Merhaba, yazımızın 5. Bölümünde ise artık esas otomasyonun
sağladığı faydaları ele almaya başlayacağız. Ürünümüz çok kapsamlı ve bu
alandaki rakip ürünlere göre oldukça
fazla özelliğe sahip olduğu için gerekli olabilecek kullanım alanlarını ele
almaya çalışıyorum. Bu yüzden yazı serimiz biraz uzun olabilir. Bu serimiz de
ise Active directory ortamlarında kullanımı oldukça işe yarar ve hata toleransı
sağlayan özellikleri ele alacağız. Peki nedir bu özellikler ? bildiğiniz üzere kurumsal şirketlerde genelde Microsoft
Firmasının Active Directory LDAP ürünü kullanılır. Ve bu ürün üzerinden user
accountlar yönetilir. İşten ayrılan personellerinde ayrılmadan önce
kullandıkları user accountlarının yönetim süreci çok önemlidir. Çünkü işten ayrılmış olan bir kişinin user
accountunun kapatılmaması bile oldukça büyük bir risk ve güvenlik açığıdır. Bir
kullanıcınız işten ayrıldı diyelim ve size gerekli bilgi geldi ama o kişinin user accountunu kapatmayı
atladınız. Veya User Kimlik yönetimi delegasyonu verdiğiniz arkadaşlarınız bu
işlemi atladı. Veya düzenli olarak yaptıklarından emin değilsiniz. İşte bu tür
durumlarda o işten ayrılan personelin şifresi ayrıldığı andan itibaren
resetlenip hesabı lock edilmelidir. Ayrıca üyesi olduğu tüm gruplardan
çıkarılmalıdır ki güvenlik açığı ve istenmeyen durumlar ortaya çıkmasın. Sizler
de açıklama yapmak zorunda kalmayın J bugün kü konumuz işten ayrılış süreçlerinde
izlenecek / izlenen yolların otomasyon aracılığıyla otomatikleştirilmesi
yönünde olacak.
Peki bu yazı serimiz de neler yapacağız ? aşağıda maddeler halinde
sıralayacağım.
1.
Bir user açacağız ve bu usera yönetmesini
istediğimiz OU birimi üzerinde user
create, disable, enable, unlock user account, reset password ve group membership yetkileri tanımlayacağız.
2.
Ardından Disabled_Users adında bir OU birimi açacağız ve işten ayrılan kişilerin user accountları
disable edildiği anda otomatik olarak bu
OU ya taşınması için otomasyon yapacağız.
3.
Consultant_Users adında bir OU açacağız ve
şirketimizin hizmet aldığı vendor firma çalışanlarının bulunduğu user accountları buraya
taşıyacağız. Aynı şekilde Consultant_Disabled_users adında bir OU birimi
açacağız ve Consultant_Users Ou
biriminden bir user disable edildiği anda bu OU birimine taşınacak.
4.
En kritik nokta burası. Disable edilen
Accountların otomatik olarak üyesi
olduğu gruplardan remove edilmesi için otomasyon ayarını yapacağız.
Tüm bu işlemleri otomasyon
projesi altında yazımızı takip ederek başarılı şekilde tamamlarsanız bu ürün
aracılığıyle Active Directory kimlik yönetimi ve Bilgi güvenliği anlamında
sorununuz olmayacağını söyleyebilirim J
Gelelim işlemlere.
Test işlemini yapacağımız user
accountumuz. Saban.Yildirim isimli
Account olacak. Ve Merkez_Bolge_Users OU
biriminden sorumlu olacak. Tanımlayacağımız
yetkiler. User create, reset password, change password, modify group membership, user account lock out. Disable, enable user
account ve move user account yönünde
olacak.
Mevcut Active Directory OU yapımı
aşağıda paylaşıyorum.
İlk işlem olarak Adaxes üzerinden
Şaban Yıldırım isimli kullanıcımıza yukarıda açıkladığımız yetkiler
çerçevesinde delegasyon verelim.
