Paper 94

Generated: Tue Feb 17 20:10:05 2004

prev (93) overview next (95)

94 - TitleMerkezi Kullanici Tanima Servisleri
AuthorsMustafa Atakan, ODTU, Bilgi Islem Dairesi Baskanligi
PC MemberNo
Contact personMustafa Atakan, atakan__at__metu.edu.tr, +905336387388
Main Fields6. Üniversite Bilişim Sistemleri
14. Güvenlik
17. Ağ ve Sistem Yönetimi
Other Main Fields
Abstract + KeywordsMERKEZÝ KULLANICI TANIMA SERVÝSLERÝ
Günümüzde bilgisayar aðlarýnýn ve bu aðlar üzerinde çalýsan sunucu sayýsýnýn gittikçe artmasý, internet tabanlý verilen servislerin gittikçe nicelik olarak artmasýna ve nitelik olarak heterojen bir yapýya bürünmesine olanak vermiþtir. Að üzerinde servis veren birçok program, güvenlik kaygýlarýndan dolayý istemci
doðrulama ve yetki verme prosedürlerini doðru uygulamak zorundadýr. Fakat, kullanýlan iþletim sistemlerinin, programlarýn ve protokollerin birbirinden farklý olmasý, homojen bir kullanýcý tanýma yapýsý kurmakta zorluk yaratmaktadýr. Birçok durumda, bir sistem için tanýmlanan kullanýcý, ihtiyaç duyulan diðer sistemlerde de tanýmlanmak zorundadýr. Bu durumda karþýmýza birçok sorun çýkabilir:
a- birden fazla kullanýcý doðrulama sunucu ile ilgilenmek (maintenance cost)
b- deðiþik sistemlerde bulunan kullanýcý þifrelerinin senkron olmasý (update)
b1- sistem yöneticisi hatasýndan kaynaklý olarak herhangi bir sunucuda, kullanýcýya istenmeyen haklar verilmesi
b2- kullanýcýnýn bir sistem üzerinde yaptýðý deðiþikliðin diðer sistemler üzerinde de yapmak zorunda kalmasý
c- istemci ile sunucu arasýndaki iletiþimin güvenli þekilde gerçekleþmesi (ssl)
d- kullanýcýlara ait þifrelerin sistem yöneticisi kontrolünde olmayan baþka platformlara taþýnmasý
e- kullanýcý doðrulama yapan istemcinin, bazý platformlarda kullanýcý þifresini yerel platformda tutmasý
f- kullanýcý doðrulama yapacak sunucunun ölçeklenebilir olmasý
g- uluslararasý standartlara uygun olmasý

Kullanýcý tanýma yapan sistemler düþünüldüðünde, yukarda açýklanan sorunlar göz önünde bulundurulmalýdýr. a, b ve d þýklarýnda açýklanan sorunlar merkezi bir yapý kurmakla çözülebilmesine raðmen, c ve e þýklarýndaki sorunlarýn, istemci üzerindeki yazýlýmlarý da içine alacak þekilde çözülmesi gerekmektedir. f ve e þýklarýndaki sorunlar ise genel anlamda her programda karþýlaþýlabilen problemlerdir ve serbest yazýlýmlar kullanýlarak rahatça çözülebilmektedir.

DÝZÝN SERVÝSÝ ve LDAP PROTOKOLÜ
Kullanýcý þýfrelerinin merkezi bir platformda tutulmasý için veritabaný sistemleri düþünülebilir. Çeþitli alanlarda þu ana kadar tüm ihtiyaçlara cevap veren
bu sistemler, kullanýcý tanýma sürecinde gerekmiyece
k özelliklere sahip olup, ihtiyaç duyulan bazý optimizasyonlari da saðlayamamaktadýr. Veritabaný sistemlerine alternatif olarak dizin yapýsý karþýmýza çýkmaktadýr. Þifreleri bir dizin yapýsý içerisinde tutmanýn birçok faydasý vardýr. Bunlardan bazýlarý:
a- dizin yapýsý içerisindeki bilgiler daðýtýk olarak bulunabilmekte, bu þekilde yük daðýlýmý yapýlabilmektedir. (dns)
b- kullanýcý tanýmaýda "okuma" isteði "yazma" isteðinden çok fazla gerçekleþir. Dizin yapýlarý da bu tür süreçlerde veritabanýna göre çok daha hýzlýdýr.
c- dizin servisi üzerinden kullanýcý tanýma için herkes tarafýndan kabul görmüþ ve üretici-baðýmsýz protokoller mevcuttur. (LDAP)

Kullanýcý þifrelerini saklamak için dizin yapýsýný ve bunlara eriþim protokolü olarak LDAP'i kullanarak merkezi bir kullanýcý tanýma sistemi kurmak mümkündür. TCP/IP üzerinde çalýþan bu protokol sayesinde kullanýcý bilgileri bir aðaç (tree) þeklinde tutulmaktadýr. LDAP protokolünü destekleyen birçok istemci program olduðu gibi, bu protokolü kullanarak yazýlým geliþtirmek için çeþitli platformlar üzerinde çalýþan kütüphaneler de mevcuttur.

ODTÜ'DE KULLANILMASI PLANLANAN SÝSTEM
ODTÜ BÝDB, merkezi kullanýcý tanýma sunucu yazýlýmý olarak openLDAP'i seçmiþtir.Serbest yazýlým olan openLDAP dünya üzerinde birçok kurum tarafýndan kullanýlmakta ve birçok programcý tarafýndan geliþtirilmektedir. Uluslararasý standartlarý (LDAP protokolu) kullanan bu yazýlýmýn kazandýrdýklarýný þu þekilde sýralayabiliriz:
a- deðiþik platformlar (Linux, AIX, solaris, Windows2000/XP, vb...) üzerinde çalýþan ve LDAP protokolü kullanan istemcileri ve kütüphaneleri vardýr.
b- serbest yazýlým olup standartlara uygundur.
c- daðýtýk yapýda çalýþabiliyor olup, yük daðýlýmý yapmaktadýr.
d- birden fazla sunucu üzerinde klonlanabilip, yine yük daðýlýmý yapabilmektedir.
e- istemci ile arasýndaki iletiþimi güvenli (SSL, TLS) yapabilmektedir.
f- kullanýcý tarafýnda herhangi bir þekilde kullanýcý þifresi saklanmamaktadýr.
g- yüksek ölçeklenebilirlik özelliðine sahiptir.

Pilot uygulama olarak, kampüs bilgisayar laboratuvarlarýndaki windows istemcilerin kullanýlmasý planlanmakdýr. Test aþamasýnda oldukça basarýlý sonuçlar vermiþtir.
Remarks

prev (93) overview next (95)

CyberChair Author: Richard van de Stadt  (Borbala Online Conference Services) Development supported by TRESE Copyright © by University of Twente