Günümüzde firmalar çoktan bilgisayar ortamına geçmiştir. Bunun artarak devam etmesi üzerine çoğu firma domain yapısına geçmiştir. Tabi artık teknoloji ilerledikçe bazı artılar ve eksiler mecburen ortaya çıkmıştır. Burda artı olarak domain yapısını ele alırsak merkezi yönetim , güvenlik , iş süreçliliği derken bu devam eder. Güvenlik konusuna gelirsek günlük çalışmalarımızda artık artı olarak değil bi nevi zorunluluk haline geldi. Ortamımız ne kadar güvenli olursa bizim için her zaman bir artımız olur. Authentication işlemi ise önemli olup artık extra işlemlere yönelmemize sebep oldu. Örn: voice , retina , smart card  vs tarzı  authentication ile windows serileri üzerinde  çoklu olarak authentication yapmamızı sağladı. Biz bu makalede Smart Card ile authentication konusuna değineceğiz.

 

 

 

                            

                                            Resim-1- GemPlus marka Smart Card ve Smart Card Reader  I/F Usb

 

 

Öncelikle Smart Card ( Akıllı Kart ) hakkında biraz bilgi edinelim.

 

Smart Card; içinde bir mikroişlemci ve bir bellek devresi veya programlanabilme özelliği olan/olmadan yalnızca bellek tüm devresi yerleştirilmiş bir elektronik karttır. Smart Card lar üzerinde bilgi saklayabilmesi ve verilerin güvenliğini saklayabilmesi açısından manyetik tip kartlardan burada ayrılır.

 

GemPlus’ın resmi sitesinden bu kartları daha detaylı şekilde inceleyebilirsiniz.

http://www.gemplus.com/pss/index.html

Şimdi uygulamaya başlayalım.

 

Domain ortamında sertifika dağıtabilmemiz için bize CA ( Certification Authority ) lazım. Tabi CA kurmadan önce hazırlık yapmamız lazım. Web üzerinden sertifika dağıtabildiğimiz için IIS’e ihtiyaç duyacağız. Öncelikle Windows Companent’den IIS’i kurup sonra CA kurmalıyız. 

 

 

                             

                                                    Resim-2- Certificate Services’i seçip ileri diyoruz

 

 

                          

                                                       Resim-3-  CA tipini seçerek ileri diyoruz

 

Burda yapınıza gore CA tipini seçebilirsiniz. Bizim kuracağımız Root CA olacağı için Ben Enterprise root CA seçip ileri diyorum.

 

                            

                                                                                Resim-4-

 

 

Yukarıdaki resime göre  CA’i Domain yapısında yayınlıyacağımız için bir isim yazmamız lazım. Sonrasında Validity Period yani geçerlilik süresini seçebilirz bu defaultta 5 yıl olarak geliyor.  Ileri diyip devam ediyoruz.

 

                           

                                                                                    Resim-5-

 

 

Karşımıza gelen  bu resimde görüldüğü gibi CA’in verilerini bir databasede tutmasından dolayı DB ve LOG lokasyonlarını değiştirebiliriz. Defaultta System32 altında ikamet etmektedir. CA’imizin DB’sinin önemi artık artacağı için sağlam bir yere koymanızı tavsiye ederim. Ileri dediğimizde ise Alttaki uyarıyı alırız bu uyarı  kurulumun bitmesi için IIS’in stop edilmesini sormaktadır. Biz IIS’i kurmadan CA’i kuruyor isek IIS’in altına Virtual Directory’ler oluşmayacağı için ve web sitemiz olmadığı için CA’e webden ulaşamayacağız. Şayet bu durumda isek. Command Prompt’dan  “certutil –vroot” komutunu vererek IIS’in altına Virtual Directory’lerin gelmesini sağlarız.

 

                                                                                    Resim-6-

 

 

Resim 6’ya istinaden IIS’in durumunu görüyoruz. Default Web Site altında Virtual Directory’ler oluşmuş bulunmakta artık CA’in web sitesine erişebiliriz.

 

 

Bir başka ön hazırlık işlemide Smart Card cihazının sisteme tanıtılması.

