Windows Server

Active Directory Trust Relationships – Bölüm 4 Kullanıcı İşlemleri

Makalemizin bundan önceki bölümlerinde detaylı olarak trust konularına değinmiş ve bir önceki bölümde de demo ortamında trust işlemlerini görmüştük. Bu 4. Bölümde ise bir önceki bölümde oluşturmuş olduğumuz forest trust üzerinden bir takım temel işlemleri gerçekleştireceğiz.

 

İlk olarak size tavsiyem bundan önceki 3 bölüm makaleyi incelemenizdir;

 

http://www.cozumpark.com/blogs/windows_server/archive/2012/11/11/active-directory-trust-relationships-b-l-m-1.aspx

 

http://www.cozumpark.com/blogs/windows_server/archive/2012/11/11/active-directory-trust-relationships-b-l-m-2.aspx

 

http://www.cozumpark.com/blogs/windows_server/archive/2012/11/18/active-directory-trust-relationships-b-l-m-3.aspx

 

 

Peki, son durumu hatırlamak adına cozumpark.local ve hakanuzuner.com domainleri için trust menülerini bir kez daha sizler ile paylaşıyorum.

 

 

 

image001

 

 

 

Cozumpark.local domain içerisinde iki trust görünüyor; bunlardan bir tanesi kendiliğinden oluşan parent/child trust dediğimiz trust tipi olup bir diğer ise forest trust tipidir. Ancak dikkat ederseniz forest trust iki yönlü olmayı incoming yani hakanuzuner.com kaynakları sunulmaktadır.

 

 

 

image002

 

 

 

 

Hakanuzuner.com domaini içinde iki trust görülmekte olup yine bir tanesi parent/child trust olup diğeri outgoing forest trust yani karşı tarafın kullanıcılarına güvenilmiş durumdadır.

 

İlk olarak cozumpark.local üzerinden hakanuzuner.com kaynaklarını görebiliyor muyuz ( erişim değil sadece görme dikkat edin! Çünkü selective authentication seçtiğim için izinlere konusuna makalemin bir sonraki bölümünde gireceğim ).

 

İlk olarak cozumpark.local domaini içerisindeki bir makinede bir klasör oluşturdum ve bu klasöre hakanuzuner.com içerisindeki bir kullanıcıya yetki vermek istiyorum, bakalım durum ne olacak ?

 

 

image003

 

 

Ama hakanuzuner.com domain ile ilgili herhangi bir bilgi yok! Evet, çünkü hatırlarsanız biz hakanuzuner.com domaini içerisindeki kaynaklara erişecektik. Yani kaynaklar hakanuzuner.com içerisinde, kullanıcılar ise ( yetki verilecek kullanıcılar ) cozumpark.local domaininde. Bu nedenle yukarıdaki şekilde hakanuzuner kullanıcılarını göremeyiz.

 

Peki biz asıl amacımız olan yani hakanuzuner.com üzerindeki bir file server için aynı işlemi yapalım ?

 

 

 

image004

 

 

Evet burada istediğimiz şey oldu ve hakanuzuner.com domaini içerisindeki bir file server üzerindeki klasör izinlerinin ACL tablosunda Location menüsü yardımı ile cozumpark.local forest’ ı içerisindeki kullanıcıları seçebiliyorum.

 

 

image005

 

 

Bu sorgunun devamında bizden kimlik bilgisi istenmektedir. Sebebi ise hatırlarsanız cozumpark domaini hakanuzuner domainine güvenmiyor, bu nedenle hakanuzuner domaini içerisinden cozumpark kullanıcı listesini çekmek için kimlik bilgisi vermeniz gerekmektedir.

 

 

image006

 

 

 

Liste geliyor ve bende “Administrator” kullanıcısına yetki veriyorum.

 

 

image007

 

 

Son durum yukarıdaki  gibi. Ancak bu yeterli bir durum değil, çünkü hakanuzuner.com içerisindeki hangi sunucuların trust yapısına gireceğine henüz karar vermedik.  Bunu da aşağıdaki şekilde yapabiliyoruz.

