6   Merkezi Yönetim ve Kimlik Yönetim Sistemleri(MYS)

6.1   Merkezi Yönetim Sistemi Neden Gereklidir?

Dönüşüm kararı veren kurumların en önemli ihtiyaçlarından biri de kurum bünyesinde bulunan kullanıcıların, istemcilerin merkezi olarak yönetilmesidir. Kurum etki alanında bulunan tüm kullanıcıların tek bir noktadan merkezi olarak yönetilmesi ayrıca tüm istemcilerin takibi ve yönetilmesi hem güvenlik hem de sürdürülebilirlik açısından önemlidir.

Kurum bünyesinde bulunan kullanıcılar merkezi olarak ;

  • Ekleme, düzenleme, silme,
  • Sorgulama,
  • Gruplayabilme,
  • Parola yönetimi,
  • Politika atayabilme gibi yönetimsel faaliyetler içermektedir.

Ayrıca tüm kullanıcıların kurum bünyesinde bulunan tüm istemcilere giriş yapabilme ve kulanıcılara tanımlanan politikalar sayesinde kullanıcı yetkilendirilmesi yapılabilmektedir. Bu sayede istemciler kullanıcı grupları sayesinde yetkilendirilebilir ve kullanıcı kısıtlamaları yapılmaktadır.

Kullanıcı yönetimi senaryosu aşağıdaki gibi olabilmektedir;

  • Kullanıcılar, merkezi olarak tanımlanır.
  • Kullanıcılar sorgulanabilir düzenlenebilir ve silinebilirler.
  • Kullanıcılar gruplanabilir.
  • Merkezi olarak tanımlanan kullanıcılar, merkezi sisteme dahil olan istemcilere yetki dahilinde giriş yapabilirler.
  • Kullanıcı parola politikaları sayesinde parola güvenliği oluşturulur.
  • İzin yapı tabanlı altyapı sayesinde izin verilen görevler istemcilerde gerçekleştirilebilir.
  • Kullanıcılara politika göndermek sureti ile istenilen konfigürasyonda kullanıcı yönetimi gerçekleştirilebilir.
  • Kurumda bulunan mevcut kullanıcıları sisteme entegre etmek için, kurum kapsamında bulunan dizin hizmetleri ile SAMBADC veya ENGEREK entegrasyon yöntemleri kullanılarak var olan kullanıcılar sisteme entegre edilebilir.

Kurum bünyesinde bulunan istemciler merkezi olarak;

  • Merkezi sisteme kayıt,
  • Sorgulama,
  • Gruplayabilme,
  • Envanter Bilgisi,
  • Durum Bilgisi,
  • İzlenebilme,
  • Uzak Erişim,
  • Görev gönderme,
  • Politika tanımlama gibi yönetimsel faaliyetler,
  • İstemciler tek bir noktadan izlenebilmeli, denetlenmeli güvenlik ve erişim politikaları sayesinde yönetilebilmelidir.

İstemci yönetimi senaryosu aşağıdaki gibi olabilmektedir;

  • İstemciler MYS sistemine dahil edilir.
  • İstemciler gruplanabilir.
  • İstemci gruplarına ya da tek tek istemciye görev gönderilir.
  • İstemci gruplarına politika tanımlanabilir.
  • İstemcilerin anlık durumları izlenebilir.
  • İstemcilere giriş yapan kullanıcıların giriş durumları izlenebilir.
  • Zamanlanmış görev yapısı sayesinde istemcilere istenilen zamanda görev gönderebilme.
  • Kapalı olan istemcilere görev gönderebilme.

6.2   Liderahenk Nedir?

Kurumsal ağ üzerindeki istemcileri ve kullanıcıları merkezden yönetebilmeyi, izlemeyi ve denetlemeyi sağlayan, açık kaynak kodlu bir yazılım sistemidir. Kurum bünyesinde açık kaynak kodlu işletim sistemi Linux/Pardus ile birlikte Windows tabanlı işletim sistemlerini (Windows Ajan) sorunsuz ve güvenli bir şekilde yönetilebilmektedir. Açık kaynak kodlu olması ve tamamen TÜBİTAK ULAKBİM tarafından geliştirilmesi sayesinde ücretsiz lisanslanmaktadır.

XMPP teknolojisi sayesinde yüksek sayıda eşzamanlı ve hızlı istemci yönetimi ve LDAP teknolojisi sayesinde sınırsız sayıda kullanıcı yönetimi yapılabilmektedir. Yatayda büyüme teknolojisi sayesinde (Cluster yapıda ) etkin kaynak yönetimi sağlanmaktadır. Sistem bünyesinde kullanılan veri iletişimi özel anahtarlarla ve şifreli kanal üzerinden yapılarak güvenli iletişim sağlanır. Lider MYS Samba 4 ve Samba DC entegrasyonu sayesinde AD entegrasyonu sağlanmaktadır.Bu sayede kurumların hali hazırda olan kullanıcı ve grup politikaları ile kullanılabilmektedir.

