LDAP ile Güvenli Kullanıcı Kontrol Sistemi



Benzer belgeler
LDAP ile Güvenli Kullanıcı Kontrol Sistemi

MSSQL Server 2000 Kurulumu

SÜREÇ YÖNETİMİ VE SÜREÇ İYİLEŞTİRME H.Ömer Gülseren > ogulseren@gmail.com

BİLGİ TEKNOLOJİLERİ VE İLETİŞİM KURULU KARARI

İşletim Sisteminin Katmanları

İSTANBUL TEKNİK ÜNİVERSİTESİ BİLGİSAYAR VE BİLİŞİM FAKÜLTESİ LİNUX ÜZERİNDE ÇOKLU PROTOKOL ETİKET ANAHTARLAMANIN GERÇEKLENMESİ

Xerox ConnectKey Teknolojisine sahip Çok Fonksiyonlu Yazıcılarla (MFP'ler) Kullanım İçin

1.Temel Kavramlar 2. ÆÍlemler

KAMU İHALE KANUNUNA GÖRE İHALE EDİLEN PERSONEL ÇALIŞTIRILMASINA DAYALI HİZMET ALIMLARI KAPSAMINDA İSTİHDAM EDİLEN İŞÇİLERİN KIDEM TAZMİNATLARININ

KÜÇÜK VE ORTA ÖLÇEKLİ İŞLETMELERİ GELİŞTİRME VE DESTEKLEME İDARESİ BAŞKANLIĞI (KOSGEB) KOBİ VE GİRİŞİMCİLİK ÖDÜLLERİ UYGULAMA ESASLARI

Anonim Verilerin Lenovo ile Paylaşılması. İçindekiler. Harmony

ÖZEL İLETİŞİM VERGİSİ GENEL TEBLİĞİ (SERİ NO: 14) BİRİNCİ BÖLÜM Amaç, Kapsam ve Dayanak

BİLGİ TEKNOLOJİLERİ VE İLETİŞİM KURULU KARARI

SÜRE BİLİŞİM TEKNOLOJİLERİ ÜNİTE 1: : BİLGİ VE TEKNOLOJİ DERS SAATİ: 7

YÜKSEKÖĞRETİM KURUMLARI ENGELLİLER DANIŞMA VE KOORDİNASYON YÖNETMELİĞİ (1) BİRİNCİ BÖLÜM. Amaç, Kapsam, Dayanak ve Tanımlar

ÖĞRENME FAALĠYETĠ GELĠġMĠġ ÖZELLĠKLER

SAKAI Öğrenme Yönetim Sisteminde Tek Şifre Yönetimi

İÇİNDEKİLER. LDAP a Giriş

Sürücü Gönder. Yönetici Kılavuzu

TMS TMS THE MUSEUM SYSTEM. Neden TMS. SAYISAL GRAFİK TM Dünyanın Lider Koleksiyon Yönetimi Yazılımı

KAPSAMLI İÇERİK SADELEŞTİRİLMİŞ ARAMA MOTORU YENİLİKÇİ BİLGİ İŞLEME TEKNOLOJİSİ PRATİK GÖRÜNTÜLEME ARAÇLARI MOBİL ERİŞİM

Ulusal Toplu Katalog.

Özgür Yazılımlar ile VoIP Denetimi. Fatih Özavcı Bilgi Güvenliği Danışmanı

TURBOCHARGER REZONATÖRÜ TASARIMINDA SES İLETİM KAYBININ NÜMERİK VE DENEYSEL İNCELENMESİ

II. Bölüm HİDROLİK SİSTEMLERİN TANITIMI

ÖZEL İLETİŞİM VERGİSİ GENEL TEBLİĞİ (SERİ NO: 14) BİRİNCİ BÖLÜM

İSTANBUL KEMERBURGAZ ÜNİVERSİTESİ ÖNLİSANS VE LİSANS PROGRAMLARI ARASINDA YATAY GEÇİŞ YÖNERGESİ. BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar

AFYON KOCATEPE ÜNİVERSİTESİ LİSANSÜSTÜ UZAKTAN EĞİTİM YÖNERGESİ

SQL'e Giriş 2. CREATE TABLE tabloadı (kolon isimleri ve veri türleri) (BOLUM_NO NUMBER, BOLUM_ADI CHAR(10));

MEHMET ÇEKİÇ ORTAOKULU

Yıllarca bu konuda çalışan görüntü işleme uzmanlarının önerisi. Artık ArcGIS ile entegre

MUŞ ALPARSLAN ÜNİVERSİTESİ UZAKTAN EĞİTİM UYGULAMA VE ARAŞTIRMA MERKEZİ YÖNETMELİĞİ

KADININ STATÜSÜ GENEL MÜDÜRLÜĞÜ. Tarımda Kadınların Finansmana Erişimi Esra ÇADIR

MODÜL : 1 BİLGİSAYAR KULLANMA

EĞİTİM BİLİMİNE GİRİŞ 1. Ders- Eğitimin Temel Kavramları. Yrd. Doç. Dr. Melike YİĞİT KOYUNKAYA

Demiryolu Taşımacılığı ve Bilişim Teknolojileri. Mete Tırman

Çoklu Dilli Dinamik Hastane Web Sayfası

System Center Operations Manager 2007 Kurulum,Client Discovery ve Performans İzlemesi

ELEKTRĐKLĐ OCAK TR. Kurulum Kullanım Bakım

Pazarlama ve Reklamcılık Bölümü Pazarlama Programı Öğr. Gör. Cansu AYVAZ GÜVEN

Microsoft.NET Vizyonunun İncelenmesi ve Bilgisayar Teknolojisi ve Programlama Eğitimi ile Entegrasyonu İçin Bir Rehber Çalışması

Resmi Gazete Tarihi: Resmî Gazete Resmi Gazete Sayısı: YÖNETMELİK ELEKTRONİK HABERLEŞME SEKTÖRÜNDE HİZMET KALİTESİ YÖNETMELİĞİ

a) Birim sorumluları: Merkez çalışmalarının programlanmasından ve uygulanmasından sorumlu öğretim elemanlarını,

SÜRE BĠLĠġĠM TEKNOLOJĠLERĠ ÜNĠTE 1: ĠLETĠġĠM DERS SAATĠ: 1. Gelecekteki bilişim teknoloji

YEŞİLIRMAK HAVZA GELİŞİM PROJESİ

0 dan matematik. Bora Arslantürk. çalışma kitabı

Strateji Geliştirme Daire Başkanlığı İÇ KONTROL

F İ R M a. Herşey Bir Kaynaktan. Düz profillerin ve baraların işlenmesinde uzman

QR Kodu Tarayıcısı / Okuyucusuna Uygun Uygulamalarda Kullanım İçin

Bellek Analizi ile Zararlı Yazılım Analizi

K12NET Eğitim Yönetim Sistemi

İMZALAMA ARACI. Kullanım Kılavuzu. Nisan 2016 ANKARA. İmzalama Aracı Kullanım Kılavuzu Nisan 2016 Versiyon : 1.0 1/15

ÖZEL GÜVEN TIP MERKEZİ

EPKAS (ELEKTRONİK PROJE KONTROL ARŞİVLEME SİSTEMİ) WEB KULLANIM KILAVUZU

DEĞERLENDİRME NOTU: Mehmet Buğra AHLATCI Mevlana Kalkınma Ajansı, Araştırma Etüt ve Planlama Birimi Uzmanı, Sosyolog

4. B LG LEM MÜDÜRLÜ Ü. Görev Tan m : Bilgisayar Donan mlar Bak m ve Geli tirme

Digifresh Kullanım Kılavuzu

Araştırma Notu 15/177

BİT ini Kullanarak Bilgiye Ulaşma ve Biçimlendirme (web tarayıcıları, eklentiler, arama motorları, ansiklopediler, çevrimiçi kütüphaneler ve sanal

İSG Yasası & Uygulamalar

YÖNETMELİK ANKARA ÜNİVERSİTESİ YABANCI DİL EĞİTİM VE ÖĞRETİM YÖNETMELİĞİ BİRİNCİ BÖLÜM. Amaç, Kapsam, Dayanak ve Tanımlar

Autodesk Building Design Suite Sorular ve Cevapları

T.C. KĠLĠS 7 ARALIK ÜNĠVERSĠTESĠ ÖRGÜN EĞĠTĠM ÖĞRENCĠLERĠNE YÖNELĠK UZAKTAN EĞĠTĠM YÖNERGESĠ BĠRĠNCĠ BÖLÜM. Amaç, Kapsam, Tanımlar

İstemci Yönetimi ve Mobile Printing (Mobil Baskı) Çözümleri

Yeni web iletişim yöntemi Websocket protokolünün geleneksel yöntemlerle karşılaştırılması

Üniversitelerde Yabancı Dil Öğretimi

1 Aralık E-Beyanname Modülünde Yapılan İşlemler

Park Elektrik Üretim Madencilik Sanayi ve Ticaret A.Ş. Sayfa No: 1

Topoloji değişik ağ teknolojilerinin yapısını ve çalışma şekillerini anlamada başlangıç noktasıdır.

Man In The Middle Attack Ve ARP Poisoning

ELEKTRONİK VE HABERLEŞME MÜHENDİSİ

Giresun Üniversitesi Akademik Değerlendirme Ve Kalite Geliştirme Uygulama Yönergesi


Hakkımızda. Web sitemiz aracılığı 117 üniversite ve 60 il güncel insan kaynağı veritabanı ile Türkiye genelinde hizmet verebilmekteyiz.

Sensörler Veri İletişimi. Yrd.Doç.Dr. İlker ÜNAL

Veri Toplama Yöntemleri. Prof.Dr.Besti Üstün

1. Mesaj Tipi ve Mesaj Fonksiyonu Bazında Bildirim Mail Adresi Tanımlama Đşlemleri

YATIRIM FONU ALIM SATIM İŞLEMLERİ KULLANICI KILAVUZU

SERMAYE PİYASASI KURULU İKİNCİ BAŞKANI SAYIN DOÇ. DR. TURAN EROL UN. GYODER ZİRVESİ nde YAPTIĞI KONUŞMA METNİ 26 NİSAN 2007 İSTANBUL

EK 2 ORTA DOĞU TEKNĐK ÜNĐVERSĐTESĐ SENATOSU 2011 YILI ÖSYS KONTENJANLARI DEĞERLENDĐRME RAPORU

BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar

Tasarım Raporu. Grup İsmi. Yasemin ÇALIK, Fatih KAÇAK. Kısa Özet

28 Mayıs 2016 tarihli ve sayılı Resmî Gazetede yayınlanmıştır. KURUL KARARI. Karar No : Karar Tarihi : 13/05/2016

BİLGİSAYAR DESTEKLİ BİR DİL PROGRAMI -Türkçe Konuşma - Tanıma Sistemi-

Nebim Winner Ayarları

HÂKİMLER VE SAVCILAR YÜKSEK KURULU HUKUKİ MÜZAKERE TOPLANTILARI PROJE FİŞİ

Kalite Güvence ve Standartları

T.C. KAHRAMANMARAŞ VALİLİĞİ İL MİLLİ EĞİTİM MÜDÜRLÜĞÜ OKUL-KURUM E-POSTA HESAPLARI KULLANIM YÖNERGESİ. BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar

13 Kasım İlgili Modül/ler : Satın Alma ve Teklif Yönetimi. İlgili Versiyon/lar : ETA:SQL, ETA:V.8-SQL

MAKÜ YAZ OKULU YARDIM DOKÜMANI 1. Yaz Okulu Ön Hazırlık İşlemleri (Yaz Dönemi Oidb tarafından aktifleştirildikten sonra) Son aktif ders kodlarının

