Bu makalemde sizlere Active Directory Trusted Relationships hakkında bilgiler vereceğim.
Ortamımızda kurulan ilk domain herzaman için Parent domaindir. Her ortamda 1 adet Master DC olmalıdır ve şubelere kurulan domainler Child olarak adlandırılır. Ancak Child yapısından uzaklaşılmaya başlanmıştır.
Ortamımızdaki DC’ler arasında Trusted ilişkisi kurularak bir birlerinin kaynaklarına erişebilmesi sağlanır. Bunu yapabilmek için izinler kontrol edilmelidir.
Neden Trusted bir yapıya sahip duyarız?
Sahip olduğunuz ortamın büyüklüğü, karmaşıklığı, güvenliği ya da lokasyon çokluğundan dolayı birden çok domainle çalışmak zorunda kalmanız durumunda, Domainlerin bir biri aralarında güven ilişkisi olması gereklidir. Güven ortamındaki domainlerin biri ya da her ikisi karşı tarafa güvenir ve kaynaklarını açar. Bu sayede birden çok domainin yönetimi tek merkezden yapılabilecektir. Diğer yandan ise güven ilişkisi içerisinde olan tüm domainlerin kaynaklarının kullanılabilmesidir.
Bu yapıyı kurarken 3 kavramı bilmemiz gerekmektedir.
1 – Trust Type : Güven ilişkisi türleri.
Parent and child, Tree-root ve sistemcilerin kullanmakta olduğu External, Realm, Forest ve Shortcut’tır. Bunları yazımın ilerleyen kısımlarında anlatacağım.
İlk önce One-way ve Two-way olmak üzere iki türü olan güven ilişkisinden bahsedeceğim.
One-way : Bir domain diğer domain’e güvenir ve kaynaklarını açar ancak diğer domain açmaz.
Two-way : Bu tür ilişkilerde domainler karşılıklı olarak bir birlerine kaynaklarını açacaktır.
Bu domainlerde teknik olarak ad vermek gerekirse Güvenen (Trusting) ve Güvenilen (Trusted) şeklinde adlandırabiliriz.
Transitive (Geçişli) : Bunu bir örnekle açıklamaya çalışayım ortamınızdaki A Domaini ile B domaini arasında çift yönlü trust işlemi var, B domaini ile de C domaini arasında çift yönlü trust mevcut. Bu sayede A ile C domainleride bir birlerine çift yönlü olarak trust ilişkisi kuracaktır.
Nontransitive (Geçişsiz) : Bu trust türüde tek yönlüdür.
1.1 – Parent Child Trust : Varsayılan olarak aynı Forest içerisine eklenen domainler arasında oluşan Trust türüdür.
1.2 – Tree-root : Bu tür da varsayılan olarak eklenmektedir. Forest içerisindeki bir Root domain’in yanına eklenen bir Tree ile arasında oluşan Trust’tır. Ancak bu türde erişim izni vermeden herhangi bir kaynağınıza ulaşması mümkün değildir.
1.3 – External Trust : Kendi içinde bulunduğunuz Forest dışındaki bir domain ile One-way, Two-Way veya nontransitive olmak üzere External Trust oluşturabilirsiniz. Buradaki temel amaç Forest-Trust olan iki Forest arasında olsa bile hızlı bir şekilde iletişim kurmak için child domainlerin bir birleri arasında external trust kurulabilir.
1.4 – Realm Trust : Trust ilişkisi oluşturmak istediğiniz sistem Microsft işletim sistemi değilse ve Kerberos V5 destekliyorsa buna rağmen yine de diğer (UNIX veya MIT) sistemlerle ilişki kurulmak isteniyorsa bu ilişki türü kullanılır.
1.5 – Forest Trust : Bu tür trust türü genel olarak şirketlerin birleşmesinde, domain taşınması veya birleştirilmesi durumunda kullanılan ilişkidir. Tüm Forest içerisindeki domainleri karşılıklı olarak birbirlerine güvenmesidir.
1.6 – ShourtCut Trust : Karışık yapılarda kimlik doğrulama süreçlerini hızlandırmak amacıyla yapılan kısayol trusted’dır. İşlem sırasında çok fazla alt domainlerden geçmek zorunda olmaması için iki alt domain arasında bir kısayol güven ilişkisi kurulabilir.
Bir sistem üzerinde Trust bir ilişki oluşturulması durumunda Active Directory içerisinde bir Trusted Domain Objects (TDO) oluşturmuş oluyoruz. Yani yukarıda da anlatılan Trust türlerinden herhangi biri ile oluşturulan Trust ilişkide AD içerisindeki Veri tabanında Obje olarak oluşacaktır ve gerektiği zaman çekilecektir. Oluşturulan Obje’yi görebilmek için ADSI Edit’i çalıştırmanız gerekmektedir.
Yukarıda bir Trust örneği mevcuttur. Bu alanları açıklamamız gerekirse.
Çift tıkladığınızda karşınıza gelecek alanlardan bazılarını kısaca açıklamam gerekirse.
trustType : oluşturduğunuz Trust tipi hakkında bilgi verir.
trustPartner : AD domainleri ile yapılan Trust için partner’ın DNS isim bilgisini içerir. Microsoft olmayan domainlerde ise Kerberos Realm ismidir.
trustDirection : Aldığı değer ile Trust yönü hakkında bilgi verir. 0 = Disabled, 1 = Incoming, 2 = Outgoing, 3 = Both Directions
flatName : AD domainleri ile yapılan Trust’ta partnerın Netbios ismini verir. Windows olmayanlarda ise partner domain isim bilgisini ya da boş gelmektedir.
İşimize yarayabilecek olan birkaç açıklama bu şekildedir.
Yararlı olması dileğiyle kolaylıklar dilerim.
