Windows Logon sırasında MFA kullanma senaryosunda ve TokenValidator Proxy olmadığında, doğrulamanın SAS server tarafından gerçekleştirilebilmesi için her bir workstation’ın ip adresinin SAS server’a güvenlik gerekçesiyle tanımlanması gerekir. Bu noktadan itibaren çözümün ne sağladığını anlamak çok da güç değildir diye tahmin ediyorum.
Token Validator Proxy kurulumu ile tüm Windows Logon isteklerini SafeNet TVP ‘ye yönlendiriyoruz. Böylece ana onaylayıcı olan SAS server sadece SafeNet TVP ‘den gelecek istekleri kabul edecektir. Böylelikle birden fazla istemci için, merkezi onaylayıcı de başka bir IP adresi tanımlaması yapmadan, TVP SafeNet Agent aracılığıyla SAS’a bağlanabilir. Burada Push Authentication dahil tüm validasyon türlerini destekler ve ek bir yapılandırma gerekmez.
Akıllara böyle bir senaryo ya da yapılandırmaya neden ihtiyaç duyulduğu sorusu geliyor olabilir, burada biraz da olaya işin ve olayın ciddiyetine ve mimariler büyüdükçe bu işin yönetilmesinin ne kadar kolaylaştığı açısından baktığımızda bu soruya cevap bulabiliriz. Özellikle kurum içindeki tüm kıymetli kaynaklara böyle bir authentication onaylayıcıs konumlandırdığımızda herkes bunun mimarisinin kuvvetli ve iyi tasarlanmış olmasını ister. Burada SafeNet bütün bu imkanları sağlıyor.
Aslına tam da bu noktadan olaya “sadece bir OTP üreteci” gibi dar bir açıdan bakıyor olmanın, bu tür ürünler ile çalışırken ve ürün seçerken ileride herhangi bir problemle karşılaştığınızda çözümün size nasıl kısıtlar açabileceği gerçeğini görememize sebep olabiliyor.
Uzun lafın kısası ürünün basit bir diagramda büyük fotoğrafta ne iş yaptığını aşağıda izleyebiliriz.
1
Unutulmaması gereken bir şey de, Push özelliklerini kullanabilmek için OTP üretici tarafında MobilePass+ Token kullanmamız gerekliliğidir.
Token Validator ‘un kurulumuna başlamadan önce bir sunucuya ve bu sunucu üzerinde aşağıda paylaştığım IIS rolüne, özellikleri ile sahip olmalısınız. Eğer kurulumları yapacaksanız aşağıdaki adımları öncelikle sunucunuza kurunuz. Ben senaryomda server 2016 kullandım. Eğer farklı versiyonlarda farklı noktalarda kalırsanız lütfen beni bilgilendirin, bu tarafı da sizin senaryonuza göre güncelleyelim.
2
3
Ek olarak birde aşağıdaki .net kontrollerini de yapmalısınız.
4
Kurulum için daha önce SAS kurulumunda bahsettiğimiz gibi, ajanların bulunduğu klasöre ilerleyerek TVP Agent 3.0.0’ın içersinden kuruluma başlıyoruz.
5
..Agents\TVP Agent v3.0.0\Installer\SafeNet Agent for TokenValidator Proxy x64.exe yolundan (64-Bit) paketini yönetici olarak çalıştırarak kuruluma başlayabiliriz.
6
Not: Resim 7 de varsayılan hedef klasörü değiştiriyorsanız, bir kök sürücüde konumlandırmayın. Bu, ajanın düzgün çalışmamasına neden olacaktır.
7
Bu noktada TVP ile SAS sunucum ile haberleşme için TVP benden sas sunumcumun adresini istiyor, ben geçerli bir sertifika kullandığım için sunucumun adresini giriyorum be SSL ‘i kullan ile devam ediyorum.
8
Kurulum çok basit bir süreç ile tamamlanıyor.
9
Kurulum tamamlandıktan sonra tüm düzenlemeler için aşağıdaki registery adresi üzerinden tekrar gözden geçirme ve değişiklik yapılabilir.
10
Bu alanda herhangi bir sorun yaşadığınızda log seviyesini LogLevel parametresi üzerinden düzenleyebilirsiniz. Aşağıda log seviyelerine göre yazılması gereken veriyi paylaşıyorum.
11
Sunucu adresine bir tarayıcı vasıtası ile erişerek, kurulumun başarılı şekilde tamamlanıp tamamlanmadığını kontrol ediyorum.
12
Resim 12 ‘de göründüğü gibi kurulumu yaptığım sunucuda ilgili validasyon sayfam başarılı şekilde belirdi.
Artık windows logon ajanı üzerinde, onaylayıcı için TVP adresimi kullanarak doğrulamayı gerçekleştirebilirim.
Resim 13
Ek:
Kurulumdan sonra TLS 1.1/1.2 desteği için aşağıdaki yol üzerinden registy parametrelerini düzenlemelisiniz.
HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client DisabledByDefault => 0x0
HKLM\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client DisabledByDefault => 0x0