Windows Server

Windows Server 2008 NPS servisi ile HP Switchler üzerinde 802.1x Uygulaması

Merhabalar, arkadaşlar Network tarafında çözüm park portalı üzerinden, projelerimden bulduğum her fırsatta sizlere network operasyonları ve konfigurasyonları hakkında makaleler yayınlamayı planlıyorum. İlk yazı dizisinde network uygulamalarında en yaygın talep gören uygulamalardan olan 802.1x makalesi ile sizlere çözüm park portalı üzerinden makalemi yazıyorum.

 

802.1x uygulaması günümüz networklerinde en fazla ihtiyaç duyulan güvenlik politikalarının başında gelmektedir. AN security amacı ile misafir olarak networkümüzü dışarıdan gelen kullanıcılara fiziksel olarak kablolu yada kablosuz erişimleri denetim altına almak için kullanılan kimlik doğrulama metodur.

 

Global olarak birçok firmanın aktif network ekipmanlarında 802.1x kimlik doğrulama desteği vardır.

 

802.1x uygulamasını gerçekleştirebilmek için yerel networkümüz’deki gereksinimler aşağıdaki gibidir.

 

Windows Server 2003 veya 2008 işletim sistemi( Web edition hariç)

Windows XP veya Windows 7 client,

1 Adet Yönetilebilir 802.1x client olabilecek switch (switch config guide’larında yazar)

NPS hizmetinin kurulu olması şart (Radius Server olacak )

Active Directory ortamı kullanıcılar ve gruplar ile ilgili tanımlamaları yapabilmek için

DHCP hizmeti kullanıcılara kimlik denetiminden sonra ip alıp kaynaklara ulaşabilmeleri için.

 

Bu işlemlerin tamamını yapabilmek için domain ortamında minumum domain yetkisine ihtiyaç vardır.

 

Ben uygulamamıza başlamadan önce Active Directory, NPS ve DHCP hizmetlerinin tamamını tek bir fiziksel makineye kurduğumu hatırlatmak isterim dilerseniz farklı farklı sunucularada kurulabilir. Tabi ek bi kaç tanımlamaya ihtiyaç duyulacaktır.

 

Aşağıdaki şekilde 802.1x için örnek bir topoloji resmedilmiştir.

 

 

image001

 

 

Uygulamamıza ben Server 2008 R2 işletim sistemi üzerinde yapacağım daha evvel Active directory ve DHCP hizmetleri kurulu ben NPS hizmetini kurarak başlıyorum.

 

Server Manager- Roles- Add Roles adımlarını izliyoruz.

 

 

image002

 

 

Daha evvel’den AD ve DHCP hizmeti kurulduğunu aşağıda görebilirsiniz.

 

 

image003

 

 

Bu ekranda yalnızca NPS servisini seçiyoruz.

 

 

image004

 

 

Kurulumu tamamlıyoruz.

 

 

image005

 

 

Kurulum tamamlandıktan sonra Start-Administrative Tools-Network Policy Server hizmetini açarak radius client’ları tanımlıyoruz. Yapımızda bulunan switchleri buraya ekliyoruz.

 

 

image006

 

 

image007

 

 

Yukarıdaki alanda switch bilgileri girilirken yazılan shared secret key bilgisi switch’de ki “radius key” ile aynı olmalıdır.

 

 

image008

 

 

802.1x ile LAN üzerinde erişimi gerçekleştirmek ve erişimi denetim altına alacak detayları belirleyen policy yazıyoruz.

 

 

image009

 

 

image010

 

 

image011

 

 

image012

 

 

image013

 

 

image014

 

 

image015

 

 

image016

 

 

image017

 

 

Yukarıdaki şekilde görüldüğü gibi, Tunnel Medium Type ekledikten sonra “1” numaralı aşamanın bulunduğu yerden, Tunnel-Pvt-Group ID değerini seçip String parametresini “1” olarak

 

Vlan 1 olarak giriyoruz. Yine aynı sekmedeyken ,Tunnel Type seçerek Vlan tunnel type işaretleyip, Vlan 1 ile gelen kullanıcılar 802.1x kullansınlar diyerek policy’i ayarlarını detaylandırdık.

 

 

image018

 

 

Son durum yukarıda görüldüğü gibidir. Sonraki aşamada yapılan işlemlerin özetini görerek Computer’lar için policy ayarlarını tamamlamış oluyoruz.

 

Yukarıda oluşturmuş olduğumuz Computer için yapılan Policy ayarlarının bire bir aynısını 802.1x denetimine tabi tutulmasını istediğimiz “Kullancılar” içinde yapıyoruz.

 

 

image019

 

 

Policy ayarları tamamlandıktan sonra bu policy denetimine girecek olan kullanıcıların ve bilgisayarların Active Directory’de özelliklerinde Policy denetimine girsin seçeneğinin aktif olduğundan emin olmalıyız.

 

Yukarıda server tarafındaki işlemleri tamamladık, kullanıcıların denetime tabi tutulması için yetkilendirme ayarları ekranı gelmesi adına, Windows 7 veya XP kullanıcılarının windows servislerinde Wired Auto Config servisini açmaları gerekmektedir. Aksi takdirde ağ bağdaştırcısı detaylarında Authentication sekmesi gelmeyecektir. Tüm kullanıcılarda bu ayarı aktif etmek için group policy’den bu servisi aktif etmek yeterlidir.

 

 

image020

 

 

image021

 

 

Kullanıcı ayarları yukarıdaki işlemleri yerine getirdikten sonra 12 Adım’da tamamlanır.

 

802.1x denetimini gerçekleştirecek olan Radius Client’larımız yani switchlerimizde gerçekleştirilmesi gereken konfigurasyon aşağıdaki gibidir.Önemli olarak DC ,NPS ve DHCP sunucularımızın bağlı olduğu portu aşağıdaki konfig’de hariç tutmamız gerekmektedir.

 

 

image022

 

 

image023

 

 

Yapılan konfigürasyonun ardından switch’imizde işimiz bitiyor. Son durumda yapılan işlemlerin çıktısını görüyoruz. Yapılan konfigürasyonu kaydediyoruz.

 

 

image024

 

 

Son olarak kullanıcının denetimden geçmek üzere authentication’a yönlendirildiğini görüyoruz. Ağ bağlantı ayarlarında Additional Log on uyarısına tıkladıktan sonra, yetkili kullanıcı adı ve şifre girerek denetimden geçtikten sonra Local network kaynaklarına erişim hakkı kazancaksınız.

 

Yapılan operasyonları olabildiğince özetlemeye çalıştım, her switch ek bir konfigürasyon barındırmaktadır.

 

Umarım hepinize faydalı bir makale olur. Başka network makalesinde görüşmek üzere.

 

İlgili Makaleler

Bir Yorum

  1. Hocam merhaba,
    Ben de yapımda bunu uygulamak istiyorum. Fakat yapım biraz karışık.
    Domainde olmayan bilgisayarlarımda var. Farklı marka switchlerimde var. D_link ve Hp
    Şimdi domainde olanlar için, policy olarak hem computers hem users mı seçmeliyim?
    , Bunun dışında girecek olan makinalara, misafirlere yani, macbook,linux,windows
    Elle gidip kullanıcı adı ve şifre girsem yeterli olur mu ?

    Pek detaylandıramadım ama yardımcı olabilir misiniz.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu