LDAP ile Güvenli Kullanıcı Kontrol Sistemi

Slides:



Advertisements
Benzer bir sunumlar
Bilgisayar Ağları ve İnternet
Advertisements

8. SINIF 3. ÜNİTE BİLGİ YARIŞMASI
SGB.NET’İN TEKNİK ALTYAPISI
Dizin Hizmetleri ve LDAP
IIS 6.0. Giriş  Geçtiğimiz yıllarda, Microsoft güvenlik açıkları nedeniyle IIS 4/5 üstünden bir çok saldırıya uğradı.  Bu sebepten Microsoft’un geliştirdiği.
Kurumlar Arasındaki Alan-Kesiştirici İşbirliği İlişkisi İçin Kerberos Güvenlik Sistemini Geliştirme: “Gelişen & Doğrulanabilir E-Toplum” İçin Yenilikçi.
TEMEL AĞ TANIMLARI.
WEB SERVİCE İDRİS YÜRÜK MAHMUT KAYA.
WSDL -SOAP Murat tezgider
İNTERNET.
İNTERNET VE İLETİŞİM.
İNTERNET.
Veri ve Veri Yapıları Genel olarak bilgisayarlar.
 Meltem KORCAY  Ayşe KUBİLAY
Microsoft Danışman Öğrenci
İÇERİK Ağ İzleme Ağ güvenliği için Tehlikeli Protokoller
BELGELEME Ian Sommerville, “Software Documentation”,
Windows7 Kullanıcı Hesapları Yönetimine Ulaşabilmek İçin Birkaç Adımı Takip Etmemiz Gerekecek.Öncelikle Windows Masa Üstünün Sol Al Köşesinde Bulunan BAŞLAT’ı.
KÜTÜPHANELERDE HALKLA İLİŞKİLER ve PAZARLAMA ANKARA ÜNİVERSİTESİ KÜTÜPHANESİ ÖRNEĞİ Tuna CAN & E.Erdal AYDIN
AĞ PROTOKOLÜ.
Bilgisayar Mühendisliği Bölümü Bilgi Servisleri (IS) GRID Kullanıcı Eğitimi Boğaziçi Üniversitesi 2007, İstanbul Emrah AKKOYUN.
BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.
Üsküdar Halk Eğitim Merkezi Eczane Çalışanlarının Eğitimi
Çevre ve Orman Bakanlığı Bilgi İşlem Dairesi Başkanlığı
WİNDOWS XP GRUP İLKESİ.
MS Active Directory Faruk Çubukçu Revised Temmuz-2004.
Windows Server 2008’e Genel Bakış Microsoft Windows Server 2008, bilgi teknolojileri (BT) uzmanlarının altyapıları üzerindeki kontrollerini maksimum seviyeye.
İnternet Teknolojisi Temel Kavramlar
MERKEZİ KULLANICI TANIMA SERVİSLERİ Mustafa Atakan ODTU-BIDB Teknik Destek Grubu.
BTP102 VERİTABANI YÖNETİM SİSTEMLERİ 1
WINDOWS NT GENEL YAPISI
AĞ İŞLETİM SİSTEMLERİ Öğr. Gör. Mustafa SARIÖZ
TAŞINIR KAYIT VE YÖNETİM SİSTEMİ Semineri Bayram KESER Mali Hizmetler Uzmanı 1 T.C MİLLÎ EĞİTİM BAKANLIĞI STRATEJİ GELİŞTİRME BAŞKANLIĞI.
BTP102 VERİTABANI YÖNETİM SİSTEMLERİ 1
BLM619 Bilgisayar Ağları ve Uygulamaları
EYLÜL 2014 İŞLETİM SİSTEMLERİ Bilgisayar Uygulamaları.
TCP/IP – DHCP Nedir?.
© 2002 by Prentice Hall 1 David M. Kroenke Database Processing Eighth Edition Chapter 1 Introduction to Database Processing.
BTP102 VERİTABANI YÖNETİM SİSTEMLERİ 1
ÖĞR. GRV. Ş.ENGIN ŞAHİN BİLGİ VE İLETİŞİM TEKNOLOJİSİ.
İnternet Teknolojisi Temel Kavramlar
Chapter 5. Ağ Protokolleri
Burak DAYIOĞLU ve Dilmurad VAHABDJANOV Ağ ve Sistem Destek Grubu
Veritabanı Yönetim Sistemleri - I
İnsan Kaynakları Bilgi Sistemleri
Windows İşletim Sistemlerinde Yetkilendirme
KIRKLARELİ ÜNİVERSİTESİ
ÖTÖ 451 Okul Yönetiminde Bilgisayar Uygulamaları R. Orçun Madran.
ÖMER ÜNALDI EDUROAM.
XML ve XML WEB SERVİSLERİ Volkan ALTINTAŞ. XML Bağımsız bir kuruluş olan W3C tarafından tasarlanmıştır. Herhangi bir kurumun tekelinde değildir. Kişilerin.
Bir 802.1x Kimlik Kanıtlama Uygulaması: EDUROAM Figen Bozkurt Şule Toker
SUNUCU İŞLETİM SİSTEMLERİ
DNS SERVER (DOMAİN NAME SYSTEM) HAZIRLAYAN:KÜBRA SİNEM ALBAY
 Active Directory, ağ kaynaklarını verimli bir şekilde yönetmenize olanak sağlayan, genişletilebilir bir dizin hizmetidir. Bu dizin hizmeti, ağda bulunan.
Üniversiteler Ortamında Açık Kaynak Kodlu Bulut Bilişim Kullanımı
Asp.Net Veritabanı İşlemleri
haZIRLAYAN: ELİF KARAOĞLU
Muhammet Doğan KABLAN
Turgutlu Meslek Yüksek Okulu Bilgisayar Programcılığı
Dünyanın bilgisine açılan pencere...
MAİL SERVER Oğuz ZARCI –
Active Directory.
ACTIVE DIRECTORY.
LDAP ( LİGHTWEİGHT DİRECTORY ACCESS PROTOCOL )
VISUAL STUDIO İÇERİSİNDE VERİ TABANI BAĞLANTISI ACCESS DATA SOURCE SAVAŞ TUNÇER
Turgutlu Meslek Yüksek Okulu Bilgisayar Programcılığı
BOZOK ÜNİVERSİTESİ Merkezi Kimlik Doğrulama Sistemi
Trakya Üniversitesi Teknik Bilimler Meslek Yüksekokulu
Uzm. Rıdvan YAYLA – Bilecik Üniversitesi Müh. Fak. Bilg. Müh. Bölümü
Mustafa COŞAR- Murat DOĞAN- İsmail ARIK Hitit Üniversitesi
Sunum transkripti:

