Windows Bilgisayarlar için Kimlik Doğrulama ve Veri Şifreleme
Uygulama Alanı: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
System Center 2012 – Operations Manager yönetim sunucusu, ağ geçidi sunucusu, Raporlama sunucusu, İşletimsel veritabanı, Raporlama veri ambarı, aracı, web konsolu ve İşletim konsolu gibi özelliklerden oluşur. Bu bölüm kimlik doğrulamasının nasıl yapıldığını açıklar ve verinin şifrelendiği bağlantı kanallarını tanımlar.
Sertifika Tabanlı Kimlik Doğrulaması
Bir Operations Manager aracısı ve yönetim sunucusu güvenilmeyen orman ya da çalışma grubu sınırından biri ile ayrılırsa, sertifika tabanlı kimlik doğrulamasının uygulanması gerekecektir. Aşağıdaki bölümler bu durumlar ve Windows tabanlı sertifika kimlik doğrulamalarından sertifika almak ve yüklemek için belirli prosedürler hakkında bilgi sağlar.
Aynı Güven Sınırları içinde Aracılar ve Yönetim Sunucuları Arasında İletişim Kurma
Bir aracı ve yönetim sunucusu, yönetim sunucusu aracıdan verileri kabul etmeden önce birbirleri ile karşılıklı kimlik doğrulamak için Windows kimlik doğrulamasını kullanır. Kerberos sürüm 5 protokolü kimlik doğrulaması sağlamak için varsayılan yöntemdir. Kerberos tabanlı karşılıklı kimlik doğrulamasının çalışması için, bir Active Directory etki alanında aracılar ve yönetim sunucusu yüklü olmalıdır. Bir aracı ve yönetim sunucusu farklı etki alanlarında ise, etki alanları arasında tam güven bulunmalıdır. Bu senaryoda, karşılıklı kimlik doğrulaması gerçekleştikten sonra, aracı ve yönetim sunucusu arasındaki veri kanalı şifrelenir. Kimlik doğrulamasının ve şifrelemenin gerçekleşmesi için kullanıcı müdahalesi gerekli değildir.
Güvenilen Sınırlar Arasında Aracılar ve Yönetim Sunucuları Arasında İletişim Kurma
Bir aracı (ya da aracılar), yönetim sunucusundan (etki alanı A) ayrı bir etki alanına (etki alanı B) dağıtılmış olabilir ve etki alanları arasında çift yönlü güven bulunmayabilir. İki etki alanı arasında güven olmadığından, bir etki alanındaki aracılar Kerberos protokolünü kullanarak diğer etki alanının içindeki yönetim sunucusu ile kimlik doğrulayamaz. Her etki alanı içindeki Operations Manager özellikleri arasında karşılıklı kimlik doğrulaması yine de gerçekleşir.
Bu duruma yönelik bir çözüm aracıların bulunduğu etki alanına bir ağ geçidi sunucusu yüklemek ve ardından karşılıklı kimlik doğrulaması ve veri şifrelemesine ulaşmak için ağ geçidi sunucusuna ve yönetim sunucusuna sertifika yüklemektir. Ağ geçidi sunucusunun kullanımı, aşağıdaki şekilde gösterildiği gibi, B etki alanında yalnızca bir sertifikaya ve güvenlik duvarında sadece bir bağlantı noktasına ihtiyacınız olduğu anlamına gelir.
.jpeg "Etki Alanları Arası Güven")
Bir Etki Alanı - Çalışma Grubu Sınırı Arasında İletişim Kurma
Ortamınızda, güvenlik duvarınızın içindeki çalışma grubuna dağıtılmış olan bir ya da iki aracıya sahip olabilirsiniz. Çalışma grubundaki aracı Kerberos protokolünü kullanarak etki alanındaki yönetim sunucusu ile kimlik doğrulaması gerçekleştiremez. Bu duruma yönelik bir çözüm, aşağıdaki şekilde gösterildiği gibi, hem aracıyı barındıran bilgisayara hem de aracının bağlandığı yönetim sunucusuna sertifika yüklemektir.
Not
Bu senaryoda, aracı manuel olarak yüklenmelidir.
.jpeg "Etki Alanı ve Çalışma grubu arasındaki güven")
Hem aracıyı barındıran bilgisayar hem de aynı sertifikasyon kimlik doğrulamasını (CA) kullanan yönetim sunucusu üzerinde her biri için aşağıdaki adımları uygulayın:
CA'dan sertifika talep edin.
CA üzerindeki sertifika taleplerini onaylayın.
Onaylanan sertifikaları bilgisayar sertifikası depolarına yükleyin.
Operations Manager'ı yapılandırmak için MOMCertImport aracını kullanın.
