Serdar GÜZELDEMİRCİ

Active Directory’de Trust Relationship Mantığı

Kurumsal ortamlarda Active Directory çoğu zaman tek bir domain’den oluşmaz. Büyük organizasyonlarda farklı departmanlar, farklı lokasyonlar veya şirket birleşmeleri sonucunda birden fazla domain yapısı ortaya çıkabilir.

Bu durumda önemli bir soru ortaya çıkar:

Farklı domainlerdeki kullanıcılar birbirine nasıl erişir?

Örneğin bir domain’deki kullanıcı başka bir domain’de bulunan bir dosya sunucusuna erişmek istediğinde sistem bunu nasıl mümkün kılar?

İşte bu noktada devreye Trust Relationship mekanizması girer.

Trust relationship, iki domain veya iki forest arasında kurulan ve bir tarafın diğer tarafın kimlik doğrulamasına güvenmesini sağlayan bir mekanizmadır. Bu sayede farklı domainlerde bulunan kullanıcılar, gerekli izinler verildiğinde başka domainlerdeki kaynaklara erişebilir.

Active Directory mimarisini anlamak için trust ilişkilerinin mantığını kavramak oldukça önemlidir.

Neden Trust Relationship Gerekir?

Küçük organizasyonlarda tek bir domain yapısı genellikle yeterlidir. Ancak büyük ölçekli ortamlarda tek domain kullanmak bazı problemlere yol açabilir.

Bu nedenle organizasyonlar farklı domainler oluşturabilir. Bunun birkaç nedeni vardır:

  • organizasyonel ayrım
  • güvenlik sınırları
  • farklı yönetim ekipleri
  • şirket birleşmeleri veya satın almalar

Örneğin bir şirket düşünelim:

company.local

Bu şirket başka bir firmayı satın aldığında yeni bir domain oluşabilir:

newcompany.local

Bu iki domain varsayılan olarak birbirinden tamamen bağımsızdır. Bir domain’deki kullanıcı diğer domain’deki kaynaklara erişemez.

Bu noktada iki domain arasında bir trust relationship kurulursa, domainler birbirinin kimlik doğrulamasına güvenmeye başlar.

Trust Relationship Nasıl Çalışır?

Trust relationship kurulduğunda bir domain, diğer domainin kullanıcılarını doğrulayabildiğini kabul eder.

Basit bir örnek düşünelim:

Domain A → Domain B

Bu durumda Domain B, Domain A’daki kullanıcıların kimliğine güvenebilir.

Bir kullanıcı Domain A’da oturum açtıktan sonra Domain B’de bulunan bir kaynağa erişmek istediğinde şu süreç gerçekleşir:

  1. Kullanıcı kendi domain controller’ında doğrulanır
  2. Trust ilişkisi sayesinde diğer domain bu doğrulamayı kabul eder
  3. Kullanıcının hedef kaynağa erişim izni kontrol edilir
  4. Eğer gerekli izinler verilmişse erişim sağlanır

Burada kritik bir nokta vardır:

Trust relationship erişim izni vermez.

Trust sadece kimlik doğrulamanın kabul edilmesini sağlar. Kaynağa erişebilmek için ayrıca gerekli izinlerin verilmiş olması gerekir.

One-Way ve Two-Way Trust

Trust ilişkileri farklı şekillerde kurulabilir. En temel ayrım tek yönlü ve çift yönlü trust ilişkileridir.

One-Way Trust

Tek yönlü trust’ta güven sadece bir yöndedir.

Domain A → Domain B

Bu durumda Domain B, Domain A kullanıcılarına güvenebilir.
Ancak Domain A, Domain B kullanıcılarına güvenmez.

Bu yapı genellikle belirli kaynakların tek yönlü paylaşılması gerektiğinde kullanılır.

Two-Way Trust

Çift yönlü trust’ta iki domain de birbirine güvenir.

Domain A ↔ Domain B

Bu durumda her iki domain de birbirinin kullanıcılarını doğrulayabilir.

Çift yönlü trust yapıları genellikle daha esnektir ve kaynak paylaşımını kolaylaştırır.

Transitive Trust ve Non-Transitive Trust

Active Directory’de trust ilişkileri bazen dolaylı olarak başka domainlere de yayılabilir.

Buna transitive trust denir.

Örneğin:

Domain A ↔ Domain B
Domain B ↔ Domain C

Eğer trust transitive ise Domain A ve Domain C arasında da dolaylı bir güven oluşur.

Bu sayede büyük ortamlarda domainler arasında daha geniş bir erişim yapısı kurulabilir.

Non-transitive trust ise sadece kurulan iki domain arasında geçerlidir ve başka domainlere genişlemez.

Trust Relationship Gerçek Hayatta Nerede Kullanılır?

Trust ilişkileri özellikle büyük ve karmaşık IT ortamlarında önemli bir rol oynar.

En yaygın kullanım senaryolarından bazıları şunlardır:

Şirket Birleşmeleri

Bir şirket başka bir şirketi satın aldığında iki farklı Active Directory ortamı ortaya çıkabilir.

Bu durumda tüm altyapıyı hemen birleştirmek yerine domainler arasında trust kurularak kaynak paylaşımı sağlanabilir.

Farklı Yönetim Ekipleri

Bazı organizasyonlarda farklı departmanlar kendi domain yapılarını yönetir.

Ancak belirli servislerin paylaşılması gerekir. Bu durumda trust ilişkileri kullanılarak kontrollü bir erişim sağlanabilir.

Kaynak Domain Yapıları

Bazı ortamlarda kullanıcıların bulunduğu domain ile kaynakların bulunduğu domain ayrı tutulur.

Bu mimarilerde trust ilişkileri sayesinde kullanıcılar farklı domainlerdeki sistemlere erişebilir.

Güvenlik Perspektifinden Trust

Trust relationship güçlü bir mekanizma olsa da güvenlik açısından dikkatli tasarlanmalıdır.

Bir trust ilişkisi kurulduğunda iki ortam arasında belirli bir güven oluşur. Bu nedenle trust mimarisi planlanırken şu faktörler göz önünde bulundurulur:

  • hangi domainler birbirine güvenmeli
  • hangi yönlerde trust kurulmalı
  • erişim izinleri nasıl sınırlandırılmalı

Yanlış tasarlanmış trust ilişkileri beklenmeyen erişimlere ve güvenlik risklerine yol açabilir.

Bu nedenle büyük organizasyonlarda trust mimarisi genellikle dikkatli bir planlama sürecinden sonra oluşturulur.

Sonuç

Active Directory’de trust relationship, farklı domainler arasında kimlik doğrulama güveni oluşturan temel bir mekanizmadır.

Bu yapı sayesinde organizasyonlar:

  • farklı domain yapıları kurabilir
  • yönetimsel ayrımlar oluşturabilir
  • yine de kaynak paylaşımını sürdürebilir
  • Active Directory mimarisini anlamak isteyen herkes için trust ilişkilerinin mantığını kavramak oldukça önemli bir adımdır.

Subscribe to my newsletter

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir