Active Directory Ortamında LDAP ve Kerberos Entegrasyonu AD LDS

May 1, 2025
Active Directory /Azure / Sistem

Modern BT altyapılarında farklı dizin hizmetlerinin entegrasyonu, kullanıcı yönetimi, kimlik doğrulama ve uygulama yapılandırması gibi kritik görevleri yerine getirir. Ancak, tüm bu süreçlerde tam bir Active Directory Domain Services (AD DS) ortamı kurmak her zaman gerekli değildir. Özellikle LDAP uyumlu dış dizin hizmetleriyle entegrasyon veya Kerberos kimlik doğrulamasını destekleyen hafif çözümler arayışında olanlar için Active Directory Lightweight Directory Services (AD LDS) , ideal bir çözüm sunar. Bu yazıda AD LDS’nin özellikleri, kullanım alanları ve diğer Active Directory bileşenleriyle karşılaştırılması üzerinden detaylı bir analiz yapacağız.

AD LDS Nedir?

AD LDS (eski adıyla ADAM – Active Directory Application Mode), Microsoft’un hafif, LDAP uyumlu bir dizin hizmetidir. Tam bir etki alanı denetleyicisi (Domain Controller) olmadan çalışabilen bu çözüm, özellikle LDAP tabanlı uygulamaların Active Directory ortamına entegre edilmesi gerektiğinde tercih edilir.

  • LDAP Protokolünü Destekler:
    • LDAP v3 standardını destekler ve dış LDAP dizinleriyle (örneğin OpenLDAP) veri alışverişi sağlar.
  • Domain Controller Gereksinimi Yok:
    • AD DS gibi etki alanı denetleyicisi kurulumu gerektirmez. Bu sayede var olan sunuculara ekstra yük bindirmeden çalıştırılabilir.
  • Çoklu Örnek Desteği:
    • Tek bir sunucuda birden fazla AD LDS örneği çalıştırılabilir. Her örnek bağımsız yapılandırılmış olur, bu da izolasyon ve çok kiracılı (multi-tenant) senaryolar için idealdir.
  • Özelleştirilebilir Şema:
    • Uygulamaya özel nesne sınıfları ve öznitelikler tanımlanabilir. Bu, sabit şemaya sahip AD DS’e göre daha esnek bir yapı sunar.
  • Kerberos Kimlik Doğrulamasıyla Uyum:
    • AD LDS, Kerberos protokolünü doğrudan desteklemez ancak AD DS ile entegre olarak Kerberos tabanlı kimlik doğrulama işlemlerini gerçekleştirebilir.

Neden AD LDS? LDAP ve Kerberos Entegrasyonu İçin Avantajları

AD LDS, aşağıdaki senaryolarda diğer Active Directory bileşenlerinden ayrışır:

A. Harici LDAP Dizinleriyle Entegrasyon

  • Örneğin, bir şirketin mevcut bir OpenLDAP sunucusunda kullanıcı verileri varsa ve bu verilere erişen uygulamaları AD ortamına entegre etmek istiyorsa, AD LDS aracı olarak kullanılabilir.
  • AD LDS, LDAP verilerini AD DS’e doğrudan aktarmadan, geçici bir köprü görevi görür.

B. Kimlik Doğrulama Esnekliği

  • AD LDS, Windows kimlik doğrulaması (NTLM/Kerberos) veya basit LDAP bind (örneğin kullanıcı adı/şifre) yöntemlerini destekler.
  • AD DS ile entegre olduğunda, Kerberos kimlik doğrulaması için Hizmet Tanımlama Adı (SPN) kayıtları yapılarak güvenli kimlik doğrulama sağlanabilir.

C. Küçük ve Orta Ölçekli Uygulamalar İçin Uygunluk

  • Tam bir AD DS ortamı kurmak istemeyen veya sadece belirli uygulamalar için dizin hizmeti ihtiyaç duyan kurumlar için AD LDS, hızlı ve maliyet-etkin bir çözümdür.

D. Çok Kiracılı Yapılar

  • Tek bir sunucuda çalışan farklı AD LDS örnekleri, SaaS sağlayıcıların müşteriye özel dizin yapılandırması yapmasına olanak tanır.
Bileşen
Temel Görev
AD LDS ile Karşılaştırma
Global Catalog (GC)
Etki alanı çapında nesne arama
GC, AD DS mimarisinin bir parçasıdır ve LDAP entegrasyonu için değil, çapraz etki alanı sorgulama için kullanılır.
Active Directory Federation Services (AD FS)
Federasyon ve SSO çözümleri
AD FS, kimlik sağlayıcısı rolündedir ve LDAP entegrasyonu doğrudan desteklemez.
Active Directory Certificate Services (AD CS)
Sertifika yönetimi
Sertifika dağıtımında kullanılır; dizin hizmetleriyle doğrudan ilgili değildir.
Active Directory Domain Services (AD DS)
Merkezi kimlik ve politika yönetimi
AD DS, tam bir dizin hizmetidir ancak özelleştirilebilir şema veya çoklu örnek desteği yoktur.

AD LDS Kullanım Senaryoları

  • Uygulama Spesifik Dizin Hizmeti:
    • CRM veya ERP sistemleri gibi uygulamalar, AD LDS üzerinde özel şemalarla kullanıcı ve rol bilgilerini saklayabilir.
  • Geçici Veri Erişimi:
    • Eski sistemlerle entegrasyon sırasında AD LDS, veri geçişini kolaylaştırır.
  • Test ve Geliştirme Ortamları:
    • Geliştiriciler, AD DS’e bağımlı kalmadan LDAP tabanlı uygulamaları test edebilir.

AD LDS Kurulum ve Yapılandırma İçin En İyi Uygulamalar

  • Güvenlik Ayarlarını Güçlendirin:
    • LDAP trafiğini şifrelemek için LDAPS (SSL/TLS) yapılandırması yapın.
  • Şema Özelleştirmesinde Dikkatli Olun:
    • Şema değişiklikleri geri alınamaz olabilir. Test ortamında deneyin ve belgeleyin.
  • Çoklu Örnek Yönetimi:
    • Farklı örnekler için ayrı port numaraları ve hizmet hesapları tanımlayarak çakışmaları önleyin.
  • Kerberos Entegrasyonu İçin AD DS ile Bağlantı:
    • AD LDS’de Kerberos kullanmak istiyorsanız, SPN kayıtlarını AD DS üzerinde yapılandırın.

Active Directory Lightweight Directory Services (AD LDS), LDAP ve Kerberos entegrasyonu için esnek ve hafif bir çözüm sunar. Özellikle tam bir AD DS ortamı kurmak istemeyen veya özel uygulamalar için özelleştirilmiş dizin hizmetleri gereken kurumlar için AD LDS, ideal bir seçimdir. Ancak, güvenlik yapılandırması ve şema yönetimi gibi alanlarda dikkatli adımlar atılması, uzun vadeli sorunsuz bir kullanım için kritiktir. AD LDS’nin sınırlarını anlamak önemlidir. Örneğin, grup politaları (GPO) veya çoğaltma gibi AD DS özelliklerini desteklemez. Bu nedenle kullanım senaryosunu net belirlemek gerekir.