Ana Sayfa / Genel / UniFi – USW: Kablolu İstemciler için Erişim Politikalarını (802.1X) Yapılandırma

UniFi – USW: Kablolu İstemciler için Erişim Politikalarını (802.1X) Yapılandırma

UniFi – USW: Configuring Access Policies (802.1X) for Wired Clients

UniFi – USW: Kablolu İstemciler için Erişim Politikalarını (802.1X) Yapılandırma

Genel bakış

Bu yazıda okuyucular, kablolu istemciler için UniFi anahtarlarında erişim politikalarını (802.1X) nasıl yapılandıracağını anlayacaktır. Bu makale, UniFi Güvenlik Ağ Geçidine yerleşik RADIUS sunucusunu ve ayrıca kendi kimlik doğrulama sunucunuzu gösterecek şekilde denetleyici yapılandırma örneklerini kullanarak nasıl yapılandıracağınıza ilişkin talimatları içerir.

Notları ve gereksinimleri:
Lütfen  bu kılavuzdaki talimatları izlemeden önce UniFi – USG: RADIUS Sunucunun Yapılandırılması makalesinde bulunan önkoşul yapılandırmayı tamamlayın  .
Her UniFi switch modeli 802.1X ile doğrulama yapabilir. Yapılandırma modelden modele değişmiyor. Bu makalede kullanılan cihazlar:
  • UniFi Anahtarı
  • UniFi Güvenlik Ağ Geçidi

İçindekiler

  1. Giriş
  2. Ağ diyagramı
  3. Bir Anahtardaki 802.1X Hizmetini Etkinleştirme
  4. 802.1X Bağlantı Noktası Modlarını Farklılaştırma
  5. Fallback VLAN’ı Yapılandırma
  6. USG Dışı RADIUS Sunucusu için Denetleyici Yapılandırması
  7. İlgili Makaleler

 

Giriş

802.1X standardı üç bileşene sahiptir:

  • Kimlik Doğrulayıcılar: Sistem erişimine izin vermeden önce RADIUS sunucusuna mesaj gönderen bağlantı noktasını veya aygıtı belirtir.
  • Eklentiler: Sistem hizmetlerine erişim isteyen bağlantı noktasına bağlı ana bilgisayarı belirtir.
  • Kimlik Doğrulama Sunucusu: Dış sunucuyu, örneğin, kimlik doğrulayıcı adına kimlik doğrulaması yapan RADIUS sunucusu belirtir ve kullanıcının sistem hizmetlerine erişmeye yetkili olup olmadığını belirtir. Bağlantı Noktası Erişim Kontrolü klasörü, sistemdeki 802.1X özelliklerini görüntülemenizi ve yapılandırmanızı sağlayan aşağıdaki sayfalara bağlantılar içerir.

RADIUS Kimlik Doğrulama ve Yetkilendirme:

Bir müşteri cihazının 802.1X ile yetkilendirildiği süreç aşağıdaki gibidir:

1. İstemci cihazdan kimlik bilgileri isteniyor.

2. Kullanıcı kimlik bilgilerini girer.

3. İstemci cihaz, ağa erişim sağlamak için veri bağlantı katmanındaki bir talebi bir doğrulayıcıya gönderir.

4. Doğrulayıcı cihaz daha sonra yapılandırılmış RADIUS sunucusuna “RADIUS Erişim İsteği” mesajı denilen bir mesaj gönderir.

 

NOT:  Bu mesaj, kullanıcı tarafından erişim için sağlanan kullanıcı adı, şifre veya sertifikayı içerir ancak bunlarla sınırlı değildir.

5. RADIUS sunucusu daha sonra doğrulayıcıya üç yanıttan birini verir:

  • Erişimi Reddet: Girilen kullanıcının, doğru tanımlamanın sağlanamamasına bağlı olarak veya erişimin RADIUS sunucusundan kaldırılması nedeniyle tüm erişimi reddedilir.
  • Erişim Zorluğu:  Kullanıcı, ikincil şifre, belirteç, PIN veya kart gibi kimlik doğrulaması için ek bilgiye ihtiyaç duyar. Bu mesaj, kullanıcı makine ve RADIUS sunucusu arasında güvenli bir tünelin kurulduğu daha karmaşık kimlik doğrulamada da kullanılır.
  • Erişim Kabulü: Kullanıcıya ağa erişim izni verilir.

NOT:  Ek olarak, aşağıdakiler dahil olmak üzere müşteriyle ilgili doğrulayıcıya iletilen başka özellikler olabilir:

  • İstemci için kullanılacak statik IP.
  • İstemci için kullanılacak belirli bir adres havuzu.
  • Bir müşterinin kimliğinin doğrulanabileceği maksimum süre.
  • Erişim listesi parametreleri
  • QoS özellikleri
  • İstemci için kullanılacak VLAN kimliği (Dinamik VLAN).

Ağ diyagramı

Bir Anahtardaki 802.1X Hizmetini Etkinleştirme

 

  1. Bu seçenek, kontrol cihazının “Aygıtlar” bölümünden bir anahtar seçerken “Özellikler” altındaki anahtar özellikleri panelinde bulunur.

DİKKAT:  Erişim kontrolünü etkinleştirmek anahtar bazında yapılır. Bu etkinleştirilmezse, anahtar RADIUS iletilerini RADIUS sunucusuna iletmek için bir doğrulayıcı işlevi göremez.

802.1X Bağlantı Noktası Modlarını Farklılaştırma

  • Otomatik: Başarılı bir kimlik doğrulama değişimi gerçekleştirilinceye kadar port yetkisizdir.
  • Yetkisiz Zorla: Bağlantı noktası, belirli kimlik doğrulama girişimlerini yoksayar ve istemciye kimlik doğrulama hizmetleri sağlamaz
  • Yetkilendirmeye Zorla: Bağlantı noktası, istemci bağlantı noktası tabanlı kimlik doğrulaması olmadan normal trafik gönderir ve alır.
  • MAC Tabanlı: Bu mod, her biri ayrı ayrı kimlik doğrulaması için aynı bağlantı noktasına bağlı birden fazla tamamlayıcıya izin verir. Ağa erişmek için bağlantı noktasına bağlı her ana bilgisayarın ayrı ayrı kimlik doğrulaması yapması gerekir. Ana bilgisayarlar, MAC adresleriyle ayırt edilir.

Port Profilleriyle Çalışma

Hızlı dağıtım için bağlantı noktası profillerinin kullanılması, her bağlantı noktasına 802.1X ilkelerini el ile uygulamak yerine önerilir.

  1. Ayarlar> Profiller> Port Değiştir’e gidin .
  2. İstediğiniz 802.1X kontrolüyle yeni bir profil oluşturun.

 

NOT:  RADIUS’ta dinamik VLAN ataması kullanırken, port profili kullanım için istenen her VLAN’ı içermelidir.

 

Fallback VLAN’ı Yapılandırma

 

Geri dönüş VLAN, bir müşteri, kullanıcı adı ve şifreyle veya MAC doğrulama bypass’ı ile doğrulama yapamadığında kullanılır. Bu ayar, anahtar başına tanımlanmıştır.

  1. Bu seçenek, kontrol cihazının “Cihazlar” bölümünden bir anahtar seçerken “Özellikler” altındaki anahtar özellikleri panelinde bulunur. Denetleyici sürüm 5.9 gerekli.

USG Dışı RADIUS Sunucusu için Denetleyici Yapılandırması

  1. Ayarlar> Profiller> RADIUS bölümüne gidin  .
  2. Harici RADIUS sunucusunun bilgileri ile yeni bir RADIUS Profili oluşturun.

 

Kullanıcı İpucu: Microsoft’un RADIUS kullanıcılarını, sertifikalarını vb. Yönetmek için NPS’lerini nasıl yönetecekleri hakkındaki kılavuzunagöz atın .

İlgili Makaleler

 

UniFi – USG: RADIUS Sunucusunu Yapılandırma

UniFi – RADIUS Kimlik Doğrulamasıyla İlgili Sorunları Giderme

Hakkında admin

Bu habere de bakabilirisiniz

Ubnt Unifi Controller Nedir?

Ubnt Unifi Controller Nedir? Bu makalede  Unifi Controller Nedir sorusuna değineceğim. UniFi® Controller, Ubiquiti’nin kablosuz …

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir