İşletim sistemlerinde kimlik denetimi protokollerini uygulayarak, aygıt ve hizmetlerin sadece yetkili kullanıcılar tarafından erişilmesini kontrol edebilirsiniz. Bunların bazıları nesnelerin içine yerleşiktir, diğerleri ise işletim sisteminize, özel nesneler ekleminizi gerektirir. Örnek olarak, eğer NTLM SSP ve/veya Kerberos SSP kullanmak istiyorsanız, bu nesneleri işletim sisteminize eklemeniz gerekir. NTLM ve Kerberos, SSPI (Security Support Provider Interface) vasıtasıyla uygulanır.
SSPI, kimlik denetimi için bütünleşik güvenlik hizmetlerini, mesaj bütünlüğünü ve mesaj gizliliğini sağlamaya yarayan, iyi tanımlanmış ve ortak olarak kullanılan bir API olan Secur32.dll modülü sayesinde kullanılabilir.
Uygulama seviyesi protokolleri ile güvenlik protokolleri arasında tecrit edilmiş bir katman sağlar. Çünkü, farklı uygulamalar kullanıcıları farklı yollarla teşhis etmeyi veya kimliğini doğrulamayı ve network üzerinde dolaşan verileri farklı yollarla şifrelemeyi gerektirir. SSPI, farklı doğrulama ve şifrelemeyle ilgili veri şemalarını içeren DDL(Dynamic Link Library) lere erişim için bir yol sunar. Bu DDL’ler, SSP(Security Support Provider)’ler olarak adlandırılır.
Kerberos Versiyon 5 Doğrulama Protokolü
RFC 1510 içinde tanımlanan Kerberos Ağ Doğrulama Servisi versiyon 5, açık ve potansiyel olarak güvensiz bir ağ üzerindeki kullanıcı ve servislerin (principals) kimliklerini doğrulamak için bir araç sağlar.
Bu bölüm RFC standart Kerberos versiyon 5 doğrulama protokolünün Windows Server 2003’de nasıl kullanıldığını ele alır.
Kerberos Doğrulaması açık bir ağda (ağ boyunca gönderilen paketlerin istenildiği zaman izlenebildiği ve değiştirilebildiği), bir istemci ile bir sunucu arasında karşılıklı doğrulama için bir mekanizma sağlar. Güvenli doğrulama sağlamak amacıyla, Kerberos Doğrulaması, simetrik anahtarlar,şifrelenmiş nesneler ve Kerberos servisleri kullanır.
Windows Server 2003, Kerberos V5 doğrulama protokolünü bir SSP (Security Support Provider) – işletim sistemi tarafından sağlanan bir DLL(Dynamic link library) olarak yürütür.
Windows Server 2003 aynı zamanda NTLM doğrulaması için de bir SSP içerir. Varsayılan olarak, sistem boot ettiğinde her iki SSP de bir Windows Server 2003 bilgisayarı üzerindeki LSA (Local Security Authority) tarafından yüklenir.
Sistem SSP yi hem ağ oturumu açmayı doğrulamak için hem de istemci/sunucu bağlantıları için kullanabilir. Hangi SSP’nin kullanılacağı bağlantının diğer tarafındaki bilgisayarın kabiliyetlerine ve kullanılan uygulamanın tercihlerine bağlıdır.
Kerberos doğrulama protokolünün Windows Server 2003 de tercih edilme sebebi, aşağıda yazılanları da içeren bütün Domain servislerinin Kerberos SSP’yi desteklemesidir ;
-
LDAP(Lightweight Directory Access Protocol) kullanarak Active Directory sorguları
-
RPC çağrıları kullanarak uzak sunucu veya iş istasyonu yönetimi
-
Yazdırma servisleri
-
İstemci-sunucu doğrulaması
-
CIFS/SMB (Common Internet File System/Server Message Block) kullanarak uzaktan dosya erişimi
-
Dağıtılmış dosya sistemi yönetimi ve göndermeleri
-
IIS (Internet Information Services) için Intranet doğrulaması
-
IPSec(Internet Protocol Security) için güvenlik yetkilisi doğrulaması.
-
Domain kullanıcıları ve bilgisayarlar için sertifika servislerine sertifika istekleri
Son Yorumlar