samba etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster
samba etiketine sahip kayıtlar gösteriliyor. Tüm kayıtları göster

Etki Alanı Nedir?

Etki alanı, ekşisözlükteki ilk tanımı gibi Windows literatüründe domain'e karşılık gelmektedir. Bir çok kişinin bunu yalnızca bu şekilde bilmesi aslında temel olarak bir yanılgıdır. Bu yanılgının kaynağı dilimizde teknolojik alanlarda (özellikle internet alan adları şeklinde kullanılan) "domain" kelimesinin de kullanılmasından kaynaklanmaktadır. Oysa ki bilgisayar alanında tüm domain'lerin Türkçe karşılığı "Etki Alanı"'dır.

Windows kurulu bilgisayarlar 2 farklı ortamda bulunabilirler.Bu ortamlar ya Çalışma Grubu (workspace), ya da Etki Alanı (domain)'dır. Varsayılan olarak Windows kurulu bilgisayar çalışma grubu içerisinde bulunup bu modda iken aynı ağa bağlı diğer cihazları görebilip iletişim kurabilmesine rağmen neredeyse diğer kurumsal özelliklerin hiçbirisine sahip değildir. Windows kurulu bilgisayarın bir diğer ortamı ise Etki Alanı ortamıdır. Bu ortamda ise merkezi bir "sunucu"da bulunan kullanıcı, makine ve diğer bilgiler, aynı etki alanına sahip tüm bilgisayarları ayrı ayrı veya tümleşik olarak etkileyecek biçimde kurgulanabilmektedir.

Etki Alanı ile alakalı olmayarak Windows kurulu bilgisayarlarda varsayılan olarak "Security Accounts Manager" (SAM) isminde bir yapı bulunmaktadır. Bu yapı içerisinde bilgisayardaki yerel kullanıcı bilgileri tutulmaktadır. Bu bilgiler GNU/Linux sistemindeki /etc/passwd ve diğer temel dosyaların bulunduğu yapıyla kıyaslanabilir.

Fakat kurumsal ihtiyaçlardan dolayı tüm kullanıcıların merkezi bir sunucuda tutulup, her bir bilgisayarda ayrı ayrı tutulmaması gereği düşünülmüş ve Etki Alanı Denetçisi (Domain Controller) kavramı ortaya çıkmıştır.

Etki Alanı Denetçisi içerisinde bir çok yapıyı barındırmaktadır. Bu yapılardan en önemlisi kullanıcı bilgilerinin tutulduğu LDAP (Basit İndeks Erişim Protokolü) olarak görülebilir. LDAP bir protokol olup, bu protokolü kullanan bir çok sunucu uygulaması bulunmaktadır. Bu uygulamaları aşağıdaki gibi özetleyebiliriz:

  • OpenLDAP
  • 389 DS (RedHat tarafından kullanılmakta, FreeIPA tarafından tercih edilmekte)
  • LDB (SAMBA4 tarafından kullanılmakta)
  • OpenDS (Sun tarafından kullanılmakta)
  • IBM Directory Server (IBM tarafından kullanılmakta)
  • MS LDAP (MS Aktif Dizin tarafından kullanılmakta)
Bu yazıda anlaşılması gereken en önemli şey Dizin Sistemi (LDAP) ile Etki Alanı Denetçisi'nin aynı şey olmadığıdır. Etki alanı denetleyicisinde dizin sisteminin yanında genellikle DNS sunucu, NTP sunucu ve Kerberos gibi bir ticket sistemi de bulunmaktadır. Benim bildiğim ve aktif kullanılan en önemli 3 etki alanı denetçisi bulunmaktadır. (Univention Corporate Server, Zentyal ve RazDC gibi 3 farklı etki alanı denetçisi de bulunmaktadır)
  • MS Aktif Dizin
  • SAMBA4
  • FreeIPA
Bunlardan ilki ve en çok kullanılanı MS Aktif Dizin olarak söyleyebiliriz. MS Aktif Dizin'in doğal olarak MS Windows'a tam desteği var. GNU/Linux sistemler için ise SAMBA ve Winbind aracılığı ile neredeyse tüm dağıtımlarda kullanılan bir entegrasyonu bulunmaktadır. MS Aktif Dizin'in 2008 sürümünden ilham alınarak benzer şekilde açık kaynak kodlu olarak yayımlanan SAMBA4 de bir etki alanı denetçisidir. Burada belirtmemiz gerekir ki SAMBA, 4 sürümünden önce yalnızca istemciyi "etki alanı"'na dahil etmek için kullanılan bir servis iken SAMBA4 ile birlikte Etki Alanı Denetçisi modu da kullanılabilir olmuştur. Böylelikle MS AD gibi bir etki alanı denetçisi özelliğine sahip olmuştur. Bu özelliği ile MS Windows cihazların da etki alanına bağlanabilmesini sağlayabilmektedir. Yeni geliştirilen özellikle MS Aktif Dizin'in başka bir özelliği olan GPO(Grup İlkesi Nesnesi)'ların kullanılmasına da izin verebilmektedir. Fakat belirtilmesi gerekir ki Server 2008 sonrasındaki özelliklerde problemler bulunabilmektedir.

İlk iki etki alanı denetçisinden bahsettikten sonra Linux üzerinde kullanılabilen bir diğer etki alanı denetçisinden bahsedeceğim. FreeIPA, RedHat tarafından ve topluluk tarafından desteklenen bir etki alanı denetçisidir. İsminin IPA'sının açılımı: Identity (Kimlik), Policy (Politika) ve Audit (Denetim)'dir. Kendi hakkında sayfasında belirtildiği gibi kimlik derken "makine, kullanıcı, sanal makineler, gruplar, kimlik doğrulama bilgileri" kastedilmektedir. Politika derken makine bazlı erişim kontrol işlemleri kastedilmektedir. Denetim kısmı ise ertelendiği belirtilmektedir. Daha sonraki yazılarda bu konularda daha detaylı bilgiler vereceğim.

Etki Alanı Denetçilerinin yönetim arayüzlerinden bahsetmemiz gerekirse. MS Aktif Dizin'i MS Sunucu sürümünde veya "Uzak Sunucu Yönetim Araçları"nda yer alan "Kullanıcılar ve Bilgisayarlar" uygulamasından yönetilebilmektedir. Bir cümlede belirttiğimiz GPO ve başka işler için ayrı araçlar bulunmaktadır. Ayrıca ilgili sunucuyu yönetebilmek için üçüncü parti ücretli farklı araçlar bulunmaktadır. Bunlardan kullandığım iki tanesi için: ManageEngine'in ADManager Plus ve LDAPSoft AD Admin.Daha fazla AD yönetim araçları da ilgili adreste bulabilirsiniz.

SAMBA4 Etki Alanı denetçisinin kontrolü için de yukarıda belirtilen AD araçlarını hatta Microsoft'un kendi aracını bile kullanabilirsiniz. Bunlara ek olarak webmin modülleri ve github üzerinde farklı projelerde belirtilmiş uygulamaları kullanabilirsiniz. Bunlardaki temel özellik LDAP okuyucu ve düzenleyici olduğu için şema dizilimi belli olduktan sonra oldukça rahat kullanılmaktadır. Ki zaten SAMBA4 ve MS AD'nin LDAP dizilimi birbirine çok fazla benzemektedir.

FreeIPA hakkında daha sonra daha detaylı bilgiler vereceğim fakat LDAP yönetim araçlarına ek olarak kendi FreeIPA arayüzünden de yönetebilmektesiniz.