Network Policy Server 802.1x Kurulumu

Network Policy Server 

Ağ İlkesi Sunucusu (NPS), istemci sistem durumu, bağlantı isteği kimlik doğrulama ve bağlantı isteği yetkilendirme işlemleri için kuruluş genelinde ağ erişim ilkeleri oluşturmanıza ve uygulanmaya zorlamanıza olanak verir. Ayrıca, bağlantı isteklerini NPS çalışan bir sunucuya veya uzak RADIUS sunucu gruplarında yapılandırdığınız diğer RADIUS sunucularına iletmek için, NPS’yi Arayan Kullanıcının Uzaktan Kimliğini Doğrulama Hizmeti (RADIUS) proxy’si olarak kullanabilirsiniz.

NPS aşağıdaki özelliklerle ağ erişimi kimlik doğrulama, yetkilendirme işlemlerinin ve istemci sistem durumu ilkelerinin merkezi olarak yapılandırılmanıza ve yönetmenize olanak tanır:

RADIUS server. NPS, kablosuz, kimlik doğrulama anahtarı, uzaktan erişim çevirmeli ve sanal özel ağ (VPN) bağlantıları için merkezi kimlik doğrulama, yetkilendirme ve hesap işlemleri yapar. RADIUS sunucu olarak NPS kullandığınızda, kablosuz erişim noktaları ve VPN sunucuları gibi ağ erişim sunucularını NPS’de RADIUS istemcileri olarak yapılandırabilirsiniz. Ayrıca bağlantı isteklerini yapılandırmak için NPS’nin kullandığı ağ ilkelerini yapılandırabilir ve NPS’nin hesap bilgileri günlüğünü yerel sabit diskteki dosyalara veya Microsoft SQL Server veritabanına kaydetmesini sağlayabilecek olan RADIUS hesap işlemlerini yapılandırabilirsiniz. Daha fazla bilgi için, bkz. RADIUS Sunucusu.

RADIUS proxy. RADIUS proxy olarak NPS kullanırsanız, hangi bağlantı isteklerinin diğer RADIUS sunucularına iletileceğini ve bağlantı isteklerini hangi RADIUS sunucularına iletmek istediğinizi NPS sunucusuna bildiren bağlantı isteği ilkelerini yapılandırabilirsiniz. NPS’yi hesap bilgilerinin uzak bir RADIUS sunucusu grubundaki bir veya daha fazla bilgisayar tarafından günlüğe kaydedilmek üzere iletmek için de yapılandırabilirsiniz. Daha fazla bilgi için, bkz. RADIUS Proxy.

Network Access Protection (NAP) policy server. NPS’yi bir NAP ilke sunucusu olarak yapılandırdığınızda, NPS, ağa bağlanmak isteyen NAP özellikli istemci bilgisayarlarının gönderdiği sistem durumu bildirimlerini (SoH) değerlendirir. NPS, NAP ile birlikte yapılandırıldığında bağlantı istekleri için kimlik doğrulama ve yetkilendirme işlemlerini gerçekleştirerek RADIUS sunucusu olarak da çalışır. İstemci bilgisayarların kuruluşunuzun ağ ilkesiyle uyumlu olmak için yapılandırmalarını güncelleştirmelerine izin veren, NPS’deki NAP ilkelerini ve sistem durumu doğrulayıcıları (SHV’ler), sistem durumu ilkesi ve düzeltme sunucusu grupları gibi ayarları yapılandırabilirsiniz. Daha fazla bilgi için, bkz. NPS’de Ağ Erişim Koruması.

NPS’yi yukarıdaki özelliklerin herhangi bir birleşimiyle yapılandırabilirsiniz. Örneğin, bir veya daha fazla zorlama yöntemini kullanarak bir NPS sunucusunu NAP ilke sunucusu olarak çalışacak şekilde yapılandırabilir, aynı NPS sunucusunu çevirmeli bağlantılar için RADIUS sunucusu olarak ve başka bir etki alanında kimlik doğrulama ve yetkilendirme için bazı bağlantı isteklerini uzak RADIUS sunucu grubu üyelerine iletmek amacıyla RADIUS proxy’si olarak da yapılandırabilirsiniz.

Ağ İlkesi Sunucusuna Genel Bakış

Ağ İlkesi Sunucusu (NPS), ağ ilkelerini aşağıdaki üç özellik yardımıyla merkezi olarak yapılandırmanıza ve yönetmenize olanak verir: Arayan Kullanıcının Uzaktan Kimliğini Doğrulama Hizmeti (RADIUS) sunucusu, RADIUS proxy ve Ağ Erişim Koruması (NAP) ilke sunucusu.

RADIUS ve proxy sunucu

NPS bir RADIUS sunucu, bir RADIUS proxy sunucu veya ikisi bir arada olarak kullanılabilir.

RADIUS sunucu

NPS, Internet Engineering Task Force (IETF) tarafından RFC 2865 ve 2866’da belirtilen RADIUS standardının Microsoft tarafından gerçekleştirilen uygulamasıdır. NPS, bir RADIUS sunucu olarak, kablosuz, kimlik doğrulama anahtarı, çevirmeli ağ ve sanal özel ağ (VPN) uzaktan erişim ve yönlendiriciler arası bağlantılar için merkezi kimlik doğrulama, yetkilendirme ve hesap işlemleri yapar.

NPS kablosuz bağlantı, anahtar, uzaktan erişim veya VPN donanımlarının bir arada kullanılabilmesini sağlar. NPS’yi, Microsoft Windows 2000, Windows Server 2003 Standard Edition; Windows Server 2003 Enterprise Edition ve Windows Server 2003 Datacenter Edition ile birlikte gelen Yönlendirme ve Uzaktan Erişim hizmetiyle kullanabilirsiniz.

NPS çalışan sunucu bir Active Directory® Etki Alanı Hizmetleri (AD DS) etki alanının üyesi olduğunda, NPS, dizin hizmetini kendi kullanıcı hesabı veritabanı olarak kullanır ve çoklu oturum çözümünün bir parçasıdır. Ağ erişimi denetimi (kimlik doğrulama ve yetkilendirme amacıyla ağa erişim) ve bir AD DS etki alanında oturum açmak için aynı kimlik bilgileri kümesi kullanılır.

Internet servis sağlayıcılar (ISS) ve ağ erişimi sağlayan kuruluşlar, kullanılan ağ erişim donanımı türünden bağımsız olarak, tek bir yöentim noktasından tüm ağ erişim türlerini yönetmenin zorluklarını yaşamaktadır. RADIUS standardı bu işlevselliği hem homojen hem de heterojen ortamlarda destekler. RADIUS, ağ erişim donanımının (RADIUS istemciler olarak kullanılan) kimlik doğrulama ve yetkilendirme isteklerini bir RADIUS sunucuya göndermesine olanak veren bir istemci-sunucu protokolüdür.

RADIUS sunucunun kullanıcı hesabı bilgilerine erişimi vardır ve ağ erişimi kimlik doğrulama bilgilerini denetleyebilir. Kullanıcının kimlik bilgileri doğrulanırsa ve bağlantı isteğine izin verilirse, RADIUS sunucu, belirtilen koşullara uygun olarak kullanıcının erişimini yetkilendirir ve sonra ağ erişim bağlantısını bir hesap oluşturma günlüğüne kaydeder. RADIUS kullanılması, ağa erişmek isteyen kullanıcının kimlik doğrulama, yetkilendirme ve hesap oluşturma verilerinin her bir erişim sunucusu yerine, merkezi bir konumda toplanmasına ve saklanmasına olanak verir.

RADIUS proxy sunucu.

 NPS bir RADIUS proxy sunucu olarak, kimlik doğrulama ve hesap oluşturma iletilerini diğer RADIUS sunuculara iletir.

NPS ile, kuruluşlar kullanıcı kimlik doğrulaması, yetkilendirme ve hesap oluşturma işlemlerini denetim altında tutarak, uzaktan erişim altyapısını bir servis sağlayıcısına devredebilir.

