Forum

Kerberos, NTLM ve i...
 
Bildirimler
Hepsini Temizle

Kerberos, NTLM ve internet

2 Yazılar
2 Üyeler
0 Reactions
673 Görüntüleme
(@durmus)
Gönderiler: 36
Trusted Member
Konu başlatıcı
 

Benim teorisini anlamakta zorluk çektiğim bir konu var sizin bilginiz yardımıyla anlamak istiyorum.


1.LAN içinde DC,DNS vb, komponentler AD nin sağlıklı çalışmasını sağlıyor. Kerberos u internet ortamında kullanmaya kalksak şöyleki:


2 farklı lokasyon ve internete ADSL ile bağlanan aralarında VPN , IPSEC vb olmayan bir yapı düşünürsek. Her 2 lokasyon için de bütün portlar açık olsa, ADSL modemden bütün gerekli yönlendirmeler yapılsa,  Lokasyon1 de ki clientlar, Lokasyon2 deki DC makinanın domaine katılamazmı?  Ya da daha önce katıldıysa XP clientlar DC ye logon olamazmı? Kerberos internet üzerinde çalışmaz diye birşey söyleniyor. Bunun nedenini anlayamıyorum? İzah edebilecek biri var mı?  Ayrıca bu sadece Kerberos için mi geçerli eğer doğruysa bu söylem. NTLM de mi çalışmaz mesela internet üzerinde?


2.İkinci sorum şu, domaine logon esnasında Kerberos kullanılıyor, domaine bir client ı katarken de Kerberos kullanılıyor mu? Client henüz domainde olmadığı için NTLM mi kullanılıyor?

 
Gönderildi : 04/04/2010 20:56

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

merhaba, DNS yapısını ve kimlik doğrulama yapısını ayrı ayrı ele almak gerekir, bir makine domaine katılırken ikisi aynı anda çalışıyor fakat öncelikli olarak networkün fiziksel teması gereklidir ( VPN ve tunel yapısını ayrı tutuyorum ). Evinizdeki makinenin DNS 'i şirketinizin domain controller IP'si olmalı. Bu böyle oldu diyelim bu sefer internete çıkamazsınız, neden, çünkü sizin evdeki dns'iniz bağlı bulundunuğunuz ISP'niz. Keza gateway'iniz de ISP. Dns bu noktada host kontrolü yapar sadece, Bu yüzden ancak şirketteki makinenin sizin evinizin bağlı olduğu bir yer olması gerekiyor ki host kontrolünden geçesiniz. Kimlik doğrulamaya gelince, kerberos bilgisi veritabanında tutulan bilgi, orada domaine logon olanların bilgisi hashlenmiş durumda. Siz domaine logon olmuyorsanız bu kendi makinenizdeki sam'de durur. kerberos bu yüzden kullanmazsınız. Kerberos internette kullanılmaz bilgisi de, internet üzerinden bir clientı servera login edemeyeceğiniz içindir. Evinizdeki makineniz ile şirketteki domainizin fiziksel olarak aynı gateway ve DNS 'leri kullanması gerekir, bu olmadığı sürece domaine katmanız mümkün değildir diye düşünüyorum ben. Çünkü önce host kontrolü sonra kimlik doğrulaması yapılıyor

 
Gönderildi : 04/04/2010 21:26

Paylaş: