BOZOK ÜNİVERSİTESİ Merkezi Kimlik Doğrulama Sistemi Bilgi İşlem Daire Başkanlığı © TEMMUZ 2017 YOZGAT

Merkezi Kimlik Doğrulama Sistemi (MKDS) NEDİR ? AMAÇ VE HEDEF ? Uygulamalara tek noktadan erişim Şifre karmaşasının önüne geçer Kullanıcıları rahatlatmak Kullanım kolaylığı Verimlilik ve Performans artışı Güvenilir ve düzenli yapı Tüm uygulamaları entegre etmek Sürdürülebilir merkezi yönetim KULLANIM ALANLARI ? Üniversiteler Bakanlıklar Belediyeler TSK,KYK vb.

Mevcut Durum

ARIZA TALEP SİSTEMİ Proxy Web Siteleri VPN FREERADIUS Mail sunucusu Mail için kullanılmıyor Eski hesaplar burada LDAP aktif Sürekli arızalanıyor Arıza çözümü için kaynaklar sınırlı ~20.000 hesap var Sadece öğrenciler kullanıyor Google alt yapısı kullanılıyor Şifreler ayrı Radius ve zimbra ile haberleşmiyor ~ 1500 hesap var Öğrenciler kullanmıyor Linux (Ara yüz yok) Kullanımı zor Yönetilemiyor Entegre edilemiyor Hesaplar Zimbrada Kullanıcılar manuel açılıyor ~20 hesap var Log ve raporlama sorunlu FREERADIUS ARIZA TALEP SİSTEMİ VPN Proxy Web Siteleri Kullanılamıyor, atıl durumda. FREERADIUS’a bağlı Kullanıcılar ve şifreler zimbrada Eski personel kodladı; kodlar gizli Sadece BİDB için yazılmış FREERADIUS’a bağlı Zimbra ve Radius kullanıcıları ile işlem yapılıyor FREERADIUS’a bağlı Zimbra ve Radius kullanıcıları ile işlem yapılıyor FREERADIUS’a bağlı Zimbra ve Radius kullanıcıları ile işlem yapılıyor

Aktif Edilecek Yapı

Düzenli periyotta otomatik Veritabanı Yedeği ENTEGRE EDİLEN HİZMETLER Google alt yapısı kulanılacak Şifreler merkez ile aynı olacak Active Directory ile tam entegre Tüm öğrenci ve personel kullanacak Şifre değişimleri Google’dan değil http://kimlik.bozok.edu.tr adresinden yapılacak, Şifreler senkron olacak Not: Bu hizmetler test amaçlı aktif edilmiştir. Proxy VPN ENTEGRE EDİLEBİLİR SİSTEMLER E-Posta (Google) EBYS Öğrenci Bilgi Sistemi (OBS) Personel Bilgi Sistemi (PBS) «Arıza Yönetim Sistemi» (Projedir, Kodlanacak) «802.1X» Yapısı (Wifi Şifreleri) (Projedir, Yeni Yapılandırma - Network) «Eduroam» (Projedir, Yeni Yapılandırma) «Captive Portal» veya diğer ürünler kullanılarak Kullanıcı Adı ve Şifre ile internet çıkışlarını sağlamak (Projedir, Yeni Yapılandırma) Web Siteleri Kısacası; «Kullanıcı Adı» ve «Şifrenin» olduğu tüm uygulamalar entegre edilebilir. Windows , Arayüzü var Kullanımı ve yönetimi kolay Tüm uygulamalar ile entegre edilebilir. Haricen hesap açılmaz; Hesapları/Kullanıcıları Active Directory’den alır. Log ve raporlama sorunsuz. Microsoft’a ait Dizin hizmetidir. Kuruma ait objelerin güvenli yönetimini sunar (kullanıcılar, bilgisayarlar vs) Kaynak burada, Sadece LDAP (Şifre Doğrulama) hizmetini kullanacağız. Stabil, Çözüm kaynağı çok OU’lar, kullanıcıların ağaç yapısı Tek noktadan yönetim (şifre,mail vb) Network Policy Server (RADIUS) Additional DC Düzenli periyotta otomatik Veritabanı Yedeği

Sağlıklı Çalışabilmesi İçin Ne Yapılmalı ? Tüm Öğrenci ve Personel bilgileri sisteme dahil edilmeli. Başlangıç şifre algoritması kullanılmalı. Veriler Öğrenci İşleri ve Personel Daire Başkanlığı’ndan. Verilerde istenen alanları içermeli. Bu verilerin tamamı belirli bir sürede Active Directory’e entegre edilecek ve Google ile senkronize yapılacak. Eksiklik varsa giderilecek. Google tarafında şifre politikası belirlenmeli, eski şifreler ne olacak ? Veriler güncel tutulmalı, Bilgi İşlem Daire Başkanlığı’na bilgiler anlık gönderilmeli. Ör. Personel ayrılışı, başlayışı, öğrenci mezuniyeti, yeni kayıtlar vb. Eski sistemde kayıtların %35 i öğrencimiz veya personelimiz değil. ÖNERİ! Ayrılış yapan personel için bu sistem ve diğer aktif sistemler için (araç takip, email, rehber, web sitelerindeki isim vs) ilişik kesme formunda işlem listesinde olmalı. ÖNERİ! Yeni personelin yapması gereken işlemler belirlenmeli.

AVANTAJLAR Güvenli ve güncel yapı Aktif personel veritabanı oluşması SMS entegrasyonu ile ekstra güvenlik (hesap açılma, şifre sıfırlanması) Kullanım kolaylığı ile sürdürülebilir yapılandırma Sunucuya müdahale etmeden yapılandırma ve yönetme Tüm işler için kullanılabilir arayüz Tüm uygulamalara tek noktadan erişim Kullanıcı şifre değişimi için ayrı ekran (ilerleyen dönemlerde sıfırlama içinde ayrı ekran) İleriye yönelik projelerde hazır altyapı (802.1x,Captive Portal vb) Yetişmiş personel ihtiyacı olmadan sistemin yönetilebilir olması. Arızalarda destek için kaynağın fazla olması. Geliştirmeler için eğitim dokümanlarının yeterli düzeyde olması. Yedekli yapıyı desteklemesi

Senaryo