RADIUS LAB

15- Windows 8 İle Gerçek Ortamda Radius Testi

authenticator cisco 2960 switch

Sanal ortamda yaptığımız testlerde bazı sıkıntılar oluşabilmektedir. Bundan dolayı daha önceki adımlarda yaptığımız işlemi gerçek ortamda da test ekmek istedim. Genel bağlantı şemamız aşağıdaki olacaktır.

gercek ortamda freeradius test semasi
“Test Bağlantı Şeması”

Gerçek ortamda “Cisco marka 2960 model switch” kullandım.

authenticator cisco 2960 switch
“Authenticator Olarak Kullandığım Cisco 2960 Switch”

Kısaca bahsedecek olursak; bu laboratuvarda daha önce VMware’de sanal makine olarak kurduğumuz ve ubuntu üzerinde çalışan freeradius uygulasını gerçek ortama açtım. Bunun için radius sunucusunda network kart ayarlarında bridge seçeneğini seçtim.

VMWare network kart ayarlari
“VMWare Network Kartı Ayarları”
VMWare network kart ayarlari
“VMWare Network Kartı Ayarları”

Ardından vmware’in kurulu olduğu Windows 7 makinaya yani fiziksel gerçek bilgisayarımıza da el ile 1.1.1.0/24 network’ünden bir IP verdim.

windows sabit ip verme
“Windows 7 Sabit IP Verme İşlemi”

Sonra pc’nin ethernet kartına bir cat-6 network kablosu taktım.

cat6 ethernet kablo
“Bilgisayara Taktığım cat6 Kablo”

Sonra pc’nin ethernet’inden aldığım cat-6 network kablosunu switch’in fastethernet 0/11 portuna taktım. Cisco marka switch’te portları rastgele seçtim.

cat6 ethernet kablo
“Switch’e Taktığım cat6 Kablo”

Switch konfigürasyonunu yapabilmek için konsol bağlantısı yaptım.

konsol kablosu baglanti
“Konsol Kablosu Bağlantı Şeması”

Konsol bağlantısı için switch’in consol portundan aldığım consol kablosunu pc’nin serial girişini taktım.

konsol portu
“Konsol Portu”
konsol pc serial giris
“PC Serial Giriş”

Ardından putty’i açtım. Önce hangi serial port’tan bağlantı kurulduğunu tespit ettim.

konsol olma serial giris
“Bilgisayar Sağ Tık Özellikler”
konsol olma serial giris
“Aygıt Yöneticisi”

Buna göre de putty’den terminal ekrana girdim. Switch’e enerji vermeye unutmayalım. Ancak switch açık olursa terminal ekrana girebiliriz.

konsol olma serial giris
“Putty İle Konsol Olma”
konsol olma serial giris
“Putty İle Konsol Olduktan Sonra Terminal Ekran”

Artık switch’e ayar yapabilirim. Aşağıdaki ayarları girdim.

  • switch# configure terminal
  • switch(config)# aaa new-model
  • switch(config)# radius-server host 1.1.1.10 auth-port 1812 acct-port 1812 key radiuskey

Switch’e radius’u tanıtmış olduk. Bakalım Radius sunucu ile anlaşabiliyor mu? Bunun için aşağıdaki şekilde komut kullanmalıyız.

  • switch#test aaa group radius server 1.1.1.10 testuser 123 port 1812 legacy 

Aşağıdaki gibi bir sonuç alıyorsanız test başarılı demektir. Yani switch, Radius üzerindeki testuser isimli kullanıcı, 123 şifresi ile authenticate olabildi. Burada kullanılan testuser isimli kullanıcıyı daha önce “6- UBUNTU ÜZERİNE FREERADIUS KURULUMU VE TESTİ“makalemizde tanımlamıştık. Veya “14- DALORADIUS’A SWITCH VE KULLANICI EKLEMEK” isimli makalemizde anlatıldığı gibi daloradius aracılığıyla da kullanıcı eklenebilir.

switch radius test
“Switch ile freeRadius Bağlantısının Testi”

Başarılı olduğuna göre switch ayarlarında dot1.x ayarlarına devam edelim. İlk önce sanal ortamdaki switch gibi bir vlan 1 oluşturalım. Ardından da kimliği onaylanmayanları atmak istediğimiz başka bir vlan tanımlayalım. Bu vlan başka bir ağda yani 5.5.5.0/24 ağında olduğundan; bu vlan’a düşen port’taki kullanıcının 1.1.1.0/24 network’üne erişim izni olmayacaktır.

