1. Ana Sayfa
  2. Server 2008
  3. Kerberos Policy Nedir?

Kerberos Policy Nedir?

Windows 2000 ve sonrası Active Directory protokolü olarak ’u kullanır. Bir istemci Active directory’de kimlik doğrulamaya çalıştığı zaman policy kullanır.

Kerberos karşılık kimlik doğrulama sağlar. Karşılıklı kimlik doğrulama sayesinde network’e yalnızca yetkili istemcinin erişmeye çalışmasını değil, aynı zamanda istemcinin isteğine yetkili sunucunun cevap vermesini de sağlar.

Kerberos’un kullandığı üç temel bileşeni vardır bunlar

1. Kimlik doğrulaması yapmak isteyen ya da herhangi bir servisten yararlanmak isteyen client
2. Client’in talep ettiği servisi sağlayan server.
3. Hem client hem de server tarafında güvenilir bir iletişim kurulmasını sağlayan

Şimdi Default Domain Policy deki Kerberos ayarlarına bakalım.

Default Domain policy editlenerek ayarları değiştirilebilir.

Computer Configuration\Windows Settings\Security Settings\Account Policies\Kerberos Policy kısmındaki policy ayarlarımızı inceleyelim.


Resim-1

Enforce user logon restrictions: Default olarak enable olan bu özellik, KDC servisinin kendisine talep gönderen her kullanıcının domain hesabının geçerliliğini kontrol etmesini sağlar. Aynı zamanda kullanıcının ulaşmak istediği bilgisayar üzerinde erişim hakkı olup olmadığınıda kontrol eder. Logon sürecini uzatan bu özelliğin enable olarak ayarlanması tavsiye edilir.

Maximum for service : KDC tarafından kullanıcının erişmek istediği kaynak için sağlanan ‘session ticket’ın geçerlilik süresini temsil eder.10 saat olarak ayarlanmıştır. Bu sürenin user ticket geçerlilik süresinden uzun olmaması gerekir.

Maximum lifetime for user ticket: Client bilgisayara kullanıcı için KDC tarafından sağlanan TGT’nin geçerlilik süresini temsil eder. Kullanıcı burada belirtilen süre boyunca domain kaynaklarına erişim için KDC’de session ticket talabinde bulunabilir.Varsayılan değeri 10 saat olarak ayarlanmıştır.

Maximum lifetime for user ticket renewal: KDC servisinin sağladığı TGT’nin hangi periyotta yenileneceğini temsil eder.Default değer 7 gün olarak ayarlanmıştır.Bu değerin daha kısa olması güvenliği arttıran bir etken olmasına rağmen KDC üzerindeki yükünü de arttırmış olur.

Maximum tolerance for computer clock synchronization: domain conroller– client hemde client – server arasındaki iletişimin güvenliği açısından kullanılan bütün session ticket , () lerle birlikte değeride taşınır.Talebin olduğu zamanı belli eden değerlerinin tutarlı olması için domain bazında saat ayarlarının aynı olması gerekir.Burada varsayılan değer ne kadar saat farklılığının tölere edilebileceğini açıklar.Beş dakika olan varsayılan değer düşürülürse başarısız kimlik doğrulama sayısı artacaktır.

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

http://technet.microsoft.com/tr-tr/library/cc728909.aspx

Yorum Yap

Yazar Hakkında

Neslihan Türkeri, İstanbul doğumluyum. Üniversiteye kadar olan eğitimimi İstanbul'da tamamladım. Kocaeli Üniversitesi Fizik bölümü öğrencisiyken sektörde çeşitli firmalarda çalıştım. Üniversiteyi bitirdikten sonra sistem ve network eğitimi aldım ve bilişimle ilgili şirketlerde çalıştıktan sonra Türkiye'nin en iyi bilişim kurumu olan Bilgeadam'da eğitmenlik yapmaktayım. Verdiğim Eğitimler -Bilgisayar Mimarisi ve Ağ Teknolojileri Temelleri -Bilgisayar Yönetimi ve Kullanıcı Desteği -Sunucu Sistemleri Yapılandırma -Sunucu Sistemleri Yönetimi -HP Sunucu Teknolojileri ve Yönetimi -Cisco Ağ Teknolojileri -Microsoft Exchange Server Yönetimi -Microsoft ISA Server Yönetimi Verdiğim Seminerler Windows Small Business Server Ailesi Windows Home Server Internet Information Services 7.5 Windows PowerShell 2.0

Yorum Yap