Steel-Belted Radius ve Odyssey Access Client ile Active Directory tabanli Kimlik Dogrulama
Sektörde popüler olan birçok Radius Server vardır. Bunlara örnek Cisco’ nın Secure Access Control Server (ACS), Microsoft ‘un Internet Authentication Service (IAS), Açık kod tabanlı FreeRADIUS ve Juniper ‘ın Steel-Belted Radius verilebilir. RADIUS (Remote Authentication Dial-in User Service) kısaca bahsetmek gerekirse. Kimlik doğrulama (authentication), raporlama (accounting) ve yetkilendirme (authorization) için kullanırız. Steel-Belted Radius güçlü ve ödül almış bir RADIUS/AAA server dır. Önceleri Funk Software e bağlı olan Steel-Belted Radius sonradan Juniper Networks tarafından (Funk Software in satın alması ile) 2005 yılında satın alınmıştır.
Bu makalemde sizlere Steel-Belted Radius ve Odyssey Access Client kullanarak active directory üzerinde kimlik doğrulama işlemlerini anlatmaya çalışacağım.
Steel-Belted Radius MS Server/Linux üzerine kuralabilir veya donanım olarak temin edilebilir. Ben yazılımsal olan versiyonunu kullanıyorum.
Makaleyi yazarken kullandığım yazılım ve donanımlar :
SBR Enterprise Edition
Odyssey Access Client
http://www.juniper.net/products_and_services/aaa_and_802_1x/odyssey/odyssey_access_client/
MS Server 2003 Standard (AD Rolünde)
Juniper SSG5-ISDN-WLAN
Evaluation Certificate Tool (Sertifika Yaratmak için) (Installation / Uninstall altnda ID: OD115)
http://www.juniper.net/customers/support/products/aaa_802/odyssey_kb.html
Benim kullandığım Juniper SSG5-ISDN-WLAN. Wireless interface sahip. Burada Juniper, Access Point rolünde olacak. Komut kullanarak konfigurasyonu başlayalım.
İlk olarak, Server a isim verip, ortak bir şifre belirleyeceğim :
set auth-server “SBR” server-name “192.194.196.90”
set auth-server “SBR” account-type 802.1X
set auth-server “SBR” radius secret şifre
Wireless için SSID tanımları yapalım :
set ssid name TestJN
set ssid TestJN client-isolation
set ssid TestJN authentication wpa-auto encryption auto auth-server SBR
SSID TestJN olarak belirledim. Son komutta wpa-auto (v1 ve v2 desteklemesi için) yazdım ve encryprion yani kimlik doğrulama nerede yapılacağını belirledik.
Alttaki komutta yeni bir zone atadım böylece Trust ile wzone arasındaki trafiği böldüm.
set zone name “wzone”
set interface “wireless0/0” zone “wzone
ip atıyoruz
set interface wireless0/0 ip 10.0.0.1/24
DHCP parametrelerini belirliyoruz:
set interface wireless0/0 dhcp server service
set interface wireless0/0 dhcp server auto
set interface wireless0/0 dhcp server option gateway 10.0.0.1
set interface wireless0/0 dhcp server option netmask 255.255.255.0
set interface wireless0/0 dhcp server ip 10.0.0.10 to 10.0.0.20
Kullanıcıların internete çıkabilmesi için policy yazıyorum. Burada benim cihazımda IPv4 ibaresi, IPv6 yı aktifleştirdiğim için gözüküyor normalde IPv6 aktif değilse “any” olarak geçer.
set policy from “wzone” to “Untrust” “Any-IPv4” “Any-IPv4” “ANY” nat src permit
Wireless interface i üzerinde yaptığım konfigler aktif olsun diye interface i resetliyoruz (tekrar aktif hale getiriyoruz.)
exec wlan reactive
Juniper tarafında olan konfigurasyon bu kadar. Sırada Steel-Belted Radius kurulumu ve yapılandırması var.
Steel-Belted Radius ‘un kurulumu basittir. Makalenin başında verdiğim linkten bir hesap oluşturduktan sonra 30 gün deneme süresi için indirebilirsiniz. Kurulum yaparken ben Global Enterprise Edition ve Stand alone mode da kurdum. Kuruluma başlamadan önce Server üzerinde farklı bir Radius server olmadığından emin olun var ise çakışma yaşanabilir ve sağlıklı çalışmaz.
Kurulumu tamamladıktan sonra, SBR server ip:1812 nolu porttan ulaşabilirsiniz. Burada SBR Admin panelini “Launch” a tıklatıp açıyoruz .
Yönetim panelimiz açıldı. Burada SBR server hakkında bilgileri görüyoruz. İlk olarak Radius client ı SBR tanıtacağız.
Radius Clients Sekmesine gelerek, ADD diyoruz. Buraya açılan pencereye Cihaz ın ip sini ve ortak anahtarımızı yazıyoruz. Benim kullandığım Radius Client Juniper olduğu için “Make or model” kısmına Netscreen Technologies olarak seçtim.
Hangi user group veya user ların SBR üzerinde kimlik doğrulaması yapılacağını belirliyoruz.
Order Of Methods – Kimlik doğrulama yöntemini ve sırasını belirlediğiz yer. Burada sadece kullanacağınız metodları belirlemenizde yarar var eğer birçok metod belirlerseniz EAP metodunda uyumsuzluk yaşayabilirsiniz.
En üstte PEAP altında ise MS-CHAP-V2 belirleyim. PEAP ın setup ına girip PEAP active metod ve “Use EAP authentication only” sekmesinini seçili olduğunu kontrol ediyoruz.
MS-CHAP-V2 ayarlarını yapıyoruz.
EAP (Extensible Authentication Protocol) metodlarını enable veya disable ettiğimiz yerdir.
EAP metodları hakkında bilgi için http://en.wikipedia.org/wiki/Extensible_Authentication_Protocol
SBR ile Client ın kimlik doğralama yapabilmesi için sertifika atanması gerekir. Burada Microsoft Server işletim sistemi ile birlikte gelen Certificate Authority (CA) rolü kullanılabilir. Ben test amaçlı bir çalışma yaptığım için sertifikayı Evaluation Certificate Tool ile yarattım. Client a yükleyeceğim ve sonra MMC konsol ile sertifikayı private key i ile beraber export edeceğim. Bunun için yukarıda linkini verdiğim yerden indirip evalCerts.exe dosyasını çalıştırıyorum. Daha sonra size bir sertifika yaratacak. O sertifikayı çalıştırarak client a yüklüyorum. Yükledikten sonra export edip SBR a tanıtacağız.
MMC konsoldan gelip Certificates i seçiyoruz.
Yüklediğimiz sertifikayı bulduktan sonra export edeceğiz.
Private key ile birlikte export ediyoruz.
.pfx file olarak export edeceğiz. Next diyoruz.
Şifre belirleyip. Next diyoruz.
Nereye export edileceğini belirledikten sonra. Sihirbazdan çıkıyoruz.
Sertifikayı dışarı aktardım. Şimdi sıra SBR üzerinde bu sertifikayı içeri aktarmamıza geldi.
Authentication Policies – Certificates e gelerek dışarı aktardığımız sertifkayı SBR a atıyoruz.
İçeri katardıktan sonra Current Certicate ten bilgilerini görüyorsunuz.
SBR tarafında ayarlar bu kadar. Sıra Client tarafında Odyssey Access Client ın yapılandırması geldi. Kurulumu basittir. Trial versiyonu nu indirdikten sonra 30 gün test süresi verir.
Kurulum bittikten sonra Odyssey in ara yüzünü görüyorsunuz. Client üzerinde ki ayarlara geçelim.
İlk önce bir profil yaratacağız. Login user name i yazıyorum ve login olmak için username ve password sormasını belirtiyorum.
Authentication tabında EAP-PEAP Metodunu yukarı çekiyorum.
PEAP tarafında ise EAP-MS-CHAP-V2 yukarıya çekiyorum. Profil tarafı bu kadar. Kaydedip çıktıktan sonra Wifi arayüzünden SSID yi scan ettiriyorum.
SSID i seçip ok diyorum.
SSID yi tanıttıktan sonra oluşturduğumuz profile den kimlik doğrulamasını yapmasını sağlıyoruz.
Yaptığımız tüm ayarlar doğru ise Bize AD kullanıcı adımızı ve şifremizi sorar bunları da girdikten sonra bağlantı başarılı bir şekilde gerçekleşir.
Son olarak SBR üzerinde paketlerin takibini Statistics – Radius Clients kısmında yapabilirsiniz. Eğer konfigürasyon tarafında bir yanlışlık veya eksiklik var ise, client kimlik doğrulamadan geçemez ve loglarda Rejects bölümünde paketlerin arttığını görürsünüz.
Bu makalemde SBR ile Odyssey Acces Client tanımlarının nasıl yapılacağını ve Active Directory ile entegre olmasını anlatmaya çalıştım. Bir sonraki makalemde görüşmek üzere.
Kaynaklar:
ScreenOS Cookbook
http://www.juniper.net/customers/support/products/aaa_802/odyssey_kb.html
http://www.juniper.net/customers/support/products/aaa_802/sbr_kb.html,
Murat GÜÇLÜ