Bunlar, bir ağ geçidi onaylama aracını yüklememeniz ya da çalıştırmamanız haricinde ağ geçidi sunucusuna sertifika yükleme adımlarıyla aynıdır.
Sertifika Yüklemesini Onaylamak
Sertifikayı uygun şekilde yüklediyseniz, Operations Manager olay günlüğüne aşağıdaki olay yazılır.
Tür |
Kaynak |
Olay Kimliği |
Genel |
|---|---|---|---|
Bilgiler |
OpsMgr Bağlayıcı |
20053 |
OpsMgr Bağlayıcı belirlenen kimlik doğrulaması sertifikasını başarıyla yükledi. |
Bir sertifikanın kurulumu sırasında, MOMCertImport aracını çalıştırırsınız. MOMCertImport aracı çalışmayı bitirdiğinde, aktardığınız sertifikanın seri numarası bir sonraki alt anahtarda kayıt defterine yazılır.
.jpeg "System_CAPS_caution") Uyarı |
|---|
Kayıt defterinin hatalı şekilde düzenlenmesi sisteminizde ciddi arızalara yol açabilir. Kayıt defterinde değişiklik yapmadan önce, bilgisayarınızdaki tüm değerli verileri yedeklemelisiniz. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Operations Manager\3.0\Machine Settings
Yönetimi Sunucusu, Ağ Geçidi Sunucusu ve Aracılar Arasındaki Kimlik Doğrulaması ve Veri Şifrelemesi
Bu Operations Manager özellikleri arasındaki iletişim karşılıklı kimlik doğrulaması ile başlar. İletişim kanalının her iki ucunda sertifikaların mevcut olması durumunda, sertifikalar karşılıklı kimlik doğrulaması için kullanılır; aksi halde, Kerberos sürüm 5 protokolü kullanılır. Her iki özellikten biri güvenilmeyen bir etki alanında ayrılmış ise, sertifikalar kullanılarak karşılıklı kimlik doğrulaması yapılmalıdır.
Olaylar, uyarılar ve bir yönetim paketinin dağıtımı gibi normal iletişimler bu kanal üzerinde meydana gelir. Önceki gösterim aracılardan yönetim sunucusuna yönlendirilen bir tanesi üzerinde üretilen bir uyarı örneğini göstermektedir. Aracıdan ağ geçidi sunucusuna, verileri şifrelemek için Kerberos güvenlik paketi kullanılır çünkü ağ geçidi sunucusu ve aracı aynı etki alanındadır. Ağ geçidi sunucusu tarafından uyarının şifresi çözülür ve yönetim sunucusu sertifikası kullanılarak yeniden şifrelenir. Yönetim sunucusu uyarıyı aldıktan sonra, yönetim sunucusu mesajın şifresini çözer, Kerberos protokolünü kullanarak yeniden şifreler ve yönetim sunucusunun uyarının şifresini çözdüğü yönetim sunucusuna gönderir.
Yönetim sunucusu ve aracı arasındaki bazı iletişimler kimlik bilgileri içerebilir; örneğin, yapılandırma verileri ve görevler. Aracı ve yönetim sunucusu arasındaki veri kanalı normal kanal şifrelemesine ek olarak başka bir şifreleme katmanı ekler. Kullanıcı müdahalesi gerekli değildir.
Yönetim Sunucusu ve İşletim Konsolu, Web Konsolu ve Raporlama Sunucusu
Yönetim sunucusu ve İşletim konsolu, web konsolu ya da Raporlama Sunucusu arasındaki kimlik doğrulaması ve veri şifrelemesi Windows Communication Foundation (WCF) teknolojisi kullanılarak elde edilir. Kimlik doğrulamasında ilk teşebbüs kullanıcının kimlik bilgilerini kullanarak yapılır. Kerberos protokolü ilk olarak denenir. Kerberos protokolü işe yaramazsa, NTLM kullanılarak başka bir teşebbüste bulunulur. Kimlik doğrulaması yine başarısız olursa, kullanıcıdan kimlik bilgilerini sağlaması istenir. Kimlik doğrulaması gerçekleştikten sonra, NTLM kullanılırsa, veri akışı Kerberos protokolünün ya da SSL'nin bir fonksiyonu olarak şifrelenir.
Raporlama Sunucusunda ve yönetim sunucusunda ise, kimlik doğrulaması oluştuktan sonra yönetim sunucusu ve SQL Server Raporlama Sunucusu arasında bir veri bağlantısı kurulur. Bu kesinlikle Kerberos protokolünü kullanarak gerçekleştirilir; bu nedenle, yönetim sunucusu ve Raporlama Sunucusu güvenilen etki alanında bulunmalıdır. WCF hakkında daha fazla bilgi için, bkz. MSDN makalesi What Is Windows Communication Foundation (Windows Communication Foundation nedir).
