Active Directory Server Rolleri
Active Directory Server rolleri, kurulup birlikte çalışabilmeleri için gerekli olan Active Directory ortamı ile birlikte gruplandırılmışlardır. Active Directory Server rolleri 5 tanedir:
- Active Directory Domain Services (AD DS)
- Active Directory Federation Services (AD FS)
- Active Directory Lightweight Directory Services (AD LDS)
- Active Directory Rights Management Services (AD RMS)
- Active Directory Certificate Services (AD CS)
Windows Server 2008’den beri, bu roller Windows Server Manager kullanılarak kurulabilir ve yapılandırılabilir. Windows Server 2019’da da aynıdır. Bu sunucu rollerinin her biri PowerShell kullanılarak da yüklenebilir ve yapılandırılabilir. Active Directory server rolleri yüklenirken aşağıdaki PowerShell cmdlet’leri kullanılabilir:
Active Directory Server Rolleri PowerShell Cmdlets
PowerShell Cmdlets | Açıklama |
Install-WindowsFeature AD-Domain-Services | AD DS rolünü kuracaktır. |
Install-WindowsFeature ADFS-Federation | AD FS rolünü kuracaktır. |
Install-WindowsFeature ADLDS | AD LDS rolünü kuracaktır. |
Install-WindowsFeature ADRMS | AD RMS rolünü kuracaktır. Ancak bu rolün AD Rights Management Server ve Identity Federation isimli iki alt rolü vardır. Install-WindowsFeature ADRMS, ADRMS-Server, ADRMS-Identity ya da Install-WindowsFeature ADRMS -IncludeAllSubFeature şeklinde bu alt rollerde kurulabilir. |
Install-WindowsFeature AD-Certificate | Bu cmdlet, AD CS’yi yükler. Bu rolde de altı alt rol vardır. Certification Authority (ADCS-Cert-Authority), Certificate Enrollment Policy Web Service (ADCS-Enroll-Web-Pol), Certificate Enrollment Web Service (ADCS-Enroll-Web-Svc), Certification Authority Web Enrollment (ADCS-Web-Enrollment), Network Device Enrollment Service (ADCS-Device-Enrollment), ve Online Responder (ADCS-Online-Cert). Bu alt özellikler ayrı ayrı veya birlikte eklenebilir. |
Active Directory Domain Services
Active Directory nedir? İsimli makale de, Active Directory’nin ne olduğunu ve bileşenlerinin ne olduğu açıklanmıştı. Özet olarak, AD DS ile ilgili bazı önemli noktaları aşağıda listelenmiştir:
- AD DS bir kuruluşun kaynaklarını güvenli, verimli bir şekilde yönetebilir ve nesnelerin hiyerarşik bir yapıda organize edilmesine yardımcı olur.
- Active Directory forest bir kimlik altyapısı güvenlik sınırıdır ve forest sahip olduğu directory partitions yapısında birden çok domain içerebilir.
- Active Directory Domain multi-master veritabanını, nesneler hakkında veri depolamak ve domain içindeki diğer domain controller’lar ile replike etmek için bulundurur. Domain içindeki herhangi bir yazılabilir yani read only olmayan domain controller, Active Directory veritabanından nesneler ekleyebilir, değiştirebilir veya silebilir ve diğer domain controller’lar bu değişikliklerin farkında olup kendi veritabanları ile replike edeceklerdir.
- Organization Units – OU, Active Directory’deki nesneleri hiyerarşik bir yapıda düzenlemek için kullanılır. Ayrıca yetkilendirme ve delegasyon işlemleri içinde kullanılabilir.
Read Only Domain Controller (RODC)
Windows Server 2008 ile birlikte Microsoft, Read Only Domain Controller (RODC) adı verilen yeni bir domain controller versiyonunu başlattı. Bu versiyon kuruluşların, veri güvenliği ve ağ güvenliğinin garanti edilemediği yerlerde domain controller bulundurmalarını sağlar.
Domain Controller sunucuları, Active Directory Domain Service veritabanının yazılabilir bir kopyasını içerir. Aynı domain’de bulunan tüm domain controller’lar arasında çoğaltılır, ancak Read Only Domain Controller içinde read only bir Active Directory Domain Service veritabanı bulunur.
