En iyi yöntemler

  • Uygun etki alanı denetleyicilerine Parola Eşitleme'yi yükleyin  Etki alanı parolalarının UNIX parolalarıyla düzenli olarak eşitlendiğinden emin olmak için, Parola Eşitleme'nin birincil etki alanı denetleyicisine, Windows 2000 etki alanı olması halinde, bir etki alanındaki tüm etki alanı denetleyicilerine yüklenmesi gerekir.

    • Bir etki alanına etki alanı denetleyicisi eklerseniz, Parola Eşitleme'yi yeni etki alanı denetleyicisine en kısa sürede yüklemeniz ve diğer etki alanı denetleyicileriyle eşleşecek şekilde yapılandırmanız gerekir.

    • Parola Eşitleme'yi herhangi bir etki alanı denetleyicisinden kaldırmanız gerekirse, Parola Eşitleme'yi kaldırmadan önce sunucuyu bir etki alanı sunucusuna indirgemeniz gerekir.

  • Tutarlı parola ilkeleri sağlayın  Yalnızca tek yönlü parola eşitleme sağlıyorsanız, parolaların eşitleneceği bilgisayardaki parola ilkesinin, tüm alanlar için en az parolaların eşitleneceği bilgisayardaki ilke kadar kısıtlayıcı olduğundan emin olun. Örneğin, Windows'dan UNIX'e eşitleme yapılandırırsanız, Windows parola ilkesinin en az parolaların eşitleneceği UNIX bilgisayarların ilkesi kadar kısıtlayıcı olması gerekir. Çift yönlü parola eşitlemeyi destekliyorsanız, parola ilkelerinin her iki sistemde eşit derecede kısıtlayıcı olması gerekir. Parola ilkelerinin tutarlı olmaması, bir kullanıcının kısıtlayıcılığı daha az olan sistemde parolasını değiştirmesi durumunda eşitleme hatasına ya da kısıtlayıcılığı yüksek sistemde sistem ilkelerine uymamasına rağmen parolanın değiştirilmesine neden olabilir.

    Windows kullanıcılarının parolalarının eşitleneceği UNIX sistemlerindeki özel parola kısıtlamalarını bildiklerinden emin olun. Örneğin, bazı UNIX sürümleri en çok sekiz karakter uzunluğunda parolaları destekler. Varsayılan Windows parola ilkeleriyle UNIX kısıtlamalarının olabildiğince uyumlu olması için, UNIX sistemlerin daha uzun parolaları desteklediğinden emin olmadığınız sürece parolaların yedi veya sekiz karakter uzunluğunda olmasını sağlayın.

  • Parola Eşitleme'yi kullanıcılarınızın parolalarını en iyi koruyacak şekilde yapılandırın.

    En iyi güvenliği sağlamak için aşağıdaki önerileri uygulayın:

    • Parolaları eşitlenecek kullanıcıları açıkça listeleyin  Parolalarını eşitleyebilecek kullanıcılar üzerinde tam denetim sağlamak için, UNIX ana bilgisayarda sso.conf dosyasındaki SYNC_USERS listesinde ALL anahtar kelimesini kullanmayın. Bunun yerine, parola eşitleme izni olan veya engellenen her kullanıcıyı açıkça listelemeniz gerekir. Parola Eşitleme'yi çalıştıran Windows tabanlı bilgisayarda, PasswordPropAllow grubu oluşturun ve parolalarını eşitlemek istediğiniz kullanıcıların hesabını bu gruba ekleyin. Daha fazla bilgi için, bkz. Kullanıcı hesapları için parola eşitlemeyi denetleme.

    • Devre dışı bırakılan UNIX hesaplarının parolalarını eşitlemeyin  UNIX'in bazı sürümlerinde, devre dışı bırakılan bir kullanıcı hesabının parolası değiştirildiğinde, hesap etkin duruma geçer. Bunun sonucunda, bir kullanıcının UNIX bilgisayarda devre dışı olan bir hesabı varsa ve bu hesap bir Windows tabanlı bilgisayarla parola eşitleyecek şekilde yapılandırılırsa, o kullanıcı veya bir yönetici, kullanıcının Windows parolasını değiştirerek UNIX hesabını etkinleştirebilir. Bunu önlemek için devre dışı bırakılan UNIX hesaplarının eşitlenmesini engellemek üzere PasswordPropDeny grubunu kullanın.

      Ayrıca, bir yönetici bir UNIX hesabını devre dışı bırakırken, hesap için parola eşitlemeyi engellemek üzere sso.conf içindeki SYNC_USERS girdisini kullanması gerekir.

    • Yönetici parolalarını eşitlemeyin  Windows Administrators gruplarına veya UNIX süper kullanıcılara ya da kök kullanıcılarına ait üyelerin parolalarını eşitlemeyin.

    • Windows Server 2003 Service Pack 1 (SP1) uyumluluk denetimi yapın  Parola Eşitleme Özellikleri iletişim kutusunun Yapılandırma sekmesinde Windows'dan NIS'ye (Active Directory) parola eşitleme'yi etkinleştirirken bu denetimi yapın. Kuruluşunuzda kullanıcı hesabı parolalarının güvenliğini sağlamak için, Parola Eşitleme'nin orman yapısı içindeki Windows Server 2003 SP1 ve sonraki sürümlerini çalıştırmayan tüm etki alanı denetleyicilerini tanımlamasına izin vermeniz önemli önerilir.

      Windows'dan NIS'ye (Active Directory) parola eşitleme alanında Etkin'i seçtiğinizde, Parola Eşitleme sizden uyumluluk denetimi yapmaya izin vermenizi ister. Orman yapısı içinde, Windows Server 2003 SP1 veya sonraki bir sürümü yüklü olan tüm etki alanı denetleyicilerinde, kullanıcı parolası karmalarının yetkili olmayan kişiler tarafından görünmesi riski büyük ölçüde düşürülmüştür. Ormandaki tüm etki alanı denetleyicilerinin kullandığı en düşük işlev seviyesi Windows Server 2003 SP1 değilse, etki alanında yetkisi olmayan herhangi bir kullanıcı, hesabı Active Directory Etki Alanı Hizmetleri'ne (AD DS) geçirilen UNIX kullanıcılarının parola karmasını görüntüleyebilir.

      Yetkili olmayan bir kullanıcının, AD DS'de UNIX tabanlı kullanıcı hesabına ait parola karmasını kırması durumunda, o hesabın Windows tabanlı parolası da artık güvenli olmaz.

Parola Eşitleme yüklendiğinde, yerel Administrators gurubunun ve Domain Administrators grubunun üyeleri, parolalarının eşitlenmesini önleyen PasswordPropDeny grubuna eklenir. Administrators veya Domain Administrators grubuna bir kullanıcı eklerseniz, bu kullanıcıyı aynı zamanda PasswordPropDeny grubuna da eklediğinizden emin olun.

Tüm UNIX tabanlı sistemlerde, süper kullanıcıların parolalarının eşitlenmesini önlemek için sso.conf dosyasındaki SYNC_USERS bildirimini değiştirin.

  • Varsayılan bağlantı noktası numarasını ve şifreleme anahtarını kullanmayın  Varsayılan bağlantı noktası numarasının ve şifreleme anahtarının kullanılması, bir saldırganın parolaları yakalamak için sahte UNIX ana bilgisayarı ayarlamasına olanak sağlar. Parolaların eşitlenmesinde kullanılan bağlantı noktası numarasını ve şifreleme anahtarlarını, en az parolaların kendisi kadar dikkatle korumanız gerekir.

  • Sso.conf dosyasının güvenliğini sağlayın  Her UNIX ana bilgisayarındaki sso.conf dosyası güvenliği tehlikeye atacak önemli yapılandırma bilgileri içerir. Mod biti maskesini 600 olarak ayarlamanız önerilir.

  • TEMP_FILE_PATH ile tanımlanan dizinin uygun şekilde korunduğundan emin olun  Parola Eşitleme tarafından UNIX ana bilgisayarlarında oluşturulan geçici dosyalar, bir saldırganın sistem güvenliğini kırmak için kullanabileceği bilgiler içerir. Bu nedenle, sso.conf dosyasında TEMP_FILE_PATH ile gösterilen herhangi bir dizine yalnızca root hesabının erişebildiğinden, diğer kullanıcıların erişemediğinden emin olmanız gerekir.

  • Günlük dosyalarının uygun şekilde korunduğundan emin olun  Parola Eşitleme, UNIX ana bilgisayarlarında, eşitleme işlemleri sonucunda oluşan iletileri günlüğe kaydetmek için syslogd cinini kullanır. Ortaya çıkan günlük dosyaları parolaları eşitlenen kullanıcıların adları, hangi bilgisayarla eşitlendiği, yayma hataları gibi bilgiler içerir. Bu günlük dosyalarının yalnızca yöneticilerin görebileceği şekilde korunması sağlanmalıdır.

  • Parola Eşitleme cinini, yapılandırması değiştikten sonra yeniden başlatın  Parola Eşitleme cini yapılandırma dosyasında (sso.conf) değişiklik yaptığınızda, yapılandırmaların geçerli olması için cini durdurmanız ve yeniden başlatmanız gerekir.

  • Sistemleri, kullanıcı adlarında büyük/küçük harf duyarlığını doğru işleyecek şekilde yapılandırın  Windows ve UNIX kullanıcı adlarının hem heceleme hem de büyük/küçük harf kullanımı açısından eşleşmesini gerektirecek bir ilkeyi taviz vermeden zorlamadığınız sürece, sso.conf dosyasında CASE_IGNORE_NAME seçeneğinin 1 (varsayılan) olarak ayarlandığını doğrulayın. UNIX kullanıcı adları büyük/küçük harf duyarlıdır; bu nedenle kullanıcı adları tam olarak eşleşmezse, Parola Eşitleme cini Windows kullanıcı adını, karşılık gelen UNIX kullanıcı adıyla ilişkilendiremeyeceğinden, parolalar doğru olarak eşitlenemeyebilir.

  • Parola dosyası türünün ve adının tutarlı olduğundan emin olun  Parola Eşitleme cinini yapılandırırken, parola dosyası türünün (USE_SHADOW ile belirtilir) ve yol adının (FILE_PATH ile ayarlanır) birbiriyle uyumlu olduğunu doğrulayın. Örneğin, çoğu sistemde USE_SHADOW 0 olarak ayarlandıysa (eşitleme için passwd dosyasının kullanılacağını gösterir), FILE_PATH seçeneğinin de /etc/passwd olarak ayarlanması gerekir. Ancak, USE_SHADOW 1 olarak ayarlandıysa (eşitleme için shadow dosyasının kullanılacağını gösterir), FILE_PATH seçeneğinin de /etc/shadow olarak ayarlanması gerekir. (AIX sistemlerde, shadow dosyanın yolu ve adı /etc/security/passwd'dir.)


İçindekiler