13 Mayıs 2009 Çarşamba

IEEE 802.1x IAS Konfigürasyonu

IEEE 802.1x konfigürasyonu yukarıdaki topolojiye göre yapılmıştır:

Senaryo:

  • www.sss61.com etki alanına dahil olan kullanıcılar, PC1 ve PC2 üzerinden, IEEE 802.1x kimlik doğrulamasını kullanarak etki alanına dahil olacaklardır.
  • Aktif dizin Windows 2008 Server üzerine kurulmuştur.
  • RADIUS sunucusu olarak IAS kullanılmıştır. IAS, Windows 2003 Server üzerine kurulmuştur.
  • PC1, HP ProCurve 2848 anahtarına bağlıdı. Anahtarın işletim sistem versiyonu I.10.43'tür.
  • PC2, Cisco 3550 anahtarına bağlıdır. Anahtarın işletim sistem versiyonu 12.1(11)EA1'dir. Anahtarın üzerindeki işletim sistemi c3550-ipservicesk9-mz.122-44.SE6.bin'dir
IAS konfigürasyonu

Bu yazıda Windows 2003 Server üzerine IAS’ın nasıl kurulduğuna yer verilmemiştir. IAS’ın Windows 2003 Server üzerine kurulmuş olduğu varsayılmıştır.

“Internet Authentication Service” ekranında “Remote Access Policies” sağ tıklanarak “New Remote Access Policy” seçilir:


Bundan sonra gelen "New Remote Access Policy Wizard" ekranı gelecektir. Burdan "Next"e tıklanarak bir sonraki ekrana geçilir:

Sonraki ekranda "Use the wizard to set up a typical policy for a common scenario" seçeneği seçilir ve "Policy name"in karşısına IEEE 802.1x için kullanacağımız bu politikanın ismi yazılır. Burada politika ismi, "8021x_policy_for_wired_users" olarak seçilmiştir.


Bu ekranda da "Next"e tıkladıktan sonra gelen ekranda erişim metodu seçilir. Bu yazıda kablolu bağlantılar (Ethernet) için IEEE 802.1x kurulumunu anlattığımız için ekrandaki menüden "Ethernet" seçeneği seçilir:

"Next"e tıklanarak bir sonraki ekrana geçilir. Bu ekranda hangi etki alanı kullanıcılarının IEEE 802.1x kimlik doğrulamasına dahil olacağı seçilir. Bu örnekte, etki alanı sunucusu üzerinde daha önceden oluşturmuş olduğumuz "8021x" grubuna dahil olan kullanıcıların, IEEE 802.1x kimlik doğrulamasına dahil olmaları sağlanmıştır.

"Next"e tıklanarak kimlik doğrulama metodunu seçeceğimiz ekrana geçilir. Buradaki menüden "MD5-Challenge" seçilir.

"Next"e basarak geçeceğimiz bir sonraki ekranda da "Finish"e basarak IEEE 802.1x için kullanacağımız politikanın oluşturulması işlemi tamamlanmış olur:

Oluşturmuş olduğumuz politikaya ek bazı ayarlar yapmamız gerekiyor. Bunun için önce sunucumuzda IAS (Internet Authentication Service) penceresini açmamız gerekiyor. IAS penceresinde tanımlamış olduğumuz politikayı görebilmemiz gerekir. Bu örnekte tanımlamış olduğumuz politikanın adı "8021x_policy_for_wired_users"dır. Bu politikaya çift tıklıyoruz ve açılan pencerede "Grant remote access permission" seçeneğinin seçili olduğuna emin oluyoruz. Pencerenin üst kısmında tanımlamış olduğumuz poitikanın özelliklerini görmek mümkündür. Bu örnekteki politikaya "Ethernet" kullanıcıları ve öncden tanımlanmış olan etki alanındaki "8021x" grubu kullanıcıları dahildir.
Çıkan bu pencerede "Edit Profile"a tıklıyoruz. Bundan sonra açılacak olan pencerelerde bazı ince ayarlar yapacağız. "Edit Profile" tıkladıktan sonra karşımız altı adet sekmeden oluşan bir başka pencere çıkacaktır:

"Authentication" sekmesinde yer alan "EAP Methods"a tıklıyoruz ve gelecek olan ekrandan da "MD5-Challenge"ı seçiyoruz. Bu ayarı yapmakla kimlik doğrulama metodunda özet (hash) algoritması olarak MD5'i seçmiş oluyoruz.

"Encryiption" sekmesinde sadece "No Encryiption" seçeneğini seçiyoruz, çünkü bu konfigürasyonda herhangi bir şifreleme yapmayı düşünmüyoruz.

"Advanced" sekmesine geçtiğimiz zaman sadece "Service-Type" özelliğinin tanımlı olduğunu görürüz. Bu özellikte "Vendor = RADIUS Standard" ve "Value = Framed" olması gereklidir. Zaten ilk ayar olarak, bu özellikler pencerede görülür.

Bu özelliklere üç adet özellik daha eklememiz gerekecektir. Bunun için "Add"e basıyoruz. Açılan penceredeki özelliklerden önce "Tunnel-Medium-Type"ı seçip, "Add"e basıyoruz:

"Tunnel-Medium-Type" özelliğinin numarası 65'tir. Pencerede bu numara "Attribute Number" altında görülebilir:

Bu pencerede de "Add"e basarak bu özelliğin değerini "Attribute value" menüsünden seçiyoruz. Menüden "802 (includes all 802 media plus Ethernet canonical format)" değerini seçiyoruz. "OK"e basarak da özellikler ana menüsüne dönüyoruz:


Bundan sonra seçeceğimiz özellik "Tunnel-Type" özelliğidir. Bu özelliği ,yine özellikleri seçtiğimiz ana menüden seçiyoruz. Menüden "Tunnel-Type"ı seçip, "Add"'e basıyoruz:

"Tunnel-Type" özelliğinin numarası 64'tür:

Gelen pencerede "Add"e basıp bu özelliğin değerlerini seçiyoruz. "Attribute Value" değeri olarak bu pencerede "Virtual LANs (VLAN)" özelliğini seçiyoruz. "OK"e basarak özellikler ana menüsüne geri dönüyoruz:


"Advanced" sekmesinde görmemiz gereken üç tane özellik vardır. Bunlar: "Service-Type", "Tunnel-Medium-Type" ve "Tunnel-Type" özellikleridir. Gelen pencerede, bu özelliklerin uygun değerlerle aşağıdaki gibi görülmesi gerekmektedir:

Böylece IEEE 802.1x için gerekli olan IAS kongifürasyonunu bitirmiş olduk. Bundan sonraki yazımızda IEEE 802.1x için gerekli olan RADIUS konfigürasyonunu anlatacağız.