Web Servislerinde Single-Sign-On ile Yetkilendirme
 
 ��indekiler
 Yeni Bir ��letim Sistemi  Kurmadan �nce  �zlenmesi Gereken  Ad�mlar
 Basit ��z�mler, Daha  Fazla G�venlik
 Bir A� G�venlik Arac�  Olarak SNORT
 NFC Nedir?
 Web Servislerinde  Single-Sign-On ile  Yetkilendirme
 ��erik Y�netim Sistemi  (�YS) Nedir?
 ODT� BBS  Kapsam�ndaki Veri  S�zl��� �al��malar�
 CISN Ar�iv
 Geribildirim
 
     
 

nternet'in ortaya kndan bu yana en nemli kullanm alanlarndan biri bilgi edinme ve evrimii ilemler olmutur. nternet'in sadece bilgi alnan deil ayn zamanda bilgi deitirilen ve ilem yaplan yaplar iermesi, yaplan ilemelerin gvenlii ve bilgilere eriim konusunda yetkilendirme gereksinimi dourmu olup bu konuda en yaygn kullanlan yntem ise ifre yetkilendirmesi olmutur. Bu yazda ayn ifrenin farkl sitelere defalarca girilmesini sorununu zen Single-Sign-On (SSO) uygulamalarn genel yaplar incelenecek ve ODT'deki uygulamalarndan bahsedilecektir. Yazmz yetkilendirme sunucular ile ilgili temel seviyede bilgisi olan okuyucularmza yneliktir.

ifre yetkilendirmesinin servis veren birimler ve sistem yneticileri iin temel i yk, kiilere gerekli ifrenin verilmesidir. Dier tarafta kullanclar iin ise, farkl sistemler iin farkl ifreleri ezberlemek zor bir ilemdir. Bu durum bir ifre ile ok sayda sisteme erime dncesini dourmutur. Ortak ifre kullanm iin en basit yntem, ifrelerin bir sunucuda tutulup dier sistemlerin ifre sorgulamasn bu sunucudan yapmasdr. Ancak, bu yapda ifre gvenlii sorunu ortaya kmaktadr. Kullanc kodlarn tutan, yani ifrelerin sahibi olan otorite, kullanclara verdii ifrelerin baka sistemlerden gemesini olumlu karlayamayacaktr. Bu ekilde ifre kullanmnn bir dier dezavantaj ise, kullancnn ayn ifreyi balanaca her sisteme tekrar tekrar yazmak zorunda olmasdr. Kullanc ayn ifre ile yetkilenebildii, farkl siteler bulunduu durumda, bilgisayarnda ifreyi bir kez girdiinde ayn ifre ile giri yapabilecei tm sayfalara ulaabilmek isteyecektir.

Ortak ifre kullanmnn hem gvenlik hem de pratiklik anlamndaki sorunlarn zmek iin etkili bir uygulama Single-Sign-On (SSO) sistemleridir. SSO sisteminde temel olarak tip e bulunur. Bunlar yetkilendirme sunucusu, kullanclarn balandklar sitelerin sunucular ve istemcilerdir. SSO'nun temel mant, yetkilenmek isteyen kullanclarn ifrelerini yetkilendirme sunucusuna ait bir sayfaya girmeleri, daha sonra yetkilendirmeyi yapan sistem tarafndan o oturuma zel bir oturum anahtar oluturulmas ve bu anahtar ile istemcilerin kullanlacak sayfaya geri ynlendirilmesi eklindendir. Bundan sonra asl kullanlacak olan web sayfas, kendisine oturum bilgisi ile gelen istemcinin oturum anahtarn yetkilendirici sistem zerinden kontrol edecek ve doru ise istemciye yetki verecektir. Bu yap ile hem asl ifre sadece yetkilendirme sunucusundan geecek; hem de sistem oturum erezleri ile birlikte kullanldnda, bir kez ifre ile yetkilenen kullanc, ayn SSO sistemine ait tm servislere tekrar ifre girmeden balanabilecektir.

SSO yaps kullanmnda dikkat edilmesi gereken baz unsurlar da vardr. Sistem normal alt durumda ifreler sadece yetkilendirme sunucusu tarafndan grlebilir olmasna ramen, SSO'ya dahil sistemlerden birinin ktye kullanm ile bu durum deiebilir. Normal artlarda SSO kullanan sunuculardan birine gelen istemcinin SSO sunucusuna ynlendirilerek yetkilendirilmesi gerekirken, sistemlerden birinin kt niyetli bir kii tarafndan ele geirilmesi durumunda, kullanc ynlendirilmeden ifresinin istenmesi mmkndr. Bu gibi riskler, kullanclarn bilinlendirilerek ifre giri annda sayfann adnn ve balant gvenliinin kontrol edilmesi gereini dourmaktadr. Dier bir husus ise SSO yetkilendirme sunucusunun almamas durumunda SSO'ya dahil sistemlere ulamda sorun yaanacak olmasdr. Eer bir sayfa SSO zerinden yetkilendirme kontrol yapyor ise, yetkilendirme sunucusunun almamas, yetkilendirmeyi kullanan sayfann kullanc tarafnda hi almamasna neden olabilecektir. Bu durumda ise kullanc tarafnda ilgili sayfa almyor izlenimi oluacaktr. Bu sorun, sayfann yetkilendirmeyi zorunlu tutmayp, sadece oturum kontrol yapp, oturum var ise farkl ilevler sunulan tasarmlarda bile oluabilir. Bu nedenle, SSO sunucusunun almad durumda, sayfann sunduu yetkilendirme gerektirmeyen servisler de kullanlamayabilir.

Yaznn banda belirtilen senaryolara benzer ekilde Orta Dou Teknik niversitesi de nternet zerinde onlarca servis sunmaktadr. Bu servislerin hepsi iin yetkilendirme kontrolnn kullanc dzeyinde zorluk kard da bilinmektedir. Kullanclarmza kolaylk getirmek amac ile Btnleik Bilgi Sistemi (BBS) projesi altnda bir adm olan SSO sistemi login.metu.edu.tr sunucusundan deneme amal olarak servis vermeye balanmtr. Kullancmz bir servis iin istekte bulunduunda yetkilendirilmek iin SSO sunucusuna ynlendirilecek ve yetkilendirme sreci login.metu.edu.tr zerinden devam edecektir. Eer kullanc baarl bir ekilde yetkilendirildi ise, tekrar buraya ynlendiren servise geri dnlecek ve yetkilendirme verilen serviste de kullanlacaktr. Artk kullancmz bir kere yetkilendirildikten sonra, dier servisleri de tekrar kullanc ad ve ifre girmeye gerek kalmadan SSO sunucusu zerinden yetkilendirilecektir. SSO sisteminin alt yapsnda ise CAS (Central Authentication Service) kullanlmaktadr. ODT'de CAS'n tercih edilmesinin eitli nedenleri vardr. ncelikli olarak ak kaynak kod ile datlmas tercihte n plana kmaktadr. Dier bir neden ise, entegrasyonunun ve uygulamasnn kolay olmas ve geni eitlilikteki platformu desteklemesidir. Bu nedenlerin yan sra iyi dokmante edilmi olmas ve sunucu tarafnda JAVA teknolojisinin kullanlm olmas gibi artlar da mevcuttur.

Belirtilen faktrler, genel olarak dnldnde, SSO sistemleri nternet kullanclarnn nternet sitelerindeki yetkilendirmelerini kolaylatran ve kullanclara verilen ifreler ile farkl sistemlere gvenli ekilde balanabilmelerini salayan sistemlerdir. Bunun yannda, zellikle gvenlik ve sistem sreklilii tarafna oluabilecek olumsuz senaryolar dnlmeli, kullanclar bilgilendirilmeli ve sistemler uygun ekilde tasarlanmaldr.

Onur Yurtsever - Uur Dkmeci

 
     
  - BAA DN -