YEDİNCİ KISIM Kurullar, Komisyonlar ve Ekipler

SİİRT ÜNİVERSİTESİ UZAKTAN EĞİTİM UYGULAMA VE ARAŞTIRMA MERKEZİ YÖNETMELİĞİ BİRİNCİ BÖLÜM. Amaç, Kapsam, Dayanak ve Tanımlar. Amaç

Bilgisayar Uygulamaları PSİ105

YILDIRIM BEYAZIT ÜNİVERSİTESİ İŞ SAĞLIĞI VE GÜVENLİĞİ KOORDİNATÖRLÜĞÜ YÖNERGESİ BİRİNCİ BÖLÜM

KAHRAMANMARAŞ SÜTÇÜ İMAM ÜNİVERSİTESİ BİLİMSEL DERGİLER YÖNERGESİ BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar

Başbakanlık Mevzuatı Geliştirme ve Yayın Genel Müdürlüğü :18

BÖLÜM 1 YAZILIM TASARIMINA GİRİŞ YZM211 YAZILIM TASARIMI. Yrd. Doç. Dr. Volkan TUNALI Mühendislik ve Doğa Bilimleri Fakültesi / Maltepe Üniversitesi

VEZNE PROGRAMINDA POSTA ÜCRETİ İLE İLGİLİ YAPILAN DÜZENLEMELER (Vezne Sürüm: )

Yedi Karat Kullanım Klavuzu. Yedi Karat nedir? Neden Karat?

ELITE A.G. KS100/HEFM SICAK-SOĞUK ETĐKET BOY KESME VE ĐŞARETLEME MAKĐNASI KULLANIM KILAVUZU

Transkript:

LDAP ile Güvenli Kullanıcı Kontrol Sistemi İsmail Kavak 1, Gül Fatma Türker 2 1 Süleyman Demirel Üniversitesi, Bilgi İşlem Daire Başkanlığı, Isparta 2 Süleyman Demirel Üniversitesi, Elektronik ve Haberleşme Mühendisliği Bölümü, Isparta ismailkavak@sdu.edu.tr, gulturker@sdu.edu.tr Özet: Günümüzde kullanıcı kontrol ve yetkilendirme gerektiren uygulamalarda hızlı ve güvenli çözümlere ihtiyaç duyulur. Bu çalışmada amaç, LDAP(Lightweight Directory Access Protocol) veri tabanından kullanıcı kontrolü için istekte bulunan istemcilerin, güvenli bir şekilde yönetimini sağlayan kurallar oluşturmak. Böylece LDAP ile oluşturulan SSO(Single Sign On) yu kullanarak tek kullanıcı doğrulama sistemine erişimin kontrolü sağlanır. Her bir istemcinin(parola kontrolü gerektiren uygulamaların) hangi kullanıcı bilgilerine ulaşabileceği ve geri dönüş cevaplarının neler olacağı, kurallar dizisi ile belirlenir. LDAP veri tabanındaki her bir kullanıcı grubunun istekte bulunan istemcilerin çalışma yöntemlerine göre doğru ve güvenli olarak kullanıma sunulması ile tek kullanıcı kontrol sistemli yapılar geliştirilebilir. Anahtar Sözcükler: LDAP, Güvenlik, Kullanıcı Kontrol, Kullanıcı Yetkilendirme. Secure User Control System with LDAP Abstract: Nowadays, fast and secure solution for applications that require user authorization and control are needed. The purpose of this study is to create rules for user control of the requesting client that provides a secure way management from LDAP (Lightweight Directory Access Protocol) database. Thus, with using SSO (Single Sign On), created with LDAP; authentication system of the single-user access control is achieved. Each client s (applications which requires password control) set of rules are determined as to which user information is accesseble and what is return answer will be. Single control system can be improved with servising according to working subject of the requesting clients in the LDAP database user group, safely and correctly. Keywords: LDAP, Security, User Authentication, User Authorization. 1. Giriş Bir dizin hizmeti; ağ cihazları, uygulamalar, bilgisayarlar, insanla ilgili verileri tutan ve sunumunu sağlayan bir servis hizmeti sunucusudur. Hizmeti alan kullanıcıları yetkilendirmeye izin veren bir veri tabanı deposudur. Özellikle internet üzerinden bilgiye erişim ihtiyacının artışı ile son on yılda dizin hizmetleri geliştirilmiştir. Dağıtılmış yapıdaki uygulamalar için yaygın olarak kullanılan bir servis olmuştur [1]. Dizin hizmetleri çeşitli arayüzler ve uygulamalar ile oluşturulmuş bilgiye erişime imkan sağlar. Lightweight Directory Access Protocol açık kaynak kodlu bir endüstri standardıdır [2]. Ilk defa 1980'lerin sonlarında, ITU-T ve ISO tarafından yayımlanan, uluslararası standardı, Dizin Erişim Protokolü (DAP) idi. LDAP, DAP ın X.500 ünün hafifletilmiş bir alternatifi olarak aynı aileden türemiştir [3]. LDAP X500 protokolünün benzeri bir veri tabanı kullanan bilgi dizinlerine erişimi sağlayan bir teknolojidir [2]. LDAP isim olarak Directory Access Protokolünün lightweight eklenerek hafifleştirilmiş şeklidir. Heavyweight olarak en çok bilinen yönetim protokolü X.500 ile veri tem- 761