Bu özellik merkeze bağlı bir şube ağında kullanışlıdır. Bir kuruluşun her şubesi, yüksek hızlı kiralık hat, korumalı bir veri merkezi tesisi ve BT personeli ile tamamen gelişmiş bir ağa sahip olamaz. Eğer bu bir Active Directory ortamıysa ve şubenin şirket ortamına bağlanması gerekiyorsa, şubenin ağında da domain controller kullanmak gerekir. Ancak, şubenin merkezle sınırlı bir bağlantısı varsa, ortamda çok az BT kaynağı bulunuyorsa, fiziksel güvenlik ve ağ güvenliği konularında zafiyet varsa, bu ağda bir domain controller bulundurmak, büyük bir güvenlik tehdidi olabilir. Ancak bir Read Only Domain Controller – RODC dağıtılması kimlik altyapısı güvenliğini bu tür tehditlerden koruyacak ve şube ofisindeki kullanıcılar AD DS tarafından sağlanan hızlı ve güvenilir kimlik doğrulama ve yetkilendirmeyi kullanabileceklerdir.
Read Only Domain Controller, yazılabilir bir domain conroller’dan parolalar hariç olarak aldığı, Active Directory nesnelerinin ve niteliklerinin bir kopyasını tutar. Nesnelerde herhangi bir değişiklik yapılması gerekiyorsa, yazılabilir bir domain controller’da yapılması gerekir. Bazen şubelerde, directory servise yazma kabiliyetine ihtiyaç duyan uygulamalar olabilir. Bu istekleri, Read Only Domain Controller – RODC yerine domain controllers’a yönlendirmek gerekecektir.
Active Directory Federation Services
Active Directory Federation Services, altyapılar arasında kimliklerin paylaşılmasına izin verir ve hak talebi odaklı bir yetkilendirme (Claim Based Authorization – CBA) mekanizması sunar. Günümüzde organizasyon süreçleri karmaşıktır. Servis sağlayıcıları, uygulamaların çoğunu artık buluta (software as a service – SaaS) taşıdılar. Ayrıca bazı durumlarda bir takım işler için kuruluşlar web tabanlı sistemleri ve uygulamaları diğer kuruluşlarla paylaşmak zorunda kalabilir. Bu sistemlerin hemen hemen hepsinde, kullanıcıların uygulamalara veya sistemlere erişmesine izin vermek için bir tür kimlik doğrulama ve yetkilendirme işlemi gerekir. Bu tür durumlar altyapı ve entegrasyon gereksinimlerini karmaşıklaştırabilir.
Active Directory Federation Services Kurulum Örneği:
Aktif Dizin A.Ş. bir üretim şirketidir. MSSYSTEM, Aktif Dizin’in ortak bir şirketidir. Aktif Dizin satış tekliflerini, siparişlerini ve projelerini takip etmek için web tabanlı bir içerik yönetim sistemine sahiptir. Bir ortak şirket olarak MSSYSTEM’den satış yapan kullanıcılar bu sisteme erişmek zorundalar. Her iki şirket de kendi ayrı active directory’lerini kullanıyor. Bunu yapmanın kolay bir yolu, iki kuruluş arasında bir Active Directory Forest güveni oluşturmaktır. Ancak bunu her durumda uygulamak doğru olmayabilir. Aktif Dizin’in birçok ortak olduğu kuruluş varsa, her organizasyon için bir forest güveninin olması pratik olamayacaktır. Ayrıca, kuruluşlar arasında güvenli iletişim için kullanılacak olan bağlantılar ek işletme maliyetleri de ekler. Ortak şirket yalnızca bir uygulamaya erişmek istiyor, ancak güven sağlamak Aktif Dizin’in altyapısı için ek güvenlik tehditleri oluşturacak.
AD FS, bu şekildeki uygulamalara bu tehlikelerin hiçbiri olmadan erişmenizi sağlar. Tamamen farklı kimlik altyapılarından gelen kullanıcılara güvenecek ve uygulamaları barındıran kuruluşta oturum açılmasını, yetki verilmesini sağlayacaktır. Buradaki önemli nokta, bu işlemin altyapıda minimum değişikliklerle gerçekleştirileceğidir. Her iki kuruluş da kendi kimlik altyapılarını koruyacak. İletişim yalnızca HTTPS protokolü ile gerçekleşecek ve kuruluşların ağları arasında ek güvenlik duvarı bağlantı noktası açmaya gerek kalmayacaktır.
