____________________________________________________________ #/bin/sh #Harun Sahiner 31/10/2011 #LUN iceren volume'ler icin yapilmasi gereken volume ayarlarini otomatik yapar.
rsh=/usr/bin/rsh
if [ $# -ne "1" ];then echo echo echo "You must provide 1 netapp ip number or Hostname" echo "Example: " echo "./lunayarla.sh ggnetapp1" echo exit 1 fi
for i in $vol_names ; do $rsh $1 "snap autodelete $i on" ; done; for i in $vol_names ; do $rsh $1 "vol options $i try_first snap_delete" ; done; for i in $vol_names ; do $rsh $1 "snap autodelete $i target_free_space 5 " ; done; for i in $vol_names ; do $rsh $1 "snap reserve $i 0" ; done; for i in $vol_names ; do $rsh $1 "vol options $i fractional_reserve 5 " ; done;
___________________________________________________________________
Centrify' ın yapmış olduğu işten kısaca bahsedersek; Windows Active Directory' den user authentication ve group policy bilgilerini alarak Unix, Linux, Mac ve çeşitli, kısıtlı application larınıza örneğin jboss vs.. SSO (single sign-one) diye hitap edilen merkezi doğrulama ile login işlemlerini gerçekleştiren ve bu SSO kullanan kullanıcıların shell de her hareketini audit eden server-agent mantığında çalışan başarılı bir yazılımdır.
Centrify-Suite-2011-mgmt-ent-win64.iso
paketinde CDC ve DAC bulunmaktadır.
Centrify
DirectControl
Centrify adında bir user açılabilir, bu user AD domain
yetkili bir user olmalı. Windows bu user ile local administrator olarak domaine
dahil edilmeli.
Sistemde ISS kurulu olmalı
ADUC kurulur.
AD’de “server” adıyla bir OU oluşturulur.
Kurulum esnasında bu OU’ nun yolu verilir.
Kurulum esnasında Default Zone yine default ayarlarla
oluşturulur.
Kurulumu 30 günlük lisans olaraktamamlayabilirsiniz.
ADUC’ tan “ Servers” OU içerisinde “unix_users” adında bir
grup açılır. Bu grup Global ve Security grubu olarak ayarlanır. Tüm unix
kullanıcıları bu gruba member edilir. Bu
grup AD user’ larına Centrify tarafında otomatik USERID ve GROUPID belirlemek için
kullanılacak.
DirectAudit Console
Kurulumun hemen sonrasında DAC a girilir ve
DirectAuditManager’ sağ tıklayarak Create Database seçilir ve yönergeler takip
edilerek database oluşturulur. Kurulumda SQL Express’ ide otomatik kurmuştu.
USER loglarını kaydetmek için bu sql deki DIRECTAUDIT database’ i kullanılacak.
Database: Hostname\ DIRECTAUDIT
Ardından Collector Configuration iconunu tıklanarak Avaible DirectAudit Databes’ i görülür.
Zone Provisioning
Agent – ZPA
Kurulum için Windows feature’ larında .NET framework
3.5eklenmeli.
Ayarlar:
Bu işlemlere başlamadan önce ZPA servisinin start durumda
olması gerekiyor.
Centrify için açılan yetkili USER’ a Local Security Policy’
den Log on as a service’ izini verilir.
AD’ de bir grup oluşturulur ve bu gruba unix kullanıcıları
dahil edilir. Ör: unixusers
Yeni bir source zone oluşturulur. Ör: “source_zone” bu zone
oluşturulurken “select and set default normal grup” sayfasında önceden
oluşturulan unixusers grubu browse’ dan eklenir. .
Source_zone’ a sağ tıklayarakDelegate Zone Control seçilirve log on as service yetkisini daha önce
verdiğimiz user seçilir ve tamamlanır.
Source sağ tıklayarak Provisioning tabından source grup
olarak daha önce AD’ de oluşturduğumuz unixusers grubu seçilir. Yine bu tabda
primary group apply edilir uyarı
verecektir OK ile geçilebilir.
Şu durumda source_zone altında users a tıklandığında AD user
larının UID ve GUIDlarının oluştuğu
görülür. Eğer oluşmadıysa ZPA servisini restart edilirek zone update edilir.
Artık projeye göre bir AD’ de bir grup oluşturulur bu gruba
üye eklenmez. Örneğin:yazılım_grubu Birde bu gruba karşılık bir Zoneoluşturulur..ör:yazılım_grubu_zone Bu zone’ a grub belirtilmez. Zone açıldıktan
sonra sağ tıklanarak properties’ den Privisioning tabına gelinir. Bu tabda
source group’ aAD’ de proje user’ ları
için oluşturulan grup eklenir. Diğer tüm seçeneklere
eklenir. Aynı tabda, alt bölümde Source Zone seçeneğinin aktif olduğu görülür
ve daha önce oluşturduğumuz “source zone” seçilirek tamamlanır. Aşağıdaki kullanım uygulanana kadar bu zone’
da user görülmez.
AD’ de oluşturduğumuz “yazılım_grubu” grubunu şu şekilde
kullanacağız. “yazılım_grubu_admin_role” , “yazılım_grubu_user_role” vs.. gibi
role grupları oluşturup member olarak bu haklara sahip olmasını istediğimiz
userları ekleyeceğiz. Ardından bu grupları “yazılım_grubu” grubuna member
edeceğiz. Böylece en alt grubta bir member eklenilmesi yada çıkarılması veya
diğer bir gruba dahil edilmesi tüm üst gruplara etki edecek.
Yönetim AD’ den yapılmış olacak.
Not: Eventviever da
applications altında Centrify Zone provisioning Agent logları izlenebilir.
Agent Kurulumu
Linux Client lara Default kurulması gereken agent;
tar -zxvf centrify-suite-2010.2-rhel3-x86_64.tgz
./install.sh
# /etc/init.d/centrifydc status= ile servis durumunu kontrol edebilirsin.
#adinfo ile o anki duruma bakabilir,
# addjoin -z DBA mycorparate.local
ile domaine ekleyebilirsiniz.
Audit için;
rpm -ivh centrifyda-1.1.2-rhel3-x86_64.rpm
# dacontrol
# dacontrol --enable --all-shellskomutu ile aktif edilir.
#/etc/init.d/centrifyda status= ile servis durumunu kontrol edebilirsin.
# dainfo
Client’ lara Agent kurulumunu otomatize etmek için Deployment Manager kullanmanızı şiddetle
tavsiye ederim. Zaman bulabilirsem bundanda bahsedeceğim.
