Herkese merhabalar

Bu makalemizin konusu Exchange 2007 Outlook Web Access (OWA) ile kullanılan kimlik denetleme metotları. Makale süresince kimlik denetleme metotlarından, avantaj ve dezavantajlarından,  yapılandırmaların nasıl yapıldığından bahsediyor olacağım. Böylece OWA ile kullanılan kimlik denetleme metotları hakkındaki temelleri anlamış olacağız. İsterseniz hemen Exchange 2007 OWA ile gelen kimlik denetleme metotlarının ne olduklarından bahsederek makalemize başlayalım.

OWA ile beraber – ki bu hizmeti Client Access Server sunucu veriyor – kutu çözüm olarak iki tür kimlik denetleme metotu geliyor. Bunlar:

1)      Standart kimlik denetleme (3 bağımsız tipte)

2)      Form-tabanlı kimlik denetleme

Not: Bunlar haricinde kullanılabilecek değişik kimlik denetleme yöntemleri de esasında mevcut (ISA Server forms-based authentication, Smart card and certificate authentication, RSASecureID authentication) fakat bunlar yazı konumuzun dışında kalan konular.

Standart metotları şu şekilde sıralayabiliriz; Integrated Windows authentication, Digest authentication, and Basic authentication. Bir veya birkaçı standart metot olarak seçilebilmekte. Eğer birden fazla metot aynı anda seçilirse, Internet Information Services (IIS) servisi en kısıtlayıcı metotu ilk olarak kullanır (IIS servisi OWA’nın kullandığı temel servis). IIS daha sonra uygun kimlik denetleme yöntemlerini, istemci ve sunucu tarafının desteklediği metotu bulana kadar araştırır. Şekil 1, tüm standart kimlik denetleme yöntemlerinin seçildiği bir arayüzü göstermekte (EMC -> Server Configuration -> Client Access -> Outlook Web Acccess field -> owa -> Properties). Standart metot seçildiğinde OWA tarafından  son kullanıcıya doldurabilmesi için bir kullanıcı ismi / şifre pop-up ekranı gösterilir.

Şekil 1: Tüm Standart kimlik denetleme metotları seçili durumda

Form-tabanlı kimlik denetimi OWA için kullanıcı ismi / şifre penceresi yerine, bir oturum açma ekranı oluşturur. Metot kullanıcı oturum açma bilgilerini ve şifre bilgisini cookie’ler sayesinde hafızada tutar. Bu cookie’nin kullanımını takip ederek OWA sunucusu, son kullanıcının özel veya genel bilgisayarlardaki OWA oturumlarını gözlemler. Eğer bir oturum uzun süre aktif kalmazsa, sunucu kullanıcı yeniden oturum açmadan işlem yapmaya izin vermez (Eğer kullanıcı OWA giriş ekranında Bu ortak veya paylaşılmış bir bilgisayardır seçimini yapmışsa varsayılan zaman aşımı süresi 15 dakika, eğer Bu kişiye özel bir bilgisayardır seçimini yapmışsa varsayılan zaman aşımı süresi 12 saattir). Şekil 2, Exchange 2007 OWA için varsayılan Form-tabanlı kimlik denetimi oturum açma ekranını göstermektedir. Exchange 2007 varsayılan kimlik denetimi mekanizması olarak Form-Tabanlı kimlik denetimini kullanmaktadır.

Şekil 2: Form-Tabanlı kimlik denetimi OWA ekranı

Peki standart metotla Form-Tabanlı metot arasında farklar nedir? Kimlik denetimini seçerken hangi faktörler etkili oluyor? Tablo 1 içerisinde iki ayrı kimlik denetleme mekanizması karşılaştırılmaktadır. Burada da görülebileceği gibi, güvenlik kaygısı veya tarayıcı desteği karar verme aşamasında etkin faktörlerdir. Tabloda da açıkça görüldüğü üzere, en güvenlikli metot Form-Tabanlı kimlik denetleme metodudur. Eğer kaygınız güvenlik ise, Form-Tabanlı kimlik denetleme metodunu veya SSL protokolünü kullanmayı tercih etmelisiniz. Fakat web tarayıcısı (ve dolayısıyla hizmet vermek istediğiniz kişi sayısı) sizin için önemliyse, Basic Authentication (Temel Kimlik Denetimi) seçiminiz olmalıdır.

