3.1.4 Windows NT4 Alan Adı Kimlik Doğrulama
Bu kimlik doğrulama yöntemi küçük ve orta ölçekli ağ ortamları için tercih edilen bir çözümdür. Kullanıcıların internete çıkabilmeleri için kimlik doğrulamaları gerekir. Kimlik bilgileri bir etki alanı denetleyicisi olarak hareket harici sunucuya karşı doğrulanır. Aşağıdaki olabilir:
- Windows NT 4.0 Sunucusu veya Windows 2000/2003/2008 Sunucusu (hatta aktif dizin etkin).
- Samba 2.x / 3.x Sunucu (Etki Alanı Denetleyicisine olarak çalışan).
Gelişmiş vekil doğrulaması tümleşik kimlik doğrulaması (şeffaf) veya standart kimlik doğrulama (kullanıcı adı ve parola ile açık) ile çalışır.
Bu yetkili kullanıcı adları (beyaz liste) veya yetkisiz kullanıcı adları (kara liste) ile listeleri koruyabilirsiniz.
Not: Çalışma grubu tabanlı kimlik işe yarayabilir ancak ne tavsiye edilir nede desteklenmektedir.
3.1.4.1 Genel kimlik doğrulama ayarları
Kimlik doğrulama işlemlerinin sayısı
Arka planda dinlenecek işlemlerin sayısıdır. Varsayılan değeri 5’dir. Eğer kimlik doğrulama işlemi çok uzun sürüyorsa veya Windows tümleşik kimlik doğrulaması açık kimlikleri geriye düşürüyorsa bu değer artırılmalıdır.
TTL kimlik doğrulama önbelleği
Kimlik bilgilerinin tek tek her oturum için önbellekte ne kadar dakika tutulacağının belirtildiği alandır. Buradaki süre sona erdiğinde kullanıcı kimlik bilgilerini yeniden girmek zorundadır. Varsayılan değer 60 dakika olarak ayarlanmıştır. En az 1 dakika olabilir. Kullanıcı oturum içinde Vekil Sunucusu için yeni bir istek gönderdiğinde TTL herzaman sıfırlanır.
Not: Kullanıcı yeni bir oturum açarsa TTL başka bir oturumda süresi dolmamış olsa bile kimlik bilgileri herzaman girilmelidir.
Kullanıcı başına ip adres sınırı
Kaynak IP sayısı bir kullanıcı aynı anda kaydedilebilir. IP adresi Kullanıcı/IP önbellek TTL’de tanımlanan süre sonra ortaya çıkacaktır.
Not: Yerel kimlik denetimi ve kullanıcı çalışıyorsa ve ayrıca “Genişletilmiş” gurubunun bir üyesiyse bunun bir etkisi yoktur.
TTL kullanıcı/IP önbelleği
Her kullanıcı ve kullanılan IP adresi arasında ne kadar ilişkinin önbelleğe alınacağının dakika cinsinden süresidir. Varsayılan değer sıfırdır yani devred dışıdır.
Kullanıcı başına eşzamanlı IP adresleri için bir en sıfırdan büyük bir değer girilmesi makul olacaktır.
Sınırsız kaynak adresleri için kimlik doğrulaması iste
Varsayılan olarak kimlik doğrulama sınırsız IP adresleri için bile gereklidir. Bu adresler için kimlik doğrulaması yapılmasını istemiyorsanız çek işaretini kaldırın
Kimlik doğrulama uyarısı
Buraya girilecek olan metin kimlik doğrulamada istenecektir. Varsayılan değer “IPFire Gelişmiş Vekil Sunucusu”’dur.
Kimlik doğrulaması olmayan hedefler
Kimlik olmadan ulaşılabilir hedeflerin bir listesini sağlar.
Not: Burada listelenen herhangi bir alan hedef DNS etki alanı değil Windows kaynak NT etki alanları vardır.
Örnekler:
Tüm etki alanları ve alt etki alanları:
*.example.net *.google.com
Tek etki alanı:
www.example.net www.google.com
IP adresleri:
81.169.145.75 74.125.39.103
URL
www.example.net/download www.google.com/images
Not: Herhangi bir sırayla bu hedef türlerinin tümünü girebilirsiniz.
Windows Update için örnekler.
Kimlik doğrulaması olmadan Windows Update erişimen izin verilecek liste eklemek için:
*.download.microsoft.com *.windowsupdate.com windowsupdate.microsoft.com
3.1.4.2 Ortak Etki Alanı Ayarları
Etki alanı
Kimlik doğrulaması için kullanmak istediğiniz etki alanı adını girin. Windows 2000 veya Windows 2003 Aktif Dizin çalıştıran varsa NetBIOS etki alan adı girmeniz gerekir.
PDC ana bilgisayar adı
Burada birincil etki alan adı denetleyicisi makine adı olarak NetBIOS girin. Windows 2000 veya Windows 2003 Aktif Dizin çalıştıroyorsanız herhengi bir etki alan denetleyicisi adını girebilirsiniz.
Not: Windows 2000 ve üstü için birincil etki alanı denetleyicisi belirli bir sunucuya atanmaz. Aktif Dizin PDC emülatörüne mantıklı bir rolü olduğunu ve herhangi bir sunucuya atanabilir.
BDC ana bilgisayar adı
BDC hostname (isteğe bağlı). Burada Backup Etki Alanı Denetleyicisine NetBIOS bilgisayar adını girin. Windows 2000 veya Windows 2003 Aktif Dizinle çalıştırıyorsanız, herhangi bir Etki Alanı Denetleyicisine adı girebilirsiniz. PDC kimlik doğrulama isteğine yanıt vermezse, kimlik doğrulama işlemi yerine BDC soracaktır.
3.1.4.3 Kimlik Doğrulama Yöntemi
Windows tümleşik kimlik doğrulamasını aktifleştir
Eğer aktifse kullanıcı adı ve parola istenmez. Geçerli oturumu açan kullanıcı kimlik bilgilerini otomatik olarak kimlik doğrulama için kullanılır. Bu seçenek varsayılan olarak etkindir. Kimlik doğrulaması devre dışı bırakılmışsa, kullanıcı adı ve parola istenecektir.
3.1.4.4 Kullanıcı Tabanlı Erişim Kısıtlamaları
Aktif
Yetkili veya yetkisiz kullanıcılar için erişim kontrol listelerini sağlar.
Pozitif erişim kontrolü kullan / Yetkili etki alanı kullanıcıları
Burada listelenen kullanıcılara web erişim izini verilecektir. Diğer tüm kullanıcılar için, erişim engellenecektir.
Negatif erişim kontrolü kullan / Yetkisiz etki alanı kullanıcıları
Listelenen kullanıcılara internet erişimi engellenir. Diğer tüm kullanıcılar için erişime izin verilecektir.
Windows tümleşik kimlik doğrulaması etkinse, kullanıcı adınızı ters eğik çizgi ile ayrılmış, kullanıcı adı için bir önek olarak alan adı ile girilmelidir.
Tümleşik kimlik doğrulaması kullanıyorsanız kullanıcı tabanlı erişim kontrol listeleri için örnek:
domain\administrator domain\ugur domain\ozan domain\ersan
Not: Tümleşik kimlik doğrulaması kullanıyorsanız, kullanıcı etki alanına oturum açmanız gerekmektedir, aksi takdirde bunun yerine alan adının yerel iş istasyonu adını, kullanıcı adı eklenecektir.
Açık kimlik kullanarak kullanıcı tabanlı erişim kontrol listeleri için örnek:
administrator ugur ozan ersan