Aşağıdaki senaryolar için farklı NPS yapılandırmaları oluşturulabilir:

  • Kablosuz erişim
  • Kuruluş çevirmeli ağ veya sanal özel ağ (VPN) uzaktan erişimi
  • Devredilen çevirmeli ağ erişimi veya kablosuz erişim
  • Internet erişimi
  • İş ortakları için extranet kaynaklarına kimlik doğrulamalı erişim

 

 


 

 

 

Network Policy yapılandırmak için aşağıdaki sistemlere ihtiyaç vardır.

•    Windows Server 2012 : Active Directory

•    Windows Server 2012: Certificate Authority

•    Windows Server 2012: Network Policy Server Hyper-v üzerinde 4 adet Windows Server 2012 Datacenter edition kurulmuştur. 2 Adet Sunucu NPS Radius 2 adet sunucuda NPS proxy olarak kullanılacaktır.


Active Directory Yapılandırması

  • Active Directory Üzerinde 8021x diye Security grubu yaratılmalıdır. 8021x uygulanacak bilgisayarlar bu gruba üye yapılmalıdır. Kullanici bazlida yapilabilmektedir.

  • Active Directory “Default Domain Policy” veya yeni bir politika üzerinde Client Auto Enrollment politikası yapılandırılmalıdır.

 

 

Network Policy Server Kurulumu

NPS Rollerini kuracagimiz Windows Server 2012 Sunucularin NPS kurulumlari hepsinin aynıdır. Politikalar üzerinde yapılandırmalar farklıdır. NPS Kurulumu öncesi sunucuların hepsi domain’e alınmıştır. UAC’ları ve firewalları kapatılmıştır. Güncellemeleri yapılmıştır.

NPS Radius Proxy ve NPS olarak kullanilacak butun sunucular üzerinde aşağıdaki kurulumlar yapılmalıdır. Kurulumların hepsi aynı olduğu için diğer sunucu kurulumları için ekran görüntüleri koyulmamıştır.

 

 


 

 

Kurulum işlemleri bittikten sonra aşağıdaki gibi NPS Server Active Directory’e kayıt edilmelidir.


 

 

 

 

 

 

 

NPS Server Sertifika Oluşturma

Kimlik doğrulama yöntemi olarak PEAP-MS-CHAP v2, PEAP-TLS veya EAP-TLS ile, NPS sunucusunun minimum sunucu sertifikası gereksinimlerini karşılayan bir sunucu sertifikası kullanması gerekir. Burada yapılan konfigurasyonlar bütün NPS sunucular üzerinde yapılmalıdır.

Network Policy Server Radius Yapılandırması

NPS Radius olarak yapilandirilacak sunucularda aşağıdaki konfigurasyonlar yapılmalıdır.

Burada yaptığımız ayarlamalarda Radius Proxy olarak yapılandırdığımız sunucu isimlerini girmelisiniz. Proxy sunucu yapılandırması daha sonra yapılacaktır.

 

 

Burada Active Directory üzerinde oluşturduğumuz grubu ekliyoruz.

 

Bu bölümde kullanıcıların hangi vlan’lara atanması gerekiyorsa onları yazıyoruz.

Network Policy Server Radius Proxy Yapılandırması

Remote Radius Group’dan Radius Serverlarimizi ekliyoruz.

 

 

 

 

Gelen İstekleri Sunuculara yonlendirmek icin Connection Request Politikasını düzenliyoruz.

 

Oluşturmuş olduğumuz Radius Server Grouplari seciyoruz.

 

 

 

Radius Proxy üzerinde 802.1x’I aktif edeceğimiz swicthleri tanımlıyoruz.

 

Client Yapılandırması

Servislerden Wired Auto Config Start edilir. Startup type’I Automatic’e getirilir.

 

Ethernet Karti ayarlarından 802.1x Aktif edilir. Kimlik Doğrulama method seçilir.

Sertifika doğrulaması kaldırılır.

 

İçerik Kaynak: Agciyiz, technet 

Reklamlar

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google fotoğrafı

Google hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Connecting to %s