Liman MYS'de Yetkili Kullanıcı Politikası Nasıl Uygulanır
Bu politika ile var olan domain yapısında domaine alınmış istemciler üzerinde lokal admin dışında domain kullanıcılara ve lokalde açılmış/oluşturulmuş yetkisiz kullanıcılara admin yetkisi verilebilmektedir.
Öncelikle nasıl politika oluşturacağımıza bakalım:
Domain Eklentimiz ile karşımıza çıkan ekrandan Nesne Ekle butonuna tıkladığımızda bizi karşılayan seçim ekranından tip bölümünü Politika seçerek politikamıza isim vererek Ekle butonuna bastığımızda politikamız eklenmiş olacaktır.
Politikaları görüntülediğimizde eklediğimiz politikayı görebiliriz.
NOT: Politikanızı nerede oluşturmak istiyorsanız o bölümün üstüne tıkladıktan sonra nesne oluşturma işleminizi yapınız.
Örneğin bu örnekte politikanız Kullanıcılar altında oluşacaktır.
Politika Ayarları
Politika Değerleri
Oluşturduğumuz politikayı açtığımızda karşılaştığımız başlıklar:
Detaylar: Politikamızın adı, oluşturma tarihi, versiyonu, ID bilgisi gibi temel bilgiler bizi karşılamaktadır.
Uygulanan Politikalar: Makine ve Kullanıcı bazında uygulanan politikalar sergilenmektedir.
Kullanıcı: Kullanıcı bazında politikaları yönetebileceğimiz alan bu kısımda yer almaktadır.
Makine: Makine bazında politikaları yönetebileceğimiz alan bu kısımda yer almaktadır.
Filtreleme: Oluşturduğumuz politikamızın hangi kullanıcılarda veya gruplar uygulanmasını ya da uygulanmamasını seçebildiğimiz alandır.
Yetkili Kullanıcı politikası oluşturmak için de şu adımları izleyebiliriz:
Yetkili Kullanıcı politika ekranı şu şekildedir:
1. Kullanıcı Ekleme Bölümü:
Kullanıcı Adı: Domain veya lokal ortamda oluşturulmuş kullanıcı adı girilir.
Hostname Kısıtlaması: Kullanıcının sudo yetkisine sahip olacağı cihazların hostname listesini belirleyin. Birden fazla hostname için virgülle ayırma yöntemi kullanılabilir. Bu alan boş bırakıldığında, kısıtlama uygulanmaz.
Sona Erme Tarihi: Kullanıcının sudo yetkisinin sona ereceği tarih. Bu tarih belirtilmezse, politika süresiz olarak geçerli olur.
2. Grup Ekleme Bölümü:
Grup Adı: Domain veya lokal ortamda oluşturulmuş güvenlik grubunun adı girilir.
Hostname Kısıtlaması: Grubun sudo yetkisine sahip olacağı cihazların hostname listesini belirleyin. Birden fazla hostname için virgülle ayırma yöntemi kullanılabilir. Bu alan boş bırakıldığında, kısıtlama uygulanmaz.
3. Komut İçin İzin Verme Bölümü:
Kullanıcı Adı: Domain veya lokal ortamda oluşturulmuş kullanıcı adı girilir. Birden fazla kullanıcı için virgülle ayırma yöntemi kullanılabilir, tüm kullanıcılar için 'all' yazılabilir.
Grup Adı: Domain veya lokal ortamda oluşturulmuş güvenlik grubu adı girilir. Birden fazla grup için virgülle ayırma yöntemi kullanılabilir, tüm gruplar için 'all' yazılabilir.
Komut: İzin verilecek komut girilir.
Parola Kullanımı: Bu komutun parolasız çalıştırılıp çalıştırılmayacağını belirtin (Evet/Hayır).
Politika Çalışması ve Kontrolü
Yetkili Kullanıcı politikası ile oluşturacağımız senaryolar Pardus 23 üzerinde test edilmiştir.
1. Domain Kullanıcısına Admin Yetkisi Vermek
Öncelikle kullancımızın sudo yetkisine sahip olmadığını doğrulayalım:
- limanmys bu örneğimizde kullanıcı olarak oluşturulmuştur.
Şimdi politikamızı Yetkili Kullanıcı seçeneğini seçerek admin yetkisi vermek istediğimiz domain kullanıcının kullanıcı adını, isteğe göre hostname bilgisini ve isteğe göre sona erme tarihini belirtebiliriz.
Sonrasında limanmys kullancısı ile giriş yaptığımız Pardus makinamız üzerinde gpupdate -v komutu ile politikamızı tetikliyoruz.
Hem kullancının sudo yetkisini test ederek hem de /etc/sudoers.d/domainadmins da gördüğümüzde politikamızın çalıştığından emin olabiliriz.
2. Domain Yapısında Bulunan Gruba Admin Yetkisi Vermek
Security grubumuza yetki vermeden önce bu grubun altında olan kullancımızın sudo yetkisi olmadığını doğrulayalım:
- client01 bu örneğimizde kullanıcı olarak oluşturulmuştur.
