3.1.3 LDAP Kimlik Doğrulaması
Bu kimlik doğrulama yöntemi orta ve büyük ölçekli ağ ortamları için tercih edilebilecek bir çözüm yöntemidir. Kullanıcıların internete girebilmeleri için bir kullanıcı adı ve parola ile kimliklerini doğrulamaları gerekmektedir. Kimlik Basit Dizin Erişim Kurallı (LDAP) kullanılarak harici sunucuya karşı doğrulanır.
Ağınızda bir dizin hizmeti ve internet erişimi için ek kullanıcı hesapları ve parolalarını korumak istemiyorsanız LDAP kimlik doğrulama faydalı olacaktır.
Gelişmiş Vekil LDAP Sunucuları aşağıdaki türlerde çalışır:
- Aktif Dizin (Windows 2000, 2003 ve 2008 Sunucusu)
- Novell eDiziny (NetWare 5.x ve NetWare 6)
- LDAP Sürüm 2 ve3 (OpenLDAP)
Ayrı bir seçenek olarak belirli bir grup için üyelik gerekli olabilir.
Not: Protokol LDAPS (Güvenli LDAP) Gelişmiş Vekil Sunucular tarafından desteklenmemektedir.
Eğer iç dizin yapısı hakkında emin değilseniz komut satırı tabanlı ldapsearch aracını kullanarak LDAP sunucusunu inceleyebilirsiniz.
Windows istemcilerinde ücretsiz ve kullanımı kolay olan Softerra LDAP tarayıcısını kullanabilirsiniz: http://www.ldapbrowser.com
3.1.3.1 Genel Kimlik Doğrulama Ayarları
Kimlik doğrulama işlemlerinin sayısı
Arka planda dinlenen isteklerin işlem sayısıdır. Varsayılan değeri 5’dir. Eğer kimlik doğrulama işlemi çok uzun sürüyorsa veya Windows tümleşik kimlik doğrulaması açık kimlikleri geriye düşürüyorsa bu değer artırılmalıdır.
TTL kimlik dğrulama önbelleği
Kimlik bilgilerinin tek tek her oturum için önbellekte ne kadar dakika tutulacağının belirtildiği alandır. Buradaki süre sona erdiğinde kullanıcı kimlik bilgilerini yeniden girmek zorundadır. Varsayılan değer 60 dakika olarak ayarlanmıştır. En az 1 dakika olabilir. Kullanıcı oturum içinde Vekil Sunucusu için yeni bir istek gönderdiğinde TTL herzaman sıfırlanır.
Not: Kullanıcı yeni bir oturum açarsa TTL başka bir oturumda süresi dolmamış olsa bile kimlik bilgileri herzaman girilmelidir.
Kullanıcı başına Ip adres sınırı
Kaynak IP sayısı bir kullanıcı aynı anda kaydedilebilir. IP adresi Kullanıcı/IP önbellek TTL’de tanımlanan süre sonra ortaya çıkacaktır.
Not: Yerel kimlik denetimi ve kullanıcı çalışıyorsa ve ayrıca “Genişletilmiş” gurubunun bir üyesiyse bunun bir etkisi yoktur
TTL kullanıcı/IP önbelleği
Her kullanıcı ve kullanılan IP adresi arasında ne kadar ilişkinin önbelleğe alınacağının dakika cinsinden süresidir. Varsayılan değer sıfırdır yani devred dışıdır.
Kullanıcı başına eşzamanlı IP adresleri için en az sıfırdan büyük bir değer girilmesi makul olacaktır.
Sınırsız kaynak adresleri için kimlik doğrulaması iste
Varsayılan olarak kimlik doğrulama sınırsız IP adresleri için bile gereklidir. Bu adresler için kimlik doğrulaması yapılmasını istemiyorsanız çek işaretini kaldırın
Kimlik doğrulama uyarısı
Buraya girilecek olan metin kimlik doğrulamada istenecektir. Varsayılan değer “IPFire Gelişmiş Vekil Sunucusu”’dur.
Kimlik doğrulaması olmayan hedefler
Kimlik olmadan ulaşılabilir hedeflerin bir listesini sağlar.
Not: Burada listelenen herhangi bir alan hedef DNS etki alanı değil Windows kaynak NT etki alanları vardır.
Örnekler:
Tüm etki alanları ve alt etki alanları:
*.example.net *.google.com
Tek etki alanı:
www.example.net www.google.com
IP adresleri:
81.169.145.75 74.125.39.103
URL
www.example.net/download www.google.com/images
Not: Herhangi bir sırayla bu hedef türlerinin tümünü girebilirsiniz.
Windows Update için örnekler
Kimlik doğrulaması olmadan Windows Update erişimen izin verilecek liste eklemek için:
*.download.microsoft.com *.windowsupdate.com windowsupdate.microsoft.com
3.1.3.2 Ortak Ldap Ayarları
Temel DN
LDAP aramasını başlatmak için temel oluşturan alandır. Sonraki tüm kuruluş birimleri (OU) dâhil edilecektir.
Gerekli temel DN biçimleri için LDAP belgelerine bakabilirsiniz.
Aktif Dizin için örnek bir Temel DN:
cn=kullanici,dc=yakazan,dc=org
Bu etki alanı ads.local grup kullanıcıları için arayacaktır.
eDizin için örnek bir Temel DN
ou=kullanicilar,o=acme
Bu kuruluş yılında Kuruluş Birimi kullanıcılar için arayacaktır:
Not: Temel DN boşluk içeriyorsa ters taksim ile bu alanlardan kaçılabilir.
Boşluk içeren Temel DN için bir örnek
cn=internet\ users,dc=ads,dc=local
LDAP türü
LDAP uygulamalarının farklı türleri arasında seçim yapabilirsiniz.
- Aktif Dizin (ADS)
- Novell eDizin (NDS)
- LDAP v2 ve v3
LDAP sunucusu
LDAP sunucusu IP adresini girin.
Bağlantı noktası
LDAP sunucusu isteklerini dinleyen LDAP bağlantı noktasını girin. Varsayılan değer 389’dur.
Not: Kural DAPS (Güvenli LDAP, bağlantı noktası 636) gelişmiş vekil sunucu tarafından desteklenmiyor.
3.1.3.3 DN Ayarları
DN bağlantı kullanıcı adı
Bind DN kullanıcı adı için tam bir ayırt edici ad girin.
Not: Bir Bind DN kullanıcısı Aktif Dizin ve eDizin için gereklidir. Bind DN kullanıcı dizininde tüm kullanıcı özniteliklerini okumak için izin verilmelidir. Bind DN adı boşluk içeriyorsa ters taksim ile bu alandan kaçılabilir.
DN bağlantı parolası
Bind DN kullanıcısı için bir parola girin.
3.1.3.4 Grub Tanablı Erişim Kontrolü
Grup tabanlı erişim kontrolü | |
Gerekli grup | … |
Gerekli grup
Yetkili internet kullanıcıları için ayırt edici bir grup adı girin. Doğru bir kimlik doğrulamasına ek olarak bu grup içindeki üyelerin internet erişimi için gerekli olacaktır.
Not: Grup adı boşluk içeriyorsa ters taksim ile bu sorun çözülebilir.