1 / 30

LDAP ile Güvenli Kullanıcı Kontrol Sistemi

LDAP ile Güvenli Kullanıcı Kontrol Sistemi. İsmail KAVAK Süleyman Demirel Üniversitesi. Sunum İçeriği. Çalışmanın amaçları LDAP Nedir ? LDAP Yetkilendirme Tanımları Değerlendirmeler. Amaç.

hamlin
Download Presentation

LDAP ile Güvenli Kullanıcı Kontrol Sistemi

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. LDAP ile Güvenli Kullanıcı Kontrol Sistemi İsmail KAVAK Süleyman Demirel Üniversitesi

  2. Sunum İçeriği Çalışmanın amaçları LDAP Nedir ? LDAP Yetkilendirme Tanımları Değerlendirmeler

  3. Amaç LDAP(Lightweight Directory Access Protocol) veri tabanından kullanıcı kontrolü için istekte bulunan istemcilerin, güvenli bir şekilde yönetimini sağlayan kurallar oluşturmak, LDAP veri tabanındaki her bir kullanıcı grubunun istekte bulunan istemcilerin çalışma yöntemlerine göre doğru ve güvenli olarak kullanıma sunulması ile tek kullanıcı kontrol sistemli yapılar geliştirmek.

  4. DizinHizmeti Bir dizin hizmeti; ağ cihazları, uygulamalar, bilgisayarlar, insanla ilgili verileri tutan ve sunumunu sağlayan bir servis hizmetir.

  5. Hizmeti alan kullanıcıları yetkilendirmeye izin veren bir veri tabanı deposudur. Özellikle internet üzerinden bilgiye erişim ihtiyacının artışı ile son on yılda dizin hizmetleri geliştirilmiştir. Dağıtılmış yapıdaki uygulamalar için yaygın olarak kullanılan bir servis olmuştur.

  6. Dizin hizmetleri çeşitli arayüzler ve uygulamalar ile oluşturulmuş bilgiye erişime imkan sağlar. “ Lightweight Directory Access Protocol ” açık kaynak kodlu bir endüstri standardıdır. Ilk defa 1980'lerin sonlarında, ITU-T ve ISO tarafından yayımlanan, uluslararası standardı, Dizin Erişim Protokolü (DAP) idi. LDAP , DAP’ın X.500 ünün hafifletilmiş bir alternatifi olarak aynı aileden türemiştir.

  7. LDAP LDAP X500 protokolünün benzeri bir veri tabanı kullanan bilgi dizinlerine erişimi sağlayan bir teknolojidir. LDAP isim olarak Directory Access Protokolünün lightweight eklenerek hafifleştirilmiş şeklidir. Heavyweight olarak en çok bilinen yönetim protokolü X.500 ile veri temsilinde benzerlik bulunurken aralarında birkaç yapısal farklılıklar vardır. LDAP esnekliği ve mevcut uygulamalar ile uyumlu olmasından teknolojide artan bir öneme sahiptir.

  8. Basit Dizin Erişim Protokolü olarak kullanılmakta olan LDAP ile dizin servislerini sorgulama ve değiştirme işlemleri yapılır. Veri tabanı hizmeti veren bir sistem içinde verilere merkezi olarak ulaşımı gerçekleştiren uygulama katmanında çalışan bir internet protokolüdür. IBM Tivoli, Novell, Sun, Oracle, Microsoft ve diğer birçok satıcının LDAP tabanlı uygulamaları bulunmaktadır. Hızlı ölçeklenebilir ve yönetilebilir bir dizin yapısı oluşturulur.

  9. Standart olarak depolanan LDAP verilerinin tutulduğu servis ayarlarında; Servisin verildiği ağ ayarları, Yetkili kullanıcı bilgisi, Uygulama ayarlama parametreleri, Kullanıcı ve sunucu sertifikaları ile erişim kontrol listeleri yer almaktadır.

  10. LDAP, uygulamaların ihtiyaç duyduğu her türlü özelliğin eklenmesini sağlayan esnek bir yapıya sahiptir. Örneğin eposta servisi için ihtiyaç duyulan mailLocalAddress, mailHost, UserCertificate gibi özellikleri ihtiyaç duyulan her bir kullanıcı için ayrı ayrı tanımlanabilmesini olanak sağlar.