Adaxes Administration Consoleu
açıyoruz. Configuration > sağ click > New > Security Role
>
Gelen isim ekranına uygun bir
isim ve açıklayıcı bilgi giriyoruz. Ve Next ile sonraki seçeneğe geçiyoruz.
Role Permissions ekranında
yetkilerimizi tanımlayacağız.
Add seçeneğini tıklıyoruz.
Gelen ekranda seçmemiz gereken
alanlar > Create Child Objects ve Delete
Child Objects tiklerini atarak
Select Object Typesı seçiyoruz.
Gelen ekranda Select Child Object Types kısmından “User”
seçimini yapıp Ok diyoruz.
Aşağıdaki ekranda seçmiş
olduğumuz yetkiler mevcut. Fakat henüz işimiz bitmedi. Ekstra yetkiler ilave
edeeğiz.
Add Seçeneği ile permission
atamasına devam edeceğim.
Seçtiğim yetkiler aşağıdaki gibi
User type ı seçerek yetkilendirme yapıyorum.
User seçimini yaparak “Move Objects From Container tikini işaretledim. Şimdi ise OU tarafında
işlem yapacağız.
Select Object Types tıklıyorum ve
User seçimini yapıyorum.
OK dedikten sonra sonuç aşağıdaki
gibidir.
Ekstra bir iki yetki daha
ekleyeceğim için tekrar Add tıklıyorum.
Group üyeliği ekleme ve çıkarma
yetkisi vereceğim için Add seçimini yaptıktan sonra Group alanında işlem
gerçekleştiriyorum.
Vereceğimiz yetkileri seçtikten
sonra Next ile sonraki ekrana geçiyoruz.
Assign Role ekranında delegasyon
işlemini yapacağımız kişi veya grunu seçeceğiz. Yazımın ilk başlarında da
Delegasyon gibi işlemlerde user account yerine grup account işle işlem
gerçekleştirmeniz ilerleyen zamanlarda işinizi kolaylaştırır demiştim halen de
önerim bu yönde fakat ben Test ortamımda işlem yaptığım için doğrudan ilgili
kullanıcımı seçiyorum.
Saban.yildirim kullanıcımı
bularak ekliyorum.
Assign seçimi yaparak OU belirteceğim.
Merkez_Users birimimi seçip ok
diyorum. Siz hangi OU veya OU birimleriniz için bu işlemi yapacaksanız onları
belirtebilirsiniz. Alt OU birimleri içeren durumdalarda resimde kırmızı ile
işaretlediğim ticki atmalısınız.
Ben bu OU birimlerim dışında 2 OU birimi için daha userımı
yetkilendireceğim. 1.Disabled_Users OU birimi 2. Consultant_disabled_Users OU birimleri. Çünkü bu birimler arası taşıma
yapacağız.
Delege etmek istediğimiz OU
birimlerimizi seçip OK dediğimiz de son durum aşağıdaki gibidir.
Finish diyerek işlemi
tamamlayabiliriz.
Adaxes Administration Console
üzerinden baktığımız da ise Son durum aşağıdaki gibi olmalıdır.
Açıklamalar ve Scopelar önem arz
ediyor.
Gelelim şimdi test işlemine J
Adaxes helpdesk Web İnterfacei
açarak Saban.yildirim kullanıcısıyla giriş yapıyoruz.
Giriş yapmadan önce Adaxes ile ilgili yazımın ilk serilerinde
bahsettiğim ve oluşturduğumuz Adaxes ile
ilgili helpdesk erişim grubuna saban.yildirim kullanıcımızı eklemeyi unutmuyorum.
Aksi halde Adaxes web interface giriş yapamayız.
İlgili grup aşağıdaki gibidir.
Test işlemimizi
Ozgur.senerdogan userını disable ederek
yapıyorum.
Testimiz başarılı.
İlgili accountu Re-Enable
yapıyorum.
Re-enable işlemimiz başarılı.
