[Gelistirici] Ahenk 2.0 Planları

[Gürer Özen]

On Wednesday 15 April 2009 11:07:21 Semen Cirit wrote:

> Bence biraz daha inceleyebiliriz. Bize uygun olursa işlerimizi
> kolaylaştırabilir gibi geliyor.

puppet, cfengine vb çözümler admin scriptlerini bir grup bilgisayar üzerinde 
çalıştırmak üzerine kurulu. İşi kolaylaştırmak için bu scriptlere üst düzey 
yapılandırma fonksiyonları sağlıyorlar falan.

Active directory, ahenk vb sistemlerde ise, merkezi bir veri tabanı dizini 
var. Bunun üzerinde standart politikaların belirlendiği bir yönetim GUI si 
var. Bilgisayarlar üzerinde çalışan agentlar bu verilere göre kendilerini 
yapılandırıyor.

Birinde politikalar programla öbüründe tanımla belirtiliyor, biri deneyimli 
sunucu adminlerine öbürü gui'yle yönetim yapmak isteyen IT support 
çalışanlarına daha uygun.

> Ama bildiğim kadarıyla kerberos network trafic encryption yaparken (daha
> güvenli hale getiren kısım: bunu yaparken 3 aşamalı bir hand shaking ile
> yapıyor 1-Client/Server Authentication 2-Authentication Service
> 3-Ticket-Granting-Service (TGS)), SASL ise authentication session
> encryption yapıyor. Ve TLS ise user authentication kısmı ile değil
> sadece encrypte edilmiş trafic yolunu belirlemede kullanılıyor diye
> biliyorum.

Ecrypte edilmiş trafic yolu ne yav? Bu paragraftan hiç bir şey anlamadım :)

Basitçe açıklayayım bu kavramları:

Bize lazım olan şeyler iletişimin güvenliliği (encryption) ve client ile 
server'ın karşılıklı olarak birbirinin kimliğini doğrulayabilmesi 
(authentication).

TLS şifreleme katmanı ama yalnızca şifreleme sağlamaz, handshake sırasında 
taraflar birbirlerinin sertifikalarını kontrol ederek kimlik de 
doğrulayabilirler.

SASL nin şifreleme ile hiç alakası yok ve kendisi direk bir auth protokolü 
değil. Çeşitli auth mekanizmalarının kullanılabilmesine olanak sağlayan bir 
üst protokol. Mesela EXTERNAL metodunu kullanırsan, SASL verisini ileten 
katmanın (TLS, IPSec yada neyse) verdiği kimlik bilgisini kullandırabilirsin. 
Parola ile doğrulamayı açık text olarak (PLAIN metodu), yada 
challange-response yoluyla (DIGEST-MD5 metodu) yapabilirsin. Eğer istersen 
GSSAPI metoduyla kimlik doğrulamayı Kerberos üzerinden yapabilirsin. SASL 
sana karşıda bu metotların hangisi var onu söyler, sonra seçtiğin metot için 
gerekli bilgi aktarımını sağlar.

Bunlardan hangisini nasıl kullandığımız Ahenk yapısını etkileyecek bir karar 
değil, LDAP'ta hepsi rahatça kullanılabiliyor. Config dosyasına şu metodu 
kullan diye bir satırlık parametre yazmak yeterli, kalan herşey transparent.

Kerberos'un amacı ise farklı bir problemi çözmek: single sign-on. Bunun 
dışında daha fazla güvenlik sağladığı gibi bir şey yok. [0] adresindeki 
drawback'lere bakarsan da Kerberos'un kendi güvenliğini sağlamanın hiç de 
basit bir problem olmadığını göreceksin.

[0] http://en.wikipedia.org/wiki/Kerberos_(protocol)