 

Öncelikle selective authentication seçtiğimize göre amacımız hakanuzuner.com domaini içerisindeki tüm sunucu ve istemci makinelerin değil sadece seçtiğimiz makinelerin trust’ a katılmasını istiyoruz. Bu nedenle bende istemiş olduğum birden çok olan dosya sunucularımdan bir tanesini seçiyorum

 

 

image008

 

 

Örneğin bende 3 tane file server var ben bunlardan istediğim makineyi seçiyorum ve güvenlik sekmesine geliyorum

 

 

image009

 

 

Bu sekmede cozumpark.local içerisinde klasör bazında yetki verdiğim kişi veya gruba izin veriyorum. Add diyerek bu kişiyi ekliyorum

 

 

image010

 

 

 

Location bölümünden domain olarak cozumpark’ ı seçip istemiş olduğum kullanıcı veya gruba aşağıdaki izni veriyorum

 

 

image011

 

 

image012

 

 

Allowed to authenticate” demek bu kullanıcı bu makine için kimlik doğrulaması yapabilir yani bu makine için servis SPN’ i AD ye sorgular ve bunun için bilet alarak ACL de yetkisi var ise klasöre erişebilir demek.

 

Peki, şimdi bunu test edelim.

 

Cozumpark.local domaini içerisinden administrator kullanıcısı file server’ a erişirken cozumpark.local domaninden hakan kullanıcısı erişemeyecek. Ancak ben ACL de her ikisine de izin verdim.

 

Öncelikle file server üzerindeki klasörün paylaşım izinlerini inceleyelim

 

 

image013

 

 

 

Gördüğünüz gibi “trustdenemesi” isimli klasörün paylaşımlarında cozumpark domaininden iki kullanıcı için yazma okuma izni verilmiş durumda ( hakan ve administrator ) kullanıcısı.

Birde ACL’ i kontrol edelim

 

 

image014 

 

 

 

ACL de de durum aynıdır. Hem hakan hemde administrator kullanıcısı full izinli.

 

Şimsi cozumpark domainindeki bir Windows 8 istemci makineden bu klasöre sırası ile önce administrator kullanıcısı ile sonra hakan kullanıcısı ile ulaşmaya çalışacağım.

 

Not; Bu makine için administrator kullanıcısı için Allowed to Authenticate izni verildiğini unutmayın.

 

 

image015

 

 

 

Administrator kullanıcısı ile herhangi bir istemci makineden veya sunucu da olabilir hakanuzuner.com içerisindeki sunucuya bağlanıyorum ve gördüğünüz gibi file sharing’ e erişiyorum.

 

Şimdi ise hakan kullanıcısı ile deneyelim, yine cozumpark.local içerisindeki herhangi bir makineden hakan ile login oluyoruz

 

 

image016

 

 

Ancak gördüğünüz gibi hakan kullanıcısı aynı kaynaklara erişemiyor çünkü hakan kullanıcısı için bu makine hesabı üzerinde “Allowed to Authenticate” kutucuğu işaretli değil.

 

İşte bu örnek tam olarak selective authentication konusuna güzel bir örnek.

 

Yapmış olduğum demo sayesinde hem tek yönlü hem de selective authentication konusunu örneklemiş oldum ki bu konuda yazılmış tek makale olma özelliğini de şu anda elinde bulunduruyoruz.

 

Peki, kimlik doğrulama bölümünü tamamladığımıza göre birazda trust özelliklerini inceleyelim.

 

Bunun için aşağıdaki gibi mevcut bir trust üzerinden ilerleyebiliriz

 

 

image017

 

 

 

Trust özelliklerinde iki sekme yer almaktadır. Birinci sekme “General”, ikinci sekme ise “Name Suffix Routing”’ dir.

 

General sekmesinde genel olarak hangi domain den hangi domain’ e trust yapıldığına dair bir açıklama yer almaktadır. Hemen bunun altında ise bu trust’ ın tipi belirtilmektedir.

