Ağ İlkesi Sunucusu (NPS) ile 802.1X kablolu veya kablosuz erişimi bir Arayan Kullanıcının Uzaktan Kimliğini Doğrulama Hizmeti (RADIUS) sunucusu olarak dağıttığınızda, aşağıdaki adımları uygulamanız gerekir:
-
Ağ erişim sunucularını (NAS), RADIUS istemciler olarak yükleyip yapılandırın.
-
Kimlik doğrulama yöntemleri için bileşenleri dağıtın.
-
NPS'yi bir RADIUS sunucu olarak yapılandırın.
Ağ erişim sunucularını (RADIUS istemciler) yükleyip yapılandırma
802.1X kablosuz erişimi dağıtmak için, kablosuz erişim noktalarını yükleyip yapılandırmalısınız. 802.1X kablolu erişimi dağıtmak için, 802.1X kimlik doğrulama anahtarlarını yükleyip yapılandırmalısınız.
Önemli | |
Kablosuz taşınabilir bilgisayarlar ve istemci işletim sistemlerinin çalıştırıldığı diğer bilgisayarlar gibi istemci bilgisayarlar RADIUS istemcileri değildir. RADIUS istemcileri, Ağ İlkesi Sunucusu (NPS) sunucuları gibi RADIUS sunucularıyla iletişim kurmak amacıyla RADIUS protokolünü kullandıklarından, kablosuz erişim noktaları, 802.1X uyumlu anahtarlar, sanal özel ağ (VPN) sunucuları ve çevirmeli ağ sunucuları gibi ağ erişim sunucularıdır. |
Her iki durumda da, bu ağ erişim sunucularının aşağıdaki gereksinimleri karşılamaları gerekir:
-
Institute of Electrical and Electronics Engineers (IEEE) standardı olan 802.1X kimlik doğrulaması desteği
-
RADIUS kimlik doğrulama ve RADIUS muhasebe desteği
Oturum bağıntısı gerektiren faturalandırma veya muhasebe uygulamaları kullanıyorsanız aşağıdakiler gereklidir:
-
RADIUS kimlik doğrulama ve hesap oluşturma kayıtları için oturum bağıntısına olanak vermek üzere "Arayan Kullanıcının Uzaktan Kimliğini Doğrulama Hizmeti (RADIUS)" başlığıyla Internet Engineering Task Force (IETF) tarafından RFC 2865'te tanımlanan Sınıf özniteliği desteği. Oturum bağıntısı için, NPS sunucunuzda veya proxy sunucunuzda RADIUS muhasebeyi yapılandırdığınızda, uygulamaların (faturalandırma uygulamaları gibi) veritabanını sorgulamasına, ilgili alanları birbiriyle ilişkilendirmek ve sorgu sonuçlarındaki her oturumun görünümünü döndürmesine olanak veren tüm hesap oluşturma verilerini günlüğe kaydetmelisiniz. Oturum bağıntısı için en azından aşağıdaki NPS hesap oluşturma verilerini günlüğe kaydetmelisiniz: NAS-IP-Address, NAS-Identifier (erişim sunucusu NAS-IP-Address ve NAS-Identifier özniteliklerinden birini gönderebileceği için her iki öznitelik de gerekmektedir), Class, Acct-Session-Id, Acct-Multi-Session-Id, Packet-Type, Acct-Status-Type, Acct-Interim-Interval, NAS-Port ve Event-Timestamp.
-
Kullanıcı oturumu sırasında bazı ağ erişimi sunucuları (NAS) tarafından düzenli olarak gönderilen ve günlüğe kaydedilebilen aradaki hesap istekleri. Bu istek türü, Acct-Interim-Interval RADIUS özniteliği NPS sunucusundaki uzaktan erişim profilinde düzenli istekleri destekleyecek biçimde yapılandırıldığında kullanılabilir. Aradaki isteklerin NPS sunucusunda günlüğe kaydedilmesini istiyorsanız, NAS'nin aradaki hesap istekleri kullanımını desteklemesi gerekir.
Sanal yerel ağlar (VLAN) kullanıyorsanız, NAS'lerin VLAN'leri desteklemesi gerekir.
Geniş alan ağı (WAN) ortamları için, ağ erişim sunucuları aşağıdakileri sağlamalıdır:
-
Bir WAN ortamında sıkışıklığı ve gecikmeleri işlemek üzere dinamik yeniden iletim zaman aşımı (RTO) tahmini veya üssel vazgeçme desteği.
Ayrıca, ağ erişim sunucularının ağ için gelişmiş güvenlik sağlamak üzere desteklemesi gereken filtreleme özellikleri bulunmaktadır. Bu filtreleme seçenekleri şunlardır:
-
DHCP filtresi. İstemci bir DHCP sunucusuysa, Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) yayın iletilerinin gönderilmesini engellemek için NAS'ler IP bağlantı noktalarına filtre uygulamalıdır. Ağ erişim sunucuları istemcinin ağdaki 68 numaralı bağlantı noktası üzerinden IP paketleri göndermesini engellemelidir.
