magnify
Home Active Directory Dynamic Access Control–DAC ve Claim Mantığı
formats

Dynamic Access Control–DAC ve Claim Mantığı

Dynamic Access Control DAC, Windows Server 2012 ile hayatımıza giren dosya sistemi için yeni bir erişim kontrol mekanizamasıdır.
Bu yeni mekanizama sayesinde dosya sistemi için merkezi kurallar tanımlayabiliyoruz.( tüm dosya sunucuları için tek policy belirleme şansımız vardır)

DAC, mevcut dosya izinleri ile birlikte çalışabildiği gibi (ACL) bundan bağımsızda dosya erişim yönetimi yapabilmektedir.

Temel olarak Domain tabanlı dosya sunucuları için yönetim ve izleme (Audit) esnekliği sağlamak için tasarlanmıştır.

DAC, kimlik doğrulama tokenlarında, kaynak özelliklerinde ve izleme – erişim işlemlerinin duruma göre gerçekleştirilmesi için claim isimini verdiğimiz bir değişken kullanır.

Claim kelimesi aslında bir nesne için (çoğunlukla kullanıcı ve bilgisayar nesneleri için) nitelik (attribute, property) anlamı taşımaktadır. Örneğin bir kullanıcının muhasebe grubunda olması, telefonun 5555 olması, ofis adresinin İstanbul, yaşadığı ülkenin Türkiye, çalıştığı proje isminin “2013 yılı projesi” olması veya bir bilgisayarın ortamdaki NAP – Network Access Protection servisi için sağlıklı (health state) durumda olması gibi Dynamic Access Control mekanizmasında bu kullanıcı veya makineyi tanımlayacak bilgilere claim diyoruz.

Windows Server 2012 ve daha yeni işletim sistemlerinde kimlik doğrulama mekanizması da claim desteği sağladığı için artık klasör veya dosya erişimlerinde NTFS izileri yanında yani SID temeline ek olarak AD DS özniteliklerini de kullanabiliyoruz. Tabiki bu durum hala grup üyeliği veya SID temelli dosya veya klasör erişiminin çalışmadığı manasına gelmiyor. Yani DAC uygulanmadığı durumlarda hala eskisi gibi kullanıcı veya üyesi olduğu grubun SID numarası ile erişmek istediği dosya üzerindeki ACL SID numaralarının eşleşmesi mantığı devam etmektedir.( eşleşmesi tabiki erişim için şart ancak eşleştikten sonra da yazma mı okuma mı yekkileri olduğu önemlidir)

Özetle claim özelliği sayesinde artık dosya ve klasörlerin izlenemesi – erişilmesi için AD-DS öz niteliklerini baz alarak kural yazabiliriz.

User Claim ve Computer Claim kavramları aslında AD üzerindeki kullanıcı öz nitelikleri ve makine öz nitelikleridir. Kullanıcı için bir kaç örnek vermek gerekir ise, üye olduğu gruplar, telefonun numarası, ofis adresi, yaşadığı şehir gösterilebilir. Bilgisayar için ise örneğin NAP – Network Access Protection servisi için “sağlıklı” (health state) durumda olması yani “sağlıklı” veya “sağlıksız” nitelikleri bilgisayar için bir claimdir.

Claim forest içerisindeki tüm domainler için kullanılabildiği gibi ek olarak trust yapmanzı halinde geçiş desteğide sunmaktadır

Resource Properties

Eğer kaynaklarınızın yönetimini daha esnek olarak gerçekleştirmek istiyorsanız öncelikle bu kaynakların özelliklerini sistemin iyi bir şekilde ayrıştırması için belirlemeniz gereklidir.

Resource properties aynı zamanda resource property object olarak bilinir. Bu obje dosya veya klasöre ek olarak eklenen bir nitelik olup daha çok Windows Server Resource Manager desteği olan dosya sınıflandırma işlemi sırasında eklenir. Örneğin bir klasör veya dosya için sınıflandırma görevi çalışır ve bu klasör veya dosya için uygulanan kurala göre bu niteliği “Gizli”, “Şirkete Özel”, “Genele Açık”, “Kişisel” ve benzeri sınıflandırır.

Yukarıdaki örneklerden bu obje için kendinize ait nitelikler tanımlayabildiğinizi görebilirsiniz. Ben bir kaç örnek paylaştım sadece. Örneğin siz proje isimlerini de bu öznitelik için kullanabilirsiniz.

Peki DAC ile dosya erişimi nasıl gerçekleşir?

 

Claim kullanılmayan bir durumda, bir kullanıcı bir kaynağa erişmek için öncelikle KDC üzerinden aldığı token içerisindeki kendi kullanıcı SID ve yine üyesi olduğu grup SID leri ile ilgili sunucuya gider ve klasör – dosyada ki ACL ile karşılaştırma yapılırdı, eğer kullanıcı veya üyesi olduğu gruplardan birinin SID numarası dosya üzerindeki ACL içerisindeki SID lerden biri ile eşleşir ise dosyaya erişim sağlanmaktaydı. ( Tabiki kerberos süreci birazdaha detaylı bir süreç olup, lsa, session key ve benzeri kavramları bilerek anlatımdan çıkardım ki claim mantığındaki değişiklikler daha sade bir şekilde anlaşılsın )

Server 2012 sonrasında Kerberos v5 Key Distribution Center – KDC  claim desteği sunduğu için yukarıdaki şekilde görüldüğü gibi sistem biraz değişiyor. Yine kullanıcı DC üzerinden aldığı kerberos token içerisinde SID bilgileri yanında claim dediğimiz kullanıcı öz niteliklerinden tanımlanmış olanları da alır ve bu bilgiler ile dosya sunucusuna gider, dosya sunucusu üzerindeki dosya için ACL şartı sağlanmasına karşın eğer DAC aktif ve policy uygulanmış ise ilgili dosyada SID benzerliğinin yanında claim benzerliğide talep edebilir. Örneğin klasör “Mayasoft” projesi için ise bu durumda gelen kullanıcı company bilgisinde “Mayasoft” yazmasını da ek olarak talep edebilir. Bu bilgide eğer policy ile eşleşiyorsa bu durumda dosya erişimi sağlanır.

Benzer şekilde bu sürece aygıt yani bilgisayar içinde claim ekleyebiliriz. Yani ilgili kullanıcı SID bilgisi tutacak, user claim tutacak birde makine claim olarak NAP için sağlıklı bilgisi olacak ki bu da bir öznitelik olup claim olarak kullanılır. Yani sadece bir kullanıcının SID ve claim bilgisi ile o kullanıcı ilgili dosyaya erişsin AMA güvenli bir bilgisayardan erişsin diyebiliriz.

Bu tür ayarları isterseniz klasör üzerinden “Advanced Security Settings Editor” ile yapabileceğiniz gibi tüm organizasyonunuz için yani birden çok file server ve üzerindeki tüm klasörler – dosyalar için policy yazabilirsiniz.
İlk olarak Central Access Rule yazıp bunu Central Access Policy ‘ ye bağlayabiliriz.

 
 Share on Facebook Share on Twitter Share on Reddit Share on LinkedIn
Dynamic Access Control–DAC ve Claim Mantığı için yorumlar kapalı  comments 
© Hakan UZUNER - MCT- MVP - RD
credit