Yönetim Sunucusu ve Raporlama Veri Ambarı
Bir yönetim sunucusu ve Raporlama veri ambarı arasında iki iletişim kanalı bulunur:
Bir yönetim sunucusu içindeki sistem sağlığı hizmetinin (System Center Yönetim hizmeti) oluşturduğu izleme ana bilgisayarı işlemi.
Yönetim sunucusundaki System Center Veri Erişim hizmetleri
İzleme Ana Bilgisayarı İşlemi ve Raporlama Veri Ambarı
Varsayılan olarak, toplanan olayları ve performans sayaçlarını veri ambarına yazmaktan sorumlu olan, Sistem Sağlık Durumu Hizmetinden kaynaklanan izleme ana bilgisayarı işlemi, Raporlama Kurulumu sırasında belirlenen Veri Yazıcı Hesabı olarak çalışarak Windows Tümleşik Kimlik Doğrulamasına erişir. Hesap kimlik bilgileri Veri Ambarı Eylem Hesabı denilen Farklı Çalıştır Hesabında güvenli bir şekilde depolanır. Bu Farklı Çalıştır Hesabı, Veri Ambarı Hesabı denilen (asıl toplama kuralları ile ilişkili olan) Farklı Çalıştır Profilinin bir üyesidir.
Raporlama veri ambarı ve yönetim sunucusu bir güven sınırı ile ayrılırsa (örneğin, her biri güvenilmeyen farklı etki alanlarında bulunuyorsa), o zaman Windows Tümleşik Kimlik Doğrulaması çalışmaz. Bu durumu çözmek için, izleme ana bilgisayarı işlemi SQL Server Kimlik Doğrulamasını kullanarak Raporlama veri ambarına bağlanabilir. Bunu yapmak için, SQL hesabı kimlik bilgileri ile yeni bir Farklı Çalıştır Hesabı (Basit Hesap türünden) oluşturun ve yönetim sunucusu hedef bilgisayar olarak, bunu Veri Ambarı SQL Server Kimlik Doğrulama Hesabı denilen Farklı Çalıştır Profilinin bir üyesi yapın.
.jpeg "System_CAPS_important") Önemli |
|---|
Varsayılan olarak, Farklı Çalıştır Profili, Veri Ambarı SQL Server Kimlik Doğrulama Hesabı, aynı isimli Farklı Çalıştır Hesabının kullanımı ile özel bir hesaba atanmıştır. Farklı Çalıştır Profili, Veri Ambarı SQL Server Kimlik Doğrulama Hesabı ile ilişkili hesapta hiçbir zaman değişiklik yapmayın. Bunun yerine, kendi hesabınızı ve kendi Farklı Çalıştır Hesabınızı oluşturun ve SQL Server Kimlik Doğrulamasını yapılandırırken Farklı Çalıştır Hesabını, Farklı Çalıştır Profili, Veri Ambarı SQL Server Kimlik Doğrulama Hesabının bir üyesi yapın. |
Aşağıda, çeşitli hesap kimlik bilgileri, Farklı Çalıştır Hesapları ve hem Windows Tümleşik Kimlik Doğrulama hem de SQL Server Kimlik Doğrulama için Farklı Çalıştır Profilleri arasındaki ilişki özetlenmektedir.
Varsayılan: Windows Tümleşik Kimlik Doğrulaması
Farklı Çalıştır Profili: Veri Ambarı Hesabı
Farklı Çalıştır Hesabı: Veri Ambarı Eylem Hesabı
Kimlik Bilgileri: Veri Yazıcısı Hesabı (kurulum sırasında belirtilen)
Farklı Çalıştır Profili: Veri Ambarı SQL Server Kimlik Doğrulama Hesabı
Farklı Çalıştır Hesabı: Veri Ambarı SQL Server Kimlik Doğrulama Hesabı
Kimlik Bilgileri: Operations Manager tarafından oluşturulan özel hesap (değiştirmeyin)
İsteğe bağlı: SQL Server Kimlik Doğrulama
Farklı Çalıştır Profili: Veri Ambarı SQL Server Kimlik Doğrulama Hesabı
Farklı Çalıştır Hesabı: Sizin oluşturduğunuz bir Farklı Çalıştır Hesabı.
Kimlik Bilgileri: Sizin oluşturduğunuz bir hesap.
