Windows Server 2008 NPS servisi ile HP Switchler üzerinde 802.1x Uygulaması
Merhabalar, arkadaşlar Network tarafında çözüm park portalı üzerinden, projelerimden bulduğum her fırsatta sizlere network operasyonları ve konfigurasyonları hakkında makaleler yayınlamayı planlıyorum. İlk yazı dizisinde network uygulamalarında en yaygın talep gören uygulamalardan olan 802.1x makalesi ile sizlere çözüm park portalı üzerinden makalemi yazıyorum.
802.1x uygulaması günümüz networklerinde en fazla ihtiyaç duyulan güvenlik politikalarının başında gelmektedir. AN security amacı ile misafir olarak networkümüzü dışarıdan gelen kullanıcılara fiziksel olarak kablolu yada kablosuz erişimleri denetim altına almak için kullanılan kimlik doğrulama metodur.
Global olarak birçok firmanın aktif network ekipmanlarında 802.1x kimlik doğrulama desteği vardır.
802.1x uygulamasını gerçekleştirebilmek için yerel networkümüz’deki gereksinimler aşağıdaki gibidir.
Windows Server 2003 veya 2008 işletim sistemi( Web edition hariç)
Windows XP veya Windows 7 client,
1 Adet Yönetilebilir 802.1x client olabilecek switch (switch config guide’larında yazar)
NPS hizmetinin kurulu olması şart (Radius Server olacak )
Active Directory ortamı kullanıcılar ve gruplar ile ilgili tanımlamaları yapabilmek için
DHCP hizmeti kullanıcılara kimlik denetiminden sonra ip alıp kaynaklara ulaşabilmeleri için.
Bu işlemlerin tamamını yapabilmek için domain ortamında minumum domain yetkisine ihtiyaç vardır.
Ben uygulamamıza başlamadan önce Active Directory, NPS ve DHCP hizmetlerinin tamamını tek bir fiziksel makineye kurduğumu hatırlatmak isterim dilerseniz farklı farklı sunucularada kurulabilir. Tabi ek bi kaç tanımlamaya ihtiyaç duyulacaktır.
Aşağıdaki şekilde 802.1x için örnek bir topoloji resmedilmiştir.
Uygulamamıza ben Server 2008 R2 işletim sistemi üzerinde yapacağım daha evvel Active directory ve DHCP hizmetleri kurulu ben NPS hizmetini kurarak başlıyorum.
Server Manager- Roles- Add Roles adımlarını izliyoruz.
Daha evvel’den AD ve DHCP hizmeti kurulduğunu aşağıda görebilirsiniz.
Bu ekranda yalnızca NPS servisini seçiyoruz.
Kurulumu tamamlıyoruz.
Kurulum tamamlandıktan sonra Start-Administrative Tools-Network Policy Server hizmetini açarak radius client’ları tanımlıyoruz. Yapımızda bulunan switchleri buraya ekliyoruz.
Yukarıdaki alanda switch bilgileri girilirken yazılan shared secret key bilgisi switch’de ki “radius key” ile aynı olmalıdır.
802.1x ile LAN üzerinde erişimi gerçekleştirmek ve erişimi denetim altına alacak detayları belirleyen policy yazıyoruz.
Yukarıdaki şekilde görüldüğü gibi, Tunnel Medium Type ekledikten sonra “1” numaralı aşamanın bulunduğu yerden, Tunnel-Pvt-Group ID değerini seçip String parametresini “1” olarak
Vlan 1 olarak giriyoruz. Yine aynı sekmedeyken ,Tunnel Type seçerek Vlan tunnel type işaretleyip, Vlan 1 ile gelen kullanıcılar 802.1x kullansınlar diyerek policy’i ayarlarını detaylandırdık.
Son durum yukarıda görüldüğü gibidir. Sonraki aşamada yapılan işlemlerin özetini görerek Computer’lar için policy ayarlarını tamamlamış oluyoruz.
Yukarıda oluşturmuş olduğumuz Computer için yapılan Policy ayarlarının bire bir aynısını 802.1x denetimine tabi tutulmasını istediğimiz “Kullancılar” içinde yapıyoruz.
Policy ayarları tamamlandıktan sonra bu policy denetimine girecek olan kullanıcıların ve bilgisayarların Active Directory’de özelliklerinde Policy denetimine girsin seçeneğinin aktif olduğundan emin olmalıyız.
Yukarıda server tarafındaki işlemleri tamamladık, kullanıcıların denetime tabi tutulması için yetkilendirme ayarları ekranı gelmesi adına, Windows 7 veya XP kullanıcılarının windows servislerinde Wired Auto Config servisini açmaları gerekmektedir. Aksi takdirde ağ bağdaştırcısı detaylarında Authentication sekmesi gelmeyecektir. Tüm kullanıcılarda bu ayarı aktif etmek için group policy’den bu servisi aktif etmek yeterlidir.
Kullanıcı ayarları yukarıdaki işlemleri yerine getirdikten sonra 12 Adım’da tamamlanır.
802.1x denetimini gerçekleştirecek olan Radius Client’larımız yani switchlerimizde gerçekleştirilmesi gereken konfigurasyon aşağıdaki gibidir.Önemli olarak DC ,NPS ve DHCP sunucularımızın bağlı olduğu portu aşağıdaki konfig’de hariç tutmamız gerekmektedir.
Yapılan konfigürasyonun ardından switch’imizde işimiz bitiyor. Son durumda yapılan işlemlerin çıktısını görüyoruz. Yapılan konfigürasyonu kaydediyoruz.
Son olarak kullanıcının denetimden geçmek üzere authentication’a yönlendirildiğini görüyoruz. Ağ bağlantı ayarlarında Additional Log on uyarısına tıkladıktan sonra, yetkili kullanıcı adı ve şifre girerek denetimden geçtikten sonra Local network kaynaklarına erişim hakkı kazancaksınız.
Yapılan operasyonları olabildiğince özetlemeye çalıştım, her switch ek bir konfigürasyon barındırmaktadır.
Umarım hepinize faydalı bir makale olur. Başka network makalesinde görüşmek üzere.
Hocam merhaba,
Ben de yapımda bunu uygulamak istiyorum. Fakat yapım biraz karışık.
Domainde olmayan bilgisayarlarımda var. Farklı marka switchlerimde var. D_link ve Hp
Şimdi domainde olanlar için, policy olarak hem computers hem users mı seçmeliyim?
, Bunun dışında girecek olan makinalara, misafirlere yani, macbook,linux,windows
Elle gidip kullanıcı adı ve şifre girsem yeterli olur mu ?
Pek detaylandıramadım ama yardımcı olabilir misiniz.