Dynamic Access Control Nedir Bölüm 3

Mehmet Umut Kotankıran 19 Haziran 2016 1
Dynamic Access Control Nedir Bölüm 3
  • Sumo

Arkadaşlar en son classification konfigürasyonu yapmıştım ve policy haline getireceğimi söylemiştim.

İlk önce Administrative Center ı açıyorum.

Soldan Dynamic Access Control altından Central Access Rule a geliyorum.İlk önce rule yaratmam gerekiyor.

Adını Rule1 yapıyorum.

Alttan Current permission’ı seçiyorum.

Editten authenticated users ı ekleyeceğim ve condition yazacağım.

Add e geliyorum ve Authenticated Users ı seçip full control veriyorum.

Arkadaşlar Alt kısımda yine add a condition kısmı var.Verdiğimiz şartları buradan policy halinde basabiliriz. İki kural yazdım “Kaynak üzerindeki property’ler ile userın attributelerini karşılaştırıp buna göre izin verecek yarattığım rule.

OK

Tekrar Ok diyorum ve Administrative Centera geliyorum.

Şimdi Sıra Central Access Policy yaratmaya geldi.New central access policy diyorum.

Member a Central access Rules kısmından member rule ekleyeceğim.Ben birtane rule yarattım bunu ekleyeceğim siz başka rule’larda ekleyebilirsiniz.Adını Policy1 yaptım

Add diyorum. Ve sağ tarafa geçiriyorum Rule’u

ok a tıklıyorum. Tekrar ok a tıklıyorum.

Bu ayarları File Server kim ise o makinaya group policyden bir ayar gerçekleştireceğim.Bu ayar yarattığımız policy1 adlı ayarı file serverla ilişkilendirmekle alakalı olacak.Benim file serverım DC olduğu için domain contollers a bir GPO link edeceğim.

FSPOL diye bir policy yarattım

Yarattığım policy yi editliyorum.Central access policy yi bulana kadar ilerledim.

Central access policinin üstüne sağ tuş ve manage central access policy diyorum

Policy1 i biz yaratmıştık.Sağ tarafa geçiriyorum ve OK diyorum.

Gpupdate /force komutunu giriyorum.

Şimdi Tekrar share paylaşımına gidiyorum.Advanced security bölümüne girdiğim zaman en sağ tarafta central access policy yi görüyorum.change ye basıp Policy1 i seçiyorum.

Sağdaki ok a basınca ayarları gösteriyor.

Apply a basıyorum.Departman country gibi özelliklerine bakarak paylaşıma erişip erişemeyeceğini sistem karar verecek.

Sistem,

İlk önce sharing izinlerine

Daha sonra file izinlerine

En sonunda Cnetral Access Policy izinlerine bakıp en kısıtlı olanı verecek bize.

Ben kural yazarken File properties ile user attribute’lerini kıyaslatmıştım.File classification propertisinde ne var bir bakalım.

Country TR

Department IT

Bu durumda bir user’ın hem standart file permission ve sharing yetkisi olacak, hemde country ve department kısmı uyuşacak.

User 1 kullanıcıma geliyorum.Country kısmını italya(veya amerika) department kısmını Engineer yapıyorum.

Kerberosun ticketları tekrar doldurması için logoff logon işlemi yapıyorum.

Paylaşıma gitmeye çalıştığımda hata aldım.

Hatayı inceleyelim.

DC den paylaşıma gelip advanced ten effective access kısmına geliyorum.

User1 i giriyorum ve Include user claim diyorum countrysi TR olmayan başka birşey diyebiliriz.

Department i Engineer dı. Bu şekilde girdiğimizde neden hata aldığımızı görüyoruz.

Policiden gelen rule1 isimli kural herşeyi engellemiş.Aşağıdaki resimde görünüyor

Şimdi user1 in country sini türkiye

Department ını da IT yapıyorum.

Bir kere logoff ve logon oluyorum test makinasından.

Tekrar bağlanmaya çalıştığım zaman sonuç aldığımı görüyorum.

Effective access ten bakarsakta izin verildiğini görürüz.

Paylaşımın özelliklerine gidip bu kez de Folder Classification property lerini değiştirelim.

Normalde aşağıdaki gibi yapılandırmıştım

Alt kısımdan ayarları seçtim ve uygulaya bastım.

User1 kullanıcısı ile tekrar girmeye çalışacağım fakat bu sefer logoff logon olmaya gerek yok çünkü user’ın attribute’lerinden birşey değiştirmedik.Folder ile ilgili işlemler yaptık.

Klasöre girmeye çalışıyorum ve hata aldım.

Hata aldım çünkü kural açık.

Folderdaki classificationlar USA ve engineer şeklinde

User’ın attribute leri ise TR ve IT şeklinde

bilgisayar bunları karşılaştırdı ve bu bilgilerle user’ı authenticate etmedi ve hata verdi.

Verdiğim condition ile birçok attribute’ü kıyaslatabilir buna göre karar verdirtebiliriz.

Policy ise Her klasöre tek tek kural yazmadan Policy ile istediğimiz klasöre bu kuralları getirmeye yarıyor.

Arkadaşlar bu makalemde Dynamic Access Control yapısını ele aldım.

Umarım faydalı olmuştur.

 

Dynamic Access Control Nedir Bölüm 1

Dynamic Access Control Nedir Bölüm 2

Dynamic Access Control Nedir Bölüm 3

One Comment »

  1. Halil 09 Haziran 2019 at 13:53 - Reply

    Merhaba Mehmet Bey,

    Son derece sade ve açıklayıcı olmuş. Sanal ortamda testini yaptım ve sorunsuz çalıştı. Çok teşekkür ederim.

Yorum Bırak »