-
DNS filtresi. NAS'ler, bir istemcinin DNS sunucusu gibi çalışmasını engellemek için IP bağlantı noktalarına filtre uygulamalıdır. NAS'ler, istemcinin 53 numaralı bağlantı noktası üzerinden ağa IP paketleri göndermesini engellemelidir.
Kablosuz erişim noktaları dağıtıyorsanız, Wi-Fi Korumalı Erişim (WPA) desteği tercih edilir. Windows Vista® ve Windows XP Service Pack 2'de WPA desteklenir. WPA'yı dağıtmak için, WPA desteği sunan kablosuz ağ bağdaştırıcıları da kullanın.
Kimlik doğrulama yöntemleri için bileşenleri dağıtma
802.1X kablosuz ve kablolu bağlantılar için, aşağıdaki kimlik doğrulama yöntemlerini kullanabilirsiniz:
-
EAP-TLS olarak da bilinen Genişletilebilir Kimlik Doğrulama Protokolü (EAP) ile Aktarım Katmanı Güvenliği (TLS).
-
PEAP-MS-CHAP v2 olarak da bilinen Korumalı EAP (PEAP) ve Microsoft Karşılıklı Kimlik Doğrulama Protokolü sürüm 2 (MS-CHAP v2).
-
PEAP-TLS olarak da bilinen PEAP ve EAP-TLS.
EAP-TLS ve PEAP-TLS için, Active Directory® Sertifika Hizmetleri'ni (AD CS) yükleyip etki alanının üyesi olan istemci bilgisayarlara ve NPS sunucularına sertifikaları yayımlayacak biçimde yapılandırarak, bir ortak anahtar altyapısı (PKI) dağıtmalısınız. Bu sertifikalar, kimlik doğrulama işlemi sırasında hem istemciler hem de NPS sunucuları tarafından kimlik kanıtı olarak kullanılır. Dilerseniz, istemci bilgisayar sertifikaları kullanmak yerine akıllı kartlar dağıtabilirsiniz. Bu durumda, kuruluş çalışanlarına akıllı kartlar ve akıllı kart okuyucuları yayımlamalısınız.
PEAP-MS-CHAP v2 için, sertifikaları NPS sunucularına yayımlamak üzere AD CS kullanarak kendi sertifika yetkilinizi (CA) dağıtabilir veya sunucu sertifikalarını istemcilerin güvendiği VeriSign gibi bir ortak güvenilen kök CA'dan satın alabilirsiniz.
Daha fazla bilgi için bkz. EAP'ye Genel Bakış ve PEAP'ye Genel Bakış.
NPS'yi bir RADIUS sunucu olarak yapılandırma
NPS'yi bir RADIUS sunucu olarak yapılandırırken RADIUS istemciler, ağ ilkesini ve RADIUS muhasebeyi yapılandırmalısınız.
RADIUS istemcileri yapılandırma
RADIUS istemcileri yapılandırmak iki aşamadan oluşur:
-
Kablosuz erişim noktası veya kimlik doğrulama anahtarı gibi bir fiziksel RADIUS istemciyi, ağ erişim sunucusunun NPS sunucularıyla iletişim kurmasına olanak veren bilgilerle yapılandırın. Bu bilgiler, erişim noktasındaki veya anahtarın kullanıcı arabirimindeki NPS sunucunuzun IP adresinin ve paylaşılan gizliliğin yapılandırılmasını içerir.
-
NPS'de yeni bir RADIUS istemci ekleyin. NPS sunucusunda, her bir erişim noktasını veya kimlik doğrulama anahtarını bir RADIUS istemci olarak ekleyin. NPS, RADIUS istemcisinin IP adresi ve paylaşılan gizliliğinin yanı sıra, her RADIUS istemci için bir kolay ad sağlamanıza olanak verir.
Daha fazla bilgi için bkz. Yeni Bir RADIUS İstemcisi Ekleme.
Ağ ilkelerini yapılandırma
Ağ ilkeleri, kimlerin ağa bağlanma yetkisi olduğunu ve hangi koşullarda bağlanabileceklerini atamanıza olanak veren bir dizi koşul, kısıtlama ve ayardır.
Daha fazla bilgi için bkz. Ağ İlkeleri.
RADIUS muhasebeyi yapılandırma
RADIUS muhasebe, kullanıcı kimlik doğrulama ve hesap oluşturma isteklerini yerel bilgisayardaki veya uzak bir bilgisayardaki yerel günlük dosyasına veya bir Microsoft® SQL Server™ veritabanına kaydetmenize olanak verir.
Daha fazla bilgi için bkz. RADIUS Hesap Kullanımı.