Radius sunucular neden kullanılır ve Windows NPS nasıl kurulur ile ilgili daha önceki yazılara göz atma fırsatınız olmadıysa mutlaka önce onları bakmanızı tavsiye ediyorum. Çünkü bu yazıda bir kopya kağıdı gibi çok tercih edilen entegrasyon ve kullanım örneklerini paylaşacağım
Windows NPS Active Directory ile entegrasyonu
Entegrasyon çok kolay şekilde yapılabilmekte, bunun için NPS server’ın üzerine sağ tıklayarak Register server in Active Directory ‘yi seçmemiz yeterlidir.
Register ettikten sonra herhangi bir restart gerektirmez.
Ntradping ile NPS (Radius) testleri ve Radius Client ekleme
Ntradping radius testlerinde kullanabileceğiniz çok eski ve çok pratik bir tooldur. Ben aşağıdaki ekran görüntüsünde herhangi bir NPS ayarı yapmadan bilgileri girerek test ettiğimde görüldüğü gibi bir cevap alamadım.
Önce NPS ‘in port ayarlarına hızlı bir bakalım. Port tarafında sorun yok görünyor, ben denemelerinde evrensel radius 1812 portunu kullanacağım. İkinci konuya bakalım o da Secret Key
Secret key için önce NPS üzerinde bir radius client oluşturulmalı.
Radius client eklerken bizden, Friendly name, Address ve Secret Key bilgilerini isteyecek, burada IP adres ntradping’i çalıştırdığınız client’ın IP adresi olmalıdır. İleride de NPS’e radius client olarak eklenecek FW, SW,Router gibi cihazların ip adreslerinin yazılması gerekir.
Eklediğimizde ilk radius client’ın aşağıdaki gibi geldiğini görmelisiniz.
Bir sonraki denememde bizi reject etmiş olsada bir response aldık.
Radius connection politikalarından bu Reject işlemini nasıl girildiğine değineceğiz.
Shared Secrets templateleri oluşturma ve kullanma
Template Managment altında Shared Secrets üzerinde sağ tıklayarak yeni oluştur diyebiliriz.
Template adını belirlemeli ve bir parola belirlemeyiz. Radius client olarak FW, SW gibi cihazlar eklerken bu parolaya ihtiyacımız olacak. Tamam diyerek kapatıyoruz.
Daha sonrasında Radius client’ımıza ilerleyerek ilgili template’i kullanabiliriz.
Tahmin edebileceğiniz gibi bu ihiyaç birden fazla cihaz eklediğinizde gerekecek pratik bir eylemdir.
Connection Request Politikaları
Bağlantı isteklerinin kabul edilmesi ve koşullara sokulabilmesi için connection request politikaları oluşturuyoruz. Bunun için aşağıdaki pencere ile yeni bir politika oluşturuyorum.
Tanımlam için politikaya bir isim vererek wizard’a devam ediyorum.
Erişim ile ilgili koşul belirleyeceğim, Burada çok koşul ekleyebiliriz, çalışma mantığını ifade edebilmek için radius clint ipsinden gelen istekleri kabul edecek bir koşul oluşturacağım.
3. seçenekte Add butonu sonrasında IP adresini girebileceğimiz bir imput ekranı geliyor. Radius client ip adresini buraya yazıyoruz.
Radius client’ın ip adresini ekledikten sonra wizard’a next ile devam ediyorum.
Authentication method’da bir değişiklik yapmadan Next ile devam ediyorum.
Herhangi bir değişiklik yapmadan ilerliyorum.
Yeni eklediğim politikalar karşıma geldi. Önceliğini 1 olarak düzenliyorum. Aslında şuanda sadece 1 koşul ile – Radius Client IP adresine bağlı olarak bağlantı istekleri için politika belirlemiş oldum.
Test edeceğim Radius client ipsini Radius client olarak ekliyorum.
Bu işmden sonra network policy server tarafındaki yapmam gerekecektir, Access-Reject hatasını böylelikle aşmış da olacağız.
Network Politikası Düzenlemeleri
Eski politikaları üzerine gelerek Disable ettikten sonra yeni bir politika belirliyorum.
Tanımlama için bir network politikası adı belirleyerek next ile devam ediyorum.
Bir koşul belirleyeceğim, koşulumu domain users ‘lar için olacak şekilde oluşturuyorum. Eğer isterek domain user olan bir kullanıcıdan gelirse sorunsuz şekilde ilerleyecek.
Access granted olarak next ile devam ediyorum.
Bir sonraki süreçte kimlik doğrulama mekanizması için gayet önemli bir pencereye ilerlemiş oluyoruz. Buranın detayları ile ilgili ayrıca bir yazı yazabiliriz. Özetlemek gerekirse bağlantıların güvenliği için kullanılan veri kapsülasyon teknolojilerini seçtiğimiz bir pencere olarak burayı düşünebiliriz.
Ben test ortamımda PAP ile devam edeceğim.
Aşağıdaki pencereye ilerleyeceğim ve amacım radius client’da şuan için response access-reject mesajını geçmek olduğu için aşağıdaki return attributelerini remove edeceğim.
Özet görüntü karşıma geliyor ve wizard’ı sonlandırıyorum.
Oluşturduğum politika Network politikalarında 1 sırada cevap verecek şekilde hazır halde. Artık NTradping ile yaptığımız testi tekrarlayabiliriz.
Active Directory bilgilerimi doğru şekilde girerek NPS sunucum üzerinden yaptığım erişimin başarılı şekilde geçtiğimi aşağıda görebilirsiniz. Bu haliyle tüm aktif cihazlarınızda AD entegrasyonunu radius üzerinden merkezi olarak gerçekleştirebilir ve yetki yönetimini yapabilirsiniz.
Izleme araçları
Wireshark ile baktığımızda da paketlerin sunucumuz tarafından cevaplandığını ve daha derinlemesine inceleyebiliriz.
NPS için bence herhangi bir hata gidermede izlenecek ilk yol Windows Event Viewer yada Accounting menüsü altında dosya bazlı loglar incelenebilir.
Aşağıdaki gibi bir log dosyası görünecektir.
Bu yazıyı burada sonlandıracağım, temel anlamda NPS ‘in nasıl çalıştığını ifade etmek ve çevreli şekilde yapılandırma ve hata giderme için bakılacak yerlere değinmeye çalıştım. Sorularınız için yorum kısmını kullanabilirsiniz.
Önceki yazılar:
[…] Microsoft NPS (Radius) server kurulumu – 2 […]