Active Directory - Trust Kavramı

 

Merhaba. 

Bu konuda birbirinden bağımsız olarak yapılandırılmış farklı forest'larda bulunan iki domain arasında trust oluşturacağız. Trust sayesinde ilgili domain'lerdeki bilgisayarlar ve kullanıcılar birbirlerinin kaynaklarına erişebilecekler. 

Örnek uygulamamız için aşağıdaki ortamı oluşturdum. 

İşlemleri hızlandırmak için sistemleri VMnet2 switch'ine bağladım. Gerçek ortamda tabii ki böyle bir durumla karşılaşmanız imkansız. İlgili ortamları birbirleriyle haberleştirebilmek için gerekli routing, NAT, VPN gibi yapıları oluşturabileceğinizi varsayarak devam edeceğim. 
Öncelikle trust kurmak istediğiniz domain'lerin DC'lerinin birbirlerini alan adlarıyla çözebilmelerini sağlamanız gerekiyor. Bunun için uygulanabilecek birçok yöntem var ancak en mantıklı olan seçenek, DNS'lerde Conditional Forwarder oluşturmak olacaktır.  Conditional Forwarder ile bir alan adına özel olarak DNS yönlendirmesi yapabilirsiniz. Aşağıdaki resimde vatanci.int DC'si üzerinde sedat.int için Conditional Forwarder oluşturduğumu göreceksiniz. Böylece sedat.int ile ilgili vatanci.int DC'sine gelen tüm DNS sorguları 192.168.2.52 makinesine yönlendirilecek. 

Conditional Forwarder'ımızı oluşturduktan sonra DC'den ya da ilgili DC'den hizmet alan bir makine üzerinden hedefin erişilebilir olduğunu kontrol edebilirsiniz. 
sedat.int DC'si üzerinde de vatanci.int domaini için Conditional Forwarder oluşturup kontrol ediyorum.
Artık trust'ımızı oluşturabiliriz. Active Directory Domains and Trusts konsolunu çalıştırıyorum. Bu konsolu istediğiniz DC'den açabilirsiniz. İlgili domain'in özelliklerine girip Trusts tab'ını açıp New Trust'a tıklıyorum.

Name kısmına karşıdaki domain'in adını yazıp ilerliyorum. 
Bizim yapımızda 2 adet forest var ve bu forest'ların altında da birer adet domain bulunduğu için External trust veya Forest trust yapmak arasında fark olmayacaktır. 
External Trust: Farklı forest'larda bulunan domain'leri birbirine güvendirmek için kullanılır. Bu işlemde parent ya da child domain'ler trust durumundan etkilenmezler. 
Forest Trust: İlgili forest'lardaki tüm domainleri birbirine tamamen güvendirmek için kullanılır. 

Yeri gelmişken bahsedelim. Burada gözükmeyen 2 farklı trust durumu daha var:
Shortcut Trust: child-child arasında trust kurulacaksa tercih edilir. Makinelerin aynı forest'ta olmaları gerekmektedir. Örnek olması açısından aşağıdaki görseli inceleyebilirsiniz. Shortcut'ın en büyük avantajı, ilgili DC'lerin üstünde bulunan parent DC'ler kapalı olsalar bile shortcut trust yapılmış sistemlerin bağlantısında sorun yaşanmayacaktır. Aynı forest üzerindeki child domain'ler arasında trust kurmak istediğinizde otomatik olarak shortcut trust kurulumu yapılandırılacaktır.