Normal senaryolarda, web tabanlı bir sistemi veya uygulamayı iki kimlik altyapısı arasında paylaşıyorsanız, ortak kuruluşların iki kimlik bilgisi sağlamaları gerekir. Birinci kimlik bilgisi kendi altyapılarıyla kimlik doğrulaması yapmak, ikincisi ise giriş yapılacak diğer sistem ile kimlik doğrulamasını yapmak içindir. AD FS, kullanıcıların uygulamalarda SSO yapmalarına olanak sağlar.
Günümüzde kuruluşlar bazıları kendi operasyonları için, bazıları ise müşteri odaklı olmak üzere giderek daha fazla web tabanlı uygulama kullanmaktadır. Bunlar Active Directory ile tümleşik uygulamalarsa, bunları genel internete açmak güvenlik tehditleri oluşturabilir. AD FS, web tabanlı uygulamalara çok faktörlü kimlik doğrulama sağlamak için de kullanılabilir. AD FS, ağda bir DMZ (demilitarized zone) bölgesinde barındırılabilir ve bu uygulamalar için dışarıya açık tek kısım olacaktır.
Dört AD FS rol servisi vardır:
- Federation Service: Federated Web SSO yada Web SSO design method yöntemlerini kullanarak başka bir kimlik altyapısındaki kullanıcılardan gelen kimlik doğrulama isteklerini yönlendirir.
- Federation Service Proxy: Federation proxy sunucuları DMZ (demilitarized zone) networküne yerleştirilebilir ve talepleri güvenli bir ağda bulunan federation service yönlendirebilir. Bu, web tabanlı uygulamalar için ek bir güvenlik katmanı sağlar.
- Claims-Aware Agent: AD FS, iki kimlik altyapısı arasında güven oluşturmak için talepleri kullanır. Claims Aware Agent, uygulama sunucusunda AD FS talepleri için yapılan sorgulamalarda kullanılabilir. Uygulama talepleri AD FS security token mekanizmasıyla yetkilendirme kararları için kullanacaktır.
- Windows Token Based Agent: Bu agent, Windows Token bazlı çalışan uygulamalar için web sunuculara kurulur. Bu agent AD FS security token bilgisini Windows access token’a dönüştürür ve uygulama buna göre bir yetkilendirme kararı verir.
Bu rolleri, kuruluş gereksinimlerine göre ayrı sunuculara yüklenebilir.
Active Directory Lightweight Directory Services
Bazı uygulamaların çalışması için directory gerekinimi vardır. Ancak bunun için Active Directory ortamında olunmasına gerek yoktur. Microsoft, AD DS’ye ihtiyaç olmadan bu tür uygulamalar için veri depolayabilen AD LDS geliştirdi. AD DS kurulduğunda en tepeden miras kalan forest’a ait bir şema ve directory partitions ile birlikte gelecektir. Eğer ikinci bir directory partitions ihtiyacı oluşursa, yeni bir domain daha ya da child domain kurulması gerekir. AD LDS şema bağımsız olarak bu tür ihtiyaçlar için çözüm sunar. Bir sunucuda birden fazla AD LDS örneği (instance) oluşturulabilir.
AD DS ve AD LDS, aynı teknolojilere dayalı olarak oluşturulmuştur. AD LDS’nin Active Directory Domain veya Forest kurulumuna ihtiyacı yoktur. Ancak bir AD DS ortamında, AD LDS kimlik doğrulama için AD DS kullanabilir.
Active Directory Rights Management Services
Active Directory Rights Management Services (AD RMS), kuruluşların hassas verilerini yetkisiz erişime karşı korumalarına yardımcı olur.