Engerek Kimlik Yönetim Sistemi entegrasyonu ile AD–OpenLDAP arasında kullanıcı senkronizasyonu yapılabilmektedir. Bu sayede Liderahenk‘ e eklenen kullanıcının AD hesabı da otomatik olarak açılabilmektedir.

  • Kurum bünyesinde bulunan debian tabanlı açık kaynak kodlu işletim sistemleri ile windows işletim sistemleri ajanlar vasıtasıyla yönetilmektedir.
  • Kurum bünyesinde bulunan tüm kullanıcı yönetim süreçleri, izin tabanlı yapı sayesinde kullanıcı kısıtlamaları ve kullanıcı politikaları tek merkezden yönetilebilmektedir.
  • Gruplama yapısı sayesinde kurum bünyesindeki donanımlar istemciler ve sunucular ile kullanıcılar gruplanabilir. Bu gruplara eş zamanlı görevler ve politikalar gönderilebilmektedir.
  • Çevrimdışı çalışabilme özelliği sayesinde kapalı olan çevrimdışı istemcilere görev ve politika gönderilebilmektedir.
  • Zamanlanmış görev yapısı sayesinde istemcilere zamanlanmış görev gönderilebilmektedir.
  • İstemcilerin anlık durumunu görebilmek mümkündür.(online/offline)
  • Eklenti yapısı sayesinde kuruma özel iyileştirme ve özelleştirmeler yapılabilmektedir.
  • Kolay Kurulum Uygulaması ile 1000 kullanıcıya kadar olan kurumlarda yaklaşık 6 dakika içerisinde tüm Liderahenk bileşenleri kurulabilmektedir.
Liderahenk bileşenleri

Şekil: Liderahenk Bileşenleri

6.2.1   Eklentiler

Liderahenk’in en temel eklentileri aşağıda tanımlanmıştır.

Betik: Özel olarak yazılmış betik dosyalarının Ahenk istemcilerde çalıştırılmasını sağlamaktadır.

Uzak Masaüstü: İstenilen istemciye uzaktan erişim yapılarak anlık olarak destek sağlanabilmektedir.

Uygulama(Paket) Yönetimi: Ahenk istemcilerinde paket kontrolü, paket yükleme-kaldırma, depo ekleme gibi paket işlemleri ile ilgili temel görevleri yerine getirmektedir.

Kaynak Kullanımı: Ahenk istemcilerdeki kaynakların anlık kullanımına dair kullanıcıya bilgi vermektedir.

Servis Yönetimi: Ahenk istemci/sunucu makinesinde var olan servisleri yönetmesini sağlamaktadır.

Tarayıcı Yönetimi: İnternet tarayıcısının ayarlarını güncellemeyi ve özelleştirmeyi sağlamaktadır.

USB Yönetimi: USB modülleri ve aygıtları üzerindeki izinleri düzenler. İlgili Ahenk istemcisi üzerinde web kamerası, yazıcı, USB bellek ve fare-klavye izinlerini düzenlenmektedir.

6.2.2   Ahenk MYS Etki Alanına Dahil

Lider/Ahenk kullanmaya karar veren bir kurumda, yaygınlaştırma öncesi planlanması gereken hususlardan biri de Pardus istemcilere Ahenk ajanının kurulması ve yapılandırılmasıdır. Bu iş, uygulanan yaygınlaştırma yöntemine göre farklı şekillerde gerçekleştirilebilir. Aşağıda, yaygınlaştırma yöntemleri gösterilmektedir.

Liderahenk yaygınlaştırma yöntemleri

Şekil: Liderahenk Yaygınlaştırma Yöntemleri

6.3   Kimlik Yönetim Sistemi Neden Gereklidir?

Kamu kurumları, üniversiteler, büyük ticari kurumlarda genel olarak, BT sistemlerindeki kullanıcı hesaplarının yönetilmesi, sistemlerdeki yetki-rollerin doğru ve zamanında tanımlanması, emeklilik, ayrılma, tayin-terfi durumlarında hesapların kapatılması veya eski yetkilerin kaldırılması, şifrelerin yöneticiler tarafından belirlenmesi ve bilinmesi, yetkilerin ve hesaplar üzerindeki hareketlerin denetlenemez olması gibi ciddi sorunlar yaşanmaktadır. Bu tarz durumlar, ciddi veri sızıntılarına yol açabilmektedir. Kimlik Yönetim sistemi ile kullanıcı hesaplarının yönetimi, merkezi ve daha güvenli hale getirilerek güvenliğin artırılması, yukarıdaki sorunların çözümlenmesi, zaman ve iş gücü maliyetlerinin azaltılması mümkün olmaktadır.