Şimdi politikamızı Yetkili Kullanıcı seçeneğini seçerek admin yetkisi vermek istediğimiz domain grubunun adını, isteğe göre hostname bilgisini ve isteğe göre sona erme tarihini belirtebiliriz.
Sonrasında grubumuzun üyesi olan kullanıcı ile giriş yaptığımız Pardus makinamız üzerinde gpupdate -v komutu ile politikamızı tetikliyoruz.
Hem kullancının sudo yetkisini test ederek hem de /etc/sudoers.d/domainadmins da gördüğümüzde politikamızın çalıştığından emin olabiliriz.
3. Lokalde Oluşturulmuş Kullanıcıya Admin Yetkisi Vermek
Öncelikle kullancımızı oluşturup sudo yetkisine sahip olmadığını doğrulayalım:
- pardus2 bu örneğimizde local kullanıcı olarak oluşturulmuştur.
Şimdi politikamızı Yetkili Kullanıcı seçeneğini seçerek admin yetkisi vermek istediğimiz domain grubunun adını, isteğe göre hostname bilgisini ve isteğe göre sona erme tarihini belirtebiliriz.
Sonrasında grubumuzun üyesi olan kullanıcı ile giriş yaptığımız Pardus makinamız üzerinde gpupdate -v komutu ile politikamızı tetikliyoruz.
Hem kullancının sudo yetkisini test ederek hem de /etc/sudoers.d/domainadmins da gördüğümüzde politikamızın çalıştığından emin olabiliriz.
4. Lokalde Oluşturulan Gruba Admin Yetkisi Vermek
Kullanıcımızı ve grubumuzu oluşturup lokaldeki grubumuza yetki vermeden önce bu grubun altında olan kullancımızın sudo yetkisi olmadığını doğrulayalım:
Şimdi politikamızı Yetkili Kullanıcı seçeneğini seçerek admin yetkisi vermek istediğimiz grubun adını, isteğe göre hostname bilgisini ve isteğe göre sona erme tarihini belirtebiliriz.
Bu kısımda pardus3 grubu pardus3 kullanıcısı oluştuğunda oluşmuş olan grup adıdır.
Pardus makinamız üzerinde gpupdate -v komutu ile politikamızı tetikliyoruz.
5. Domain Yapısında Grup Yetkilendirmesi
İç içe olan grupların yetkilendirme aşamasıdır. Örnek yapı şu şekildedir:
client01 ve cleint03 = kullanıcı
MainGroup ve AltGroup = Security Group
Gruplar ve kullanıcılar için şu şekilde çıktılar elde ederiz:
Alt grubumuzdaki kullanıcının politika oluşturmadan önce yetkisi olmadığını doğrulayalım:
Politikamızı üst gruba yetki vererek gerçekleştiririz.
Sonrasında grubumuzun üyesi olan kullanıcı ile giriş yaptığımız Pardus makinamız üzerinde gpupdate -v komutu ile politikamızı tetikliyoruz.
/etc/sudoers.d/domainadmins da gördüğümüzde politikamızın çalıştığından emin olabiliriz.
NOT:Politikamızı test etmek için yani alt gruptaki kullanıcımızın yetkilendiğinin kontrol edilmesi için lütfen login/logout işleminizi gerçekleştiriniz.
6. Komut İçin İzin Verilmesi
Belirli bir komut bazında yetkilendirme yapabilirsiniz.
Kullanıcı Adı: Domainde oluşturulmuş kullanıcı adı girilir.
Grup Adı: Domainde oluşturulmuş grup adı girilir.
Komut: İzin verilecek komut girilir,
Bu Komutu Parolasız Çalıştırmaya İzin Ver: İsteğe göre komutu parolasız çalıştırma izni verilir.
Hostname Kısıtlaması: İzin verilen komutun hangi makine/makinelerde uygulanacağı seçilir.
Sona Erme Tarihi: Yetkinin sona erme tarihi girilir. Boş bırakıldığında politikanın etkisi hiçbir zaman bitmez.
Öncesinde kullanici1 kullanıcısının cat komutu yetkisi test edilir:
Şimdi politikamızı oluşturup uygulayalım:
Sonrasında kullanici1 üyesi olan kullanıcı ile giriş yaptığımız Pardus makinamız üzerinde gpupdate -v komutu ile politikamızı tetikliyoruz.
cat komutumuzun çalıştığnı da gördüğümüzde politikamızın çalıştığından emin olabiliriz.
NOT: '*' olmadığında komutun birebir aynı yazılması gerekir. Aynı işlem kullanıcı yerine gruba vermek istenilirse aynı bölümündeki Kullanıcı Adı yerine Grup Adı kısmına domainde oluşturulmuş grup adı girilir.
Sudo Kerberos Desteği
Evet/Hayır seçenekleri ile Kerberos sudo desteğini yönetebilirsiniz.