802.1X Kablosuz ve Kablolu Bağlantıları için RADIUS Sunucusu

802.1X kablosuz erişimi dağıtmak için, kablosuz erişim noktalarını yükleyip yapılandırmalısınız. 802.1X kablolu erişimi dağıtmak için, 802.1X kimlik doğrulama anahtarlarını yükleyip yapılandırmalısınız.

Önemli

Kablosuz taşınabilir bilgisayarlar ve istemci işletim sistemlerinin çalıştırıldığı diğer bilgisayarlar gibi istemci bilgisayarlar RADIUS istemcileri değildir. RADIUS istemcileri, Ağ İlkesi Sunucusu (NPS) sunucuları gibi RADIUS sunucularıyla iletişim kurmak amacıyla RADIUS protokolünü kullandıklarından, kablosuz erişim noktaları, 802.1X uyumlu anahtarlar, sanal özel ağ (VPN) sunucuları ve çevirmeli ağ sunucuları gibi ağ erişim sunucularıdır.

Her iki durumda da, bu ağ erişim sunucularının aşağıdaki gereksinimleri karşılamaları gerekir:

• Institute of Electrical and Electronics Engineers (IEEE) standardı olan 802.1X kimlik doğrulaması desteği
  
  
• RADIUS kimlik doğrulama ve RADIUS muhasebe desteği
  
  

Oturum bağıntısı gerektiren faturalandırma veya muhasebe uygulamaları kullanıyorsanız aşağıdakiler gereklidir:

• RADIUS kimlik doğrulama ve hesap oluşturma kayıtları için oturum bağıntısına olanak vermek üzere "Arayan Kullanıcının Uzaktan Kimliğini Doğrulama Hizmeti (RADIUS)" başlığıyla Internet Engineering Task Force (IETF) tarafından RFC 2865'te tanımlanan Sınıf özniteliği desteği. Oturum bağıntısı için, NPS sunucunuzda veya proxy sunucunuzda RADIUS muhasebeyi yapılandırdığınızda, uygulamaların (faturalandırma uygulamaları gibi) veritabanını sorgulamasına, ilgili alanları birbiriyle ilişkilendirmek ve sorgu sonuçlarındaki her oturumun görünümünü döndürmesine olanak veren tüm hesap oluşturma verilerini günlüğe kaydetmelisiniz. Oturum bağıntısı için en azından aşağıdaki NPS hesap oluşturma verilerini günlüğe kaydetmelisiniz: NAS-IP-Address, NAS-Identifier (erişim sunucusu NAS-IP-Address ve NAS-Identifier özniteliklerinden birini gönderebileceği için her iki öznitelik de gerekmektedir), Class, Acct-Session-Id, Acct-Multi-Session-Id, Packet-Type, Acct-Status-Type, Acct-Interim-Interval, NAS-Port ve Event-Timestamp.
  
  
• Kullanıcı oturumu sırasında bazı ağ erişimi sunucuları (NAS) tarafından düzenli olarak gönderilen ve günlüğe kaydedilebilen aradaki hesap istekleri. Bu istek türü, Acct-Interim-Interval RADIUS özniteliği NPS sunucusundaki uzaktan erişim profilinde düzenli istekleri destekleyecek biçimde yapılandırıldığında kullanılabilir. Aradaki isteklerin NPS sunucusunda günlüğe kaydedilmesini istiyorsanız, NAS'nin aradaki hesap istekleri kullanımını desteklemesi gerekir.
  
  

Sanal yerel ağlar (VLAN) kullanıyorsanız, NAS'lerin VLAN'leri desteklemesi gerekir.

Geniş alan ağı (WAN) ortamları için, ağ erişim sunucuları aşağıdakileri sağlamalıdır:

• Bir WAN ortamında sıkışıklığı ve gecikmeleri işlemek üzere dinamik yeniden iletim zaman aşımı (RTO) tahmini veya üssel vazgeçme desteği.
  
  

Ayrıca, ağ erişim sunucularının ağ için gelişmiş güvenlik sağlamak üzere desteklemesi gereken filtreleme özellikleri bulunmaktadır. Bu filtreleme seçenekleri şunlardır:

• DHCP filtresi. İstemci bir DHCP sunucusuysa, Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) yayın iletilerinin gönderilmesini engellemek için NAS'ler IP bağlantı noktalarına filtre uygulamalıdır. Ağ erişim sunucuları istemcinin ağdaki 68 numaralı bağlantı noktası üzerinden IP paketleri göndermesini engellemelidir.
  
  
• DNS filtresi. NAS'ler, bir istemcinin DNS sunucusu gibi çalışmasını engellemek için IP bağlantı noktalarına filtre uygulamalıdır. NAS'ler, istemcinin 53 numaralı bağlantı noktası üzerinden ağa IP paketleri göndermesini engellemelidir.
  
  

Kablosuz erişim noktaları dağıtıyorsanız, Wi-Fi Korumalı Erişim (WPA) desteği tercih edilir. Windows Vista® ve Windows XP Service Pack 2'de WPA desteklenir. WPA'yı dağıtmak için, WPA desteği sunan kablosuz ağ bağdaştırıcıları da kullanın.

802.1X kablosuz ve kablolu bağlantılar için, aşağıdaki kimlik doğrulama yöntemlerini kullanabilirsiniz:

• EAP-TLS olarak da bilinen Genişletilebilir Kimlik Doğrulama Protokolü (EAP) ile Aktarım Katmanı Güvenliği (TLS).
  
  
• PEAP-MS-CHAP v2 olarak da bilinen Korumalı EAP (PEAP) ve Microsoft Karşılıklı Kimlik Doğrulama Protokolü sürüm 2 (MS-CHAP v2).
  
  
• PEAP-TLS olarak da bilinen PEAP ve EAP-TLS.
  
  

EAP-TLS ve PEAP-TLS için, Active Directory® Sertifika Hizmetleri'ni (AD CS) yükleyip etki alanının üyesi olan istemci bilgisayarlara ve NPS sunucularına sertifikaları yayımlayacak biçimde yapılandırarak, bir ortak anahtar altyapısı (PKI) dağıtmalısınız. Bu sertifikalar, kimlik doğrulama işlemi sırasında hem istemciler hem de NPS sunucuları tarafından kimlik kanıtı olarak kullanılır. Dilerseniz, istemci bilgisayar sertifikaları kullanmak yerine akıllı kartlar dağıtabilirsiniz. Bu durumda, kuruluş çalışanlarına akıllı kartlar ve akıllı kart okuyucuları yayımlamalısınız.

PEAP-MS-CHAP v2 için, sertifikaları NPS sunucularına yayımlamak üzere AD CS kullanarak kendi sertifika yetkilinizi (CA) dağıtabilir veya sunucu sertifikalarını istemcilerin güvendiği VeriSign gibi bir ortak güvenilen kök CA'dan satın alabilirsiniz.

Daha fazla bilgi için bkz. EAP'ye Genel Bakış ve PEAP'ye Genel Bakış.

NPS'yi bir RADIUS sunucu olarak yapılandırırken RADIUS istemciler, ağ ilkesini ve RADIUS muhasebeyi yapılandırmalısınız.