Kimlik Yönetimindeki Zorluklar

  • Yönetim sorunları: Çok çeşitli BT uygulamaları, birden fazla rol ve kullanıcıların olması yönetimi oldukça zor hale getirmektedir.
  • Güvenlik sorunları: Yönetimin zorluğu güvenlik açıklarına yol açabiliyor. Örneğin, kaçak hesaplar oluşabilmektedir.
  • Karmaşıklık: Birden fazla uygulamayı yönetmek oldukça karmaşık hal almaktadır.
  • Verimsizlik: Kimliklerin yönetimi oldukça verimsiz ve zaman kaybına yol açan bir hale gelebilmektedir.
  • Kullanıcı açısından sorunlar: Yeni bir çalışan işe başladığında bir anda birden fazla hesap açmak zorunda kalınmaktadır. Bunları tek bir merkezden ve self servis olarak yapamıyor olunması bu durumu oldukça zorlaştırmaktadır.
  • Yasal uyumluluk sorunları: Kimlik yönetiminin yasalara uygun bir şekilde idare ediliyor olması gerekmektedir.

LiderrAhenk ile detaylı dokümantasyona https://docs.liderahenk.org/ ‘dan ulaşabilirsiniz.

6.4   Engerek Nedir?

Engerek, Web tabanlı geliştirilmiş bir kimlik yönetim sistemidir. Java programlama dili ile geliştirilmiştir. Temel hedefi kurum kullanıcılarını ve hesaplarını merkezden yönetmektir. Açık kaynaklı olarak geliştirilmiştir. Tomcat uygulama sunucusu üzerinde çalışmakta, kimlik deposu olarak MariaDB / MySQL / PostgreSQL veritabanlarını desteklemektedir.

Hesap yönetimi yapmak üzere, OpenLDAP gibi dizin sistemleri, MS Active Directory / MS Exchange, MariaDB / MySQL / PostgreSQL veritabanları, özel veritabanı tabloları, Pardus da dahil olmak üzere Linux işletim sistemleri için bağlayıcılar sağlanmıştır. Engerek içerisinde diğer BT sistemleri ile entegrasyon için hazır konnektörler bulunmaktadır. Bu sayede BT uygulamalarını kolay bir şekilde EnGerek’e entegre ederek kullanıcılar yönetilebilmektedir.

EnGerek ile kullanıcı hesapları yönetimi ve şifre yönetimi yapılmaktadır. Şifre politikaları tanımlayabilmek mümkündür. Örneğin 5 karakter, içinde 3 adet nümerik bulunsun ve diğerleri sadece harf olsun gibi bir şifre politikası tanımlanabilmektedir. Ayrıca, kullanıcıların şifrelerini unutmaları durumunda şifrelerini yenileyebilecekleri bir self servis arayüz de EnGerek içerisinde mevcuttur.

EnGerek ile görevler ayrılığı ilkesi çerçevesinde iş akışları tanımlanabilmektedir. Bu iş akışları sayesinde kullanıcıların self servis olarak kendine rol veya hesap istemesini olanaklı hale getirilebilir. Kullanıcı kendi ara yüzünden hesap veya rol isteyebilmekte ve gerekli onay noktalarından geçtikten sonra istediği rol ve hesaba sahip olabiliyor. Ayrıca, yine görevler ayrılığına bağlı kalarak roller arasında ilişkiler kurulabilmektedir. Örneğin, A rolünü alan bir kullanıcı B rolünü alamaz şeklinde kurallar tanımlayarak kullanıcıların istenmeyen rolleri almasına engel olunabilmektedir.

EnGerek ayrıca bir XML editörü içerisinde barındırıyor. Bu editörü kullanarak EnGerek’e yeni kaynaklar tanımlanabilir, iş akışları tanımlanabilir, zamanlanmış görevler düzenlenebilir, rapor şablonları hazırlanabilir durumdadır.

EnGerek sisteminin, kullanıcı ve sistem türü ve sayısının yüksek olduğu tüm özel şirket, kamu kurumu ve üniversitelerde uygulanması hedeflenmektedir. Bu kurumlarda, yukarıda sorunların ve etkilerinin en aza indirilmesi, BT hesapları için gerekli verilerin bir personel yönetim sisteminden alınması halinde veri giriş tekrarlarının engellenmesi, yeni çalışanlar için hesap açılma süresinin kısaltılması, ayrılan personelin tüm hesaplarının zamanında kapatılması, uzun süreli izin gibi durumlarda personelin tüm hesaplarının pasife çekilip izin dönüşü tekrar hemen aktif yapılması, tayin / terfi nedeni ile veya organizasyon, ünvan ve diğer bilgi değişikliklerini tüm hesaplara doğru olarak yansıtılması, kullanıcıların şifrelerini unutması durumunda kendilerinin şifre sıfırlaması ve ayrıca dönemsel veya anlık olarak izleme / denetleme yeteneklerinin artırılması mümkün olmaktadır.

Neden Engerek?
  • Açık kaynak kodludur.
  • Lisans ücreti yoktur.
  • Basit bir kullanıma sahip, karmaşık değildir.
  • Hazır konnektörleri içinde barındırmaktadır.
  • Yerel destek mevcuttur.