Realm Trust: Linux domain ile Windows domain arasında trust kurulacaksa tercih edilir. Windows Server, trust kurulumu sırasında karşıdaki sistemin bir Windows Server olmadığını fark ederse, Trust Wizard otomatik olarak sizi realm trust kurulumuna yönlendirecektir. 
İlk önce two-way trust oluşturup test edelim. Böylece iki domain arasında kaynak paylaşımı mümkün olacaktır.
Kurulum aşaması için karşı sistemin yetkili kullanıcısının bilgilerine sahipseniz, kurulum aşamalarını karşı sistem için de tamamlayabilirsiniz. Aksi halde kurulumun tamamlanması için karşı taraftaki yetkilinin burada yaptığımız tüm adımları tekrarlaması gerekecek. Biz karşıdaki domain'in administrator hesabının bilgilerini bildiğimiz için Both this domain and the specified domain seçeneği ile ilerleyeceğiz.
Diğer domain'in administrator bilgilerini girip devam ediyorum. 
Domain-wide authentication: Domain üyeleri diğer domain'de yer alan Computer'ların kaynaklarına erişebilecek şekilde yetkilendirilmiş olur. 
Selective authentication: Özellikle paylaşımlarla ilgili kısıtlamalar yapılması isteniyorsa bu seçenek tercih edilebilir. İlerleyen aşamalarda örnek uygulama gösterilmiştir. 
Karşıdaki domain için de authentication türünü belirlemeniz gerekiyor. 
İsterseniz yaptığınız konfigürasyonun çalışıp çalışmadığını test edebilirsiniz.


Kurulum aşamasında "both this domain and the specified domain" seçeneği ile ilerlediğimiz için sedat.int domaininde de trust oluşturuldu. Tekrar ayar yapmamıza gerek kalmadı.
Trust oluşturduğumuz için karşı domain'de yer alan paylaşımlar için ek kullanıcı adı-şifre doğrulaması gerekmeden, mevcut domain'de kullandığım kullanıcı bilgilerimle erişebiliyorum.

Daha güzel tarafı ise karşı domain'de bulunan bir kullanıcıyla oturum açabiliyorum. Şu an her iki domain sanki tek bir domain'miş gibi çalışıyor. 

Eğer tek taraflı trust ilişkisi kurmak isterseniz, yapılandırma aşamasında incoming ya da outgoing seçeneklerinden uygun olanını seçmeniz gerekecek. 
Incoming: Kullanıcılarınız, karşı taraftan (sedat.int'ten) DC hizmeti alamazlar.
Outgoing: Karşı taraftaki kullanıcılar sizden (vatanci.int'ten) DC hizmeti alamazlar.
Test etmek için outgoing trust kuralım.







Aşağıdaki ekranda görüldüğü üzere vatanci.int domain'inde kurduğumuz outgoing trust sayesinde vatanci.int üzerindeki kullanıcılar sedat.int'te oturum açmaya devam edebilecekken, sedat.int'teki kullanıcılar artık vatanci.int üzerinde oturum açamaz hale geldiler.
Kurduğumuz outgoing trust'ın şema ile gösterimi aşağıdaki gibidir.
Okun yönü, güvenen taraftan güvenmeyen tarafa doğru çizilmektedir. 
Son olarak vatanci.int domain'indeki Computer'lar üzerinde bulunan paylaşımlara sedat.int'ten gelen kullanıcıları nasıl engelleyebileceğimize bakalım. Bu aşamayı kurulum sihirbazı ekranından ayarlayabileceğiniz gibi isterseniz trust'ın özelliklerine girip Authentication tab'ından da ayarlayabilirsiniz. Kısıtlamayı gerçekleştirmek için selective authentication'ı seçip ok'a tıklıyorum. 
sedat.int domain'inden gelen kullanıcılar artık paylaşımlarınıza erişemeyecekler. 
Sadece istediğiniz kullanıcıların istediğiniz hedef sistemlere erişmesini istiyorsanız, Active Directory Users and Computers konsolunu açın. Öncelikle View > Advanced Features'u işaretleyin. 
Daha sonra dosyaların paylaşıldığı computer account'unun özelliklerine girip Securty tab'ına gelip Add butonuna tıklayın. From this location kısmından öncelikle karşıdaki domain'i seçin. 
Trust ilişkimiz tek yönlü olduğundan dolayı karşıdaki domain'deki yetkili bir kullanıcı hesabıyla giriş yapmamız gerekiyor :) two-way trust kurmuş olsaydık buna gerek kalmayacaktı. 
Kaynaklarımıza erişmesini istediğimiz kullanıcı ya da kullanıcı grubunu belirttikten sonra Allowed to authenticate seçeneğini Allow edip ok butonuna tıklıyorum. Böylece karşı domain'deki tüm kullanıcılara Client1 bilgisayarının paylaşımlarına erişebilme yetkisi vermiş oldum.