[Gelistirici] Ahenk 2.0 Planları
Gürer Özen
gurer at pardus.org.tr
15 Nis 2009 Çar 13:32:45 EEST
On Wednesday 15 April 2009 11:07:21 Semen Cirit wrote:
> Bence biraz daha inceleyebiliriz. Bize uygun olursa işlerimizi
> kolaylaştırabilir gibi geliyor.
puppet, cfengine vb çözümler admin scriptlerini bir grup bilgisayar üzerinde
çalıştırmak üzerine kurulu. İşi kolaylaştırmak için bu scriptlere üst düzey
yapılandırma fonksiyonları sağlıyorlar falan.
Active directory, ahenk vb sistemlerde ise, merkezi bir veri tabanı dizini
var. Bunun üzerinde standart politikaların belirlendiği bir yönetim GUI si
var. Bilgisayarlar üzerinde çalışan agentlar bu verilere göre kendilerini
yapılandırıyor.
Birinde politikalar programla öbüründe tanımla belirtiliyor, biri deneyimli
sunucu adminlerine öbürü gui'yle yönetim yapmak isteyen IT support
çalışanlarına daha uygun.
> Ama bildiğim kadarıyla kerberos network trafic encryption yaparken (daha
> güvenli hale getiren kısım: bunu yaparken 3 aşamalı bir hand shaking ile
> yapıyor 1-Client/Server Authentication 2-Authentication Service
> 3-Ticket-Granting-Service (TGS)), SASL ise authentication session
> encryption yapıyor. Ve TLS ise user authentication kısmı ile değil
> sadece encrypte edilmiş trafic yolunu belirlemede kullanılıyor diye
> biliyorum.
Ecrypte edilmiş trafic yolu ne yav? Bu paragraftan hiç bir şey anlamadım :)
Basitçe açıklayayım bu kavramları:
Bize lazım olan şeyler iletişimin güvenliliği (encryption) ve client ile
server'ın karşılıklı olarak birbirinin kimliğini doğrulayabilmesi
(authentication).
TLS şifreleme katmanı ama yalnızca şifreleme sağlamaz, handshake sırasında
taraflar birbirlerinin sertifikalarını kontrol ederek kimlik de
doğrulayabilirler.
SASL nin şifreleme ile hiç alakası yok ve kendisi direk bir auth protokolü
değil. Çeşitli auth mekanizmalarının kullanılabilmesine olanak sağlayan bir
üst protokol. Mesela EXTERNAL metodunu kullanırsan, SASL verisini ileten
katmanın (TLS, IPSec yada neyse) verdiği kimlik bilgisini kullandırabilirsin.
Parola ile doğrulamayı açık text olarak (PLAIN metodu), yada
challange-response yoluyla (DIGEST-MD5 metodu) yapabilirsin. Eğer istersen
GSSAPI metoduyla kimlik doğrulamayı Kerberos üzerinden yapabilirsin. SASL
sana karşıda bu metotların hangisi var onu söyler, sonra seçtiğin metot için
gerekli bilgi aktarımını sağlar.
Bunlardan hangisini nasıl kullandığımız Ahenk yapısını etkileyecek bir karar
değil, LDAP'ta hepsi rahatça kullanılabiliyor. Config dosyasına şu metodu
kullan diye bir satırlık parametre yazmak yeterli, kalan herşey transparent.
Kerberos'un amacı ise farklı bir problemi çözmek: single sign-on. Bunun
dışında daha fazla güvenlik sağladığı gibi bir şey yok. [0] adresindeki
drawback'lere bakarsan da Kerberos'un kendi güvenliğini sağlamanın hiç de
basit bir problem olmadığını göreceksin.
[0] http://en.wikipedia.org/wiki/Kerberos_(protocol)
Gelistirici mesaj listesiyle ilgili
daha fazla bilgi