RADIUS Server?

Kendi yapımızdan örnek verecek olursak. Radius server olarak sertifika sever'ımız var. Wireless kullanıcılarımız internal network'e bağlanılacakları zaman AP (access point) üzerinde tanımlı radius server'a gidip kimlik doğrulaması yapıyorlar ve doğrulandıkları taktirde dhcp serverdan ip alıp bağlanıyorlar.

Radius server'ımız Win08 R2. Üzerinde role olarak kurulu olan sertifika server var. Adı Active Directory Certificate Services  olarak geçiyor. Üzerinde CA tanımlaması var. CA ile clientların trusted olup olmadığını kontrol ediliyor. Birde NPS rolü var. Adı Network Policy and Access Services olarak geçiyor. Burada trusted access pointleri tanımlıyoruz.

Radius server ile client ve kullanılan Access Pointlerin trusted olup olmadığını kontrol etmiş oluyoruz. Umarım açıklamam sana yardımcı olmuştur. Securitiyi sağlayan üzerinde roller olan bir sunucu olarak düşünebilirsin.

Öncelikle 
vermiş olduğunuz bilgiler için teşekkür ederim  gerçekten çok güzel, ama ne gibi authorization (yetkilendirme) işlemleri yapabiliriz mesela mac adresine göre bi authorization (yetkilendirme) yapabilirmiyim. Bunun gibi işlemleri bilmek istiyorum açıkçası

Çözümpark da sertifika server ile ilgili makaleler var. Kısaca sertifika serverda CA "Certificate Authority" oluşturulur ve domaindaki makinele dağıtılır. CA tarafından dağıtılan private sertifikalar client makinesinde olmazsa makine doğrulanmaz. Makinede CA'nın dağıttığı sertifika var diyelim. CA private sertifikasını kullanarak username password doğrulaması yapar. Eğer doğruysa ve client makinesinde private sertifika varsa seni içeri sokar.

NPS ise buraya AP'lerin iplerini ve üretici firma vb. bilgileri girersin. En önemlisi preshared key girersin. Bu key AP üzerinde ve NPS deki tanımlı AP ile aynı ise AP'i doğrular. Yani buradada AP'i doğrularsın. (Tabiki AP de radius server özelliği olması gerekir.) 

Resim'i şöyle çizeyin. Client bağlantı ister, İstek AP'e gider, AP radius sever'a kendini doğrulatır daha sonra client'ın girdiği username password'ü doğrular, clientda private sertifika varmı ona bakar ve seni içeri alır. Böylece hem AP hemde client doğrulanmış olur.

Biraz karışık gelebilir ama benim sistemim böyle işliyor. Elle yapınca kafaya daha iyi oturuyor.

Cok basit olarak sunu yapabilirsiniz. Sizin networkunuzde olmayan misafir oaln kullanilari ayri bir vlan na yonlendirebilir boylece sizin kaynaklariniza erisimini engellemis olursunuz. Yada sizin belirleyeceginiz kriterlere uygun olmayan clientlarinizi karantinaya alabilirisiniz. Tabii aradasin dedigi gibi hem Radius hemde NAP kurulu olmasi gerekli.