F.B.A. Fiyakalı bir isim, tıpkı gizli haber alma servisleri gibi ama bizimkisi sadece isim benzerliği J. Açılımı Form Based Authentication ama kolay olsun diye biz ona FBA diyeceğiz. Ama konunun merkezine sorti yapmadan önce biraz ?Outlook Web Access? ve ?Authentication? semalarında uçalım;
Outlook Web Access (OWA) kullanıcıların Exchange Server üzerindeki mailbox? larına HTTP protokolü üzerinden erişmelerini sağlayan bir web tabanlı uygulamadır. Exchange Server? in kurulu olduğu bilgisayardaki Default Web Site içerisinde oluşturulan ve Şekil-1? de işaret edilmiş virtual directory? ler web üzerinden Exchange server? in yönetilmesini ve kullanıcıların Exchange Server? a erişimini sağlarlar. Diğer mail uygulamalarında olduğu gibi kullanıcının mailbox? ına ulaşabilmesi için kimlik doğrulama aşamasından geçmesi gerekir. Authentication yani kimlik doğrulama aşaması, kişiye özel bilgilere erişim söz konusu olduğunda daha da önem kazanmaktadır.
Şekil ? 1 ?Public?, ?Exchange?, ?Exadmin? ?OMA?, ?ExcWeb? Exchange Server kurulumu sırasında Default Web Site? da otomatik olarak oluşturulurlar.
Exchange Server? e http protokolü üzerinden erişirken yani OWA? yı kullanırken web browser? a http://servername/exchange/username URL? ini yazmak gerekir. Default olarak kullanılan bu URL? i değiştirebilmek mümkün olduğu gibi ?servername? yerine ?IP adres? kullanmak da aynı işlevi görür.. Bu URL? i http://mail.sistemuzmani.com/exchange/username örneğindeki gibi kendi domaininizi temsil edecek şekilde konfigüre edebilmek için DNS? de Exchange Server? in IP sini işaret eden ?mail? adıyla bir host kaydı yaratmak yeterli olacaktır.
Yukarıda bahsi geçen URL? i kullandığımızda, görüntülenmek istenen mailbox? ın ilişkilendirildiği, kullanıcı hesabına ait bilgilerin girileceği, kimlik doğrulama ekranı karşımıza çıkacaktır. (Şekil ? 2). Bu noktada kullanılan kimlik doğrulama metodu ?Default Web Site? üzerinde belirlenmiş kimlik doğrulama metodudur. Bu yöntem default olarak Integrated Windows Authentication? dır. (Şekil ? 3? deki ve diğer authentication yöntemleri ile ilgili makaleyi yakın zamanda yine www.sistemuzmani.com adresinde bulabilirsiniz.)
Şekil ? 2 OWA? ya oturum açmak için kullanılan default sayfa.
Şekil ? 3 IIS üzerinde kimlik doğrulama yönteminin seçildiği konfigürasyon sayfası.
Sıra geldi esas meseleye. Nedir bu FBA?, Ne işe yarar? Ve neden FBA kullanalım gibi soruların cevabını bulmaya. FBA? nın hizmet ettiği iki amaç vardır. Bunlardan birincisi ve daha önemli olanı güvenlik bir diğeri de performansdır.
Güvenlik ;
Eğer OWA? yı kurulum anındaki konfigürasyonu ile kullanırsanız şekil ? 2 deki ekranda kullanıcı bilgilerini girerken ?Default Web Site? üzerinde belirlenmiş kimlik doğrulama yöntemi kullanılır, kullanıcı aynı ekranda ?remember password? özelliğini kullanarak her defasında kimlik bilgilerini girmek zorunda kalmaz, iletişim http 80. port üzerinden gerçekleşir.
F.B.A. özelliği aktif edildikten sonra iletişim artık http 80. port yerine https 443. port üzerinden gerçekleşecektir. İletişimin 443. port üzerinden güvenli bir şekilde yapıldığından emin olmak için ?Default Web Site? üzerine herkes tarafından güvenilen bir sertifika otoritesinden (CA) yada Exchange Server? in bağlı bulunduğu domain? de kurulu bir CA servisinden Web Server sertifikasının yüklenmesi gerekir. Artık SSL üzerinden iletişim kuran güvenilir bir web sitesine sahip olduğumuza göre FBA özelliğini kullanabiliriz. FBA çalıştıktan sonra artık kullanıcılar ?remember password? özelliğini kullanamayacaklardır. Bu da istenmeyen kişilerin, şahsa özel bilgilere erişimini bir nebze olsun engelleyecektir.
