Dynamic Access Control Nedir Bölüm 2

Mehmet Umut Kotankıran 19 Haziran 2016 1
Dynamic Access Control Nedir Bölüm 2
  • Sumo

Şimdi Classification ayarları için konfigürasyon yapacağım.Classification’ı File server Resource Manager ile kullanıyoruz.Dosyalara ait belirli classification’lar belirliyoruz.Daha sonra ise “dosyanın classification’larıyla, user’ın attribute’lerini kıyaslayıp eğer geçerliyse izin ver” gibi bir ayar yapabiliyoruz.Şu anda biraz karışık gelebilir fakat resimlerle desteklenince daha rahat anlaşılacak.

Administrative Center ı açıyorum.Daha önce Department ı yaratmıştım. Bir tane daha Claim yaratacağım adı Country.New claim diyorum ve Filterdan Country yazıyorum. Sadece c hatfini görüyorum.

ID sine baktığımda Country-name yazdığını görüyorum.Sağ taraftan c yazan yeri Country olarak değiştiriyorum.

Alttan suggested Values kısmından the following values are suggested a gelip add diyorum

Add i seçip TR, USA, EN, RU parametrelerini ekliyorum.

Diğerlerinide ekledim ben.

Ok diyorum ve Country ‘yi de görüyorum.

Şimdi Resource Property kısmına geliyorum.Bu konfigurasyon, Classification sekmesiyle alakalı olacak.

Burada bazı attribute lar mevcut.Department i buluyorum ve properties’ine giriyorum.Görüldüğü gibi suggested bölümünde departman seçenekleri mevcut ben buraya IT,Engineer ve Sales giriyorum ve diğerlerini sileceğim.

Add kısmından sonra ekledikten sonra bu verileri aşağıdaki gibi olmalıdır.

Ok diyorum ve Department ın üstüne gelip enable diyorum.

Country ile ilgili bir property göremiyorum.Bu durumda ben ekleyeceğim.Aşağıdaki işlemleri yapıyorum.

Suggested Values a geliyorum ve EN, TR,RU, USA parametrelerini tek tek giriyorum.

Ok ve enable ediyorum.

Birde confidendiality property’sini enable ediyorum.Bu opsiyoneldir.

Şimdi Resource Property List Kısmından enable ettiğim propertileri seçeceğim.New resource property list denebilir ya da varolen bir property editlenebilir.

Ben yeni yaratacağım. İsim olarak Property1 yazdım

Resource Properties in sağından Add diyorum ve enable ettiğim propertileri seçiyorum.

Ok diyorum

Tekrar Ok ile bitiriyorum

Dikkat: Ayarların Etkili olabilmesi için aşağıdaki komutu powershellden giriyorum

Update-FSRMClassificationpropertyDefinition

Yarattığım paylaşıma gidiyorum ve özelliklerini açıyorum

Classification diye bir sekme var ve içinde birtakım veriler var.Hatırlarsak bu properties leri enable edip seçmiştik.Artık ben istersem buradan istediklerimi seçip ona göre erişim verebilirim.

Bir örnek yaparsak daha anlaşılır olacaktır.

Ülkeyi Türkiye olarak, departman’ıda IT olarak seçim.Confidentiality ye dokunmuyorum bu opsiyoneldi.

Şimdi dosyanın advanced security’sine gidiyorum

User1 edite tıklıyorum

Daha önce yarattığımız conditionu hatırladınız.

Bu örnekte, user attribute’leriyle, folder classification’larını karşılaştırıp duruma göre izin vereceğim.

İlk condition’ım şu şekilde.

User ın department değeri, kaynağın(dosyanın) department değerine eşit ise kuralı uygula demek

Kuralım Allow.Yani bu condition geçerliyse allow verecek.

User1 in department değeri IT, ben hatayı görmek adına sales yapıyorum

Test makinama user1 ile logoff ve logon oluyorum ve paylaşıma gitmeye çalışıyorum.

Aynı şekilde DC üzerinden effective access’tende görürüz.

Şimdi User1 in departmanını IT yapıyorum.

Tekrar erişmeye çalıştığımda Erişemedim sebebi.Kerberos ticket’a userın department değerinin IT olduğunu vermesi için logoff-logon olmak gerekiyor.Logoff ve logon işleminden sonra deniyorum.

Country parametresinide işin içine dahil ediyorum.

Dosyanın classification sekmesine geliyorum.Zaten Country’yi TR yapmışız.

Advanced secutiry den bir de country için Condition yazacağım.

User1 i editliyorum advanced security den.Add condition diyorum arada and işlemi var.End işleminde iki koşulda sağlanmalıdır.İlk koşulumuzu hatırlamışsınızdır.ikinci koşulum

User ın country değeri, kaynağın country değerine eşitse kuralı uygula. Biz eşit yapmıştık. Uyguluyorum ve deniyorum.

Paylaşıma erişmeye çalıştığımda hata aldım.Neden?

Çünkü kerberosun, user’ın country attributünü biz değiştirdikten sonra ticket’a koyması için logoff-logon olmamız gerekiyor.logoff-logon işleminden sonra tekrar deniyorum ve paylaşıma erişiyorum.

Bir klasör için condition yazma işlemlerini gerçekleştirdik peki 1000 tane dosya olsaydı Teker teker hepsine yazacak mıydık? Tabiki hayır. Bunun için Central Access Policy kullanacağız.Bir sonraki makalem bu konu hakkında olacak.

Arkadaşlar makalemin ikinci bölümü bitti.

Birinci Bölüm İçin;

Dynamic Access Control Nedir Bölüm 1

Üçüncü bölümde görüşmek dileğiyle.

Dynamic Access Control Nedir Bölüm 3

One Comment »

  1. Halil 09 Haziran 2019 at 13:54 - Reply

    Merhaba Mehmet Bey,

    Son derece sade ve açıklayıcı olmuş. Sanal ortamda testini yaptım ve sorunsuz çalıştı. Çok teşekkür ederim.

Yorum Bırak »