Kerberos yapılandırmaları ve gece uykunuzu kaçıran ön kimlik doğrulama hatalarıyla ilgili sorun yaşıyorsanız, yalnız değilsiniz. En deneyimli sistem yöneticileri bile Kerberos kimlik doğrulamasını ayarlamanın getirdiği benzersiz hayal kırıklıklarını bilir.
Ve küçük hataları atlayamazsınız çünkü kuruluşların her boyuttaki kimlik doğrulama protokollerinin bel kemiği olarak kurumsal güvenlikte çok önemli bir rol oynadığını biliyorsunuz. Bu nedenle, geliştirme ekibinizin Kerberos ile kimliği doğrulanmış API'lerinizi test etmek için platformlara ihtiyacı var; bu da maalesef Postman gibi en popüler test platformlarının henüz desteklememesi veya SoapUI'de olduğu gibi kullanımı çok karmaşık olması nedeniyle bir zorluk olabilir.
İşte Apidog devreye giriyor ve hem Kerberos hem de NTLM kimlik doğrulama protokolleri için yerel destek sunarak, Windows, Mac ve Linux'ta Kerberos ile kimliği doğrulanmış API'leri test etmeye başlamanızı sağlıyor. Şimdi, ister ilginizi çekmiş olalım ister olmayalım, lütfen blogumuzun geri kalanını okumaya devam edin; burada Kerberos'a daha aşina olmanıza, önemini açıklamanıza ve platformumuzda nasıl kullanılacağını göstermemize yardımcı olacağız.
Adımlara geçmeden önce, birçok kurumsal güvenlik sisteminin çekirdeği olan Kerberos Kimlik Doğrulama Protokolü hakkında hızlı bir hatırlatma yapalım.
Kerberos Kimlik Doğrulama Protokolü Nedir?
MIT tarafından geliştirilen Kerberos, bir ağ üzerinden kullanıcı kimlik verilerini güvenli bir şekilde iletmek için bir ağ güvenliği kimlik doğrulama protokolüdür. Özellikle Microsoft Windows ortamlarında popülerdir ve kullanıcıların bir kez kimlik doğrulaması yapmasına ve parolaları yeniden girmelerine gerek kalmadan birden fazla hizmete erişmelerine olanak tanıyan Tek Oturum Açma (SSO) çözümlerinin ayrılmaz bir parçasıdır.
Kerberos Kimlik Doğrulaması Nasıl Çalışır?
Kerberos'un kalbinde, güvenli kimlik doğrulamasını sağlamak için birlikte çalışan birkaç temel bileşen bulunur:
- KDC (Anahtar Dağıtım Merkezi): Bu, kimlik doğrulama isteklerini yöneten merkezi sunucudur. İki kritik bileşen içerir:
- AS (Kimlik Doğrulama Sunucusu): Kullanıcının kimliğini doğrular ve Bilet Verme Bileti (TGT) yayınlar.
- TGS (Bilet Verme Hizmeti): Kullanıcıların belirli kaynaklara erişmesine izin veren hizmet biletleri yayınlar.
- TGS (Bilet Verme Hizmeti): Kullanıcıların belirli kaynaklara erişmesine izin veren hizmet biletleri yayınlar.
- Hizmet Biletleri: Bunlar TGS tarafından yayınlanır ve belirli hizmetlere erişimi doğrulamak için kullanılır.
Kerberos kimlik doğrulama akışı basit ama güvenlidir:
- Kullanıcı oturum açar ve AS'den bir TGT talep eder.
- AS, kullanıcının kimliğini doğrular ve bir TGT yayınlar.
- Bir hizmete erişmek için, kullanıcı TGT'lerini kullanarak TGS'den bir hizmet bileti talep eder.
- TGS, TGT'yi doğrular ve hizmet biletini yayınlar.
- Kullanıcı, talep edilen hizmete erişimi doğrulamak için hizmet biletini kullanır.
Bu süreçte, KDC, Kimlik Doğrulama Sunucusu (AS) ve Bilet Verme Hizmeti (TGS) olmak üzere iki temel bileşeni kapsayan merkezi bir varlık olarak işlev görür. TGT (Bilet Verme Bileti) ve hizmet biletleri, kimliği doğrulamak ve kimlik doğrulama akışı boyunca erişimi yetkilendirmek için temel kimlik bilgileri olarak hizmet eder.
Bu tasarım, kullanıcıların yalnızca bir kez (bir TGT alarak) kimlik doğrulaması yapmasını ve daha sonra gerektiğinde birden fazla hizmet bileti talep etmesini sağlar; kimlik bilgilerini yeniden girmelerine gerek kalmaz. Bu yaklaşım, sistem içinde sağlam güvenliği korurken sorunsuz bir kullanıcı deneyimi sunan Tek Oturum Açma'yı (SSO) destekler.
Apidog ile macOS'ta Kerberos ile Kimliği Doğrulanmış API'leri Test Etme
Artık Kerberos'un nasıl çalıştığını anladığınıza göre, macOS'ta Apidog kullanarak Kerberos ile kimliği doğrulanmış bir API uç noktasını test etme adımlarını inceleyelim.
Adım 1: Hazırlık
Başlamak için, kuruluşunuzun genellikle Kerberos kimlik doğrulaması kullanırken sağladığı bazı temel Kerberos ile ilgili bilgilere ihtiyacınız olacak:
- Hesap: Kerberos kullanıcı hesabınız (örneğin, Scarlett@APIDOG.LOCAL).
- Parola: Kerberos oturum açma parolanız.
- Kerberos Alanı: Büyük harflerle etki alanı adı (örneğin, APIDOG.LOCAL).
- KDC Sunucu Adresi: KDC'nin Tam Nitelikli Etki Alanı Adı (FQDN) veya IP adresi (örneğin, ills7i8hyt2.apidog.local).
Başlamadan önce, Apidog'un en son sürümünü indirdiğinizden ve yüklediğinizden emin olun. Apidog'un web sürümünün Kerberos'u desteklemediğini, bu nedenle masaüstü istemcisini kullanmanız gerektiğini unutmayın.
Adım 2: Kerberos kimlik doğrulaması için yerel DNS'nizi değiştirin:
Kerberos kimlik doğrulaması genellikle bir iç ağ içinde kullanılır. Doğru bağlantıyı sağlamak için, DNS sunucunuzu Active Directory (AD) sunucu adresinize yönlendirecek şekilde yapılandırmanız gerekir.
Adım 3: macOS'ta /etc/krb5.conf dosyasını yapılandırın
krb5.conf dosyası, Kerberos için merkezi yapılandırmadır. Kerberos alanınızı ve KDC sunucu adresini tanımlar. Bu dosyayı sisteminizde oluşturmanız veya değiştirmeniz gerekecektir.
- Bir terminal açın ve
krb5.confdosyasının zaten var olup olmadığını kontrol edin:
cat /etc/krb5.conf- Dosya yoksa, oluşturun:
nano /etc/krb5.conf- Kerberos alanını ve KDC sunucusunu yapılandırmak için aşağıdaki içeriği ekleyin:
[libdefaults]
default_realm = APIDOG.LOCAL # Kerberos alan adınız, genellikle kuruluşunuzun etki alan adının büyük harfli biçimi
[realms]
EXAMPLE.COM = {
kdc = ills7i8hyt2.apidog.local # KDC sunucu adresi, burada etki alanı denetleyicisinin FQDN'si olduğu varsayılır
admin_server = ills7i8hyt2.apidog.local # Genellikle KDC ile aynıdır
}
[domain_realm]
.apidog.local = APIDOG.LOCAL # Etki alanı adı ile Kerberos alan adı arasındaki eşleme, sol taraf küçük harflerle yazılır
apidog.local = APIDOG.LOCAL- Dosyayı kaydedin ve kapatın.
Adım 4: AD Hesabına Oturum Açın
Kerberos ile kimlik doğrulaması yapmak için, macOS'ta GUI veya CLI araçlarını kullanabilirsiniz.
GUI: Kimliğinizi eklemek için Bilet Görüntüleyici'yi kullanın. Spotlight'ı açın, Bilet Görüntüleyici'yi arayın, ardından kimlik bilgilerinizi ekleyin.
CLI: Alternatif olarak, kinit komutunu kullanabilirsiniz: bash kinit <username@domain>
Kerberos biletlerinizi kontrol edin: bash klist
# Bir AD hesabı için Bilet Alın
kinit <username@domain>
# Yerel Biletleri Kontrol Edin
klistAdım 5: Apidog'da Kerberos Kimlik Doğrulamasını Yapılandırın
Artık AD hesabınızda oturum açtığınıza ve Kerberos'u kurduğunuza göre, Apidog'u açın ve şu adımları izleyin:
- Apidog'da bir
Yeni İstekoluşturun.
- Kimlik Doğrulama bölümünde, kimlik doğrulama türü olarak Kerberos'u seçin.
- Hizmet Asıl Adını (SPN) girin; bu, KDC sunucunuzun ve alan adınızın birleşimidir. Örneğin:
HTTP/ills7i8hyt2.apidog.local@APIDOG.LOCAL
- API'yi test etmek için Gönder'e tıklayın.
401 Hatalarını Giderme
401 Yetkisiz hatasıyla karşılaşırsanız, aşağıdakileri kontrol edin:
- DNS Yapılandırması: DNS'nin doğru şekilde ayarlandığından emin olun.
- Kerberos Kurulumu:
krb5.confdosyasındaki Kerberos yapılandırmanızı doğrulayın. - Kimlik Bilgisi Geçerliliği: Kullanıcı adınızın ve parolanızın doğru ve etkin olduğundan emin olun.
- API Erişim İzinleri: API'ye erişmek için gerekli izinlere sahip olduğunuzu onaylayın.
- Bilet Süresi Dolumu: Kerberos biletlerinin süresi dolar, bu nedenle biletinizin hala geçerli olduğundan emin olun.
kinitile yenilemeniz gerekebilir.
Windows'ta Kerberos Kimlik Doğrulamasını Yapılandırma
etki alanına katılmış Windows sistemleri için Apidog, mevcut Kerberos yapılandırmalarıyla sorunsuz bir şekilde entegre olur. Sisteminiz zaten bir etki alanının parçasıysa, Kerberos ile kimliği doğrulanmış API'leri test etmeye başlamak için ek yapılandırmaya gerek yoktur.
etki alanı dışı sistemler için, etki alanına katılmak ve Kerberos'u kurmak için yönetici ayrıcalıklarına ve geçerli etki alanı kimlik bilgilerine ihtiyacınız olacaktır. İşte ilgili adımlar:
- DNS ayarlarınızı, etki alanının DNS sunucularına işaret edecek şekilde yapılandırın.
- Etki alanı ayarlarını açmak için Sistem Ayarları > İş veya Okula Erişim'e gidin.
- Gerekli yetkili kimlik bilgilerini sağlayarak etki alanına katılma işlemini tamamlayın.
NTLM ile Kimliği Doğrulanmış API'leri Test Etmek için Apidog'u Kullanma
Kerberos'a ek olarak, Apidog ayrıca genellikle eski sistemler için kullanılan NTLM kimlik doğrulamasını da destekler. NTLM daha hızlıdır ancak Kerberos'tan daha az güvenlidir, bu da onu daha küçük ağlar veya Kerberos kullanılamadığında bir yedek olarak ideal hale getirir.
NTLM kimlik doğrulaması için, Apidog'un Kimlik Doğrulama bölümüne kullanıcı adınızı ve parolanızı girmeniz ve Gönder'e tıklamanız yeterlidir; ek kurulum gerekmez.
Adım 1: Hazırlık ve Yerel DNS'yi Değiştirme
NTLM kimlik doğrulaması basittir ve yalnızca şirketinizin sağladığı hesap ve parolayı gerektirir. Apidog'un en son sürümünü indirdiğinizden ve kaydettiğinizden emin olun.
NTLM ile kimliği doğrulanmış uç noktalarına genellikle iç ağ içinde erişildiğinden, DNS sunucunuzun Active Directory (AD) sunucu adresine işaret edecek şekilde yapılandırıldığından emin olun.
Adım 2: Apidog'da Kimlik Doğrulamayı Yapılandırın
Apidog'da NTLM kimlik doğrulamasını yapılandırmak basittir ve ek kurulum gerektirmez.
Apidog'un Kimlik Doğrulama bölümünde, kimlik doğrulama türü olarak NTLM Kimlik Doğrulaması'nı seçin. İlgili alanlara kullanıcı adınızı ve parolanızı girmeniz istenecektir.
Kimlik bilgilerinizi doldurduktan sonra, kimlik doğrulama işlemini tamamlamak için Gönder düğmesine tıklayın.
Kerberos Kimlik Doğrulamasının Faydaları
Kerberos, kuruluşlar için tercih edilen kimlik doğrulama yöntemi olmasını sağlayan çeşitli avantajlar sunar:
- Merkezi Kimlik Doğrulama: Tüm kimlik doğrulama, merkezi bir sunucu tarafından işlenir ve kullanıcı yönetimini ve politika uygulamayı kolaylaştırır.
- Karşılıklı Kimlik Doğrulama: Hem istemci hem de sunucu birbirlerinin kimliklerini doğrular ve ek bir güvenlik katmanı sağlar.
- Tek Oturum Açma (SSO): Kimlik doğrulama yapıldıktan sonra, kullanıcılar tekrar oturum açmalarına gerek kalmadan birden fazla hizmete erişebilirler.
- Bilet Tabanlı Kimlik Doğrulama: Kullanıcı kimlik bilgileri (parolalar) asla ağ üzerinden iletilmez. Bunun yerine, kimliği kanıtlamak için şifrelenmiş biletler kullanılır.
- Sınırlı Bilet Geçerliliği: Biletler zaman damgalıdır ve belirli bir süre sonra süresi dolar, bu da tehlikeye girmiş kimlik bilgileriyle ilgili riskleri azaltır.
- Azaltılmış Sunucu Yükü: Sunucuların kullanıcıları tekrar tekrar doğrulaması gerekmez, bu da sistem performansını artırır.
Sonuç
Modern kurumsal ortamlarda, hem Kerberos hem de NTLM kimlik doğrulamada kritik roller oynar. Kerberos, büyük ölçekli dağıtımlar için gelişmiş güvenlik sunarken, NTLM eski sistemlerle ve daha küçük ağlarla uyumluluk sağlar.
Apidog'un her iki protokol için de yerel desteği sayesinde, ister Windows, Mac veya Linux ortamında Kerberos ile kimliği doğrulanmış hizmetlerle çalışıyor olun, ister eski sistemler için NTLM kullanıyor olun, bu kimlik doğrulama yöntemlerine dayanan API'leri test etmek kolaylaşır.
Apidog, kimlik doğrulama kurulumunuzu verimli bir şekilde test etmenize ve doğrulamanıza yardımcı olur, geliştiriciler ve QA ekipleri için zaman kazandırır ve hayal kırıklığını azaltır. Bugün Apidog'u kullanmaya başlayın ve yerleşik Kerberos ve NTLM desteğiyle sorunsuz, güvenli API testini deneyimleyin.
