OTP (One Time Password / Tek Kullanımlık Şifre ) kullanarak Windows Domain Logon

Bu makalede domain’e bağlı bilgisayarların KOBIL SecOVID Server tarafında otp ile sorgulama yapılıp doğruluk kontrolü sonucunda domain’e bağlanılması için gerekli konfigürasyonların Windows 2003 Server ve client bilgisayarlar üzerinde nasıl yapılaması gerektiği konusunda bilgi verilmiştir.

Server üzerinde yapılacak konfigürasyonlar:

Client bilgisayarda kurulacak client setup sonrasında kullanıcı domain ‘e giriş yapacağı sırada gina ekranı gelecek bu ekran üzerinde domain kullanıcı adı , şifresini giriş yaptıktan sonra bilgiler domain’e ulaşacak, kullanıcının domain’e giriş yapması için yetkili olup olmadığı ve kullanıcının domain de var olup olmadığı kontrolleri windows 2003’de kurulu domain üzerinde yapıldıktan sonra eğer bilgiler doğru ise client bilgisayara geri dönüş olarak OTP girişi yapılması için yeni bir ekran gelecek bu ekranda OTP şifresi girilecek, OTP şifresi windows 2003 server üzerinde kurulu SecOVID Server’a gönderilecek ve doğrulanacak eğer şifre doğrulanmaz ise client bilgisayara gina ekranı gelecek domain’e giriş yapılması engellenecek. Bilgiler doğru ise kullanıcı domain’e giriş yapabilecek

Firewall konfigürasyonu:

Firewall kapatıldığı ve clientların domain’e giriş için gerekli portların açık olduğu varsayılmıştır. Ayrıca KOBIL Domain Security setup.exe kurulumu yapıldıktan sonra portlara 5001 UDP portu eklenmektedir. Diğer portların yanında 5001 UDP portda aktif edilmelidir. Firewall’dan Exceptions tabında gerekli port açılımları yapılmalıdır.

@ 5001 UDP portu Domain’e kurulan  Security programı ile Client’a kurulan (5002 UDP) programın OTP göndermesi ve OTP’nin doğruluğunun kontrol edilmesinde kullanılır.

1812 UDP portu kullanıcı tarafından girilen OTP’nin domain tarafından server’a gönderilmesinde kullanılan porttur.

Eğer SecOVID Server farklı makinede kurulur ise SecOVID Server’ın kurulu olduğu makinede sadece 1812 UDP’nin açık olması domain tarafından OTP gönderilmesinde yeterlidir. Domain de ise 5001 UDP portunun açık olması SecOVID Server’a gönderilen OTP’nin doğru yada yanlış bilgisinin alınması için yeterlidir.

SecOVID Server farklı makinede kurulu ise 2003 server üzerinde SecOVID Konfigürasyon ekranından server’ın kurulu olduğu makinenin IP si yazılmalıdır.

Kurulum sonrasında client bilgisayardan domain’e girecek kullanıcının gurubuna “SecOVID” grubu eklenmelidir

! Domain kullanıcısı “Secovid” grubuna dahil edilmediği sürece OTP isteminde bulunulmayacak username / password girişinden sonra direkt desktop’a ulaşacaksınız.

SecOVID Admin Tool’dan client bilgisayarda kullanacağınız OTP token datası eklenir.

Client bilgisayardan domain’e giriş denemeleri olduğunda SecOVID Server’ın log dosyalarından hangi kullanıcının işlem yaptığı rahatlıkla izlenebilir.

Client PC

Firewall konfigürasyonu:

Firewall açıldıktan sonra “Exceptions” tabında gerekli olan portların açılması OTP gönderilmesi için gereklidir. KOBIL Client Setup.exe programı kurulduktan sonra portlara 5002 UDP eklenmiş olmalıdır.

@ Firewall’ın aktif edilmesinden sonra Server tarafında otp kullanıcısının secovid grubuna eklemeden önce açmış olduğunuz portların çalışma durumunu test etmek için domain’e giriş denemesinden bulunulur.

Ctrl + Alt + Del” tuş kombinasyonunu kullandıktan sonra size aşağıdaki giriş ekranı gelecektir. Bu ekranda domain’e giriş için kullanıcı adınızı ve password’unuzu giriniz.

Domain kısmında “domain’in adı” seçilmeli “this computer” lokasyonu seçilmemelidir. <OK> butonuna tıkladığınızda 3-5 saniye içerisinde size yeni bir ekran gelecektir bu ekrana OTP token’den şifre üretip bu şifreyi girmeniz gerekmektedir. 

“This computer” lokasyonu seçildiğinde lokal bilgisayara giriş yapmış olacaksınız ve bu giriş ekranında size OTP sormayacaktır.

Eğer domain ve şifre kontrolleri doğru ise desktop ulaşacaksınız. Eğer şifreniz veya domain ayarlarınızda bir sorun var ise yada domainde kullanıcı için giriş kısıtlaması var ise desktop’a ulaşamayacaksınız. Size aşağıdaki gina ekranı gelecektir.