LDAP ile Güvenli Kullanıcı Kontrol Sistemi İsmail KAVAK Süleyman Demirel Üniversitesi

Sunum İçeriği Çalışmanın amaçları LDAP Nedir ? LDAP Yetkilendirme Tanımları Değerlendirmeler

Amaç LDAP(Lightweight Directory Access Protocol) veri tabanından kullanıcı kontrolü için istekte bulunan istemcilerin, güvenli bir şekilde yönetimini sağlayan kurallar oluşturmak, LDAP veri tabanındaki her bir kullanıcı grubunun istekte bulunan istemcilerin çalışma yöntemlerine göre doğru ve güvenli olarak kullanıma sunulması ile tek kullanıcı kontrol sistemli yapılar geliştirmek.

Dizin Hizmeti Bir dizin hizmeti; ağ cihazları, uygulamalar, bilgisayarlar, insanla ilgili verileri tutan ve sunumunu sağlayan bir servis hizmetir.

Hizmeti alan kullanıcıları yetkilendirmeye izin veren bir veri tabanı deposudur. Özellikle internet üzerinden bilgiye erişim ihtiyacının artışı ile son on yılda dizin hizmetleri geliştirilmiştir. Dağıtılmış yapıdaki uygulamalar için yaygın olarak kullanılan bir servis olmuştur.

Dizin hizmetleri çeşitli arayüzler ve uygulamalar ile oluşturulmuş bilgiye erişime imkan sağlar. “ Lightweight Directory Access Protocol ” açık kaynak kodlu bir endüstri standardıdır. Ilk defa 1980'lerin sonlarında, ITU-T ve ISO tarafından yayımlanan, uluslararası standardı, Dizin Erişim Protokolü (DAP) idi. LDAP , DAP’ın X.500 ünün hafifletilmiş bir alternatifi olarak aynı aileden türemiştir.

LDAP LDAP X500 protokolünün benzeri bir veri tabanı kullanan bilgi dizinlerine erişimi sağlayan bir teknolojidir. LDAP isim olarak Directory Access Protokolünün lightweight eklenerek hafifleştirilmiş şeklidir. Heavyweight olarak en çok bilinen yönetim protokolü X.500 ile veri temsilinde benzerlik bulunurken aralarında birkaç yapısal farklılıklar vardır. LDAP esnekliği ve mevcut uygulamalar ile uyumlu olmasından teknolojide artan bir öneme sahiptir.