Table 1: Standart ve Form-Tabanlı kimlik denetleme metodu karşılaştırması

Artık tüm bu kimlik denetleme metotlarının ne olduklarını anlatmanın vakti geldi. Standart metotlarla başlayabiliriz.

Entegre Windows Kimlik Denetimi: Bu metot ile yerel ağa bağlanan kullanıcılar herhangi bir kullanıcı ismi / şifre ekranı ile karşılaşmıyorlar fakat metot kullanıcıların geçerli bir Windows 2000x Server kullanıcı ismi ve şifresine sahip olmasını gerektiriyor. Sunucu, istemci bilgisayarda yüklü Windows güvenlik paketleri ile görüşüyor. Entegre Windows Kimlik Denetimi, sunucunun kullanıcıları oturum bilgisi sormadan denetlemesini sağlıyor. Denetleme bilgisi korumalı olmasına rağmen, diğer tüm iletişim (SSL kullanılmadığı sürece) düz metin olarak iletiliyor.

Entegre Windows Kimlik Denetimi sadece Windows işletim sistemi ve Internet Explorer kullanan makinelerde çalışıyor. Entegre Windows Kimlik Denetimi başka Web tarayıcıları ile de çalışabilir fakat bu tarayıcıların kullanıcı bilgilerini istekte bulunan sunucuya gönderebilecek şekilde yapılandırılmaları gerekmekte.

Digest Kimlik Denetimi: Bu metot ile şifreler ağ üzerinde bir hash değeri olarak gönderiliyor. Bu kimlik denetimi sadece Windows Server 200x sunucu etki alanlarında kullanıcı hesabı olan kullanıcılar tarafından kullanılabiliyor. Şekil 3, herhangi bir istemci makinesinin Digest Kimlik Denetimi’ni nasıl yaptığını resmetmekte.

Şekil 3: İstemci makine için Digest Kimlik Denetimi

1) İstemci IIS çalıştıran sunucudan bir dosya isteğinde bulunur (yani CAS sunucudan)

2) Sunucu isteği reddeder ve istemciye şu bilgileri gönderir:

a) Digest Kimlik Denetimi kullanıldığı bilgisi

b) Bölge (Realm) adı bilgisi (örneğin etki alanı ismi)

3) Web tarayıcısı kullanıcıya, kullanıcı ismi / şifre penceresini görüntüler. Daha sonra Bölge Adı ve kullanıcı oturum açma bilgilerini birleştirerek bir MD5 hash değeri oluşturur. IIS sunucusuna isteğini tekrar gönderir fakat bu sefer MD5 hash değeri ile birlikte.

4) IIS sunucu hash değerini alır ve bu değeri değerlendirmesi için etki alanı denetleyicisine yönlendirir.

5) Etki alanı denetleyicisi, IIS sunucuyu kimlik denetleme sonucundan haberdar eder.

6) Eğer istemci denetimden geçerse, IIS istenilen dosyaları istemci makineye gönderir.

Temel Kimlik Denetimi: Bu metot en yaygın olarak kullanılan kimlik denetimi yöntemidir. Kullanıldığında, web tarayıcısı kullanıcıya bir kullanıcı ismi / şifre penceresi görüntüler. Kullanıcının daha önceden tanımlanmış bir Windows hesabı ve şifresi bulunmalıdır. Tarayıcı daha sonra bu kullanıcı kimlik bilgileri ile sunucuya bağlantı kurmaya çalışır. Düz metin halindeki şifre ağ üzerinden gönderilmeden önce Base64 tipinde kodlanır. Tüm prosedür Digest Kimlik denetimiyle hemen hemen aynıdır sadece hash mekanizması bulunmamaktadır. Bu kimlik denetimleri tüm tarayıcılar tarafından desteklenmektedirler fakat SSL kullanılmadığı sürece güvenli değildir.

Standard metotları anlattıktan sonra biraz da Form-Tabanlı kimlik denetiminden bahsedelim:

Form-Tabanlı Kimlik Denetimi: Bu metot bir pop-up pencere görüntüleme yerine OWA için bir açılış sayfası yaratır. Bu açılış sayfası içerisinde ilk kez kullanıcı ismi ve şifre değerleri girildikten ve CAS sunucuya gönderildikten sonra, şifrelenmiş bir cookie yaratılır ve bu cookie ile kullanıcının aktiviteleri izlenmeye baçlanır. Kullanıcı Log Off butonuna bastığında veya tarayıcıyı kapattığında, cookie temizlenir. Kullanıcı oturum açma bilgileri CAS sunucuya sadece ilk oturum açıldığında gönderilir. İlk oturum açma işlemi tamamlandıktan sonra, istemci bilgisayar ve CAS sunucu arasındaki tüm kimlik denetimi işlemi cookie sayesinde yapılır.

Şekil 4’te görüldüğü gibi, Exchange Yöneticisi OWA arayüzünden ne şekilde oturum açılabileceğine karar verebilir. Söylemek istediğim, son kullanıcı oturum bilgisi girişi yaparken üç farklı formattan biriyle giriş yapabilir. Bunlar:

a)      Etki alanı\ kullanıcı ismi: Son kullanıcı kullanıcı ismini örn: mstip\teo formatında yazmalıdır.

b)      Kullanıcı Asıl İsmi (UPN): Son kullanıcı kullanıcı ismini örn: teo@mstip.com formatında yazmalıdır.

c)       Sadece kullanıcı ismi: Son kullanıcı kullanıcı ismini örn: teo formatında yazabilir. Fakat bu formatın çalışabilmesi için Oturum Açma Etki Alanı (Logon Domain) kısmının tanımlanması gereklidir.

Şekil 4: Form-tabanlı kimlik denetimi oturum açma formatları

Kimlik denetimi ile ilgili tüm yapılandırmalar Şekil 4’te de görülebileceği gibi (EMC -> Server Configuration -> Client Access -> Outlook Web Acccess field -> owa -> Properties) kısmından yapılmakta. Fakat aynı zamanda bu ayarlar Exchange Management Shell (EMS) ile de yapılabilir. Tablo 2 yapılandırma ile alakalı komutları özetlemektedir:

Tablo 2: OWA için kimlik denetimi yapılandırması

Set-OwaVirtualDirectory -identity "owa (Default Web Site)" -LogonFormat FullDomain

Set-OwaVirtualDirectory -identity "owa (Default Web Site)" -LogonFormat PrincipalName

Set-OwaVirtualDirectory -identity "owa (Default Web Site)" -LogonFormat UserName -DefaultDomain "<etki_alanı_ismi>"

Değişikliklerin etkin olabilmesi için Internet Information Services (IIS) servisinin iisreset/noforce komutu ile yeniden başlatılması gerekmektedir.

Bu makalenin de sonuna geldik. Exchange 2007’nin son kullanıcılara sunmuş olduğu kimlik denetimi metotlarından bahsetmeye çalıştım. Umarım faydalı olmuştur. Bir dahaki sefere görüşmek üzere.

Ä°lgili Makaleler

1. Exchange 2003′ten Exchange 2007′e GeçiÅŸ – Gün 3
2. OWA Arayüzü Kişiselleştirme (Exchange 2007)
3. Exchange 2010 – Exchange 2003 karışık mimarisinde Outlook Web App EriÅŸimi