3.1.3 LDAP Kimlik Doğrulaması

Bu kimlik doğrulama yöntemi orta ve büyük ölçekli ağ ortamları için tercih edilebilecek bir çözüm yöntemidir. Kullanıcıların internete girebilmeleri için bir kullanıcı adı ve parola ile kimliklerini doğrulamaları gerekmektedir. Kimlik Basit Dizin Erişim Kurallı (LDAP) kullanılarak harici sunucuya karşı doğrulanır.

Ağınızda bir dizin hizmeti ve internet erişimi için ek kullanıcı hesapları ve parolalarını korumak istemiyorsanız LDAP kimlik doğrulama faydalı olacaktır.

Gelişmiş Vekil LDAP Sunucuları aşağıdaki türlerde çalışır:

• Aktif Dizin (Windows 2000, 2003 ve 2008 Sunucusu)
• Novell eDiziny (NetWare 5.x ve NetWare 6)
• LDAP Sürüm 2 ve3 (OpenLDAP)

Ayrı bir seçenek olarak belirli bir grup için üyelik gerekli olabilir.

Not: Protokol LDAPS (Güvenli LDAP) Gelişmiş Vekil Sunucular tarafından desteklenmemektedir.

Eğer iç dizin yapısı hakkında emin değilseniz komut satırı tabanlı ldapsearch aracını kullanarak LDAP sunucusunu inceleyebilirsiniz.

Windows istemcilerinde ücretsiz ve kullanımı kolay olan Softerra LDAP tarayıcısını kullanabilirsiniz: http://www.ldapbrowser.com

3.1.3.1 Genel Kimlik Doğrulama Ayarları

Kimlik doğrulama işlemlerinin sayısı

Arka planda dinlenen isteklerin işlem sayısıdır. Varsayılan değeri 5’dir. Eğer kimlik doğrulama işlemi çok uzun sürüyorsa veya Windows tümleşik kimlik doğrulaması açık kimlikleri geriye düşürüyorsa bu değer artırılmalıdır.

TTL kimlik dğrulama önbelleği

Kimlik bilgilerinin tek tek her oturum için önbellekte ne kadar dakika tutulacağının belirtildiği alandır. Buradaki süre sona erdiğinde kullanıcı kimlik bilgilerini yeniden girmek zorundadır. Varsayılan değer 60 dakika olarak ayarlanmıştır. En az 1 dakika olabilir. Kullanıcı oturum içinde Vekil Sunucusu için yeni bir istek gönderdiğinde TTL herzaman sıfırlanır.

Not: Kullanıcı yeni bir oturum açarsa TTL başka bir oturumda süresi dolmamış olsa bile kimlik bilgileri herzaman girilmelidir.

Kullanıcı başına Ip adres sınırı

Kaynak IP sayısı bir kullanıcı aynı anda kaydedilebilir. IP adresi Kullanıcı/IP önbellek TTL’de tanımlanan süre sonra ortaya çıkacaktır.

Not: Yerel kimlik denetimi ve kullanıcı çalışıyorsa ve ayrıca “Genişletilmiş” gurubunun bir üyesiyse bunun bir etkisi yoktur

TTL kullanıcı/IP önbelleği

Her kullanıcı ve kullanılan IP adresi arasında ne kadar ilişkinin önbelleğe alınacağının dakika cinsinden süresidir. Varsayılan değer sıfırdır yani devred dışıdır.

Kullanıcı başına eşzamanlı IP adresleri için en az sıfırdan büyük bir değer girilmesi makul olacaktır.

Sınırsız kaynak adresleri için kimlik doğrulaması iste

Varsayılan olarak kimlik doğrulama sınırsız IP adresleri için bile gereklidir. Bu adresler için kimlik doğrulaması yapılmasını istemiyorsanız çek işaretini kaldırın

Kimlik doğrulama uyarısı

Buraya girilecek olan metin kimlik doğrulamada istenecektir. Varsayılan değer “IPFire Gelişmiş Vekil Sunucusu”’dur.

Kimlik doğrulaması olmayan hedefler

Kimlik olmadan ulaşılabilir hedeflerin bir listesini sağlar.

Not: Burada listelenen herhangi bir alan hedef DNS etki alanı değil Windows kaynak NT etki alanları vardır.

Örnekler:

Tüm etki alanları ve alt etki alanları:

*.example.net

*.google.com

Tek etki alanı:

www.example.net

www.google.com

IP adresleri:

81.169.145.75

74.125.39.103

URL

www.example.net/download

www.google.com/images

Not: Herhangi bir sırayla bu hedef türlerinin tümünü girebilirsiniz.

Windows Update için örnekler

Kimlik doğrulaması olmadan Windows Update erişimen izin verilecek liste eklemek için:

*.download.microsoft.com

*.windowsupdate.com

windowsupdate.microsoft.com

3.1.3.2 Ortak Ldap Ayarları

Temel DN

LDAP aramasını başlatmak için temel oluşturan alandır. Sonraki tüm kuruluş birimleri (OU) dâhil edilecektir.

Gerekli temel DN biçimleri için LDAP belgelerine bakabilirsiniz.

Aktif Dizin için örnek bir Temel DN:

cn=kullanici,dc=yakazan,dc=org

Bu etki alanı ads.local grup kullanıcıları için arayacaktır.

eDizin için örnek bir Temel DN

ou=kullanicilar,o=acme

Bu kuruluş yılında Kuruluş Birimi kullanıcılar için arayacaktır:

Not: Temel DN boşluk içeriyorsa ters taksim ile bu alanlardan kaçılabilir.

Boşluk içeren Temel DN için bir örnek

cn=internet\ users,dc=ads,dc=local

LDAP türü

LDAP uygulamalarının farklı türleri arasında seçim yapabilirsiniz.

• Aktif Dizin (ADS)
• Novell eDizin (NDS)
• LDAP v2 ve v3

LDAP sunucusu

LDAP sunucusu IP adresini girin.

Bağlantı noktası

LDAP sunucusu isteklerini dinleyen LDAP bağlantı noktasını girin. Varsayılan değer 389’dur.

Not: Kural DAPS (Güvenli LDAP, bağlantı noktası 636) gelişmiş vekil sunucu tarafından desteklenmiyor.

3.1.3.3 DN Ayarları

DN bağlantı kullanıcı adı

Bind DN kullanıcı adı için tam bir ayırt edici ad girin.

Not: Bir Bind DN kullanıcısı Aktif Dizin ve eDizin için gereklidir. Bind DN kullanıcı dizininde tüm kullanıcı özniteliklerini okumak için izin verilmelidir. Bind DN adı boşluk içeriyorsa ters taksim ile bu alandan kaçılabilir.

DN bağlantı parolası

Bind DN kullanıcısı için bir parola girin.

3.1.3.4 Grub Tanablı Erişim Kontrolü

Gerekli grup

Yetkili internet kullanıcıları için ayırt edici bir grup adı girin. Doğru bir kimlik doğrulamasına ek olarak bu grup içindeki üyelerin internet erişimi için gerekli olacaktır.

Not: Grup adı boşluk içeriyorsa ters taksim ile bu sorun çözülebilir.