3.1 GELİŞMİŞ İNTERNET VEKİL SUNUCUSU
Bu bölümde daha derinlemesine “Ağ -> Web Vekil Sunucusu -> Gelişmiş Web Vekil Sunucusu” grubunun altında bulunan “Kimlik doğrulama yöntemi” alanı incelenecektir.
Bu bölümde işlenecek konular:
- Yerel Vekil Sunucu Kimlik Doğrulaması
- identd Kimlik Doğrulama
- LDAP Kimlik Doğrulaması
- Windows NT4 Alan Adı Kimlik Doğrulaması
- Windows Aktif Dizin Adı Kimlik Doğrulama
- RADIUS Kimlik Doğrulaması
- Sınıf Uzantıları
- Özel Hata Mesajları
- Vekil Sunucu Kullanmaya Zorlama
3.1.1 Yerel Vekil Sunucu Kimlik Doğrulaması
Yerel kullanıcı kimlik doğrulaması küçük ofis veya ev ofis ortamları için tercih edilen bir çözümdür. Kullanıcıların internet sitelerine girebilmeleri için geçerli bir kullanıcı adı ve parolasını girip kimliklerini doğrulamaları gerekir. Kullanıcı yönetimi IPFire Vekil Sunucusu üzerinde bulunur. Kullanıcılar üç grupta kategorize edilebilir:
- Genişletilmiş
- Standart
- Pasif
Bu kimlik doğrulama yöntemi ile harici kimlik doğrulama sunucularına gerek kalmadan yerel kullanıcı hesaplarını yönetmenizi sağlar.
“Yerel” kimlik doğrulama yöntemi “Şeffaf” yöntemde çalışmayacaktır. Bunun için “Genel Ayarlar” grubundaki “Şeffaf” seçenekleri seçili olmamalıdır. Şeffaf yöntem iptal edildiğinde proxy ayarlarının yapılmış olması gerekir. İstemcilerin kullanıdığı bütün tarayıcılarda bu ayarların yapılmış olması gerekir. Aksi takdirde burada yapılan işlemlerin bir anlamı olmayacaktır.
Yerel kimlik doğrulamada tüm istemcilerin internet tarayıcılarına Yeşil ağın IP adresi ve “Ağ -> Web Vekil Sunucusu -> Genel Ayarlar” alanındaki “Vekil sunucu bağlantı noktası” numarası tanımlanmalıdır. Eğer bir istemcinin internet tarayıcısında bu tanımlanmzsa veya iptal edilirse o istemci vekil sunucu üzerinden değil direk olarak internete çıkış yapacaktır.
3.1.1.1 Genel kimlik doğrulama ayarları
Kimlik doğrulama işlemlerinin sayısı:
Arkaplanda dinlenecek işlemlerin sayısıdır. Varsayılan değeri 5’dir. Eğer kimlik doğrulama işlemi çok uzun sürüyorsa veya Windows tümleşik kimlik doğrulaması açık kimlikleri geriye düşürüyorsa bu değer artırılmalıdır.
TTL kimlik doğrulama önbelleği (dakika)
Kimlik bilgilerinin tek tek her oturum için önbellekte ne kadar dakika tutulacağının belirtildiği alandır. Buradaki süre sona erdiğinde kullanıcı kimlik bilgilerini yeniden girmek zorundadır. Varsayılan değer 60 dakika olarak ayarlanmıştır. En az 1 dakika olabilir. Kullanıcı oturum içinde Vekil Sunucusu için yeni bir istek gönderdiğinde TTL herzaman sıfırlanır.
TTL (Time to Live): Bir tcp paketinin 2 ağ arasında kaç süre boyunca transfer edilmeye çalışılacağını gösteren birim.
Not: Kullanıcı yeni bir oturum açarsa TTL başka bir oturumda süresi dolmamış olsa bile kimlik bilgileri herzaman girilmelidir.
Kullanıcı başına Ip adres sınırı
Kaynak IP sayısı bir kullanıcı aynı anda kaydedilebilir. IP adresi Kimlik doğrulaması önbellek TTL’de tanımlanan süre sonra ortaya çıkacaktır.
Not: Yerel kimlik denetimi ve kullanıcı çalışıyorsa ve ayrıca “Genişletilmiş” gurubunun bir üyesiyse bunun bir etkisi yoktur.
TTL kullanıcı/IP önbelleği
Her kullanıcı ve kullanılan IP adresi arasındaki ilişkinin ne kadar süre önbellekte tutulacağı zamanın dakika cinsinden süresidir. Varsayılan değer sıfırdır yani devre dışıdır.
Kullanıcı başına eşzamanlı IP adresleri için sıfırdan büyük bir değer girilmesi makul olacaktır.
Sınırsız kaynak adresleri için kimlik doğrulaması iste
Varsayılan olarak kimlik doğrulama, sınırsız IP adresleri için bile gereklidir. Bu adresler için kimlik doğrulaması yapılmasını istemiyorsanız çek işaretini kaldırın.
Kimlik doğrulama uyarısı
Buraya girilecek olan metin kimlik doğrulamada istenecektir. Varsayılan değer “IPFire Proxy Server”’ olarak görünür.
Kimlik doğrulaması olmayan hedefler
Kimlik doğrulaması olmadan ulaşılabilir hedeflerin bir listesinin girildiği alandır. Buraya girilen adreslere kullanıcı girmek isterse herhangi bir kimlik doğrulaması istemeden giriş yapılacaktır. Yalnız burada tanımlanan sitelere girildikten sonra bu site içerisinden başka sitelere olan bağlantılara tıklandığında yine kimlik doğrulaması istenecektir.
Not: Burada listelenen herhangi bir alanda hedef DNS etki alanı değil Windows NT kaynak etki alanları vardır.
Örnekler:
Tüm etki alanları ve alt etki alanları:
*.ersanyildirim.com *.google.com
Tek etki alanı:
www.ersanyildirim.com www.google.com
IP adresleri:
81.169.145.75 74.125.39.103
URL
www.ersanyildirim.com/download www.google.com/images
Not: Herhangi bir sırayla bu hedef türlerinin tümünü girebilirsiniz.
Windows Update için örnekler.
Kimlik doğrulaması olmadan Windows Update erişimine izin verilecek liste:
*.download.microsoft.com *.windowsupdate.com windowsupdate.microsoft.com