Basit Dizin Erişim Protokolü olarak kullanılmakta olan LDAP ile dizin servislerini sorgulama ve değiştirme işlemleri yapılır. Veri tabanı hizmeti veren bir sistem içinde verilere merkezi olarak ulaşımı gerçekleştiren uygulama katmanında çalışan bir internet protokolüdür. IBM Tivoli, Novell, Sun, Oracle, Microsoft ve diğer birçok satıcının LDAP tabanlı uygulamaları bulunmaktadır. Hızlı ölçeklenebilir ve yönetilebilir bir dizin yapısı oluşturulur.

Standart olarak depolanan LDAP verilerinin tutulduğu servis ayarlarında; Servisin verildiği ağ ayarları, Yetkili kullanıcı bilgisi, Uygulama ayarlama parametreleri, Kullanıcı ve sunucu sertifikaları ile erişim kontrol listeleri yer almaktadır.

LDAP, uygulamaların ihtiyaç duyduğu her türlü özelliğin eklenmesini sağlayan esnek bir yapıya sahiptir. Örneğin eposta servisi için ihtiyaç duyulan mailLocalAddress, mailHost, UserCertificate gibi özellikleri ihtiyaç duyulan her bir kullanıcı için ayrı ayrı tanımlanabilmesini olanak sağlar.

Kurumsal ve kamusal alanlarda hizmet veren sistemler üzerinden kullanıcılara çok sayıda servis sunmak ve bu servislerin çalıştığı makinalarda ayrı ayrı kullanıcı hesapları açmak gerekebilir. LDAP ile sistemin ve kullanıcıların yönetimini kolaylaştıran bir sistem geliştirilmiştir.

LDAP dizinleme sisteminde her kayda ait özellikler (attributes) ve bu özelliklerin değerleri (values) vardır. Her kaydın ait olduğu bir nesne sınıfı (object class) vardır. Bu yapı sayesinde dünya üzerindeki her LDAP kaydı tekilliğini oluşturur. Bunun için dns de olduğu gibi hiyerarşik bir isimlendirme kullanılmıştır. Kullanıcı bu tekiliği DN (Distinguished Name) özelliğinden alır. DN: uid=ismail,ou=people,dc=sdu,dc=edu,dc=tr

LDAP terimi şu hizmetleri kapsamaktadır: TCP/IP protokolü üzerinde çalışan, istemci-sunucu modeline dayanan dağıtık bir dizin hizmet protokolü. Lightweight Directory Access Protocol; dizin hizmetlerine ( directory services) erişebilmek için kullanılan, standart, genişletilebilir bir Internet protokolü. Bir dizini kullanmakta rehberlik edecek dört model içerir: Bir dizin (directory) içine verinin nasıl ekleneceğini tanımlayan bilgi modeli (information model) Dizin içinde bulunan verinin nasıl referanslandırılacağını ve düzenleneceğini belirleyen adlandırma modeli (naming model) Dizin verisi ile ne yapılacağını belirleyen işlevsel model (functional model) Dizin verilerini yetkisiz kullanıcılardan koruyacak güvenlik modeli (security model) LDAP Data Interchange Format (LDIF); dizin verilerini değiş-tokuş etmek için standart metin biçimi. LDAP sunucu yazılımı; Ticari veya açık-kaynaklı implemantasyonlar (OpenLDAP, Sun Directory Server, Microsoft Active Directory) LDAP sunucularla ya da LDAP–tabanlı programlarla bir arada gelen komut-satırı araçları LDAP istemci uygulamaları geliştirebilmek için kullanılacak LDAP API’leri.

LDAP protokolü message-oriented (mesaj kaynaklı) bir protokoldür LDAP protokolü message-oriented (mesaj kaynaklı) bir protokoldür. Bunun anlamı şudur: istemci istek içeren bir LDAP iletisi oluşturur, ve mesajı sunucuya gönderir, sunucu ise bu istemi işler, ve sonucu bir veya birden fazla LDAP mesajı olarak istemciye yanıtı gönderir. LDAP mesaj tabanlı bir protokol olduğu için, istemci bir anda birden fazla istemde bulunabilir. Örneğin bir istemci aynı anda iki arama işlemini aynı anda yapabilir.

LDAP dizinlerde asağıdaki işlemlerin yapılmasına izin verir: *Kullanicin girdigi kritere gore arama yapma (search)
                        *Bir girdi(entry) ekleme (add)
                        *Bir entry silme (delete)
                        *Bir girdiyi degistrime (modify)
                        *Distinguished name (DN) 'i yada RDN(Relative Distinguished Name)' in dizindeki yerini degistirme (modifydn)
                        *Iki entry'i karsilastirma (compare)

LDAP üç kategori içinde tanımlanabilecek 9 temel protokol operasyonuna sahiptir: Sorgulama Operasyonlar: arama ve karşılaştırma (search, compare)
 güncelleme Operasyonları: ekleme, silme, güncelleme, yeniden isimlendirme (add,delete, modify, modify DN (rename))
 Kimlik doğrulama (authentication) ve kontrol operasyonları: bağlanma, bağlantıyı kesme ve bağlantı iptali (bind, unbind, abandon.)

