Yetkili Kullanıcı Politikası

Yaren Sarı - Jun 3 - - Dev Community

Liman MYS'de Yetkili Kullanıcı Politikası Nasıl Uygulanır

Bu politika ile var olan domain yapısında domaine alınmış istemciler üzerinde lokal admin dışında domain kullanıcılara ve lokalde açılmış/oluşturulmuş yetkisiz kullanıcılara admin yetkisi verilebilmektedir.

Öncelikle nasıl politika oluşturacağımıza bakalım:

Image description

Domain Eklentimiz ile karşımıza çıkan ekrandan Nesne Ekle butonuna tıkladığımızda bizi karşılayan seçim ekranından tip bölümünü Politika seçerek politikamıza isim vererek Ekle butonuna bastığımızda politikamız eklenmiş olacaktır.

Image description

Politikaları görüntülediğimizde eklediğimiz politikayı görebiliriz.

Image description

NOT: Politikanızı nerede oluşturmak istiyorsanız o bölümün üstüne tıkladıktan sonra nesne oluşturma işleminizi yapınız.

Image description

Örneğin bu örnekte politikanız Kullanıcılar altında oluşacaktır.

Politika Ayarları

Politika Değerleri

Oluşturduğumuz politikayı açtığımızda karşılaştığımız başlıklar:
Detaylar: Politikamızın adı, oluşturma tarihi, versiyonu, ID bilgisi gibi temel bilgiler bizi karşılamaktadır.
Uygulanan Politikalar: Makine ve Kullanıcı bazında uygulanan politikalar sergilenmektedir.
Kullanıcı: Kullanıcı bazında politikaları yönetebileceğimiz alan bu kısımda yer almaktadır.
Makine: Makine bazında politikaları yönetebileceğimiz alan bu kısımda yer almaktadır.
Filtreleme: Oluşturduğumuz politikamızın hangi kullanıcılarda veya gruplar uygulanmasını ya da uygulanmamasını seçebildiğimiz alandır.

Image description

Yetkili Kullanıcı politikası oluşturmak için de şu adımları izleyebiliriz:

Image description

Yetkili Kullanıcı politika ekranı şu şekildedir:

Image description

1. Kullanıcı Ekleme Bölümü:

Kullanıcı Adı: Domain veya lokal ortamda oluşturulmuş kullanıcı adı girilir.
Hostname Kısıtlaması: Kullanıcının sudo yetkisine sahip olacağı cihazların hostname listesini belirleyin. Birden fazla hostname için virgülle ayırma yöntemi kullanılabilir. Bu alan boş bırakıldığında, kısıtlama uygulanmaz.
Sona Erme Tarihi: Kullanıcının sudo yetkisinin sona ereceği tarih. Bu tarih belirtilmezse, politika süresiz olarak geçerli olur.

2. Grup Ekleme Bölümü:

Grup Adı: Domain veya lokal ortamda oluşturulmuş güvenlik grubunun adı girilir.
Hostname Kısıtlaması: Grubun sudo yetkisine sahip olacağı cihazların hostname listesini belirleyin. Birden fazla hostname için virgülle ayırma yöntemi kullanılabilir. Bu alan boş bırakıldığında, kısıtlama uygulanmaz.

3. Komut İçin İzin Verme Bölümü:

Kullanıcı Adı: Domain veya lokal ortamda oluşturulmuş kullanıcı adı girilir. Birden fazla kullanıcı için virgülle ayırma yöntemi kullanılabilir, tüm kullanıcılar için 'all' yazılabilir.
Grup Adı: Domain veya lokal ortamda oluşturulmuş güvenlik grubu adı girilir. Birden fazla grup için virgülle ayırma yöntemi kullanılabilir, tüm gruplar için 'all' yazılabilir.
Komut: İzin verilecek komut girilir.
Parola Kullanımı: Bu komutun parolasız çalıştırılıp çalıştırılmayacağını belirtin (Evet/Hayır).

Politika Çalışması ve Kontrolü

Yetkili Kullanıcı politikası ile oluşturacağımız senaryolar Pardus 23 üzerinde test edilmiştir.

1. Domain Kullanıcısına Admin Yetkisi Vermek

Öncelikle kullancımızın sudo yetkisine sahip olmadığını doğrulayalım:

  • limanmys bu örneğimizde kullanıcı olarak oluşturulmuştur.

Image description

Image description

Şimdi politikamızı Yetkili Kullanıcı seçeneğini seçerek admin yetkisi vermek istediğimiz domain kullanıcının kullanıcı adını, isteğe göre hostname bilgisini ve isteğe göre sona erme tarihini belirtebiliriz.

Image description

Sonrasında limanmys kullancısı ile giriş yaptığımız Pardus makinamız üzerinde gpupdate -v komutu ile politikamızı tetikliyoruz.

Image description

Hem kullancının sudo yetkisini test ederek hem de /etc/sudoers.d/domainadmins da gördüğümüzde politikamızın çalıştığından emin olabiliriz.

Image description

Image description

2. Domain Yapısında Bulunan Gruba Admin Yetkisi Vermek

Security grubumuza yetki vermeden önce bu grubun altında olan kullancımızın sudo yetkisi olmadığını doğrulayalım:

  • client01 bu örneğimizde kullanıcı olarak oluşturulmuştur.

Image description

Image description

Şimdi politikamızı Yetkili Kullanıcı seçeneğini seçerek admin yetkisi vermek istediğimiz domain grubunun adını, isteğe göre hostname bilgisini ve isteğe göre sona erme tarihini belirtebiliriz.

Image description

Sonrasında grubumuzun üyesi olan kullanıcı ile giriş yaptığımız Pardus makinamız üzerinde gpupdate -v komutu ile politikamızı tetikliyoruz.

Image description

Hem kullancının sudo yetkisini test ederek hem de /etc/sudoers.d/domainadmins da gördüğümüzde politikamızın çalıştığından emin olabiliriz.

Image description

Image description

3. Lokalde Oluşturulmuş Kullanıcıya Admin Yetkisi Vermek

Öncelikle kullancımızı oluşturup sudo yetkisine sahip olmadığını doğrulayalım:

  • pardus2 bu örneğimizde local kullanıcı olarak oluşturulmuştur.

Image description

Image description

Image description

Şimdi politikamızı Yetkili Kullanıcı seçeneğini seçerek admin yetkisi vermek istediğimiz domain grubunun adını, isteğe göre hostname bilgisini ve isteğe göre sona erme tarihini belirtebiliriz.

Image description

Sonrasında grubumuzun üyesi olan kullanıcı ile giriş yaptığımız Pardus makinamız üzerinde gpupdate -v komutu ile politikamızı tetikliyoruz.

Image description

Hem kullancının sudo yetkisini test ederek hem de /etc/sudoers.d/domainadmins da gördüğümüzde politikamızın çalıştığından emin olabiliriz.

Image description

Image description

4. Lokalde Oluşturulan Gruba Admin Yetkisi Vermek

Kullanıcımızı ve grubumuzu oluşturup lokaldeki grubumuza yetki vermeden önce bu grubun altında olan kullancımızın sudo yetkisi olmadığını doğrulayalım:

Image description

Image description

Image description

Şimdi politikamızı Yetkili Kullanıcı seçeneğini seçerek admin yetkisi vermek istediğimiz grubun adını, isteğe göre hostname bilgisini ve isteğe göre sona erme tarihini belirtebiliriz.

Image description

Bu kısımda pardus3 grubu pardus3 kullanıcısı oluştuğunda oluşmuş olan grup adıdır.

Pardus makinamız üzerinde gpupdate -v komutu ile politikamızı tetikliyoruz.

Image description

5. Domain Yapısında Grup Yetkilendirmesi

İç içe olan grupların yetkilendirme aşamasıdır. Örnek yapı şu şekildedir:

Image description

client01 ve cleint03 = kullanıcı
MainGroup ve AltGroup = Security Group

Gruplar ve kullanıcılar için şu şekilde çıktılar elde ederiz:

Image description

Alt grubumuzdaki kullanıcının politika oluşturmadan önce yetkisi olmadığını doğrulayalım:

Image description

Politikamızı üst gruba yetki vererek gerçekleştiririz.

Image description

Sonrasında grubumuzun üyesi olan kullanıcı ile giriş yaptığımız Pardus makinamız üzerinde gpupdate -v komutu ile politikamızı tetikliyoruz.

Image description

/etc/sudoers.d/domainadmins da gördüğümüzde politikamızın çalıştığından emin olabiliriz.

Image description

NOT:Politikamızı test etmek için yani alt gruptaki kullanıcımızın yetkilendiğinin kontrol edilmesi için lütfen login/logout işleminizi gerçekleştiriniz.

6. Komut İçin İzin Verilmesi

Belirli bir komut bazında yetkilendirme yapabilirsiniz.

Image description

Kullanıcı Adı: Domainde oluşturulmuş kullanıcı adı girilir.
Grup Adı: Domainde oluşturulmuş grup adı girilir.
Komut: İzin verilecek komut girilir,
Bu Komutu Parolasız Çalıştırmaya İzin Ver: İsteğe göre komutu parolasız çalıştırma izni verilir.
Hostname Kısıtlaması: İzin verilen komutun hangi makine/makinelerde uygulanacağı seçilir.
Sona Erme Tarihi: Yetkinin sona erme tarihi girilir. Boş bırakıldığında politikanın etkisi hiçbir zaman bitmez.

Öncesinde kullanici1 kullanıcısının cat komutu yetkisi test edilir:

Image description

Şimdi politikamızı oluşturup uygulayalım:

Image description

Sonrasında kullanici1 üyesi olan kullanıcı ile giriş yaptığımız Pardus makinamız üzerinde gpupdate -v komutu ile politikamızı tetikliyoruz.

Image description

cat komutumuzun çalıştığnı da gördüğümüzde politikamızın çalıştığından emin olabiliriz.

Image description

NOT: '*' olmadığında komutun birebir aynı yazılması gerekir. Aynı işlem kullanıcı yerine gruba vermek istenilirse aynı bölümündeki Kullanıcı Adı yerine Grup Adı kısmına domainde oluşturulmuş grup adı girilir.

Sudo Kerberos Desteği

Evet/Hayır seçenekleri ile Kerberos sudo desteğini yönetebilirsiniz.

Image description

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .