AWS Active Directory Federation Service ile Federasyon

There are lots of documentation(blog posts etc.) about AWS in English that’s why I have been writing in Turkish. I hope this will be informative for Turkish readers.
Regards.

Merhaba,

Security Assertion Markup Language(SAML), security domain’leri(party’ler) arasında authentication ve authorization verisinin alışverişini sağlayan xml tabanlı sistemdir. Benzer bir ifade ile; identity provider ile service provider arasında “authorization&authentication data exchange” için kullanılan bir katmandır. SAML tabanlı sistemlerin listesi için bir web adresini kaynaklar kısmında paylaştım. Yazımın konusu olacağı için belirteyim, saml uyumlu identity provider’lardan biri de Active Directory Federation Service’tir.

Dizin hizmeti(identity store) olarak genelde MS Active Directory kullanıldığı için identity provider olarak ADFS’i seçebiliriz. ADFS yerine bir başka identity provider’ı, Shibboleth’ı, kullanabilirsiniz.AWS’nin blog’larında her ikisini de anlatan post’lar mevcut.İlk olarak ADFS’i inceleyelim. Sonrasında diğer idP hakkında yazacağım.(Kısaltma – identity provider:idP)

**Yazıya devam etmeden önce konu bütünlüğü açısında, AWS IAM Kimlik ve Erişim Yönetimi başlıklı yazımı incelemenizi öneriyorum. Web adresini kaynaklar kısmında bulabilirsiniz.**

11.Kasım.2013’deki blog post’u ile AWS, SAML desteğini aws sistemine dahil ettiğini duyurmuş.Böylece AWS kaynaklarına erişimde (management console ve/veya api call) enterprise seviyede federated sso desteği sağlanmış. Yapı topolojik olarak aşağıdaki gibi çalışıyor.

Continue reading “AWS Active Directory Federation Service ile Federasyon”

Splunk – Active Directory Log ‘larının toplanması – Bölüm 2

Merhaba,

Universal Forwarder; Splunk Enterprise’ın, sadece “data forward” işlemi için düzenlenmiş bir versiyonudur(kısaca UF şeklinde geçecek). UF; search,index,alert seçeneklerini sunmaz, python kurulumuna sahip değildir. Üreticinin web sayfasından detaylarına ulaşabilirsiniz. http://docs.splunk.com/Documentation/Splunk/latest/Forwarding/Introducingtheuniversalforwarder adresini kullanabilirsiniz.

Bu yazımda kullandığım domain ismim corp.local ’dir. Test ortamı Bölüm 1 ‘de bahsettiğim ile aynıdır.

Universal Forwarder yazılımını, splunk download center’dan download edebilirsiniz. http://www.splunk.com/download/universalforwarder .

Bölüm 1 ‘de bahsettiğim app’leri, splunk enterprise’a yükleyiniz. Tüm app’leri yüklediğinizde ilgili klasörün içeriği aşağıdaki gibi olacaktır.

Continue reading “Splunk – Active Directory Log ‘larının toplanması – Bölüm 2”

Splunk – Active Directory Log ‘larının toplanması – Bölüm 1

Merhaba,

Log Management ürünlerinde de olduğu gibi, hemen her kaynaktan üretilen log’ları Splunk ürünü ile toplayabiliyorsunuz ve inceleyebiliyorsunuz. Bu kaynaklardan biri de Microsoft ürünleri için dizin hizmetini sunan Active Directory yapısıdır.

Active directory (AD kısaltması ile geçecek) yapısının veritabı NTDS.DIT dosyasında tutulur. NTDS.DIT dosyası, AD yapısında var olan fiziksel bileşenlerden domain controller görevini yürüten sunucularda tutulur ve tüm domain controller’lardaki dosyalar birbirleri ile aynıdır(sync’ed). AD replikasyonları ile bu “teklik” sağlanır. AD yapısında gerçekleştirilen değişiklikler bu dosyada tutulur(obje oluşturma,silme,güncelleme vb.) AD ‘de yapılan değişikliklere dair log’lar(event,olay) Event Viewer(olay görüntüleyicisi) altında çeşitli alt kategorilerde saklanır.

Yazımda, Splunk ile AD log’larının toplanmasından bahsetmek istiyorum. Test ortamımdan bahsedeyim.

Hypervisor : Windows 8.1 Hyper-v

Domain Controller: 1 x Windows Server 2012 R2 , Forest Functional Level Windows Server 2012 R2

Exchange Server : 1 x Exchange Server 2013 CU5

Splunk Instance : 1 x Windows Server 2012 R2 üzerinde Splunk Instance’ı çalışmakta

Firewall : Check Point R77

Splunk web servisine(yönetim web sayfası) bağlanalım.

Continue reading “Splunk – Active Directory Log ‘larının toplanması – Bölüm 1”

Active Directory Replication durumun gözlemi

Merhaba,

IT profesyoneli olarak, Active Directory replikasyonu gözlemek veya hata denetimi için çeşitli yöntemler kullayorsunuzdur. Bahsedeceğim aracı da kullanmış olabilirsiniz. Netice de yayınlanalı hayli süre geçti. Blog’umda bu araca yer vermediğimi fark edince yazmak istedim 🙂

http://blogs.technet.com/b/askds/archive/2012/08/23/ad-replication-status-tool-is-live.aspx

Üstteki adresten AD Replication Status aracı hakkında bilgi alabilirsiniz. Geniş bir uyumluluk yelpazesi var. Araç, AD replication problemlerini, ofis stili tek bir ribbon menüden keşfetmenizi ve muhtemel çözüm önerilerini elde etmenizi sağlıyor.

Download için http://www.microsoft.com/en-us/download/details.aspx?id=30005 adresini kullanabilirsiniz.

Herkese sorunsuz ve neşeli günler dilerim.

Powershell ile Active Directory Raporu

Merhaba,

Muhtelif blog’larda gezinirken rast geldiğim bir PS script’ini paylaşmak istiyorum.

Script, Active Directory yapısında çalışan bir çok servis hakkında ve AD yapısının kendisi hakkında oldukça detaylı, html biçiminde rapor üretiyor. AD domain’leriniz veya forest’ınız hakkında tek seferde bu denli geniş bir veriye sahip olmak çoğu zaman işinize yarayacaktır. Script’in ve/ya “executable” halinin çalıştığı platformlar aşağıdaki gibi belirtilmiş.

image

Detaylar için ve script’i edinmek için aşağıdaki adresi ziyaret edebilirsiniz.

http://gallery.technet.microsoft.com/Active-Directory-Audit-7754a877

Herkese sorunsuz ve neşeli günler dilerim.

DNS – “bulk” (A) Record ekleme işlemleri

Merhaba,

DNS, isim çözümleme hizmetini veren, başta Microsoft Active Directory ’si ve diğer “Directory Service” ‘ler olmak üzere network ile bağlantısı olan hemen her servis için kritik seviyede önemli bir hizmettir.

DNS hizmetini, platformların sunduğu grafiksel arabirimden veya komut arabiriminden yönetebilirsiniz. Yazımda, DNS hizmeti için toplu halde(“bulk”) kayıt ekleme işlemine dair, bir kaç farklı yöntemi inceleyeceğim. Muhtemelen sizler de zaman içinde bu yöntemleri kullanmışsınızdır.

Powershell 3 ile:

“Native” DNS cmdlet’lerini(komutlarını) görüntüleyelim.

Continue reading “DNS – “bulk” (A) Record ekleme işlemleri”

Domain Controller – LDAP versiyonu

Merhaba,

Domain controller’larınız kullandığı/desteklediği LDAP versiyonunu öğrenmek için aşağıdaki VB script’ini kullanabilirsiniz.

image.png

 

üstteki satırları *.vbs dosyası haline getirerek, cscript uygulaması ile kullanırsanız, script’in çıktısı aşağıdaki gibi olacaktır.

 

image.png

Not: VB dosyasına ldapversion ismini vermiştim.

Herkese iyi haftalar, sorunsuz ve neşeli günler.

CRL Distribution Point Yapılandırması

Biliyorsunuz ki on-premises tarafında (yani yerel ağınızda) sertifika otoritesi kullanmak ve yönetmek public bir otoriteden (verisign gibi) sertifika almaya göre genelde karmaşık görünmektedir. Bende bu karmaşadan bir kuple çekip incelemek ve yazmak istedim. Daha önceki yazılarımda sertifika otoritesi kurulum konfigurasyonu ve çeşitli hizmetlerde kullanılması ile ilgili konuları yazmıştım. Şimdi ise yine sertifika otoritesi ile ilgili olarak örneğin sstp vpn kullanmak isteyen firmalarda kullanıcının bilgisayarları domaine dahil olmadığı için (örneğin evdeki makinesi) alınan revocation checking hatalarını inceleyip hataları gidermeye yönelik bir paylaşımda bulunmak istedim.

Continue reading “CRL Distribution Point Yapılandırması”