Şekil ? 4 Web Sitesinin SSL üzerinden iletişim kurması için site üzerinde Directory Security tabında ?Server Certificate? ile sertifika kurulum sihirbazını çalıştırmak gerekir.
F.B.A.? yı aktif hale getirmek için Exchange System Manager üzerinde Şekil -5 de görüldüğü gibi HTTP Virtual Server? in özellikler sayfasındaki checkbox? ın işaretlenmesi gerekir.
Şekil ? 5 F.B.A.? yı aktif hale getirmek için ESM üzerinde Server/Protocols/http/Exchange Virtual Server özellikler sayfası kullanılmaktadır.
Aynı sayfa üzerinde bu özelliği aktif hale getirdikten sonra client tarafında görüntülenecek sayfalar için sıkıştırma (compression) özelliğini konfigüre edebilirsiniz. Sıkıştırma için Şekil ? 6 ? da da görüldüğü üzere 3 seçenek mevcuttur.
None : Sıkıştırma istenmiyorsa seçilmelidir.
Low : İçeriği değişmeyen statik sayfaların sıkıştırılması isteniyorsa kullanılır.
High : Hem statik hem de dinamik (değişken) sayfaların sıkıştırılmasını sağlar.
Şekil ? 6 FBA Compression özelliğinin konfigüre edildiği sayfa.
Artık bu noktadan sonra https://mail.sistemuzmani.com/exchange URL? ini kullanacağız ve Şekil ? 7 ? deki sayfa görüntülenecektir.. Kullanıcı adı ve şifrenin girildiği bu ekranda Security başlığı altında kimlik doğrulama bilgilerinin saklanması ile ilgili iki seçenek bulunmaktadır;
Şekil ? 7 SSL üzerinden erişim sağlanan OWA Logon Ekranı
- Public or Shared Computer
- Private Computer
F.B.A? nın en güzel tarafı belirli bir süre hiç işlem yapılmaması durumunda oturumu arka planda kapatmasıdır. Kullanıcı yeni bir işlem yapabilmek için yeniden kullanıcı adı ve şifre girmek zorunda kalacaktır. İşte yukarda bahsettiğimiz iki seçenekten Public or Shared Computer seçilirse timeout süresi 15 dakika olurken private computer için bu süre 24 saattir. Bunun anlamı internet cafe gibi halka açık yerlerde yada birden fazla kişinin kullandığı bilgisayarlarda Exchange Server? a oturum açıyorsak ?public or shared computer seçeneğini kullanacağız demektir. Böylece bizden sonra bilgisayarı kullanacak kişilerin, bize özel bilgilere erişimi engellenmiş olur. ?Private Computer? seçeneğini ancak evde kullandığınız bilgisayarlarınız için seçmeniz daha doğru olacaktır. Bu süreleri değiştirmek için registry üzerinde aşağıdaki anahtarları (DWORD) dakikayı zaman dilimi baz almak kaydıyla 1 ile 43200 (30 gün) dakika arasında konfigüre edebilirsiniz.
HKLMSystemCurrentControlSetServicesMSExchangeWEBOWATrustedClientTimeout (Private Computer)
HKLMSystemCurrentControlSetServicesMSExchangeWEBOWAPublicClientTimeout (Public or Shared Computer)
Performans ;
F.B.A. giriş sayfasında Client başlığı altında Premium (Zengin) ve Basic (Temel) olmak üzere alt alta iki seçenek görüntülenecektir. Bu seçenekler, oturum açan client makine? nin görüntülemeye çalıştığı sayfaların içeriğiyle ilgilidir. Zengin içeriğin seçilmesi, haliyle network üzerinden daha çok verinin akması anlamına gelecek ve sayfaların görüntülenmesi daha uzun süre alacaktır. Temel seçeneği ise daha çok network bağlantı hızının yeterli olmadığı (dial up) durumlarda tercih edilir. Basic seçeneğinde bazı özellikler kullanım dışı kalırken içerik Premium seçeneğinin aksine zengin değildir. Fakat sayfalar daha hızlı görüntülenir. Her iki seçenekle ilgili örnek sayfaları aşağıda görebilirsiniz.
Şekil ? 8 Logon ekranında ?Premium? seçeneği aktifken açılan sayfanın içeriği daha zengin
Şekil ? 9 Logon ekranında ?Basic? seçeneği aktifken açılan sayfa içerik açısından farklılık gösteriyor.
Sonuç olarak ucundan da olsa güvenlik yapınıza katkıda bulunacak olan F.B.A. özelliğini göz ardı etmeyin?.
|