Onur, şirket personellerinin maaşları hakkında veriler içeren bir belgeyi aldı diyelim. Onur ardından bu belgeyi Erdoğan’a gönderdi. Bunun Onur ve Erdoğan arasında gizli bir konuşma olması gerektiğini biliyoruz. Bu verilerin başka bir kullanıcıya aktarılmadığını nasıl doğrulayabiliriz? Ya biri bu belgenin basılı bir kopyasını alırsa? Ya Erdoğan bunu düzenlerken bazı yanlış bilgiler eklerse? AD RMS kullanarak, bu tür gizli kurumsal verilerin kötüye kullanılmasını önleyebilirsiniz. AD RMS, yönetilen kimlikleri şifrelemek ve dosyalarınıza, e-postalarınıza ve sunumlarınıza yetkilendirme politikaları uygulamak için kullanılabilir. Bu, dosyaların yetkisiz kişilerce kopyalanmasını, iletilmesini veya yazdırılmasını önler. Bu, aynı zamanda kullanıcıların bir belgenin verilerini belirli bir sürenin ötesinde görüntülemesini önleyecek dosya son kullanma tarihlerine izin verir.
AD RMS iki rol hizmeti içerir:
- Active Directory Rights Management Server: Bir kuruluştaki içeriği korumanızı gerektiren AD RMS sunucu hizmetini yükler.
- Identity Federation Support: AD RMS hizmeti ayrıca AD FS servisleriyle entegrasyonu da destekler. Her iki altyapıya da AD RMS kurmadan iki kuruluş arasında paylaşılan içeriği korumanıza izin verecektir. Bu rol hizmeti, AD RMS’yi AD FS ile entegre etmeye yardımcı olur.
Active Directory Certificate Services
AD CS, kuruluşların ortak anahtar altyapısını (Public Key Infrastructure – PKI) kolay ve uygun maliyetli bir şekilde oluşturmalarına yardımcı olur. Sertifika yetkilisi tarafından verilen dijital sertifikalar, kullanıcıların, bilgisayarların ve cihazların kimliğini doğrulamak için kullanılabilir. Sertifika yetkilisi, sertifika isteklerini almak, sertifika taleplerini doğrulamak ve sertifikaları vermek, yenilemek ve iptal etmekle sorumludur.
AD CS için altı rol hizmeti vardır:
- Sertifika Yetkilisi (Certification Authority – CA): Microsoft tarafında root ve subordinate CA olarak adlandırılan iki tip temel CA vardır. Bunların bir ağa yerleştirilmesi PKI tasarımına bağlı olacaktır. CA; kullanıcılara, bilgisayarlara ve cihazlara sertifika vermekten sorumludur. Ayrıca sertifikaların geçerliliğini de yönetir.
- Certification Authority Web Enrollment: Kullanıcıların sertifika istekleri göndermesine, verilen sertifikaları almasına ve sertifika zincirini indirmesine izin vermek için CA’ya bağlanan bir web arayüzüdür.
- Online Responder: Dijital sertifikaların durumunu doğrulamak için bireysel kullanıcı isteklerini alır ve yanıtlar.
- Network Device Enrollment Service (Ağ Aygıtı Kayıt Hizmeti): Bu hizmet, domaine dahil edilmemiş ağ aygıtlarının sertifika almasına izin verir.
- Certificate Enrollment Web Service (Sertifika Kayıt Web Hizmeti): Kullanıcıların ve bilgisayarların HTTPS webservice kullanarak sertifika kaydı yapmasına olanak tanır. Ayrıca, domain bilgisayarlarına veya domaine dahil olmayan aygıtlara ve domaine dahil olmamış bilgisayarlara da sertifika kaydına izin verir.
- Certificate Enrollment Policy Web Service: Sertifika kayıt ilkesi(Certificate Enrollment Policy) bilgilerini kullanıcılara ve bilgisayarlara yayımlar.
Vakit ayırdığınız için teşekkür ederiz. Lütfen yorum yapmaktan çekinmeyiniz.
Active Directory Server Rolleri
Active Directory Server rolleri olan; Active Directory Domain Services (AD DS), Active Directory Federation Services (AD FS), Active Directory Lightweight Directory Services (AD LDS), Active Directory Rights Management Services (AD RMS), Active Directory Certificate Services (AD CS) rolleri için tanımlar verilmiştir. İlerleyen dönemde tek tek bu servisler tekrar detaylı olarak incelenecektir.