Forum

Dynamic Access Cont...
 
Bildirimler
Hepsini Temizle

Dynamic Access Control–DAC ve Claim Mantığı

2 Yazılar
2 Üyeler
0 Reactions
894 Görüntüleme
Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33367
Illustrious Member Yönetici
Konu başlatıcı
 

Dynamic Access Control DAC, Windows Server 2012 ile hayatimiza giren dosya sistemi için yeni bir erisim kontrol mekanizamasidir.
Bu
yeni mekanizama sayesinde dosya sistemi için merkezi kurallar
tanimlayabiliyoruz.( tüm dosya sunuculari için tek policy belirleme
sansimiz vardir)

DAC, mevcut dosya izinleri ile birlikte çalisabildigi gibi (ACL) bundan bagimsizda dosya erisim yönetimi yapabilmektedir.

Temel olarak Domain tabanli dosya sunuculari için yönetim ve izleme (Audit) esnekligi saglamak için tasarlanmistir.

DAC, kimlik dogrulama tokenlarinda, kaynak özelliklerinde ve izleme –
erisim islemlerinin duruma göre gerçeklestirilmesi için claim isimini
verdigimiz bir degisken kullanir.

Claim kelimesi aslinda bir nesne için (çogunlukla kullanici ve
bilgisayar nesneleri için) nitelik (attribute, property) anlami
tasimaktadir. Örnegin bir kullanicinin muhasebe grubunda olmasi,
telefonun 5555 olmasi, ofis adresinin Istanbul, yasadigi ülkenin
Türkiye, çalistigi proje isminin “2013 yili projesi” olmasi veya bir
bilgisayarin ortamdaki NAP – Network Access Protection servisi için
saglikli (health state) durumda olmasi gibi Dynamic Access Control
mekanizmasinda bu kullanici veya makineyi tanimlayacak bilgilere claim
diyoruz.

Windows Server 2012 ve daha yeni isletim sistemlerinde kimlik
dogrulama mekanizmasi da claim destegi sagladigi için artik klasör veya
dosya erisimlerinde NTFS izileri yaninda yani SID temeline ek olarak AD
DS özniteliklerini de kullanabiliyoruz. Tabiki bu durum hala grup
üyeligi veya SID temelli dosya veya klasör erisiminin çalismadigi
manasina gelmiyor. Yani DAC uygulanmadigi durumlarda hala eskisi gibi
kullanici veya üyesi oldugu grubun SID numarasi ile erismek istedigi
dosya üzerindeki ACL SID numaralarinin eslesmesi mantigi devam
etmektedir.( eslesmesi tabiki erisim için sart ancak eslestikten sonra
da yazma mi okuma mi yekkileri oldugu önemlidir)

Özetle claim özelligi sayesinde artik dosya ve klasörlerin izlenemesi
– erisilmesi için AD-DS öz niteliklerini baz alarak kural yazabiliriz.

User Claim ve Computer Claim kavramlari aslinda AD üzerindeki
kullanici öz nitelikleri ve makine öz nitelikleridir. Kullanici için bir
kaç örnek vermek gerekir ise, üye oldugu gruplar, telefonun numarasi,
ofis adresi, yasadigi sehir gösterilebilir. Bilgisayar için ise örnegin
NAP – Network Access Protection servisi için “saglikli” (health state)
durumda olmasi yani “saglikli” veya “sagliksiz” nitelikleri bilgisayar
için bir claimdir.

Claim forest içerisindeki tüm domainler için kullanilabildigi gibi ek olarak trust yapmanzi halinde geçis destegide sunmaktadir

Resource Properties

Eger kaynaklarinizin yönetimini daha esnek olarak gerçeklestirmek
istiyorsaniz öncelikle bu kaynaklarin özelliklerini sistemin iyi bir
sekilde ayristirmasi için belirlemeniz gereklidir.

Resource properties ayni zamanda resource property object olarak
bilinir. Bu obje dosya veya klasöre ek olarak eklenen bir nitelik olup
daha çok Windows Server Resource Manager destegi olan dosya
siniflandirma islemi sirasinda eklenir. Örnegin bir klasör veya dosya
için siniflandirma görevi çalisir ve bu klasör veya dosya için uygulanan
kurala göre bu niteligi “Gizli”, “Sirkete Özel”, “Genele Açik”,
“Kisisel” ve benzeri siniflandirir.

Yukaridaki örneklerden bu obje için kendinize ait nitelikler
tanimlayabildiginizi görebilirsiniz. Ben bir kaç örnek paylastim sadece.
Örnegin siz proje isimlerini de bu öznitelik için kullanabilirsiniz.

Peki DAC ile dosya erisimi nasil gerçeklesir?

 

Claim kullanilmayan bir durumda, bir kullanici bir kaynaga erismek
için öncelikle KDC üzerinden aldigi token içerisindeki kendi kullanici
SID ve yine üyesi oldugu grup SID leri ile ilgili sunucuya gider ve
klasör – dosyada ki ACL ile karsilastirma yapilirdi, eger kullanici veya
üyesi oldugu gruplardan birinin SID numarasi dosya üzerindeki ACL
içerisindeki SID lerden biri ile eslesir ise dosyaya erisim
saglanmaktaydi. ( Tabiki kerberos süreci birazdaha detayli bir süreç
olup, lsa, session key ve benzeri kavramlari bilerek anlatimdan çikardim
ki claim mantigindaki degisiklikler daha sade bir sekilde anlasilsin )

Server 2012 sonrasinda Kerberos v5 Key Distribution Center – KDC 
claim destegi sundugu için yukaridaki sekilde görüldügü gibi sistem
biraz degisiyor. Yine kullanici DC üzerinden aldigi kerberos token
içerisinde SID bilgileri yaninda claim dedigimiz kullanici öz
niteliklerinden tanimlanmis olanlari da alir ve bu bilgiler ile dosya
sunucusuna gider, dosya sunucusu üzerindeki dosya için ACL sarti
saglanmasina karsin eger DAC aktif ve policy uygulanmis ise ilgili
dosyada SID benzerliginin yaninda claim benzerligide talep edebilir.
Örnegin klasör “ITSTACK” projesi için ise bu durumda gelen kullanici
company bilgisinde “ITSTACK” yazmasini da ek olarak talep edebilir. Bu
bilgide eger policy ile eslesiyorsa bu durumda dosya erisimi saglanir.

Benzer sekilde bu sürece aygit yani bilgisayar içinde claim
ekleyebiliriz. Yani ilgili kullanici SID bilgisi tutacak, user claim
tutacak birde makine claim olarak NAP için saglikli bilgisi olacak ki bu
da bir öznitelik olup claim olarak kullanilir. Yani sadece bir
kullanicinin SID ve claim bilgisi ile o kullanici ilgili dosyaya erissin
AMA güvenli bir bilgisayardan erissin diyebiliriz.

Bu tür ayarlari isterseniz klasör üzerinden “Advanced Security
Settings Editor” ile yapabileceginiz gibi tüm organizasyonunuz için yani
birden çok file server ve üzerindeki tüm klasörler – dosyalar için
policy yazabilirsiniz.
Ilk olarak Central Access Rule yazip bunu Central Access Policy ‘ ye baglayabiliriz.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 30/06/2015 14:43

(@riza-sahan)
Gönderiler: 18033
_
 

Bilgilendirme için teşekkürler hocam.

1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.

 
Gönderildi : 30/06/2015 22:45

Paylaş: