IT & IoT Security | Cloud | It's all about the life itself

Nothing in life is as important as you think it is, while you are thinking about it.

Exchange Server 2010 – Custom Role Based Access Control

Merhaba,

Bu yazımda Exchange Server 2010 ( ve daha üstü ) yönetiminde, role based access control yapısındaki management role’lerin ve management role entry’lerin güvenlik ihtiyaçları doğrultusunda modifiye edilmesinden bahsetmek istiyorum.

Exchange Server yönetiminde Exchange Admin’leride delegasyon, Role Based Access Control ile sağlanır. Role based access control için kullanılan ön tanımlı role group’larına Exchange Server Control Panel’den yada Exchange Server Management Shell’de erişilebilir.

clip_image002

Shell’den erişim için üstte görülen cmdlet kullanılabilir.

clip_image004

Ön tanımlı role group’larına Exchange Server Control panel’den erişmek isterseniz https://server_fqdn/ecp adresini kullanabilirsiniz. Üstte olduğu gibi, Role Group’larından herhangi birine tıklandığında ekranın sağ kısmında o group’a atanan role’ler görülmektedir.

Yapılabilecek yönetimsel işler role’ler ile tanımlıdır. Örneğin; bir mailbox objesinin kota’sını değiştirmek isterseniz “mail recipient” role’u içindeki set-mailbox role entry’sini, –prohibitsendquota parametresi ile çalıştırmanız gerekir. Bu işlemi yapabilmek içinde kullanıcı account’unuzun recipient management role group’una yada daha yüksek yetkili bir role group’a üye olması gerekir!

Özetle;

Management Role Entry à Management Role à Role Group ß User Account şeklinde bir yapı mevcuttur.

clip_image006

Get-ManagementRoleEntry -identity “mail recipients\*” cmdlet ile de bir entry’nin içeriğini (cmdlet’leri ve parametreleri ) görebilirsiniz.

clip_image008

Management Role Entry’ler ile de yapılabilecek “action” ‘lar belirlidir. Bu entry’ler gruplanarak role’leri oluşturur. Role’ler gruplanarak role group’lar oluşturulur. Kullanıcı account’ları role group’larına üye yapılır ve Role Based Access Control sağlanmış olur.

Örnek uygulama ile custom role based access role group’u oluşturalım. Bu role group’taki yetkiler ile çalışacak exchange admin’leri recipient management yapabilir halde. Ama, quota işlemleri yapamasınlar!

Built-in role’leri oynayamadığımız için yeni bir management role oluşturacağız. Bunu da varolan bir role’ü kopyalayarak yapacağız.

clip_image010

Yeni role’e üstte görüldüğü gibi bir isim verdim. Bu durumda yeni role’ün entry’lerini de “Mail Recipients” role’ünden kopyalamış oldum.

Yeni role’deki entry’leri aşağıda görüldüğü gibi incelersek,

clip_image012

Set-Mailbox cmdlet’ini fark ederiz. Bildiğimiz gibi Set-Mailbox cmdlet’i kota işlemleri için kullanılan bir cmdlet’tir. Yeni role’deki Set-Mailbox entry’sinin kota işlemleri için kullanılan parametrelerini silersek bu role’den faydalanan kişiler de kota işlemleri yapamazlar J Bu arada entry’ler içindeki parametreleri listelemek isterseniz aşağıdaki cmdlet’den faydalanabilirsiniz.

clip_image014

Listenin alt kısımlarında çıkarmak istediğimiz parametreler mevcut!

clip_image016

Üstte görüldüğü üzere ilgili parametleri seçip siliyorum! Ardından, Exchange Server Control Panel ‘den role group oluştuyoruz.

clip_image018

Yeni role group, aslında built-in recipient management role group’unun aynısı gibi görünüyor ama “mail recipient” role’ünü kopyalayıp ismini değitirerek modifiye ettik J Role group’a [email protected] kullanıcısını üye yaptım.

Exchange Management Console’dan bağlanarak test yapabiliriz.

clip_image020

Kullanıcı, üye olduğu role group’undan dolayı mailbox işlemlerinde yetkili, ama kota işlemlerinde yetkisiz ! Yeni role role’ümüz çalışıyor, işlem başarılı !

İlaveten, gerekirse management role’un entry’sinden bir parameter çıkarmak yerine ilgili entry’yi ( cmdlet’i) tamamen çıkarabilirsiniz.

clip_image021

Örneğin yeni oluşturduğumuz management role’ündekiler mailbox permission’lar ile uğraşmasınlar isterseniz aşağıdaki biçimde bunu yapılandırabilirsiniz.

clip_image023

Öncelikle entry’yi silmek yerine –whatif switch’ini kullanırsanız çalışması durumunu gözleyebilirsiniz(işlemleri simule etmek için).

clip_image025

Add-mailboxpermission entry’sini yeni oluşturduğumuz management role’den silelim.

clip_image027

Üstte görüldüğü üzere management role’den permission cmdlet’ini ( entry’sini ) silmiş olduk.

clip_image029

Yeni management role’deki add- ile başlayan entry’lere bakarsak durum üstteki gibidir.

Bu işlemin recipient management task’leri uğraşan Exchange Admin’ine yansıması aşağıdaki gibi olacaktır.

clip_image030

İlgili entry( cmdlet ) olmadığı için sihirbaz olması gereken uyarıyı vererek işlemi yapmıyor!

Özet:

Exchange Server yönetiminde güvenlik politikalarından dolayı role based access control ’u değiştirmek (varsayılan ayarları mofiye etmek) için yapabileceğiniz işlemler genel olarak üstteki gibidir. Bu tür değişimler ile kurumların en hassas asset’lerinden biri olan mesajlaşma sistemlerine erişimi güvenlik politikaları doğrultusunda “customize” edebilirsiniz.

Herkese sorunsuz ve neşeli günler dilerim…