Dynamic Access Control–DAC ve Claim Mantığı

Dynamic Access Control DAC, Windows Server 2012 ile hayatimiza giren dosya sistemi için yeni bir erisim kontrol mekanizamasidir.
Bu
yeni mekanizama sayesinde dosya sistemi için merkezi kurallar
tanimlayabiliyoruz.( tüm dosya sunuculari için tek policy belirleme
sansimiz vardir)

DAC, mevcut dosya izinleri ile birlikte çalisabildigi gibi (ACL) bundan bagimsizda dosya erisim yönetimi yapabilmektedir.

Temel olarak Domain tabanli dosya sunuculari için yönetim ve izleme (Audit) esnekligi saglamak için tasarlanmistir.

DAC, kimlik dogrulama tokenlarinda, kaynak özelliklerinde ve izleme –
erisim islemlerinin duruma göre gerçeklestirilmesi için claim isimini
verdigimiz bir degisken kullanir.

Claim kelimesi aslinda bir nesne için (çogunlukla kullanici ve
bilgisayar nesneleri için) nitelik (attribute, property) anlami
tasimaktadir. Örnegin bir kullanicinin muhasebe grubunda olmasi,
telefonun 5555 olmasi, ofis adresinin Istanbul, yasadigi ülkenin
Türkiye, çalistigi proje isminin “2013 yili projesi” olmasi veya bir
bilgisayarin ortamdaki NAP – Network Access Protection servisi için
saglikli (health state) durumda olmasi gibi Dynamic Access Control
mekanizmasinda bu kullanici veya makineyi tanimlayacak bilgilere claim
diyoruz.

Windows Server 2012 ve daha yeni isletim sistemlerinde kimlik
dogrulama mekanizmasi da claim destegi sagladigi için artik klasör veya
dosya erisimlerinde NTFS izileri yaninda yani SID temeline ek olarak AD
DS özniteliklerini de kullanabiliyoruz. Tabiki bu durum hala grup
üyeligi veya SID temelli dosya veya klasör erisiminin çalismadigi
manasina gelmiyor. Yani DAC uygulanmadigi durumlarda hala eskisi gibi
kullanici veya üyesi oldugu grubun SID numarasi ile erismek istedigi
dosya üzerindeki ACL SID numaralarinin eslesmesi mantigi devam
etmektedir.( eslesmesi tabiki erisim için sart ancak eslestikten sonra
da yazma mi okuma mi yekkileri oldugu önemlidir)

Özetle claim özelligi sayesinde artik dosya ve klasörlerin izlenemesi
– erisilmesi için AD-DS öz niteliklerini baz alarak kural yazabiliriz.

User Claim ve Computer Claim kavramlari aslinda AD üzerindeki
kullanici öz nitelikleri ve makine öz nitelikleridir. Kullanici için bir
kaç örnek vermek gerekir ise, üye oldugu gruplar, telefonun numarasi,
ofis adresi, yasadigi sehir gösterilebilir. Bilgisayar için ise örnegin
NAP – Network Access Protection servisi için “saglikli” (health state)
durumda olmasi yani “saglikli” veya “sagliksiz” nitelikleri bilgisayar
için bir claimdir.

Claim forest içerisindeki tüm domainler için kullanilabildigi gibi ek olarak trust yapmanzi halinde geçis destegide sunmaktadir

Resource Properties

Eger kaynaklarinizin yönetimini daha esnek olarak gerçeklestirmek
istiyorsaniz öncelikle bu kaynaklarin özelliklerini sistemin iyi bir
sekilde ayristirmasi için belirlemeniz gereklidir.

Resource properties ayni zamanda resource property object olarak
bilinir. Bu obje dosya veya klasöre ek olarak eklenen bir nitelik olup
daha çok Windows Server Resource Manager destegi olan dosya
siniflandirma islemi sirasinda eklenir. Örnegin bir klasör veya dosya
için siniflandirma görevi çalisir ve bu klasör veya dosya için uygulanan
kurala göre bu niteligi “Gizli”, “Sirkete Özel”, “Genele Açik”,
“Kisisel” ve benzeri siniflandirir.

Yukaridaki örneklerden bu obje için kendinize ait nitelikler
tanimlayabildiginizi görebilirsiniz. Ben bir kaç örnek paylastim sadece.
Örnegin siz proje isimlerini de bu öznitelik için kullanabilirsiniz.

Peki DAC ile dosya erisimi nasil gerçeklesir?

Claim kullanilmayan bir durumda, bir kullanici bir kaynaga erismek
için öncelikle KDC üzerinden aldigi token içerisindeki kendi kullanici
SID ve yine üyesi oldugu grup SID leri ile ilgili sunucuya gider ve
klasör – dosyada ki ACL ile karsilastirma yapilirdi, eger kullanici veya
üyesi oldugu gruplardan birinin SID numarasi dosya üzerindeki ACL
içerisindeki SID lerden biri ile eslesir ise dosyaya erisim
saglanmaktaydi. ( Tabiki kerberos süreci birazdaha detayli bir süreç
olup, lsa, session key ve benzeri kavramlari bilerek anlatimdan çikardim
ki claim mantigindaki degisiklikler daha sade bir sekilde anlasilsin )

Server 2012 sonrasinda Kerberos v5 Key Distribution Center – KDC 
claim destegi sundugu için yukaridaki sekilde görüldügü gibi sistem
biraz degisiyor. Yine kullanici DC üzerinden aldigi kerberos token
içerisinde SID bilgileri yaninda claim dedigimiz kullanici öz
niteliklerinden tanimlanmis olanlari da alir ve bu bilgiler ile dosya
sunucusuna gider, dosya sunucusu üzerindeki dosya için ACL sarti
saglanmasina karsin eger DAC aktif ve policy uygulanmis ise ilgili
dosyada SID benzerliginin yaninda claim benzerligide talep edebilir.
Örnegin klasör “ITSTACK” projesi için ise bu durumda gelen kullanici
company bilgisinde “ITSTACK” yazmasini da ek olarak talep edebilir. Bu
bilgide eger policy ile eslesiyorsa bu durumda dosya erisimi saglanir.

Benzer sekilde bu sürece aygit yani bilgisayar içinde claim
ekleyebiliriz. Yani ilgili kullanici SID bilgisi tutacak, user claim
tutacak birde makine claim olarak NAP için saglikli bilgisi olacak ki bu
da bir öznitelik olup claim olarak kullanilir. Yani sadece bir
kullanicinin SID ve claim bilgisi ile o kullanici ilgili dosyaya erissin
AMA güvenli bir bilgisayardan erissin diyebiliriz.

Bu tür ayarlari isterseniz klasör üzerinden “Advanced Security
Settings Editor” ile yapabileceginiz gibi tüm organizasyonunuz için yani
birden çok file server ve üzerindeki tüm klasörler – dosyalar için
policy yazabilirsiniz.
Ilk olarak Central Access Rule yazip bunu Central Access Policy ‘ ye baglayabiliriz.