePoint hizmetleri tarafından kullanılacak şekilde yönetilen hesap (Managed Account) olarak tanımlanmış olur.
MIM Portal’ın barındırılacağı SharePoint Web Application aşağıdaki PowerShell komutları ile oluşturulur:
$dbManagedAccount = Get-SPManagedAccount -Identity lab\mimpool
New-SPWebApplication -Name "MIM Portal" `
-ApplicationPool "MIMAppPool" `
-ApplicationPoolAccount $dbManagedAccount `
-AuthenticationMethod "Kerberos" `
-Port 80 `
-URL http://mim.lab.local
MIM Portal performansını ve uyumluluğunu artırmak için SharePoint üzerinde aşağıdaki PowerShell komutları çalıştırılır:
$contentService = [Microsoft.SharePoint.Administration.SPWebService]::ContentService
$contentService.ViewStateOnServer = $false
$contentService.Update()
Ayrıca zamanlanmış görevleri kapatılır:
Get-SPTimerJob hourly-all-sptimerservice-health-analysis-job | Disable-SPTimerJobBu işlemler ardından MIM SP Portal ayarları sona armiş oluyor.
Diğer makalede MIM kurulumına devam edeceğiz.
