Forum
Merhaba herkese keyifli günler dilerim. Mevcutta kullandığımız bir sistem için girişte microsoft authenticator ile giriş yaptırmak ve sistemin içerisindeki kullanıcıları AD üzerinden yönetmek istediğimizden Azure AD ile local AD yi bağladım. Kullanıcılarım azure üzerine geldi buraya kadar sorun yok. Azure Active Directory Domain Service kısmınıda aktif ettim. Secure LDAP kısmında LDAP entegrasyonunu aktif etmek istediğimde .pfx sertifika istemekteydi hemen bir CA server kurup sertifika alıp yüklemek istediğimde bir türlü aktif edemedim. Mevcut etki alanı adım aaa.local, azure üzerinde etki alanlarım alanında bu domaini eklemek istediğimde dns sorunu yaşamaktayım. Bir kaç dökümanda .local uzantılı yerel domainin DNS tarafında sorun çıkardığını ve olmadığını yazmışlar .com uzantılı bir domainden cloud dns üzerine girilmesi gereken TXT yada MX değerlerinin olduğu yazılmış. Local dns server içerisine eklediğim bu kayıtlar zaten geçersiz oluyor. DNS kaydı girmek için illa .com uzantılı domain mi gerekir .local domain ile bu iş olmuyor mu ? .local domain ile azure ad bağlayıp ldap yapan hocalarım tecrübelerinizi merak ediyorum.
Support dan destek alın bence kuruluma yardımcı oluyorlar. Muhtemelen Azure AD tanımlarınız eksik olmuştur.
.local domaininizi sorunsuz sync edebilir tanımlayabilirsiniz size xdomain.onmicrosoft.com isimli bir domain tanımlar ve global domain tanımlarınızı da yaptığınızda sistem sorunsuz işler yani söylediğiniz gibi sorunlar yok. Ben ldap yapmadım ama genel olarak Azure tarafında cert süreçleri globbal cert üzerinden işler yani CA yerine satın alabilir yada Lets encypt, CertifyTheWeb kullanabilirsiniz.
Bütünsel bir makale bulunmaz dediğim gibi baştan aşamalar eksik olmuş olabilir mic. doc. sağlamdır aşama aşama gidin ldap son aşamaya bırakın.
https://learn.microsoft.com/en-us/azure/active-directory-domain-services/tutorial-configure-ldaps
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Support dan destek alın bence kuruluma yardımcı oluyorlar. Muhtemelen Azure AD tanımlarınız eksik olmuştur.
.local domaininizi sorunsuz sync edebilir tanımlayabilirsiniz size xdomain.onmicrosoft.com isimli bir domain tanımlar ve global domain tanımlarınızı da yaptığınızda sistem sorunsuz işler yani söylediğiniz gibi sorunlar yok. Ben ldap yapmadım ama genel olarak Azure tarafında cert süreçleri globbal cert üzerinden işler yani CA yerine satın alabilir yada Lets encypt, CertifyTheWeb kullanabilirsiniz.
Bütünsel bir makale bulunmaz dediğim gibi baştan aşamalar eksik olmuş olabilir mic. doc. sağlamdır aşama aşama gidin ldap son aşamaya bırakın.https://learn.microsoft.com/en-us/azure/active-directory-domain-services/tutorial-configure-ldaps
İbrahim Hocam Selamlar,
Sanırım yanlış anlattım, sorunum sync olayı değil azure ad connect ile sorunsuz sync oldu sistem. Azure üzerinde LDAP için Azure AD Domain Servis kurulması gerekiyor. Bu servisi kurduğum zaman dış public bir domaine ihtiyaç duyuluyor, yönetilebilir alan adı ekleme kısmında .local uzantılı domain eklediğim zaman bir TXT kaydı veriyor fakat bunu iç dns e girsemde bir etkisi olmuyor illa cloud bir dns gerekiyor. Hatta şöyle bir bilgiye ulaştım sanırım .local olarak domain olmadığı bu bilgide yer alıyor. Aslında amacım local'de çalışan bir uygulamaya authenticator ile giriş yaptırmak ve kullanıcıları AD üzerinden yönetmek. Bunun içinde LDAP şart. Azure AD ile LDAP yaparak bu işi yapabiliriz diye düşünüyorum.
Yönetilen bir etki alanı oluşturduğunuzda, bir DNS adı belirtirsiniz. Bu DNS adını seçtiğinizde dikkat edilmesi gereken bazı noktalar vardır:
- Yerleşik etki alanı adı: Varsayılan olarak, dizinin yerleşik etki alanı adı kullanılır ( .onmicrosoft.com soneki). İnternet üzerinden yönetilen etki alanına güvenli LDAP erişimini etkinleştirmek istiyorsanız, bu varsayılan etki alanıyla bağlantının güvenliğini sağlamak için dijital sertifika oluşturamazsınız. .onmicrosoft.com etki alanının sahibi Microsoft olduğundan Sertifika Yetkilisi (CA) sertifika vermez.
- Özel etki alanı adları: En yaygın yaklaşım, genellikle sahip olduğunuz ve yönlendirilebilir bir özel etki alanı adı belirtmektir. Yönlendirilebilir, özel bir etki alanı kullandığınızda, uygulamalarınızı desteklemek için trafik gerektiği gibi doğru şekilde akabilir.
- Yönlendirilemeyen etki alanı sonekleri: Genellikle contoso.local gibi yönlendirilebilir olmayan bir etki alanı adı sonekini önlemenizi öneririz. .local soneki yönlendirilebilir değildir ve DNS çözümlemesiyle ilgili sorunlara neden olabilir.
https://learn.microsoft.com/tr-tr/azure/active-directory-domain-services/tutorial-create-instance
Merhaba, cevabı bulmuşsunuz zaten, cloud ile beraber artık local gibi isimler terk ediliyor. 2000' li yılların başlarında tam tersi bir durum vardı ancak artık işler değişiyor. Bu arada UPN kullanmayı deneyebilirsiniz. Yani local alan adınız yerine UPN ekleyerek farklı bir alan adını kullanabilirsiniz ancak bu desteklenen örneğin windows logon ekranları gibi kullanıcılara bilgi verdiğiniz durumlarda işe yarar, netbios kullanan eski tip non microsoft sistemler bunu desteklemez.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
@hakanuzuner hocam cevabınız için teşekkürler. Peki local'de çalışan bir yazılımın kullanıcı denetimini azure ad üzerinden yapabilir miyim ldap ile ve bu azure ad üzerindeki kullanıcıları da bu sisteme authenticator ile giriş yaptırabilirmiyim. Yazılım local de çalışıyor dışarıya kapalı. Sanırım azure sanal networkden kendi iç fw mize kural mı yazmak gerekecek. Local de bu işlemleri azure domain servis kurmadan kullanıcıları authenticate edebilirmiyim , yoksa illa azure üzerinden ldap yaparak mı authenticate edebilirim.
@hakanuzuner hocam cevabınız için teşekkürler. Peki local'de çalışan bir yazılımın kullanıcı denetimini azure ad üzerinden yapabilir miyim ldap ile ve bu azure ad üzerindeki kullanıcıları da bu sisteme authenticator ile giriş yaptırabilirmiyim. Yazılım local de çalışıyor dışarıya kapalı. Sanırım azure sanal networkden kendi iç fw mize kural mı yazmak gerekecek. Local de bu işlemleri azure domain servis kurmadan kullanıcıları authenticate edebilirmiyim , yoksa illa azure üzerinden ldap yaparak mı authenticate edebilirim.
Selamlar,
On-prem'de bulunan uygulamalarınızda kimlik doğrulama yöntemi olarak Azure AD'yi kullanabilirsiniz. Kimlik doğrulamanın Azure AD üzerinden yapılabilmesi için uygulamanın Azure AD ile modern kimlik doğrulama yöntemini destekliyor olması gerek. Uygulamayı yazan ekip ile görüşerek bunun olup olmayacağını sorabilirsiniz. Kimlik doğrulama işlemlerini yazılımcıların uygulama içerisinde yapıyor olması gerekiyor.
Eğer uygulamanız web base bir uygulama ise Azure AD Proxy ile uygulamanızı dış dünyaya hızlıca açabilirsiniz.
Ümit Seyhan
Son bir bakış yazayım bende, bence kavramsal problemler var.
- Mesela bu firmanın bir websitesi yok mu, global domain'i yok mu. AD içeri de .local olabilir bu kati bir bağım değil. Azure AD sync .local ile yapabilir fakat main tanımlarınız websitesi, mail domain'i ile aynı olabilir. Zaten bu yüzden en başta eksik olmuş olabilir demek istedim.
- Diğeri ise hem "Yazılım local de çalışıyor dışarıya kapalı." diyorsunuz hem de MFA yaptırmak istiyorsunuz. Nedenini iyi planlıyor musunuz hocanın dediği gibi bu desteği var mı. Diyelim ki Hybrid herşeyi Azure, M365 taşıdınız yazılımınız içeride local ldap'ten pek tabi ki devam edebilir, şayet bunu dışarıya açmak, MFA imkanından yararlanmak istiyorsanız o zaman ilk kısımdaki sorularda eksiklik var yok durumu değerlendirilmelidir. Benim yazılanlardan anladığım budur.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
@ibrahimyildiz hocam selamlar,
.com uzantılı main domainimizde AD kurulu ve bunu buluta çıkarmak istemiyorum. Bunun için ikinci bir domain oluşturup AD kurup bu ikinci domain ile ilerlemek istiyorum.
MFA olayına gelince, evet hocam local'deki çalışan bir web tabanlı yazılıma girişte authenticator ile giriş yaptırmak bunun sebebi ise local'de bile olsa şifresini bilen bir kullanıcı başkasının kullanıcısı ile sisteme girişini engellemek bu PCI DSS de olması gereken bir kural o yüzden girişe authenticator kurmam gerekiyor. Araştırdığımda bunu azure AD ile Secure LDAP yaparak entegrasyon yapılabildiği. Burada kafama takılan local'de kullanmak istediğim için Azure Domain Service ile dışarıya çıkarak mı yapmam gerekiyor. Hiç domain service kurmadan sadece Azure AD Connect ile bu authenticator işlemi yapılabiliyor mu. Yapmak istediğim web panele girişte kullanıcı bilgileri girdikten sonra cep telefonundan authenticate yaptırmak.
@hakanuzuner hocam cevabınız için teşekkürler. Peki local'de çalışan bir yazılımın kullanıcı denetimini azure ad üzerinden yapabilir miyim ldap ile ve bu azure ad üzerindeki kullanıcıları da bu sisteme authenticator ile giriş yaptırabilirmiyim. Yazılım local de çalışıyor dışarıya kapalı. Sanırım azure sanal networkden kendi iç fw mize kural mı yazmak gerekecek. Local de bu işlemleri azure domain servis kurmadan kullanıcıları authenticate edebilirmiyim , yoksa illa azure üzerinden ldap yaparak mı authenticate edebilirim.
Selamlar,
On-prem'de bulunan uygulamalarınızda kimlik doğrulama yöntemi olarak Azure AD'yi kullanabilirsiniz. Kimlik doğrulamanın Azure AD üzerinden yapılabilmesi için uygulamanın Azure AD ile modern kimlik doğrulama yöntemini destekliyor olması gerek. Uygulamayı yazan ekip ile görüşerek bunun olup olmayacağını sorabilirsiniz. Kimlik doğrulama işlemlerini yazılımcıların uygulama içerisinde yapıyor olması gerekiyor.
Eğer uygulamanız web base bir uygulama ise Azure AD Proxy ile uygulamanızı dış dünyaya hızlıca açabilirsiniz.
Ümit Seyhan
Hocam cevabınız için teşekkür ederim. Uygulamamız Microsoft LDAP ve authenticator destekliyor bu konuda sorun yok yazılım ekibide bu konuda destek verebilir. Benim sormak istediğim on-prem de çalışan bir yazılımın girişinde authenticator kullanmak için azure ad domain servis kurmaya gerek varmı ? Yoksa sadece azure ad connect yapıp kimlik doğrulama yöntemi olarak microsoft authenticator ı aktif edip tüm üyelere uygula demek yeterli mi ? Nasıl bir yol izlemeliyim
AD connect adı üstünde sadece AD ile sync olmaya yarar güncelleme alır ve gerektiğinde geri yazar. Yukarıda geçmişti linklerde de var .local ile Azure servisleriyle konuşamazsın. MFA için alternatif uygulama bakın yada danışmanlık alın handikaplarınızı elimine edecek conditional access ile yapı kurulabilir fakat bazı isterler P2 lisansına girebilir detaylı çalışılması lazım.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Merhaba, uygulamanızın Azure AD desteklemesi gerekli, LDAP yetmez.
Five steps to integrate your apps with Azure Active Directory - Microsoft Entra | Microsoft Learn
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************