LDAP Yetkilendirme Tanımları Ldap konfigurasyonları statik ve dinamik olarak iki şekilde yapılmaktadır. Eski stil statik ayarlamalar (configurasyon) tanımı ayar dosyası içinde “access to ... “ ile başlarken, dinamik yetkilendirme ayarları, ldapın veribanındaki tablolarından alınmaktadır. Yetkilendirme tanımları artık bir dosyada değilde “olcAccess” alanına yazılarak yapılmaktadır.

Yetkilendirmeler hangi alanlarda kimin ne yapması üzerine kurulmuştur.

Erişim Seviyeleri

Erişim Hakları

İlgili Alan Tanımları 1. to * Tüm ağaç yapısı için yapılan tanımlamadır.   2. to dn[.<basic-style>]=<regex> DN üzerinde düzenli ifade tanımlaması.

3. to dn.<scope-style>=<DN> scope-style için base, one, subtree, children tanımlarını kullanılmaktadır. base : tanımlanan tam DN ile eşleştiğinde, one: tanımlanan DN e ait sadece tek bir alt ağaç dalına ait tanımlamalar için geçerli olsun subtree: tanımlanan DN e ait tüm alt dallanmaları için geçerli children: tanımlanan DN hariç tüm alt dalları için geçerli tanımlamadır.

4. to filter=<ldap filter> to filter=(objectClass=person) gibi tanımlı bir DN e ulaşmak için kullanılır.   5. to attrs=<attribute list> veya to attrs=<attribute> val[.<style>]=<regex> ile veritabanı içinde tanımlanan her hangi bir niteliğin olduğu tanımlamara ulaşım için kullanılır.

Dinamik LDAP Tanımlamasındaki Alt Parametreler: olcAccess: access to * by * read

Örnekler: access to attr=userPassword by dn="cn=yonetici,dc=deneme,dc=com" write (Yönetici userPassword alanını değiştirebilir) by self write (Kullanıcı kendi parolasını değiştirebilir) by * auth (Geri kalanlar oturum açmak zorundadır. userPassword bilgisini okuyamaz ve yazamalar)

access to * (Tüm alanlar için.) by dn="cn=yonetici,dc=deneme,dc=com" write (Yonetici tüm alanlarda yazma hakkında sahiptir) by group.exact="cn=admin,dc=deneme,dc=com" write (Admin grubunda bulunan kullanıcılar tüm dn içinde yazma hakkına sahiptirler) by users read (Kullanıcılar bilgileri okuyabilir ancak yukarıda tanımladağımız access to attr= ile belirtilen alanları göremezler. Örneğim mailHost değerini sadece yonetici ve kullanıcının kendisi görebilir. Diğer oturum açmış kullanıcılar göremezler ) by self write (Kullanıcı kendisi ile ilgili alanları değiştirebilir) by * auth (Oturum açmamış misafir kullanıcılara erişim engelli.)

access to attr=userPassword by dn="cn=yonetici,dc=deneme,dc=com" write by self write by * auth access to * by dn="cn=yonetici,dc=deneme,dc=com" write by group.exact="cn=admin,dc=deneme,dc=com" write by users read by self write by * auth

Değerlendirme LDAP veri tabanından kullanıcı kontrolü için istekte bulunan istemcilerin, güvenli bir şekilde yönetimini sağlayan kurallar oluşturulmuştur. SSO (Single Sİgn On) için kullanılan LDAP kullanıcı kontrol ve yetkilendirmede gerekli olan güvenlik tanımlarını en esnek şekilde yapılması sağlanmıştır. SSO (Single Sign On) için kullanılan LDAP kullanıcı kontrol ve yetkilendirmede gerekli olan güvenlik tanımlarını en esnek şekilde yapılması sağlanmıştır.

Böylece internete açık olan bu servisin olası tüm güvensiz erişimlere karşı yasaklama mekanizması oluştururken, doğru uygulama ve kullanıcıların ilgili tablo ve verilere ulaşımının esnek bir yapılandırma ile yapılmasını sağlamış oluyor. Single Sign On LDAP ile yapan tüm kurumların kullanıcı kontrolü için kullandıkları 3.parti uygulamalarından kaynaklanan güvenlik açıklarının merkezi olarak önlenmesini ve kontrol edilmesini sağlayacaktır.

TEŞEKKÜRLER…