DAC kavramı, Claim, Resource Property ve Resource Property List yapılandırmalarını bölüm 1’de açıklamıştım. Kaldığım yerden devam ediyorum.
Kimin veya kimlerin Resource’lara hangi yetkilerle erişebileceğini belirlemek için Central Access Rule oluşturuyoruz. Central Access Rule menüsünden New ile devam.
Resim-1
Rule ismine (production ortamı için yada test ortamını) uygun bir isim verin. Ben uygulamada Departman-Ulke ismini kullandım.
Resim-2
Target Resource kısmını düzenlemek için Edit ile yeni bir menü açıyoruz. Aşağıdaki gibi açılan menüden resource’lar için şart (condition) ekliyoruz.
Resim-3
Condition’larımız aşağıdaki gibi. Yani File Server’da barındıracağımız verilerde (paylaşılan klasör gibi) aşağıdaki gibi property’ler olmalıdır.
Resim-4
OK ile menüyü kapatıp devam ediyoruz. Sırada permissions kısmı geliyor. (Bu arada bu rule’u silmek isterseniz Protection’a takılıyor. İsterseniz “Protect from Accidentical Deletion” kutucuğunu temizleyin.)
Resim-5
Permissions panelinde Use following permission as current permission seçeneğini işaretleyip Edit ile devam ediyoruz. Aşağıdaki görüldüğü gibi varsayılan izinler mevcut. Biz şarta bağlı olarak ekleme yapacağız.
Resim-6
Add ile devam.
Resim-7
Permission Entry for Permissions menüsünden Principal olarak Authenticated Users’ı seçiyorum. Basic Permission’lar aşağıdaki gibi. Condition ekliyoruz (User ve Resource Matching için)
Resim-8
Bu şartlara göre uyum olmazsa access izni verilmeyecektir(deparmen-ulke uyumsuzluğundan access limiti gelecek). OK , OK ve OK ile rule oluşturma işlemi bitirebiliriz. Ayrıca Authenticated Users dan faklı olarak ilgili departman Admin’lerine yine select principal kısmından farklı ( daha yüksek seviyeli yada daha düşük seviyeli) permission’lar verebiliriz.
Bu işlemler için yine PowerShell kullanılabiliriz.
$countryClaimType = Get-ADClaimType country
$departmentClaimType = Get-ADClaimType department
$countryResourceProperty = Get-ADResourceProperty Country
$departmentResourceProperty = Get-ADResourceProperty Department
$currentAcl = “O:SYG:SYD:AR(A;;FA;;;OW)(A;;FA;;;BA)(A;;0x1200a9;;;S-1-5-21-1787166779-1215870801-2157059049-1113)(A;;0x1301bf;;;S-1-5-21-1787166779-1215870801-2157059049-1112)(A;;FA;;;SY)(XA;;0x1200a9;;;AU;((@USER.” + $countryClaimType.Name + ” Any_of @RESOURCE.” + $countryResourceProperty.Name + “) && (@USER.” + $departmentClaimType.Name + ” Any_of @RESOURCE.” + $departmentResourceProperty.Name + “)))”
$resourceCondition = “(@RESOURCE.” + $departmentResourceProperty.Name + ” Contains {`”Finance`”})”
New-ADCentralAccessRule “Finance Documents Rule” -CurrentAcl $currentAcl -ResourceCondition $resourceCondition
NOT: Üst kısımdaki örnektir. Bazı değişkenlere değerlen atanmıştır ve son cmdlet’de de kullanılmıştır. Burada kullanılan SID’ler sizinkinden farklı olacaktır.
Siz kullandığınız kullanıcı/grup ‘ların SID’lerini belirlemek için aşağıdaki PS cmdlet’lerini kullanabilirsiniz.
Local User için ;
$objUser = New-Object System.Security.Principal.NTAccount(“baris.aydogmusoglu”)
$strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier])
$strSID.Value
Bu satırları bir ps1 haline getirip kullanabilirsiniz.
Domain User için ;
$objUser = New-Object System.Security.Principal.NTAccount(“contoso”, “baris.aydogmusoglu”)
$strSID = $objUser.Translate([System.Security.Principal.SecurityIdentifier])
$strSID.Value
Bu satırları bir ps1 haline getirip kullanabilirsiniz.
Resim-9
Şimdi Central Access Policy işlemine geçebiliriz. Biraz önceki kuralı alarak Sunucuların kullanımına sunmak için bir Central Access Policy’ye ekliyoruz.
New Central Access Policy.
Açılan pencerede alt kısımdan Add ile daha önce oluşturduğumuz rule’u (departmen-ulke) Policy’ye ekliyoruz. Policy ismi olarak File Server Policy kullandım.
Resim-10
Central Access Policy’ye Central Access Rule’u ekledik ve işlemi tamamladık.
Resim-11
Yine bu işlem içinde PowerShell’i kullanabiliriz.
New-ADCentralAccessPolicy “File Server Policy”
Add-ADCentralAccessPolicyMember -Identity ” File Server Policy ” -Member “departman-ulke”
Sırada Central Access Policy’nin File Server’lara GPO ile aktarımı geliyor. GPO oluştururken tüm File Server’ları etkilemesi gerektiği apaçıktır(en azından istenenlerin tamamını). İsmine DAC Policy yazarak bir Policy objesi oluşturdum. Policy Objesinin içeriği aşağıdaki gibidir. İsmi “File Server Policy” olan Central Access Policy’yi GPO’ya ekledim.
Resim-12
Resim-13
Oluşturduğum DAC Policy isimli Policy’yi sadece File Server olarak kullandığım server1’e uyguladım. Policy’nin Security Filtering kısmı aşağıdaki gibidir. Lab ortamında bu şekilde kullandım. Dizayn size aittir.
Resim-14
Şimdi Dynamic Access Control desteği icin kerberos armoring`i (claims & compound authentication) gpo ile yapilandiracagiz. Bu GPO yapılandırmasını dilerseniz DDC (default domain controller) OU’suna yeni bir Policy ile dilerseniz Default Domain Controller Policy üzerinden doğrudan yapabilirsiniz. Tüm DC’lerinize etkilemelidir!!!.
Resim-15
Bir diğer Policy aşağıdaki gibi.
Resim-16
DDC Policy yapılandırması görsel olarak aşağıdaki gibidir.
Resim-17
Default domain policy’de devreye aldığımız özellikler üstteki gibidir. Bu özellikler Kerberos protokolülün Dycnamic Access Control’ü desteklemesini ve uyumlu client’lar ile çalışmasını sağlayacaktır. Group Policy Object Editor’ü ve Group Policy Management Console’u kapatabiliriz. Ardından GPUPDATE.
Resim-18
Bu noktada; Central Access Rules/Policies yapılandırmasını, Active Directory tarafında Dynamic Access Control desteğini ve Kerberos Protocol’ünü claim&compound authentication için yapılandırmış olduk. Sonraki aşamada Server1 isimli sunucumuza File Server rolünü ve alt bileşenlerini kurup DAC yapısını File Server tarafındaki yapılandırması ile tamamlayacağız. Yazının devamı için aşağıdaki link’ı kullanabilirsiniz.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