 

Hemen altında yer alan kutucuk ise karşı tarafın Kerberos AES Encryption destekleyip desteklemediği bilgisini doğrular. Eğer daha güvenli bir iletişim istiyor ve karşı domain AES destekliyor ise bu kutucuğu işaretleyebilirsiniz.

 

Ancak bu konuda bilinen bir bug olup aşağıdaki makaleyi incelemenizi öneririm

 

http://support.microsoft.com/kb/975616

 

Daha alt bölümlerde ise trust için incomingoutgoing yani yön bilgisi ve geçişli olup olmadığı hakkında bilgi verilmektedir.

 

Validate butonu sayesinde mevcut trust ilişkisini doğrulayabilir veya sıfırlayabiliriz.

 

Son bölümde ise bu trust için mevcut bilgileri bir dosyaya kayıt edebiliriz.

 

Diğer sekme ise name suffix routing olup bu konuda çok detaylı bir bilgiyi makalemin ikinci bölümünde paylaşmıştım.

 

 

image018

 

 

 

Bir daha bu bölümü paylaşmamın amacı gerçek hayat senaryosunda ki bir trust yapısında nasıl bir routing tanımı olur onu göstermek istedim.

 

 

image019

 

 

 

Name Suffix Route üzerine bir kere tıklayıp edit dersek yukarıdaki menü açılır, burada yine daha önce bahsetmiş olduğum karmaşık trust yapılarında ortaya çıkan kimlik doğrulama sorunlarınız çözmek için uyguladığımız exclude bölümü yer almaktadır. Yukarıda görüldüğü gibi hakanuzuner.com için tanımlı olan ; *.hakanuzuner.com route bilgisi içerisinde makale child bilgisini de barındırmaktadır. Eğer siz external bir trust ile iki child domain’ i ( sozluk.cozumpark.local ve makale.hakanuzuner.com ) bir birine bağlarsanız buradaki kimlik doğrulama sürecinin performansını iyileştirmek için bu yukarıdaki pencereye makale.hakanuzuner.com için bir exclude girebilirsiniz ( veya makale.hakanuzuner.com üzerine tıklayıp disable seçeneğini seçebilirsiniz). Bu sayede hakanuzuner.com için kimlik doğrulama istekleri root domain’ e gönderilirken, makale.hakanuzuner.com içerisindeki kaynaklara erişmek için gerekli olan kimlik doğrulama paketleri external trust üzerinden direkt child’ ın dc makinesine gönderilir.

 

Tabiki bu kadar küçük yapılar için gerekli bir aksiyon değildir, çünkü siz bun yapmasanız bile sozluk child içerisindeki bir kişi, makale child yapısındaki bir file server’ a forest trust üzerinden her şekilde erişebilir.

 

Evet bu son bilgi ile beraber makalemin bu bölümünün de sonuna gelmiş oldum. Bundan sonraki ve son bölüm ise External trust oluşturmak ve forest trust ile external trust’ ın aynı anda kullanılması noktasındaki bilgilendirmeleri içerecektir.

Bu makalenin hazırlanması için bana DEMO ortamını açan değerli ADEO Bilişim Danışmanlık ve Eğitim Hizmetlerine teşekkür ederim.

Hakan Uzuner

2002 yılından beri aktif olarak bilişim sektöründe çalışmaktayım. Bu süreç içerisinde özellikle profesyonel olarak Microsoft teknolojileri üzerinde çalıştım. Profesyonel kariyerim içerisinde eğitmenlik, danışmanlık ve yöneticilik yaptım. Özellikle danışmanlık ve eğitmenlik tecrübelerimden kaynaklı pek çok farklı firmanın alt yapısının kurulum, yönetimi ve bakımında bulundum. Aynı zamanda ÇözümPark Bilişim Portalı nın Kurucusu olarak portal üzerinde aktif olarak rol almaktayım. Profesyonel kariyerime ITSTACK Bilgi Sistemlerinde Profesyonel Hizmetler Direktörü olarak devam etmekteyim.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.