LDAP ile Güvenli Kullanıcı Kontrol Sistemi İsmail Kavak, Gül Fatma Türker silinde benzerlik bulunurken aralarında birkaç yapısal farklılıklar vardır [1]. LDAP esnekliği ve mevcut uygulamalar ile uyumlu olmasından teknolojide artan bir öneme sahiptir [2]. Basit Dizin Erişim Protokolü olarak kullanılmakta olan LDAP ile dizin servislerini sorgulama ve değiştirme işlemleri yapılır. Veri tabanı hizmeti veren bir sistem içinde verilere merkezi olarak ulaşımı gerçekleştiren uygulama katmanında çalışan bir internet protokolüdür [4]. IBM Tivoli, Novell, Sun, Oracle, Microsoft ve diğer birçok satıcının LDAP tabanlı uygulamaları bulunmaktadır [2]. Hızlı ölçeklenebilir ve yönetilebilir bir dizin yapısı oluşturulur. Standart olarak depolanan LDAP verilerinin tutulduğu servis ayarlarında; servisin verildiği ağ ayarları, yetkili kullanıcı bilgisi, uygulama ayarlama parametreleri, kullanıcı ve sunucu sertifikaları ile erişim kontrol listeleri yer almaktadır. LDAP, uygulamaların ihtiyaç duyduğu her türlü özelliğin eklenmesini sağlayan esnek bir yapıya sahiptir. Örneğin eposta servisi için ihtiyaç duyulan maillocaladdress, mailhost, UserCertificate gibi özellikleri ihtiyaç duyulan her bir kullanıcı için ayrı ayrı tanımlanabilmesini olanak sağlar [2]. Yapılan çalışmalar 2000 nin ilk yıllarında hızla geliştirilmiştir. World Wide Web ulaşım izinlerinin ve bilgilerinin LDAP içinde tanımlanması ve yönetilmesi [5], İlişkisel tablolar ile LDAP hiyerarşik arama yöntemleri tanımlanması [6], LDAP sunucularda ön bellek mekanizması ve yöntemleri [7], Efficient Implementation of LDAP Search Queries with Structured Query Language (SQL) [8], Trusted Network Binding Using LDAP [9], LDAP Based Distributed Cache Technology for XML [10] gibi çeşitli uygulamalar gerçekleştirilmiştir. 762 Kurumsal ve kamusal alanlarda hizmet veren sistemler üzerinden kullanıcılara çok sayıda servis sunmak ve bu servislerin çalıştığı makinalarda ayrı ayrı kullanıcı hesapları açmak gerekebilir. LDAP ile sistemin ve kullanıcıların yönetimini kolaylaştıran bir sistem geliştirilmiştir. LDAP desteği veren servislerin LDAP sunucusu üzerinden tek bir kullanıcı girişi ile kullanıcı bilgilerine erişim ve doğrulama yapmalarını sağlar. Bu çalışma ile LDAP veri tabanından kullanıcı kontrolü için istekte bulunan istemcilerin, güvenli bir şekilde yönetimini sağlayan kurallar oluşturulmuştur. SSO (Single Sİgn On) için kullanılan LDAP kullanıcı kontrol ve yetkilendirmede gerekli olan güvenlik tanımlarını en esnek şekilde yapılması sağlanmıştır. 2. LDAP İlk defa 1980'lerin sonlarında kullanılan Dizin Erişim Hizmeti olan DAP ın X.500 dizin hizmetine erişmek için istemciler tarafından kullanılması amaçlanmıştır. DAP, bu süre için donanım üzerinde konuşlanmış olması, çok karmaşık olması gibi sebeplerden dolayı çok fazla popülerlik kazanamadı. Daha sonraki yıllarda ise LDAP hafifletilmiş olarak X.500 protokolünden geliştirilmiştir [3]. Bugüne kadar, çok sayıda LDAP sunucusu Big- Foot (http://www. Bigfoot.com / index.jsp) ve Infospace (www. infospace.com) gibi Megaölçekli olmak üzere, kamu küçük işletmelerde kullanılmaktadır. Birçok üniversite ve işletme, posta hizmeti, kimlik sistemleri, personel ve öğrenciler hakkında bilgi saklamak ve hızlı ulaşmak için dizin sunucusu olarak yüklenmiş ve yapılandırılmış olan LDAP protokol servisi kullanılmaktadır. Temel dizin arayüzlerin bir listesi Avrupa araştırma ve Gelişmiş Ağ Teknoloji (DANTE) kurumunca standardize edilmiştir [2]. LDAP dizinleme sisteminde her kayda ait özellikler (attributes) ve bu özelliklerin değerleri (values) vardır. Her kaydın ait olduğu bir nesne sınıfı (object class) vardır. Bu yapı sayesinde dünya üzerindeki her LDAP kaydı biricik olur. Bunun için dns de olduğu gibi hiyerarşik bir isimlendirme kullanılmıştır. Kullanıcı bu biricikliğini DN (Distinguished Name) özelliğinden alır [11].

LDAP terimi şu hizmetleri kapsamaktadır: TCP/IP protokolü üzerinde çalışan, istemci-sunucu modeline dayanan dağıtık bir dizin hizmet protokolü. Lightweight Directory Access Protocol; dizin hizmetlerine ( directory services) erişebilmek için kullanılan, standart, genişletilebilir bir Internet protokolü. Bir dizini kullanmakta rehberlik edecek dört model içerir: Bir dizin (directory) içine verinin nasıl ekleneceğini tanımlayan bilgi modeli (information Dizin içinde bulunan verinin nasıl referanslandırılacağını ve düzenleneceğini belirleyen adlandırma modeli (naming Dizin verisi ile ne yapılacağını belirleyen işlevsel model (functional Dizin verilerini yetkisiz kullanıcılardan koruyacak güvenlik modeli (security LDAP Data Interchange Format (LDIF); dizin verilerini değiş-tokuş etmek için standart metin biçimi. LDAP sunucu yazılımı; Ticari veya açıkkaynaklı implemantasyonlar (OpenLDAP, Sun Directory Server, Microsoft Active Directory) LDAP sunucularla ya da LDAP tabanlı programlarla bir arada gelen komut-satırı araçları LDAP istemci uygulamaları geliştirebilmek için kullanılacak LDAP API leri. LDAP protokolü message-oriented (mesaj kaynaklı) bir protokoldür. Bunun anlamı şudur: istemci istek içeren bir LDAP iletisi oluşturur, ve mesajı sunucuya gönderir, sunucu ise bu istemi işler, ve sonucu bir veya birden fazla LDAP mesajı olarak istemciye yanıtı gönderir. aynı anda yababilmeyi mümkün kılması LDAP protokolünü buna izin vermeyen HTTP ve benzeri protokollere göre daha esnek ve verimli bir protokol yapmaktadır [12]. LDAP dizinlerde assagidaki islemlerin yapilmasina izin verir: Kullanicin girdigi kritere gore arama yapma (search) Bir girdi(entry) ekleme (add) Bir entry silme (delete) Bir girdiyi degistrime (modify) Distinguished name (DN) 'i yada RDN(Relative Distinguished Name)' in dizindeki yerini degistirme (modifydn) Iki entry'i karsilastirma (compare) LDAP üç kategori içinde tanımlanabilecek 9 temel protokol operasyonuna sahiptir: Sorgulama Operasyonlar: arama ve karşılaştırma (search, compare) güncelleme Operasyonları: ekleme, silme, güncelleme, yeniden isimlendirme (add,delete, modify, modify DN (rename)) Kimlik doğrulama (authentication) ve kontrol operasyonları: bağlanma, bağlantıyı kesme ve bağlantı iptali (bind, unbind, abandon.)[11]. 3. LDAP Yetkilendirme Tanımları Ldap konfigurasyonları statik ve dinamik olarak iki şekilde yapılmaktadır. Eski stil statik configurasyon için kullanıcı yetkilendirme tanımlaması access to... ile başlarken, dinamik konfigurasyonda yetkilendirme, yine ldap tablolarından alınmaktadır. Yetkilendirme tanımı olcaccess alanına yazılarak yapılmaktadır. Yetkilendirmeler hangi alanlarda kimin ne yapması üzerine kurulmuştur. LDAP mesaj tabanlı bir protokol olduğu için, istemci bir anda birden fazla istemde bulunabilir. Örneğin bir istemci aynı anda iki arama işlemini aynı anda yapabilir. Birden fazla işlemi 763

LDAP ile Güvenli Kullanıcı Kontrol Sistemi İsmail Kavak, Gül Fatma Türker Level Privileges Description none = 0 Hiçbir erişim yok disclose = auth = compare = search = read = write = manage = Specifier d dx cdx scdx rscdx wrscdx mwrscdx Oluşan hatalar için bilgi alabilmesini sağlar Kullanıcının şifre ile giriş yapıması gerektiğini bildirir Karşılaştırma yapabilmesini sağlar Arama yapabilmesini sağlar Bilginin okuma yetkisini verir Bilgiyi değiştirme ve silme yetkisi verir Bilgiyi yönetme yetkisi verir. Tablo 1. Erişim Seviyeleri Entities * Tüm kullanıcıları kapsar anonymous users self dn[.<basicstyle>]=<regex> dn.<scopestyle>=<dn> 1. to * Yetkisiz kullanıcı(lar) Kullanıcı ve şifre ile giriş yapmış kullanıcı(lar) İşlem yapılması düşünülen alan ile ilişkili kullanıcı(lar) Düzenli ifade ile eşleşen Kullanıcı(lar) Bir DN kapsamında Kullanıcı(lar) Tablo 2. Erişim Hakları Tüm ağaç yapısı için yapılan tanımlamadır. 2. to dn[.<basic-style>]=<regex> DN üzerinde düzenli ifade tanımlaması. 3. to dn.<scope-style>=<dn> scope-style için base, one, subtree, children tanımlarını kullanılmaktadır. base : tanımlanan tam DN ile eşleştiğinde, one: tanımlanan DN e ait sadece tek bir alt ağaç dalına ait tanımlamalar için geçerli olsun subtree: tanımlanan DN e ait tüm alt dallanmaları için geçerli children: tanımlanan DN hariç tüm alt dalları için geçerli tanımlamadır. 4. to filter=<ldap filter> to filter=(objectclass=person) gibi tanımlı bir DN e ulaşmak için kullanılır. 5. to attrs=<attribute list> veya to attrs=<attribute> val[.<style>]=<regex> ile veritabanı içinde tanımlanan her hangi bir niteliğin olduğu tanımlamara ulaşım için kullanılır. Dinamik ldap tanımlamasındaki alt parametreler: olcaccess: <access directive> <access directive> ::= to <what> [by <who> [<access>] [<control>] ]+ <what> ::= * [dn[.<basic-style>]=<regex> dn.<scope-style>=<dn>] [filter=<ldapfilter>] [attrs=<attrlist>] <basic-style> ::= regex exact <scope-style> ::= base one subtree children <attrlist> ::= <attr> [val[.<basicstyle>]=<regex>] <attr>, <attrlist> <attr> ::= <attrname> entry children <who> ::= * [anonymous users self dn[.<basicstyle>]=<regex> dn.<scopestyle>=<dn>] [dnattr=<attrname>] [group[/<objectclass>[/<at trname>][.<basic-style>]]=<regex>] [peername[.<basicstyle>]=<regex>] 764

[sockname[.<basicstyle>]=<regex>] [domain[.<basicstyle>]=<regex>] [sockurl[.<basicstyle>]=<regex>] [set=<setspec>] [aci=<attrname>] <access> ::= [self]{<level> <priv>} <level> ::= none disclose auth compare search read write manage <priv> ::= {= + -}{m w r s c x d 0}+ <control> ::= [stop continue break] 4. Sonuç ve Öneriler SSO (Single Sİgn On) için kullanılan LDAP kullanıcı kontrol ve yetkilendirmede gerekli olan güvenlik tanımlarını en esnek şekilde yapılması sağlanmıştır. Böylece internete açık olan bu servisin olası tüm güvensiz erişimlere karşı yasaklama mekanizması oluştururken, doğru uygulama ve kullanıcıların ilgili tablo ve verilere ulaşımının esnek bir yapılandırma ile yapılmasını sağlamış oluyor. Single Sign On LDAP ile yapan tüm kurumların kullanıcı kontrolü için kullandıkları 3.parti uygulamalarından kaynaklanan güvenlik açıklarının merkezi olarak önlenmesini ve kontrol edilmesini sağlayacaktır. 5. Kaynaklar [1] T.A. Howes, The Lightweight Directory Access Protocol: X.500 Lite, tech. report TR- 95-8, Center for Information Technology Integration, Univ. of Michigan, 1995. [3] Kobsa A., Fink J., An LDAP-based User Modeling Server and Its Evaluation, Springer, User Model User-Adap Inter (2006) 16: 129 169 [4]www.ulak.net.tr/dokumanlar/ programlama/2000php/ldap/index.html [5] Aldred K. B., Brown C.S., Hahn T.J., Stokes E.J., Management of and Access to Informaiton and other Material via The World Wide Web in an LDAP Environment, 2001 [6] Bachmann D.W., Corn C.F., Fichtner G.L., Mancisidor A.R., Shi S., Method of Hierarchical LDAP Searching with Relational Tables, 2000 [7] Byrne D.J., Murthy C.R., Shi S., Shu C., Lightweight Directory Access Protocol (LDAP) Directory Server Cache Mechanism and Method,2002 [8] Corn C.F., Fichtner G.L., Mancisidor R.A., Shi S.,,Efficient Implementation of LDAP Search Queries with Structured Query Language (SQL),2002 [9] Borsato L.W., Gaudet M., Hamilton I., Anderson R., Waters G., Trusted Network Binding Using LDAP, 2003 [10] Marron P. J., Lausen G., LDAP Based Distributed Cache Technology for XML, 2005 [11] Ldap nedir http://ldap.nedir. com/#ixzz2qykj0rq5 [12] http://tr.wikipedia.org/wiki/ldap [2] Vassiliki Koutsonikola Athena Vakali, LDAP: Framework, Practices, and Trends, IEEE Computer Society,2004 IEEE INTER- NET COMPUTING Spotlight 765

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim