Forem: Salih Su

Pardus üzerinde .VDI dosyasının qcow2'ye çevrilmesi

Salih Su — Sat, 28 May 2022 20:04:33 +0000

VDI (Virtual desktop infrastructure - Sanal masaüstü altyapısı)

VDI, merkezi bir sunucu üzerinde çalışan bir sanal makine içinde bir masaüstü işletim sisteminin barındırılması süreci olarak tanımlanır. VDI, bazen sunucu tabanlı bilgi işlem olarak adlandırılan, istemci/sunucu bilgi işlem modelinin bir varyasyonudur.

QCOW2

QCOW2, sanal diskler için bir depolama biçimidir. QCOW, QEMU yazma üzerine kopyalama anlamına gelir. QCOW2 formatı, mantıksal ve fiziksel bloklar arasında bir eşleme ekleyerek fiziksel depolama katmanını sanal katmandan ayırır.

VDI'yın Qcow2'ya Çevrilmesi

Dönüşümde kullanmak için qemu ve kvm paketleri kurulmalıdır.

sudo apt-get -y install qemu-kvm virtinst bridge-utils

Vdi görüntü dosyasını içeren dizine gidilir.

Qemu kullanılarak vdi qcow2 formatına dönüştürülür. Temel olarak yapılan işlem, vdi'yi ham disk görüntülerine dönüştürmektir.

qemu-img convert -f vdi -O qcow2 oraclelinux01.vdi oraclelinux01.qcow2

Liman MYS'de Ansible eklentisi ile nginx kurulumu

Salih Su — Fri, 07 Jan 2022 11:12:07 +0000

Ansible eklentisi ile NGINX'in kurulumunu ve Ansible playbook'un nasıl yazılacağını inceleyeceğiz.
Başlamadan önce, Liman'a Ansible eklentisini eklemiş olmamız gerekir.

Ansible eklentisinin kurulum için:
https://dev.to/liman/ansible-yonetim-eklentisi-4ina

Ansible eklentisini başarılı bir şekilde eklediysek nginx kurmaya başlayalım.

1) Playbook Oluşturma

Playbook'lar, Ansible'ın yapılandırma, dağıtım ve düzenleme işlevlerini kaydeder ve yürütür. Uzak sistemlerimizin uygulamasını istediğiniz bir politikayı veya genel bir BT sürecindeki bir dizi adımı tanımlayabilirler.

Playbook sekmesinden "Dosya Oluştur" diyoruz

Dosya Adı: Oluşturacağımız playbook dosyasının ismini giriyoruz.

Dosya İçeriği: Oluşturacağımız playbook dosyasının içeriğini giriyoruz.

- hosts: all
  become: yes
  tasks:
    - name: ensure nginx is at the latest version
      apt: name=nginx state=latest
    - name: start nginx
      service:
        name: nginx
        state: started

2) Hosts Ayarları

Ansible, envanter olarak bilinen bir liste veya listeler grubu kullanarak aynı anda altyapıdaki birden çok yönetilen düğüme veya "ana bilgisayara" karşı çalışır. Envanter Ansible'ın karşı karşıya gelmesini istediğimiz ana bilgisayarları veya grupları seçmek için kullanılır.

Hosts sekmesinde Grup Ekle diyoruz

Clientlarımızı ekleyeceğimiz bir grup adı ekliyoruz.

Daha sonra hosts sekmesinde eklediğimiz grup gözükecektir. Üzerine tıklayıp Client Ekle diyoruz ve client bilgilerini giriyoruz.

3) Playbook Çalıştırma

Playbook sekmesinde oluşturduğumuz playbook'un üzerine tıklayıp çalıştırabiliriz veya sağ tıklayıp görüntüleme, düzenleme, çalıştırma ve silme gibi diğer fonksiyonları da kullanabiliriz.

Playbooku çalıştır dedikten sonra playbooku uygulayacağımız hosts grubunu ve sudo şifresini girip çalıştır diyoruz.

İsteğe bağlı olarak log kaydedilebilir.

Client üzerinden nginx'in yüklendiğini ve aktif olduğunu görüntüleyebiliriz.

Yetkili Kullanıcı Politikası, Domain Kullanıcılarına Yalnızca Kendi Makinelerinde Yetki Verme

Salih Su — Fri, 26 Nov 2021 12:05:34 +0000

Kullanıcılara kendi makinelerinde yetki verilmesi 2 şekilde yapılabilir.

1- Her kullanıcının yalnızca kendi makinesinde tam yetki verilmesi

Liman MYS arayüzünden politikalar arayüzüne gidilir;
Liman MYS'de Domain Eklentisindeki LDAP OU'sundan politika oluşturulan OU seçilir ve Obje Türünden Politikalara tıklanır

Politikalar listesinden ilgili politikası tıklanır;

Açılan pencerede "Makine" seçilir ve "Tümü" üzerine tıklanıp Yetkili Kullanıcı seçilir.

Kullanıcı Ekle bölümünde;

KULLANICI ADI, domainde oluşturulmuş kullanıcı adı girilir,
HOSTNAME KISITLAMASI, yetkinin verileceği makine/makineler seçilir,
SONA ERME TARİHİ, yetkinin sona erme tarihi girilir. Boş bırakıldığında politikanın etkisi hiçbir zaman bitmez.

Girilen veriler sonrasında;

kullanici1 adlı kullanıcının sadece "cl01" adlı makinede ve kullanici2 adlı kullanıcının sadece "cl02" adlı makinede tam yetkiye sahip olacaktır. Aynı işlem kullanıcı yerine gruba vermek istenilirse "Grup Ekle" bölümüne gidilip GRUP ADI kısmına domainde oluşturulmuş grup adı ve HOSTNAME KISITLAMASI kısmınıda yetkinin verileceği makine/makineler girilir.

2- Her kullanıcının yalnızca kendi makinesinde kısıtlı komut çalıştırabilmesi

Yetkili Kullanıcıdan Komut için izin ver bölümünde;

KULLANICI ADI, domainde oluşturulmuş kullanıcı adı girilir,
GRUP ADI, domainde oluşturulmuş grup adı girilir,
KOMUT, izin verilecek komut girilir,
BU KOMUTU PAROLASIZ ÇALIŞTIRMAYA İZİN VER, isteğe göre komutu parolasız çalıştırma izni verilir,
HOSTNAME KISITLAMASI, izin verilen komutun hangi makine/makinelerde uygulanacağı seçilir,
SONA ERME TARİHİ, yetkinin sona erme tarihi girilir. Boş bırakıldığında politikanın etkisi hiçbir zaman bitmez.

Girilen veriler sonrasında;

"kullanici1" adlı kullanıcı sadece "cl01" adlı makinede '*' ile eşleşen php modüllerini yükleme yetkisine sahip olacaktır. '*' olmadığında komutun birebir aynı yazılması gerekir. Aynı işlem kullanıcı yerine gruba vermek istenilirse aynı bölümündeki KULLANICI ADI yerine GRUP ADI kısmına domainde oluşturulmuş grup adı girilir.

Samba Dosya Paylaşım Temel Kavramlar

Salih Su — Fri, 05 Nov 2021 06:59:38 +0000

CIFS dosya paylaşımları oluşturun ve yapılandırın

CIFS (Common Internet File System)

CIFS, bilgisayar kullanıcılarının kurumsal intranetler ve İnternet üzerinden dosya paylaşmalarının standart yoludur. Kullanıcılara Linux'ler ve Windows tabanlı istemciler arasında sorunsuz dosya ve yazıcı servislerinin birlikte çalışabilirliğini sağlar.

CIFS Kullanarak Linux'ta Windows Share Nasıl Oluşturulur

Windows paylaşımlarının Linux sistemlerinde nasıl oluşturulacağını açıklayacağım.

1.CIFS Yardımcı Program Paketlerini Yükleme

Linux sistemine bir Windows paylaşımı eklemek için önce CIFS yardımcı program paketlerini yüklememiz gerekir.

sudo apt update 
sudo apt install cifs-utils

2.CIFS Windows Paylaşımını Oluşturma

Windows paylaşımının bağlanması, normal dosya sistemlerinin bağlanmasına benzer.

İlk olarak, Windows paylaşımı için bağlama noktası görevi görecek bir dizin oluşturuyoruz.

sudo mkdir /win_paylasim

Paylaşımı bağlamak için aşağıdaki komutu root veya sudo ayrıcalıklarına sahip kullanıcı olarak çalıştırın:

sudo mount -t cifs -o username=<kullanici>,domain=<sunucu> //<win-share-ip>/<paylasim-klasörü> /win_paylasim/

Windows paylaşımının başarıyla bağlandığını doğrulamak için df -h komutunu kullanıyoruz.

Dosyasistemi          Boy  Dolu   Boş Kull% Bağlanılan yer
udev                 979M     0  979M    0% /dev
tmpfs                200M   15M  186M    8% /run
/dev/sda1             31G  2,5G   27G    9% /
tmpfs                998M   16K  998M    1% /dev/shm
tmpfs                5,0M     0  5,0M    0% /run/lock
tmpfs                998M     0  998M    0% /sys/fs/cgroup
tmpfs                200M     0  200M    0% /run/user/1000
//10.154.127.247/ss   32G   19G   13G   60% /win_paylasim**

Paylaşım bağlandıktan sonra, bağlama noktası, bağlanan dosya sisteminin kök dizini olur. Artık Paylaşılan dosyalarla yerel dosyalarmış gibi çalışabiliriz.

3.Otomatik Mount Etme

Paylaşım mount komutuyla manuel olarak bağlandığında, yeniden başlatmanın ardından devam etmez. Sistem başlangıcında nereye ve hangi dosya sisteminin bağlanacağını tanımlayan bir giriş listesi /etc/fstab dosyasında bulunur.

Linux sisteminiz başladığında bir Windows paylaşımını otomatik olarak bağlamak için, /etc/fstab dosyasında bağlamayı tanımlayalım.

/etc/fstab dosyasını metin düzenleyiciyle açıyoruz:

sudo nano /etc/fstab

Dosyaya aşağıdaki satırı ekleyin:

# <file system>   <dir>   <type> <options>  <dump>  <pass>
//win-share-ip/paylasim-klasörü  /win_paylasim  cifs  credentials=/etc/win-credentials,file_mode=0755,dir_mode=0755   0   0

Paylaşımı bağlamak için aşağıdaki komutu çalıştıralım:

sudo mount /win_paylasim

mount komutu, /etc/fstab dosyasının içeriğini okuyacak ve paylaşımı bağlayacaktır. Sistemi yeniden başlattığınızda, Windows paylaşımı otomatik olarak yüklenecektir.

4.Windows Paylaşımını Kaldırma

umount komutu, bağlı dosya sistemini dizin ağacından bağını kaldırır.

Bağlı bir Windows paylaşımını ayırmak için, umount komutunu ve ardından da bağlı olduğu dizini ya da uzak paylaşımını yazıyoruz:

sudo umount /win_paylasim

CIFS bağlamasının fstab dosyasında bir girişi varsa, bu girişleri kaldırıyoruz.

Kerberos

Protokol, adını Yunan mitlerindeki efsanevi üç başlı köpek Kerberos'tan (Cerberus olarak da bilinir), yeraltı dünyasının girişindeki köpek koruyucusundan alır. Kerberos'un üç başı istemciyi, sunucuyu ve Anahtar Dağıtım Merkezi'ni (KDC) temsil eder. Kerberos, client ve server arasında; kdc (key distribution center) dan yardım alarak güvenli bir iletişimin kurulmasını sağlar.

Windows 2000 ve sonrası sürümler kimlik doğrulama metodu olarak Kerberosu kullanmaktadır. Kerberos uygulamaları, Apple OS, FreeBSD, UNIX ve Linux gibi diğer işletim sistemleri için de mevcuttur.

Kerberos'u kullanan kullanıcılar, makineler ve hizmetler, kimlik doğrulama ve bilet verme işlevlerini sağlayan tek bir işlem olarak çalışan Anahtar Dağıtım Merkezine(KDC) bağlıdır. KDC biletleri, tüm taraflara kimlik doğrulaması sunarak düğümlerin kimliklerini güvenli bir şekilde doğrulamasını sağlar. Kerberos kimlik doğrulama işlemi, ağda dolaşan paketlerin okunmasını veya değiştirilmesini engelleyen ve aynı zamanda mesajları gizlice dinleme, oynatma veya yeniden oynatma saldırılarına karşı koruyan geleneksel bir paylaşılan gizli şifreleme kullanır.

Kerberos Protokol Akışı

Kerberos iş akışında yer alan başlıca varlıklar şunlardır:

Client. İstemci, kullanıcı adına hareket eder ve bir hizmet talebi için iletişimi başlatır.
Server. Sunucu, kullanıcının erişmek istediği hizmeti barındırır.
Key Distribution Center (KDC). Kerberos ortamında, kimlik doğrulama sunucusu mantıksal olarak üç bölüme ayrılmıştır: Bir veritabanı (db), Kimlik Doğrulama Sunucusu (AS) ve Bilet Verme Sunucusu (TGS). Bu üç bölüm, sırayla, Anahtar Dağıtım Merkezi adı verilen tek bir sunucuda bulunur.
Authentication Server (AS). Kimlik doğrulama hizmeti, istenen istemci kimlik doğrulamasını gerçekleştirir. Kimlik doğrulama başarılı olursa, AS istemciye TGS adlı bir bilet verir. Bu bilet, diğer sunuculara istemcinin kimliğinin doğrulandığını garanti eder.
Ticket Granting Server (TGS). TGS, hizmet biletlerini hizmet olarak yayınlayan bir uygulama sunucusudur.

Protokol akışı aşağıdaki adımlardan oluşur:

İlk olarak, Kerberos akışında yer alan üç önemli gizli anahtar vardır. İstemci/kullanıcı, TGS ve Kimlik doğrulama sunucu ile paylaşılan sunucu için benzersiz gizli anahtarlar vardır.

1.İstemci kimlik doğrulama ister

Kullanıcı, kimlik doğrulama sunucusundan bir Bilet Verme Bileti (TGT) ister. Bu istek, müşteri kimliğini içerir.

2.Kimlik doğrulama sunucu istemcinin kimlik bilgilerini doğrular

Kimlik doğrulama sunucusu, kullanıcı ve TGS'nin kullanılabilirliği için veritabanını kontrol eder. Her iki değeri de bulursa, kullanıcının parola karmasını kullanarak bir istemci/kullanıcı gizli anahtarı oluşturur.

3.TGT'yi istemciye gönderir

Kimlik doğrulama sunucusu daha sonra TGS gizli anahtarını hesaplar ve istemci/kullanıcı gizli anahtarı tarafından şifrelenmiş bir oturum anahtarı (SK1) oluşturur. Kimlik doğrulama sunucusu daha sonra istemci kimliğini, istemci ağ adresini, zaman damgasını, yaşam süresini ve SK1'i içeren bir TGT oluşturur. TGS gizli anahtarı daha sonra bileti şifreler ve istemciye sunar.

4.İstemci, erişim istemek için TGT'yi kullanır

İstemci mesajın şifresini çözer. Daha sonra çıkarılan TGT'yi ve oluşturulan kimlik doğrulayıcıyı TGS'ye göndererek hizmeti sunan sunucudan bir bilet talep eder.

5.TGS, dosya sunucusu için bir bilet oluşturur

TGS, kimlik doğrulayıcının şifresini çözer ve istemci kimliği ve istemci ağ adresiyle eşleşip eşleşmediğini kontrol eder. TGS, TGT'nin süresinin dolmadığından emin olmak için çıkarılan zaman damgasını da kullanır. İşlem tüm kontrolleri başarılı bir şekilde yürütürse, KDC, istemci ile hedef sunucu arasında paylaşılan bir hizmet oturum anahtarı (SK2) oluşturur.

KDC, istemci kimliği, istemci ağ adresi, zaman damgası ve SK2'yi içeren bir hizmet bileti oluşturur. Bu bilet daha sonra sunucunun db'den alınan gizli anahtarıyla şifrelenir.

6.TGS, SK1 ile şifrelenmiş olan hizmet biletini ve SK2'yi içeren mesajı istemciye iletir.

7.İstemci, kimlik doğrulaması için dosya biletini kullanır

İstemci, SK1'i kullanarak mesajın şifresini çözer ve SK2'yi çıkarır. Bu işlem, istemci ağ adresini, istemci kimliğini ve zaman damgasını içeren, SK2 ile şifrelenmiş yeni bir kimlik doğrulayıcı oluşturur ve hizmet biletini servis sunucuya gönderir.

8.Hedef sunucu şifre çözme ve kimlik doğrulamasını alır

Hedef sunucu, hizmet biletinin şifresini çözmek ve SK2'yi çıkarmak için sunucunun gizli anahtarını kullanır. Sunucu, kimlik doğrulayıcının şifresini çözmek için SK2'yi kullanır ve kimlik doğrulayıcıdan gelen istemci kimliği ve istemci ağ adresinin ve hizmet biletinin eşleştiğinden emin olmak için kontroller gerçekleştirir. Sunucu ayrıca hizmet biletinin süresinin dolup dolmadığını kontrol eder.

Kontroller karşılandığında, hedef sunucu istemciye, istemcinin ve sunucunun birbirini doğruladığını doğrulayan bir mesaj gönderir. Kullanıcı artık güvenli bir oturuma girebilir.

Kerberos kimlik doğrulamasıyla bir Windows paylaşımı bağlayın

Öncelikle gerekli paketleri kuruyoruz

    apt-get install krb5-user krb5-config cifs-utils keyutils

Paketleri kurduktan sonra nano ile /etc/krb5.conf 'un default_realm alanına domainimizi yazıyoruz

[libdefaults]
default_realm = DOMAIN.LAB

Daha sonra sunucudan bir bilet almak için aşağıdaki komutu çalıştırıyoruz. Kullanıcı adı user@DOMAIN biçiminde olmalıdır. Domain adı her zaman BÜYÜK HARFLER olmalıdır.

FQDN(Fully Qualified Domain Name - Tam Nitelikli Alan Adı) denen bu yapıda her alan adı maksimum 63 karakterden oluşabilir ve toplamda da 255 karakteri aşamaz. Alan adı düğümlerin her biri DNS sunucusunda birer dizindir ve en alttan en üste ilerlenecek şekilde birleştirileren okunur.

kinit yourUserName@SUBDOMAIN.DOMAIN.LOCAL

Şimdi sunucudan bir kerberos bileti almış olmalıyız, klist komutu ile kontrol ediyoruz.

test@SalihBilgisayar:~$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: administrator@SALIH.LAB

Valid starting       Expires              Service principal
21-10-2021 07:53:51  21-10-2021 17:53:51  krbtgt/SALIH.LAB@SALIH.LAB
    renew until 22-10-2021 07:53:46

Biletimizin oluştuğunu görebiliyoruz. Bu bilet ile paylaşıma iznimiz varsa, paylaşımı aşağıdaki komut ile mount edebiliriz.

smbclient \\\\subdomain.domain.local\\paylasim-klasörü -k

Domain adı, aldığımız bilet adı ile aynı olmalıdır. Bileti aldığımız domain adından farklı bir ad girdiğimizde aşağıdaki gibi bir hata verecektir.

gensec_spnego_client_negTokenInit_step: gse_krb5: creating NEG_TOKEN_INIT for cifs/salihpc.salih.lab failed (next[(null)]): NT_STATUS_NO_LOGON_SERVERS

Domain adımız, aldığımız bilet ile aynı veya herhangi bir hata yoksa SMB istemcisi (smb: \>) çalışır ve kaynaklara erişebiliriz. Sonrasında klist ile biletimizi tekrar kontrol ettiğimizde cifs bağlantısının biletimize eklendiğini görebiliriz.

test@SalihBilgisayar:~$ klist
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: administrator@SALIH.LAB

Valid starting       Expires              Service principal
21-10-2021 08:27:02  21-10-2021 18:27:02  krbtgt/SALIH.LAB@SALIH.LAB
    renew until 22-10-2021 08:26:59
21-10-2021 08:27:03  21-10-2021 18:27:02  cifs/salihpc.salih.lab@SALIH.LAB

SMB

Sunucu İleti Bloğu (SMB), günümüzün en popüler dosya sunucusu protokollerinden biridir. Düzgün bir şekilde uygulandığında SMB, güvenli, verimli ve ölçeklenebilir ağ kaynağı ve dosya paylaşımı sağlar.

SMB, bir istemci-sunucu modeli kullanan bir ağ dosyası ve kaynak paylaşım protokolüdür. Ağdaki PC'ler gibi SMB istemcileri, dosyalar ve dizinler gibi kaynaklara erişmek veya ağ üzerinden yazdırma gibi görevleri gerçekleştirmek için SMB sunucularına bağlanır.

SMB Client

Bir SMB istemcisi, bir SMB sunucusundaki kaynaklara erişen cihazdır. Örneğin, bir şirket ağı içinde, paylaşılan bir sürücüye erişen kullanıcı bilgisayarları SMB istemcileridir.

İstemciyi çalıştırmak için aşağıdaki komutu çalıştırıyoruz.

smbclient \\\\<win-share-ip>\\<paylasim-klasörü> -U <kullanıcı>%<şifre> -W <sunucu>

İstemci çalıştığında, kullanıcıya smb: \> diye bir bilgi istemi sunulur. ls komutuyla paylaşılan klasör içeriğini görüntüleyebiliriz.

smb: \> ls 
  .                                   D        0  Fri Oct 22 07:53:42 2021
  ..                                  D        0  Fri Oct 22 07:53:42 2021
  file1                               D        0  Tue Oct 19 11:19:22 2021
  file2                               D        0  Tue Oct 19 10:01:25 2021
  New Text Document.txt               A        0  Fri Oct 22 07:53:42 2021
  newfile                             D        0  Wed Oct 20 16:13:50 2021

        8260095 blocks of size 4096. 3329607 blocks available

Sunucuda çalışan tüm komutlar aslında sunucuya bir istek göndererek gerçekleştirilir.

Sık Kullanılan Komutlar

Parametre	Açıklama
cd dizin-adı	Dizin adı belirtilirse, sunucudaki geçerli çalışma dizini belirtilen dizine gider.
ls mask	Sunucudaki geçerli çalışma dizinindeki maskeyle eşleşen dosyaların bir listesini sunucudan alır ve görüntüler.
mkdir dizin-adı	Belirtilen adla sunucuda yeni bir dizin oluşturur.
more dosya adı	Sunucudaki dosyayı alır ve içeriğiyle birlikte görüntüler.
get sunucu-dosya-adı [yerel-dosya-adı]	Sunucu-dosya-adı adlı dosyayı sunucudan istemciyi çalıştıran makineye kopyalar. Belirtilmişse, yerel kopyayı yerel-dosya-adı olarak adlandırır.
put yerel-dosya-adı [sunucu-dosya-adı]	İstemciyi çalıştıran makineden yerel dosyayı sunucuya kopyalar.
lcd [dizin-adı]	Dizin adı belirtilirse, yerel makinedeki geçerli çalışma dizini belirtilen dizinle değiştirilir.
mget mask	Maskeyle eşleşen tüm dosyaları sunucudan istemciyi çalıştıran makineye kopyalar.
mput mask	Yerel makinedeki geçerli çalışma dizinindeki maskeyle eşleşen tüm dosyaları sunucudaki geçerli çalışma dizinine kopyalar.
print dosya-adı	Belirtilen dosyayı, sunucudaki yazdırılabilir bir hizmet aracılığıyla yerel makineden yazdırır.
rm mask	Sunucudaki geçerli çalışma dizininden, maskeyle eşleşen tüm dosyaları kaldırır.
rmdir dizin-adı	Belirtilen dizini sunucudan kaldırır.
del mask	İstemci, sunucudaki geçerli çalışma dizininden maskeyle eşleşen tüm dosyaları siler.
exit	Sunucu ile bağlantıyı sonlandırır ve programdan çıkar.

SAMBA

Samba, birlikte kullanıldığında bir Linux sunucusunun dosya sunumu, kimlik doğrulama/yetkilendirme, ad çözümleme ve yazdırma hizmetleri gibi ağ eylemlerini gerçekleştirmesine izin veren farklı uygulamalar topluluğudur.

CIFS gibi, Samba da Windows istemcilerinin bir Samba sunucusundaki Linux dizinlerine, yazıcılarına ve dosyalarına şeffaf bir şekilde erişmesine izin veren SMB protokolünü uygular.

En önemlisi, Samba, bir Linux sunucusunun Etki Alanı Denetleyicisi olarak hareket etmesine izin verir. Bunu yaparak, Windows etki alanındaki kullanıcı kimlik bilgilerinin yeniden oluşturulması ve ardından Linux sunucusunda manuel olarak eşitlenmesi gerekmeden kullanılabilir. Bu Etki Alanı Denetçisine Windows, Mac ve GNU/Linux sistemler aynı yapılandırma ile erişebilmektedir.

Samba paylaşım erişimi yapılandırma parametrelerini yönetin

Dosya bölümlerden ve parametrelerden oluşur. Bir bölüm, köşeli parantez içindeki bölümün adıyla başlar ve bir sonraki bölüm başlayana kadar devam eder. Bölümler, formun parametrelerini içerir:

[etc/samba/smb.conf]

[paylasim]
path=/home/kullanici_adiniz/paylasim
comment=paylasim dizini
valid users=@admins
invalid users=@kullanici1 @kullanici2
browsable=yes
writeable=yes
read only=no
guest ok=yes

Dosya satır tabanlıdır, yeni satırla sonlandırılan her satır bir yorumu, bölüm adını veya parametreyi temsil eder. Parametrelerde eşittir girişini izleyen değerlerin tümü ya bir dizedir ya da evet/hayır veya doğru/yanlış olarak verilebilen bir booleandır.

Parametre	Açıklama
path	Hizmet kullanıcısına erişim izni verilecek bir dizini belirtir.
comment	Yeni paylaşımla ilişkilendirilecek yorum dizesi
valid users	Bu hizmete giriş yapmasına izin verilen kullanıcıların listesidir.
invalid users	Bu hizmete giriş yapmasına izin verilmemesi gereken kullanıcıların listesidir.
browsable	Bu paylaşımın bir ağ görünümündeki kullanılabilir paylaşımlar listesinde ve göz atma listesinde görünüp görünmeyeceğini kontrol eder.
writeable	Yazma yetkisini kontrol eder.
read only	Sadece okuma yetkisini kontrol eder.
guest ok	Misafir olarak belirlenen kullanıcılara erişim yetkisi verir.

GPO (Group Policy Object) ile Windows sertifikasının dağıtılması

Salih Su — Wed, 27 Oct 2021 06:08:42 +0000

SSL sertifikası, bir web sitesinin kimliğini doğrulayan ve şifreli bir bağlantı sağlayan dijital bir sertifikadır. Web üzerinden bir sunucu ve tarayıcı arasındaki bağlantıyı şifreleyen bir güvenlik protokolüdür.

İnternet bağlantılarını güvenli kılar ve iki sistem arasındaki bilgilerin okumasını ya da değiştirmesini önler.

Şirketler ve kurumlar müşteri bilgilerinin gizliliğini ve güvenliği sağlamak için web sitelerine SSL sertifikaları eklemelidir. Bu veriler adresler, kredi kartı numaraları veya diğer finansal bilgiler gibi hassas olabilecek bilgilerdir.

SSL sertifikası çalışma adımları;

Bir tarayıcı ya da sunucu, SSL ile güvenli hale getirilmiş bir web sunucusuna bağlanma girişiminde bulunur.
Tarayıcı ya da sunucu, web sunucusundan kendisini tanımlamasını ister.
Web sunucusu, yanıt olarak tarayıcı ya da sunucuya SSL sertifikasının bir kopyasını gönderir.
Tarayıcı ya da sunucu, SSL sertifikasına güvenip güvenmediğine karar vermek için sertifikayı kontrol eder. Sertifikaya güvenirse web sunucusuna güvenli olduğuna dair bir sinyal gönderir.
Ardından web sunucusu, SSL şifreli oturum başlatmak için dijital olarak imzalanmış bir onay ile yanıt verir.
Şifreli veriler, tarayıcı veya sunucu ile web sunucusu arasında paylaşılır.

Web sitesi güvenli hale gelmişse URL'de HTTPS kısaltması görünür eğer SSL sertifikası yok ise S harfi olmadan sadece HTTP kısaltması görünür.

Kurumlar kullanıcılarının internet erişimi ve bant genişliğini proxy sistemleri üzerinden geçirerek kontrol eder ve yönetirler. Bu yönetimde http ile çalışan siteler için sorun yoktur ancak https ile çalışan siteler için bir bloklama yada loglama gibi birşey yapılacaksa ilgili proxy ürününün imzalanmış sertifikasının tüm istemcilere manuel olarak yüklenmesi gerekmektedir. Sonrasında proxy ürünü https'li siteleri yönetebilecektir.

GPO (Group Policy Object) ile Windows sertifikasının dağıtılması

İlk önce Windows Server Manager'dan Tools/Group Policy Management'ı açıyoruz.

Daha sonra Domains/domanin-name/Default Domain Policy'ye sağ tıklayıp edit diyoruz.

Computer Configuration altında Policies/Windows Settings/Security Settings/Public Key Policies/Trusted Root Certificate Authorities'e tıklıyoruz ve sağdaki alana sağ tıklayıp Import seçeneğini seçiyoruz.

Pencerede sertifikanın bilgisayar deposuna ekleneceğini görüyoruz. Next diye devam ediyoruz. Sonraki gelen ekranda sertifika dosyasını seçmemizi istiyor, sertifikanın olduğu dosyayı seçip Next diye devam ediyoruz.

Tekrar Next diye devam ediyoruz ve sonraki ekranda bi özet bilgisi geliyor, Finish diyerek bitiriyoruz.

Son adımda işlemin başarılı olduğuna dair bir bilgilendirme kutusu çıkıyor ve sertifikanın GPO içine başarılı bir şekilde eklendiğini görüyoruz.

Kullanıcı bir sonraki oturum açtığında, bu ayarlar uygulanacak ve sertifikaya Internet tarayıcısı tarafından güvenilecektir.

Kullanıcının MMC (Microsoft Yönetim Konsolu) ile sertifikaları görüntülemesi

Windows Çalıştır komut sistemine mmc yazarak Microsoft Yönetim Konsolunu açıyoruz.
Dosya menüsünden Ek bileşenleri Ekle/Kaldır'ı seçiyoruz.
Certificates bileşenini seçip Add diyoruz.
Açılan ekrandan geçerli kullanıcı için Computer Account seçiyoruz ve Next Diyoruz.
Sonraki ekranda Local Computer'ı seçili bırakıp Finish diyoruz ve Ok diyerek ekranı kapatıryoruz.
Sertifikalarımızı görüntülemek için sol kısımdaki Certificates dizinini genişletiyoruz.
Certicates/Trusted Root Certification Authorities/Certificates/ dizinine geldiğimizde sertifikamızı domain ve server adımızla görüntüleyebiliyoruz.