  11. Kurumsal ve kamusal alanlarda hizmet veren sistemler üzerinden kullanıcılara çok sayıda servis sunmak ve bu servislerin çalıştığı makinalarda ayrı ayrı kullanıcı hesapları açmak gerekebilir. LDAP ile sistemin ve kullanıcıların yönetimini kolaylaştıran bir sistem geliştirilmiştir.

  12. LDAP dizinlemesisteminde her kaydaaitözellikler (attributes) vebuözelliklerindeğerleri (values) vardır. Her kaydınaitolduğubirnesnesınıfı (object class) vardır. Bu yapısayesindedünyaüzerindeki her LDAP kaydıtekilliğinioluşturur. Bununiçindns de olduğugibihiyerarşikbirisimlendirmekullanılmıştır. Kullanıcıbutekiliği DN (Distinguished Name) özelliğindenalır. DN: uid=ismail,ou=people,dc=sdu,dc=edu,dc=tr

  13. LDAP terimişuhizmetlerikapsamaktadır: • TCP/IP protokolüüzerindeçalışan, istemci-sunucumodelinedayanandağıtıkbirdizinhizmetprotokolü. • Lightweight Directory Access Protocol; dizinhizmetlerine ( directory services) erişebilmekiçinkullanılan, standart, genişletilebilirbir Internet protokolü. • Birdizinikullanmaktarehberlikedecekdört model içerir: • Birdizin (directory) içineverininnasılekleneceğinitanımlayanbilgimodeli (information model) • Diziniçindebulunanverininnasılreferanslandırılacağınıvedüzenleneceğinibelirleyenadlandırmamodeli (naming model) • Dizinverisiile ne yapılacağınıbelirleyenişlevsel model (functional model) • Dizinverileriniyetkisizkullanıcılardankoruyacakgüvenlikmodeli (security model) • LDAP Data Interchange Format (LDIF); dizinverilerinideğiş-tokuşetmekiçinstandartmetinbiçimi. • LDAP sunucuyazılımı; Ticariveyaaçık-kaynaklıimplemantasyonlar (OpenLDAP, Sun Directory Server, Microsoft Active Directory) • LDAP sunucularlaya da LDAP–tabanlıprogramlarlabiraradagelenkomut-satırıaraçları • LDAP istemciuygulamalarıgeliştirebilmekiçinkullanılacak LDAP API’leri.

  14. LDAP protokolü message-oriented (mesajkaynaklı) birprotokoldür. Bununanlamışudur: istemciistekiçerenbir LDAP iletisioluşturur, vemesajısunucuyagönderir, sunucuisebuistemiişler, vesonucubirveyabirdenfazla LDAP mesajıolarakistemciyeyanıtıgönderir. LDAP mesajtabanlıbirprotokololduğuiçin, istemcibirandabirdenfazlaistemdebulunabilir. Örneğinbiristemciaynıandaikiaramaişleminiaynıandayapabilir.

  15. LDAP dizinlerdeasağıdakiişlemlerinyapılmasınaizinverir:  *Kullanicingirdigikritere gore aramayapma (search)
                        *Birgirdi(entry) ekleme (add)
                        *Birentrysilme (delete)
                        *Birgirdiyidegistrime (modify)
                        *Distinguished name (DN) 'iyada RDN(Relative Distinguished Name)' in dizindekiyerinidegistirme (modifydn)
                        *Ikientry'ikarsilastirma (compare)

  16. LDAP üçkategoriiçindetanımlanabilecek 9 temelprotokoloperasyonunasahiptir: SorgulamaOperasyonlar: aramavekarşılaştırma (search, compare) güncellemeOperasyonları: ekleme, silme, güncelleme, yenidenisimlendirme (add,delete, modify, modify DN (rename)) Kimlikdoğrulama (authentication) vekontroloperasyonları: bağlanma, bağlantıyıkesmevebağlantıiptali (bind, unbind, abandon.)

  17. LDAP Yetkilendirme Tanımları Ldapkonfigurasyonları statik ve dinamik olarak iki şekilde yapılmaktadır. Eski stil statik ayarlamalar (configurasyon) tanımı ayar dosyası içinde “accessto ... “ ile başlarken, dinamik yetkilendirme ayarları, ldapınveribanındakitablolarından alınmaktadır. Yetkilendirme tanımları artık bir dosyada değilde “olcAccess” alanınayazılarakyapılmaktadır.

  18. Yetkilendirmeler hangi alanlarda kimin ne yapması üzerine kurulmuştur.

  19. ErişimSeviyeleri

  20. ErişimHakları

  21. İlgili Alan Tanımları 1. to * Tümağaçyapısıiçinyapılantanımlamadır. 2. to dn[.<basic-style>]=<regex> DN üzerindedüzenliifadetanımlaması.

  22. 3. to dn.<scope-style>=<DN> scope-style için base, one, subtree, children tanımlarınıkullanılmaktadır. base : tanımlanan tam DN ileeşleştiğinde, one: tanımlanan DN e aitsadecetekbir alt ağaçdalınaaittanımlamalariçingeçerliolsun subtree: tanımlanan DN e aittüm alt dallanmalarıiçingeçerli children: tanımlanan DN hariçtüm alt dallarıiçingeçerlitanımlamadır.

  23. 4. to filter=<ldap filter> to filter=(objectClass=person) gibitanımlıbir DN e ulaşmakiçinkullanılır. 5. to attrs=<attribute list> veya to attrs=<attribute> val[.<style>]=<regex> ileveritabanıiçindetanımlanan her hangibirniteliğinolduğutanımlamaraulaşımiçinkullanılır.

  24. DinamikLDAP TanımlamasındakiAlt Parametreler: olcAccess: access to * by * read

  25. Örnekler: access to attr=userPassword by dn="cn=yonetici,dc=deneme,dc=com" write (YöneticiuserPasswordalanınıdeğiştirebilir) by self write (Kullanıcıkendiparolasınıdeğiştirebilir) by * auth (Geri kalanlaroturumaçmakzorundadır. userPasswordbilgisiniokuyamazveyazamalar)

  26. access to * (Tümalanlariçin.) by dn="cn=yonetici,dc=deneme,dc=com" write (Yoneticitümalanlardayazmahakkındasahiptir) by group.exact="cn=admin,dc=deneme,dc=com" write (Admin grubundabulunankullanıcılartümdniçindeyazmahakkınasahiptirler) by users read (Kullanıcılarbilgileriokuyabilirancakyukarıdatanımladağımız access to attr= ilebelirtilenalanlarıgöremezler. ÖrneğimmailHostdeğerinisadeceyoneticivekullanıcınınkendisigörebilir. Diğeroturumaçmış kullanıcılargöremezler) by self write (Kullanıcıkendisiileilgilialanlarıdeğiştirebilir)by * auth(Oturumaçmamış misafirkullanıcılaraerişimengelli.)

  27. access to attr=userPassword by dn="cn=yonetici,dc=deneme,dc=com" write by self write by * auth access to * by dn="cn=yonetici,dc=deneme,dc=com" write by group.exact="cn=admin,dc=deneme,dc=com" write by users read by self write by * auth

  28. Değerlendirme LDAP veri tabanından kullanıcı kontrolü için istekte bulunan istemcilerin, güvenli bir şekilde yönetimini sağlayan kurallar oluşturulmuştur. SSO (SingleSİgn On) için kullanılan LDAP kullanıcı kontrol ve yetkilendirmede gerekli olan güvenlik tanımlarını en esnek şekilde yapılması sağlanmıştır. SSO (SingleSignOn) için kullanılan LDAP kullanıcı kontrol ve yetkilendirmede gerekli olan güvenlik tanımlarını en esnek şekilde yapılması sağlanmıştır.

  29. Böylece internete açık olan bu servisin olası tüm güvensiz erişimlere karşı yasaklama mekanizması oluştururken, doğru uygulama ve kullanıcıların ilgili tablo ve verilere ulaşımının esnek bir yapılandırma ile yapılmasını sağlamış oluyor. SingleSign On LDAP ile yapan tüm kurumların kullanıcı kontrolü için kullandıkları 3.parti uygulamalarından kaynaklanan güvenlik açıklarının merkezi olarak önlenmesini ve kontrol edilmesini sağlayacaktır.

  30. TEŞEKKÜRLER…

More Related