BOZOK NVERSTES Merkezi Kimlik Dorulama Sistemi Bilgi lem
BOZOK ÜNİVERSİTESİ Merkezi Kimlik Doğrulama Sistemi Bilgi İşlem Daire Başkanlığı © TEMMUZ 2017 YOZGAT
Merkezi Kimlik Doğrulama Sistemi (MKDS) NEDİR ? Uygulamalara tek noktadan erişim Kullanım kolaylığı Güvenilir ve düzenli yapı Sürdürülebilir merkezi yönetim AMAÇ VE HEDEF ? Şifre karmaşasının önüne geçer Kullanıcıları rahatlatmak Verimlilik ve Performans artışı Tüm uygulamaları entegre etmek KULLANIM ALANLARI ? Üniversiteler Bakanlıklar Belediyeler TSK, KYK vb.
Mevcut Durum
• • Mail sunucusu Mail için kullanılmıyor Eski hesaplar burada LDAP aktif Sürekli arızalanıyor Arıza çözümü için kaynaklar sınırlı ~20. 000 hesap var Sadece öğrenciler kullanıyor • • • FREERADIUS • • ARIZA TALEP SİSTEMİ • • • Kullanılamıyor, atıl durumda. FREERADIUS’a bağlı Kullanıcılar ve şifreler zimbrada Eski personel kodladı; kodlar gizli Sadece BİDB için yazılmış Linux (Ara yüz yok) Kullanımı zor Yönetilemiyor Entegre edilemiyor Hesaplar Zimbrada Kullanıcılar manuel açılıyor ~20 hesap var Log ve raporlama sorunlu Proxy VPN • • FREERADIUS’a bağlı Zimbra ve Radius kullanıcıları ile işlem yapılıyor Google alt yapısı kullanılıyor Şifreler ayrı Radius ve zimbra ile haberleşmiyor ~ 1500 hesap var Öğrenciler kullanmıyor • • FREERADIUS’a bağlı Zimbra ve Radius kullanıcıları ile işlem yapılıyor Web Siteleri • • FREERADIUS’a bağlı Zimbra ve Radius kullanıcıları ile işlem yapılıyor
Aktif Edilecek Yapı
• • • ENTEGRE EDİLEN HİZMETLER Google alt yapısı kulanılacak Şifreler merkez ile aynı olacak Active Directory ile tam entegre Tüm öğrenci ve personel kullanacak Şifre değişimleri Google’dan değil http: //kimlik. bozok. edu. tr adresinden yapılacak, Şifreler senkron olacak Not: Bu hizmetler test amaçlı aktif edilmiştir. 1. Proxy 2. VPN ENTEGRE EDİLEBİLİR SİSTEMLER • • • Microsoft’a ait Dizin hizmetidir. Kuruma ait objelerin güvenli yönetimini sunar (kullanıcılar, bilgisayarlar vs) Kaynak burada, Sadece LDAP (Şifre Doğrulama) hizmetini kullanacağız. Stabil, Çözüm kaynağı çok OU’lar, kullanıcıların ağaç yapısı Tek noktadan yönetim (şifre, mail vb) Additional DC Network Policy • Server (RADIUS) Windows , Arayüzü var Kullanımı ve yönetimi kolay Tüm uygulamalar ile entegre edilebilir. Haricen hesap açılmaz; Hesapları/Kullanıcıları Active Directory’den alır. Log ve raporlama sorunsuz. Düzenli periyotta otomatik Veritabanı Yedeği 1. 2. 3. 4. 5. E-Posta (Google) EBYS Öğrenci Bilgi Sistemi (OBS) Personel Bilgi Sistemi (PBS) «Arıza Yönetim Sistemi» (Projedir, Kodlanacak) 6. « 802. 1 X» Yapısı (Wifi Şifreleri) (Projedir, Yeni Yapılandırma Network) 7. «Eduroam» (Projedir, Yeni Yapılandırma) 8. «Captive Portal» veya diğer ürünler kullanılarak Kullanıcı Adı ve Şifre ile internet çıkışlarını sağlamak (Projedir, Yeni Yapılandırma) 9. Web Siteleri 10. Kısacası; «Kullanıcı Adı» ve «Şifrenin» olduğu tüm uygulamalar entegre edilebilir.
Sağlıklı Çalışabilmesi İçin Ne Yapılmalı ? 1. Tüm Öğrenci ve Personel bilgileri sisteme dahil edilmeli. Başlangıç şifre algoritması kullanılmalı. Veriler Öğrenci İşleri ve Personel Daire Başkanlığı’ndan. 2. Verilerde istenen alanları içermeli. 3. Bu verilerin tamamı belirli bir sürede Active Directory’e entegre edilecek ve Google ile senkronize yapılacak. Eksiklik varsa giderilecek. 4. Google tarafında şifre politikası belirlenmeli, eski şifreler ne olacak ? 5. Veriler güncel tutulmalı, Bilgi İşlem Daire Başkanlığı’na bilgiler anlık gönderilmeli. Ör. Personel ayrılışı, başlayışı, öğrenci mezuniyeti, yeni kayıtlar vb. 4. Eski sistemde kayıtların %35 i öğrencimiz veya personelimiz değil. 5. ÖNERİ! Ayrılış yapan personel için bu sistem ve diğer aktif sistemler için (araç takip, email, rehber, web sitelerindeki isim vs) ilişik kesme formunda işlem listesinde olmalı. 6. ÖNERİ! Yeni personelin yapması gereken işlemler belirlenmeli.
AVANTAJLAR 1. 2. 3. 4. 5. 6. 7. 8. Güvenli ve güncel yapı Aktif personel veritabanı oluşması SMS entegrasyonu ile ekstra güvenlik (hesap açılma, şifre sıfırlanması) Kullanım kolaylığı ile sürdürülebilir yapılandırma Sunucuya müdahale etmeden yapılandırma ve yönetme Tüm işler için kullanılabilir arayüz Tüm uygulamalara tek noktadan erişim Kullanıcı şifre değişimi için ayrı ekran (ilerleyen dönemlerde sıfırlama içinde ayrı ekran) 9. İleriye yönelik projelerde hazır altyapı (802. 1 x, Captive Portal vb) 10. Yetişmiş personel ihtiyacı olmadan sistemin yönetilebilir olması. 11. Arızalarda destek için kaynağın fazla olması. 12. Geliştirmeler için eğitim dokümanlarının yeterli düzeyde olması. 13. Yedekli yapıyı desteklemesi
Senaryo
- Slides: 9