System Center Veri Erişim Hizmeti ve Raporlama Veri Ambarı
Varsayılan olarak, Raporlama veri ambarından veri okumaktan ve veriyi Rapor Parametre Alanında kullanılabilir hale getirmekten sorumlu olan System Center Veri Erişim Hizmeti, Operations Manager kurulumu sırasında tanımlanan Veri Erişimi Hizmeti ve Yapılandırma Hizmeti olarak çalışarak Windows Tümleşik Kimlik Doğrulamasına erişir.
Raporlama veri ambarı ve yönetim sunucusu bir güven sınırı ile ayrılırsa (örneğin, her biri güvenilmeyen farklı etki alanlarında bulunuyorsa), o zaman Windows Tümleşik Kimlik Doğrulaması çalışmaz. Bu durumu çözmek için, System Center Veri Erişim hizmeti, SQL Server Kimlik Doğrulamayı kullanarak Raporlama veri ambarına bağlanabilir. Bunu yapmak için, SQL hesabı kimlik bilgileri ile yeni bir Farklı Çalıştır Hesabı (Basit Hesap türünden) oluşturun ve yönetim sunucusu hedef bilgisayar olarak, bunu Raporlama SDK'sı SQL Server Kimlik Doğrulama Hesabı denilen Farklı Çalıştır Profilinin bir üyesi yapın.
| Önemli |
|---|
Varsayılan olarak, Farklı Çalıştır Profili, Raporlama SDK'sı SQL Server Kimlik Doğrulama Hesabı, aynı isimli Farklı Çalıştır Hesabının kullanımı ile özel bir hesaba atanmıştır. Farklı Çalıştır Profili, Raporlama SDK'sı SQL Server Kimlik Doğrulama Hesabı ile ilişkili hesapta hiçbir zaman değişiklik yapmayın. Bunun yerine, kendi hesabınızı ve kendi Farklı Çalıştır Hesabınızı oluşturun ve SQL Server Kimlik Doğrulamasını yapılandırırken Farklı Çalıştır Hesabını, Farklı Çalıştır Profili, Raporlama SDK'sı SQL Server Kimlik Doğrulama Hesabının bir üyesi yapın. |
Aşağıda, çeşitli hesap kimlik bilgileri, Farklı Çalıştır Hesapları ve hem Windows Tümleşik Kimlik Doğrulama hem de SQL Server Kimlik Doğrulama için Farklı Çalıştır Profilleri arasındaki ilişki özetlenmektedir.
Varsayılan: Windows Tümleşik Kimlik Doğrulaması
Veri Erişim Hizmeti ve Yapılandırma Hizmeti Hesabı (Operations Manager kurulumu sırasında tanımlanan)
Farklı Çalıştır Profili: SDK SQL Server Kimlik Doğrulama Hesabını Raporlama
Farklı Çalıştır Hesabı: SDK SQL Server Kimlik Doğrulama Hesabını Raporlama
Kimlik Bilgileri: Operations Manager tarafından oluşturulan özel hesap (değiştirmeyin)
İsteğe bağlı: SQL Server Kimlik Doğrulama
Farklı Çalıştır Profili: Veri Ambarı SQL Server Kimlik Doğrulama Hesabı
Farklı Çalıştır Hesabı: Sizin oluşturduğunuz bir Farklı Çalıştır Hesabı.
Kimlik Bilgileri: Sizin oluşturduğunuz bir hesap.
İşletim Konsolu ve Raporlama Sunucusu
İşletim Konsolu HTTP kullanarak bağlantı noktası 80 üzerinde Raporlama Sunucusuna bağlanır. Windows Kimlik Doğrulaması kullanılarak Kimlik Doğrulaması gerçekleştirilir. SSL kanalı kullanılarak veri şifrelenebilir. İşletim konsolu ile Raporlama Sunucusu arasında SSL kullanma hakkında daha fazla bilgi için bkz. SSL raporlama sunucusuna bağlanırken kullanılacak Operations konsolunu nasıl yapılandırılır.
Raporlama Sunucusu ve Raporlama Veri Ambarı
Raporlama Sunucusu ve Raporlama veri ambarı arasında kimlik doğrulaması Windows Kimlik Doğrulaması kullanılarak elde edilir. Raporlama kurulumu sırasında Veri Okuyucu Hesabı olarak belirtilen hesap Raporlama Sunucusu üzerinde Yürütme Hesabı olur. Hesabın şifresinin değiştirilmesi gerekiyorsa, SQL Server içindeki Raporlama Hizmetleri Yapılandırma Yöneticisini kullanarak aynı şifre değişikliğini yapmanız gerekir. Bu parolayı sıfırlama hakkında daha fazla bilgi için bkz. Raporlama sunucusu yürütme hesabı parola değiştirme. Raporlama Sunucusu ve Raporlama veri ambarı arasındaki veriler şifrelenmemiş.