                               

                                                                                    Resim-7-

 

Cihazın web sitesinden güncel driver’ını indirip  kuruyoruz. Sonrasında ürünün içinde gelen Gemsafe Libraries uygulamasını kuruyoruz.

 

 

                              

                                                                                    Resim-8-

 

 

                                    

                                                                               Resim-9-

 

 Gemsafe Libraries kurulumu bittikten sonra bilgisayarı yeniden başlatmamızı istiyor ve biz yes diyerek sistemi yeniden başlatıyoruz.

 

 

 

 

 

 

 

 

              

                                                                                    Resim-10-

 

Sistem yeniden başladıktan sonra Smart Card Reader’ı usb portuna takıyoruz. Sonra Device Manager’dan Smart Card’ımızın  durumuna bakıyoruz. Cihazımız Windows tarafından tanınmış ve şu anda çalışır durumda.

 

 

                              

                                                                                  Resim-11-

 

GemSafe Libraries paketinin içinde gelen Gemplus SmartDiag uygulaması ile. Smart Card’ı Reader’a takarak test ediyoruz ve testten geçiyoruz. Reader ve Smart Card’da sorun olmadığını görüyoruz.

 

 

                                                                                    Resim-12-

 

 

Burada Card Administration’dan Pin Section kısmından Admin seçeneğini seçip defaultta gelen Pin’i değiştiriyorum. Bunu yapmak zorunda değilsiniz. Smart Card’ın içeriğine bakmak için Software Administration seçeneği kullanabilirsiniz.

 

 

 

Sertifika alma işlemine geçelim.

 

Şimdi bu uygulamayı yapmak için bize iki adet sertifika Template’i  lazım;

 

1)      Smartcard Logon veya Smartcard User

2)      Enrollment Agent   

 

Sertifika tipleridir. Bu sertifika template’leri default yapılandırmada gelmediği için bizim bu template’leri yayınlacağımız için template’den çekmemiz lazım.

 

 

                                                                                          Resim-13-

 

CA konsolunu açıp Certificate Template’e sağ tıklayarak ardından Certificate Template to Issue diyoruz.

 

 

                                                                                    Resim-14-

 

Burada SmartCard User veya SmartCard Logon’u seçebilirsiniz. Bu ikisi arasındaki fark resimdende anlaşılacağı gibi SmartCard User’da artı olarak Secure Email yani kendi sertifikası ile mail göndermesidir. SmartCard User’ı seçip Ok diyoruz. Kullanıcının sertifikasında bulunucak olan Public ve Private key’i SmartCard’a yükleyeceğimiz için bu template’i seçiyoruz.

 

 

                                                                                Resim-15-

 

 

Bu resimde Enrollment Agent Template’ini ekliyoruz. Enrollment Agent bize SmartCard Userların adına CA’den sertifika isteyen ve SmartCard’a yükleyecek kişi olacaktır.

 

Artık userların sertifikalarını alıp SmartCard’lara yüklemeye başlayabiliriz. Öncelik olarak Enrollment Agent sertifika template’inden kendimize sertifika almalıyız.

 

              

                                                                                       Resim-16-

 

MMC konsolunu açarak Add/Remove Sanp-in seçeneği ile Certificates konsolunu ekliyoruz.

 

                                                                                             Resim-17-

 

 

Açılan konsoldan Certificates’i genişletip Personal altında Certicates’e sağ tıklayarak Request New Certificate diyoruz. Ve ileri diyoruz.

 

                              

                                                                                    Resim-18-

 

Burada defaulta ek olarak gelen Smartcard User ve Enrollment Agent sertifika tiplerini görüyoruz. Burda Enrollment Agent’ı seçerek devam ediyoruz. Ve işlemi bitiriyoruz.

 

 

                                                                                    Resim-19-

 

Burada Enrollment Agent ile aldığımız sertifika Certifika Request Agent olarak gözüküyor. Artık Smartcard User/Logon için CA’den onların adına sertifika isteyebiliriz.

 

 

                                                                                    Resim-20-

 

http://sunucuadı/certsrv ile CA’in web sitesine erişiyoruz. Bu siteyi Trusted Site’a eklemeniz lazım çünkü bir ActiveX denetimi kullanmaktadır.  SmartCard kullanıcıları için sertifika alacağız ilk adım Request a certificate diyoruz.

 

                                                                                    Resim-21-

 

Advanced certificate request diyerek SmartCard Userların adına sertifika almak için devam ediyoruz.

 

 

                                                                                     Resim-22-

 

Burada en altta olan seçenek ile devam ediyoruz.

                                                                                    Resim-23-

Bu resimde Certificate Template’i Smartcard User’ı seçiyoruz. Seçtikten sonra CA’imizin adı alta gelecektir. Cryptographic Service provider’da bizim kullanmış olduğumuz gemplus’ı  seçiyoruz. Zaten defaultta bu şekilde geliyor.

                                                                                    Resim-24-

Enrollment Agent sertifikası kullandığımız makinada olduğu için bulunuyor. Eğer ortamda enrollment agent farklı bir makinada ise o makinada bu işlemler yapılması lazım. Neden enrollment agent’ı başka usera veririz. Ortamımızda 500 üzeri kullanıcı olduğunu düşünün bu işlemleri bir admin yardımcısının yapması gerekli olduğu için genelde adminler bu işler için uğraşmazlar.   

                                                                                    Resim-25-

Select User ile sertifika alacağımız kullanıcıyı seçiyoruz. ve Enroll diyoruz.

                                                                                    Resim-26-

Daha önceden bu kartta sertifika olduğu için bize şuanda içinde bulunan sertifikayı sileyimmi diye sorar. Biz evet diyip devam ediyoruz.

                                                                                    Resim-27-

Daha önceki aşamada SmartCard’a verdiğimiz Pin’i giriyoruz ve ok diyoruz.

                                                                                    Resim-28-

Sertifikayı doğru düzgün Enroll ettiğimiz için bu bilgiyi alıyoruz.

                                                                                    Resim-29-

Enroll ettiğimiz sertifikayı resimde görüyoruz. View Certificate diyerek sertifikanın içeriğine baktığımızda dursun isimli CA tarafından iccan isimli usera sertifika verdiğimizi görüyoruz.

                               

                                                                                     Resim-30-

Artık logon/logoff ekranımız değişti. Bundan sonra ister Ctrl+Alt+Del kombinasyonu veya SmartCard’ı takarak logon olabiliriz.

                           

                                                                                    Resim-31-

SmartCard’ı taktığımızda Pin soruyor Pin’imizi girerek logon oluyoruz. SmartCard’lara aynı Pin leri vermemenizi tavsiye ederim. Çünkü SmartCard çalınabilir. Çalınsa bile Pin’i bilmeyecekleri için logon olamayacaklar. Veya Pin’i bilseler bile SmartCard ellerinde olmayacağından gene kötü düşünceli insanlar o User’ın adına logon olamayacaklar. Gelelim bazı policy ayarlarına

                                                                                    Resim-32-

İnteractive Logon : Require smart card

Bu policy’i domain genelinde yapmak isteyebilirsiniz. Herkes SmartCard olmadan logon olamaz eğer bu seçeneği değiştirir iseniz. Kimse SmartCard’sız logon olamayacak.

İnteractive Logon : Smart Card removal behavior

 

Bu policy ile de kullanıcı Reader’dan SmartCard’ını çıkardığı zaman ne olsun. Ben logoff olmaya zorla seçeneğini seçiyorum ve kullanıcı artık SmartCard’ını çıkardığı zaman oturumu kapanacaktır.

 

                                  

                                                                        Resim-33-

 

Kullanıcının Account tabında da SmartCard zorunluluğunu getirebilirsiniz. Eğer bunu aktif ederseniz. Kullanıcı Ctrl+Alt+Del kombinasyonu kullanıp Username ve Password’ünü girip logon olmaya çalışır ise aşağıdaki resimdeki gibi hata alır.

 

 

                  

                                                                                    Resim-34-

 

 

 

 

Bir başka makalede görüşmek üzere…

 

Dursun İÇCAN

MCP MCDST MCSA+S MCSE+S MCTS:VISTA MCITP