Thursday, May 28, 2009

IEEE 802.1x RADIUS Sunucusu Konfigürasyonu

IEEE 802.1x konfigürasyonu yukarıdaki topolojiye göre yapılmıştır:

Senaryo:

  • www.sss61.com etki alanına dahil olan kullanıcılar, PC1 ve PC2 üzerinden, IEEE 802.1x kimlik doğrulamasını kullanarak etki alanına dahil olacaklardır.
  • Aktif dizin Windows 2008 Server üzerine kurulmuştur.
  • RADIUS sunucusu olarak IAS kullanılmıştır. IAS, Windows 2003 Server üzerine kurulmuştur.
  • PC1, HP ProCurve 2848 anahtarına bağlıdı. Anahtarın işletim sistem versiyonu I.10.43'tür.
  • PC2, Cisco 3550 anahtarına bağlıdır. Anahtarın işletim sistem versiyonu 12.1(11)EA1'dir. Anahtarın üzerindeki işletim sistemi c3550-ipservicesk9-mz.122-44.SE6.bin'dir.
RADIUS Sunucusu Konfigürasyonu

Bu konfigürasyonumuzda RADIUS sunucusu olarak Windows IAS sunucusunu kullanacağız. Bunun için önce IAS penceresini açıyoruz:

Burada, RADIUS sunucumuza bağlanacak olan istemcileri tanımlaycağız. Bunun için, açılan pencerede "Internet Authentication Service (Local)" başlığı altında yer alan "RADIUS Clients"a sağ tıklıyoruz ve "New RADIUS Client" seçeneğini seçiyoruz:

Bundan sonra "New RADIUS CLient" penceresi açılır. "Friendly name" kısmına RADIUS sunucumuza bağlanacak olan istemciyi temsil eden bir isim yazıyoruz. Bu örnekte RADIUS istemcimizin ismi "ETHERNET_SWITCH_A" olarak belirlenmiştir. Penceredeki "Client address" kısmına ise RADIUS istemcimizin IP adresini yazıyoruz. Bu örnekte RADIUS istemcisinin IP adresi 192.168.61.61 olarak belirlenmiştir. Bu alana IP adresi yerine RADIUS istemcimizin ismi de yazılabilir. Ama bilgisayarımızın, bir DNS sunucusu üzerinden bu ismi çözebilmesi gereklidir. IEEE 802.1x konfigürasyonu yaptığımız için RADIUS istemcilerimiz, anahtarlama cihazlarımız olacaktır. Bu pencerede yazmış olduğumuz bilgiler, aslında IEEE 802.1x uygulamasında kullanacağımız anahtarlama cihazlarımızın bilgileri olacaktır:

Bundan sonra "Next"e basarak bir sonraki pencereye geçiyoruz. Bu pencerede "Client-Vendor" alanındaki menüden "RADIUS Standard"seçeneğiini seçiyoruz. RADIUS istemcilerimizin, RADIUS sunucumuzla konuşması için bir şifre tanımlamamız gerekmektedir. Bu RADIUS şifresini de penceredeki "Shared Secret" ve "Confirm Shared Secret" alanlarına yazıyoruz. Yazmış olduğumuz şifre, doğal olarak pencerede görünmeyecektir:

"Finish"e basarak IAS sunucumuz üzerinde, RADIUS istemcimizi tanımlamış oluyoruz. "Internet Authentication Service (Local)" başlığının altında "RADIUS Clients"a tıklamak suretiyle, tanımlamış olduğumuz istemciyle beraber tüm RADIUS istemcileri görebiliriz.

Bu şekilde RADIUS istemcimiz olacak olan anahtarımızı, IAS sunucumuz üzerinde tanımlamış olduk. IEEE 802.1x uygulamasına dahil edeceğimizi tüm anahtarlarımızı bu şekilde IAS sunucusu üzerinde tanımlamamız gerekmektedir.

Bundan sonraki yazımızda; Windows 2008 Server üzerindeki bir aktif dizinde yer alan ve IEEE 802.1x uygulamasında dahil edeceğimiz kullanıcılarımız için aktif dizin ayarlarını anlatacağız.

Wednesday, May 13, 2009

IEEE 802.1x IAS Konfigürasyonu

IEEE 802.1x konfigürasyonu yukarıdaki topolojiye göre yapılmıştır:

Senaryo:

  • www.sss61.com etki alanına dahil olan kullanıcılar, PC1 ve PC2 üzerinden, IEEE 802.1x kimlik doğrulamasını kullanarak etki alanına dahil olacaklardır.
  • Aktif dizin Windows 2008 Server üzerine kurulmuştur.
  • RADIUS sunucusu olarak IAS kullanılmıştır. IAS, Windows 2003 Server üzerine kurulmuştur.
  • PC1, HP ProCurve 2848 anahtarına bağlıdı. Anahtarın işletim sistem versiyonu I.10.43'tür.
  • PC2, Cisco 3550 anahtarına bağlıdır. Anahtarın işletim sistem versiyonu 12.1(11)EA1'dir. Anahtarın üzerindeki işletim sistemi c3550-ipservicesk9-mz.122-44.SE6.bin'dir
IAS konfigürasyonu

Bu yazıda Windows 2003 Server üzerine IAS’ın nasıl kurulduğuna yer verilmemiştir. IAS’ın Windows 2003 Server üzerine kurulmuş olduğu varsayılmıştır.

“Internet Authentication Service” ekranında “Remote Access Policies” sağ tıklanarak “New Remote Access Policy” seçilir:


Bundan sonra gelen "New Remote Access Policy Wizard" ekranı gelecektir. Burdan "Next"e tıklanarak bir sonraki ekrana geçilir:

Sonraki ekranda "Use the wizard to set up a typical policy for a common scenario" seçeneği seçilir ve "Policy name"in karşısına IEEE 802.1x için kullanacağımız bu politikanın ismi yazılır. Burada politika ismi, "8021x_policy_for_wired_users" olarak seçilmiştir.


Bu ekranda da "Next"e tıkladıktan sonra gelen ekranda erişim metodu seçilir. Bu yazıda kablolu bağlantılar (Ethernet) için IEEE 802.1x kurulumunu anlattığımız için ekrandaki menüden "Ethernet" seçeneği seçilir:

"Next"e tıklanarak bir sonraki ekrana geçilir. Bu ekranda hangi etki alanı kullanıcılarının IEEE 802.1x kimlik doğrulamasına dahil olacağı seçilir. Bu örnekte, etki alanı sunucusu üzerinde daha önceden oluşturmuş olduğumuz "8021x" grubuna dahil olan kullanıcıların, IEEE 802.1x kimlik doğrulamasına dahil olmaları sağlanmıştır.

"Next"e tıklanarak kimlik doğrulama metodunu seçeceğimiz ekrana geçilir. Buradaki menüden "MD5-Challenge" seçilir.

"Next"e basarak geçeceğimiz bir sonraki ekranda da "Finish"e basarak IEEE 802.1x için kullanacağımız politikanın oluşturulması işlemi tamamlanmış olur:

Oluşturmuş olduğumuz politikaya ek bazı ayarlar yapmamız gerekiyor. Bunun için önce sunucumuzda IAS (Internet Authentication Service) penceresini açmamız gerekiyor. IAS penceresinde tanımlamış olduğumuz politikayı görebilmemiz gerekir. Bu örnekte tanımlamış olduğumuz politikanın adı "8021x_policy_for_wired_users"dır. Bu politikaya çift tıklıyoruz ve açılan pencerede "Grant remote access permission" seçeneğinin seçili olduğuna emin oluyoruz. Pencerenin üst kısmında tanımlamış olduğumuz poitikanın özelliklerini görmek mümkündür. Bu örnekteki politikaya "Ethernet" kullanıcıları ve öncden tanımlanmış olan etki alanındaki "8021x" grubu kullanıcıları dahildir.
Çıkan bu pencerede "Edit Profile"a tıklıyoruz. Bundan sonra açılacak olan pencerelerde bazı ince ayarlar yapacağız. "Edit Profile" tıkladıktan sonra karşımız altı adet sekmeden oluşan bir başka pencere çıkacaktır:

"Authentication" sekmesinde yer alan "EAP Methods"a tıklıyoruz ve gelecek olan ekrandan da "MD5-Challenge"ı seçiyoruz. Bu ayarı yapmakla kimlik doğrulama metodunda özet (hash) algoritması olarak MD5'i seçmiş oluyoruz.

"Encryiption" sekmesinde sadece "No Encryiption" seçeneğini seçiyoruz, çünkü bu konfigürasyonda herhangi bir şifreleme yapmayı düşünmüyoruz.

"Advanced" sekmesine geçtiğimiz zaman sadece "Service-Type" özelliğinin tanımlı olduğunu görürüz. Bu özellikte "Vendor = RADIUS Standard" ve "Value = Framed" olması gereklidir. Zaten ilk ayar olarak, bu özellikler pencerede görülür.

Bu özelliklere üç adet özellik daha eklememiz gerekecektir. Bunun için "Add"e basıyoruz. Açılan penceredeki özelliklerden önce "Tunnel-Medium-Type"ı seçip, "Add"e basıyoruz:

"Tunnel-Medium-Type" özelliğinin numarası 65'tir. Pencerede bu numara "Attribute Number" altında görülebilir:

Bu pencerede de "Add"e basarak bu özelliğin değerini "Attribute value" menüsünden seçiyoruz. Menüden "802 (includes all 802 media plus Ethernet canonical format)" değerini seçiyoruz. "OK"e basarak da özellikler ana menüsüne dönüyoruz:


Bundan sonra seçeceğimiz özellik "Tunnel-Type" özelliğidir. Bu özelliği ,yine özellikleri seçtiğimiz ana menüden seçiyoruz. Menüden "Tunnel-Type"ı seçip, "Add"'e basıyoruz:

"Tunnel-Type" özelliğinin numarası 64'tür:

Gelen pencerede "Add"e basıp bu özelliğin değerlerini seçiyoruz. "Attribute Value" değeri olarak bu pencerede "Virtual LANs (VLAN)" özelliğini seçiyoruz. "OK"e basarak özellikler ana menüsüne geri dönüyoruz:


"Advanced" sekmesinde görmemiz gereken üç tane özellik vardır. Bunlar: "Service-Type", "Tunnel-Medium-Type" ve "Tunnel-Type" özellikleridir. Gelen pencerede, bu özelliklerin uygun değerlerle aşağıdaki gibi görülmesi gerekmektedir:

Böylece IEEE 802.1x için gerekli olan IAS kongifürasyonunu bitirmiş olduk. Bundan sonraki yazımızda IEEE 802.1x için gerekli olan RADIUS konfigürasyonunu anlatacağız.