Şimdi de bir iki gruba üye
yapalım. Amacım verdiğim yetkilerin
çalışırlılığının testi.
Helpdesk web interface üzerinde
Add To Group tıklıyorum.
Üye yapabileceğim Merkez_OU birimi altındaki grupları
“merkez” keyword yardımıyla buldum.
Bir kaç tane gruba üye yapacağım. Aynı anda bir den fazla gruba
üye yapabildiğimi daha önce belirtmiştim.
Üyelik işlemimi de gerçekleştirdim.
Userımı search edip bularak üye olduğu grupları
görebiliyorum. Veya remove group alanını tıklayarak userımı aratırsam mevcut üyesi olduğu grupları listeliyor.
Tek bir gruba üye oda az önce eklediğimiz merkez_finans_wr
grubu.
Evet arkadaşlar
testlerimiz başarılı.
Şimdide userımı move etmeyi deneyeceğim.fakat bir eksiğimiz
var default kurulumla gelen ve sonradan ekleyebileceğimiz bir eksiklik J
Adaxes helpdesk web interface alanına giriş yaptığımız da
default kuruum sonrası User Move opsiyonunun olmadığını göreceksiniz.
Adaxes Web İnterface Customization aracını başlatıyorum.
Interface Type alanından Helpdesk” ekranını seçiyorum. Çünkü
delegasyon verdiğimiz userlar helpdesk ekranını kullanıyor. Ve
Administrator paneline giriş yapmalarını
gruplar aracılığıyla hatırlarsanız yazımızın ilk bölümlerinde engelledik.
Configure Home Page Actions
alanını tıklyıyorum.
Home page actions kısmından Add ile yeni bir seçenek ekleyeceğim.
Gelen ekranda Move
seçeneğini seçiyor ve Next diyorum.
İsim ve açıklama giriyoruz. Açıklama opsiyoneldir.
Gelen Target object
selection ekranında önerim aşağıdaki
seçenekleri seçmeniz. Diğer ayarlar gelişmiş ayarlar olduğu için ilerleyen
bölümlerde detaylı olarak üzerinde uygulamalar yapmayı düşünüyorum.
Gelen ekranda da değişiklik
yapmadan Finish diyelim. Seçenekleri daha sonra detaylandıracağız. Ve işinize
yarayacak seçenekler olduğu anlaşılacak J
Finish dedikten sonra Apply ve OK ile pencereleri kapatarak Web
interface Helpdesk üzerinden test işlemi gerçekleştirebilirsiniz.
Saban.yildirim kullanıcısı ile giriş yaptığımız da Move
Users alanının geldiğini görüyoruz.
Dilersek hemen taşıma işlemi
gerçekleştirebiliriz.
Ben örnek olması açısından bir
kullanıcımı taşıyorum.
Ozge kaya isimli kullanıcımı
taşıyacağım. Aşağıdaki resimde gördüğünüz parent bilgisi userın şu anki mevcut
bulunduğu OU konumu. Biz merkez_bolge altında bir konuma taşıyacağız.
Merkez_butce_planlama altına taşıyacağım.
İşlemimiz başarılı J
Logging kısmından da bu işlemi
takip edebiliriz.
Logging kısmı detaylı bir konu
olduğu için bu kısmada ilerleyen bölümlerde gireceğiz J
Yazımın başında söylediğim üzere
ürün muadillerine göre çok kapsamlı ve çok özellikli elimden geldiğince işinize
yarayacak tüm özelliklerine gerçek hayat senaryolarıyla entegre ederek yazıya
dökmeye çalışıyorum.
Evet arkadaşlar yazımı burada
noktalıyorum. Çünkü uzun bir yazı oldu. Sonraki bölümde disable edilen accountların yönetim süreci
ile ilgili bilgi sahibi olacağız. Tavsiyem sonraki bölümüde kesinlikle okumanız
yönünde J
Hiç yorum yok:
Yorum Gönder