  • switch# configure terminal
  • switch(config)#interface vlan 1
  • switch(config-if)#ip address 1.1.1.99 255.255.255.0
  • switch(config-if)#no shut
  • switch(config)#interface vlan 249
  • switch(config-if)#ip address 5.5.5.5 255.255.255.0
  • switch(config-if)#no shut

Girdiğimiz IP’leri “show ip int bri” komutu ile kontrol edebiliriz.

radius guest vlan
“Switch’te Vlan Oluşturmak”

Bütün portları vlan1’e alalım.

  • switch# configure terminal
  • switch(config)# interface range fastEthernet 0/1 – 48
  • switch(config)# switchport mode access
  • switch(config)# switchport access vlan 1

Bunu “show vlan” komut ile kontrol edebiliriz. Gördüğümüz gibi tüm portlar vlan 1’e dahil olmuştur.

switch vlan gormek
“Oluşturulan Vlan’ları Görmek”

Radius server ile giriş işlemi için ilk önce local kullanıcı oluşturmalıyız. Çünkü Radius sunucuya erişim problemi olduğunda, en azından bu kullanıcı ile giriş yapılabilmelidir.

  • username nizam privilege 15 password 0 123

Radius’a ulaşılamazsa local kullanıcıyla bağlanması için aşağıdaki komut girilir.

  • aaa authentication login default group radius local

Eğer bir kullanıcı ancak Radius sunucu ile authenticate olursa yani kimliği doğrulanırsa yetkili (authorization) olmalıdır. Bunun için aşağıdaki komut girilir.

  • aaa authorization exec default group radius if-authenticated

Daloradius’tan networkkampus isimli bir kullanıcı tanımladım. Şifre olarak 123 verdim.

daloradius kullanimi
“Daloradius İle Kullanıcı Ekleme”
daloradius kullanicilari
“Daloradius Kullanıcıları”

Bu kullanıcı ile switch’e giriş yapmayı denedim.

daloradius switch test
“Daloradius Kullanıcısını Switch İle Test Etme”

Tam giriş esnasında Radius sunucu’da neler olduğunu izleyebilmek için aşağıdaki komutu kullanabiliriz.

  • ngrep | grep 1.1.1.99

Bu komut ile aşağıdakine benzer bir çıktı alırız.

freeradius anlik test
“FreeRadius Anlık Test”

ngrep komutu çalışmadıysa aşağıdaki gibi yüklememiz gerekir.

  • apt-get install ngrep

Burada switch ile Radius server arasındaki kabloyu çekersek lokal kullanıcı ile giriş yapılabildiğini de görebiliriz. Çünkü switch Radius sunucuya erişemediğinde lokal kullanıcı devreye girecek. Radius sunucuya erişmeye çalışacağı için kullanıcı onaylama işlemi biraz daha uzun sürecektir.

switch lokal kullanici ile giris yapmak
“Radius Sunucuya Ulaşılamadığında Switch’e Lokal Kullanıcı İle Giriş Yapmak”

Radius ile authenticate işlemi başarılı olduğuna göre artık 802.1x ayarlarına geçebiliriz. Aşağıdaki komutları girelim.

  • switch# configure terminal
  • switch(config)# aaa authentication dot1x default group Radius
  • switch(config)# dot1x system-auth-control
  • switch(config)# interface FastEthernet0/4
  • Switch(config-if)# dot1x auth-fail vlan 249
  • Switch(config-if)# dot1x auth-fail max-attempts 1

Windows 8 ayarlarını yaptım. DHCP kullanmadığımız için ilk önce el ile 1.1.1.0/24 network’ünden sabit bir IP verelim. Bu işlem tüm windows işletim sistemlerinde benzerdir.

windows 8 sabit ip verme
“Windows 8 Sabit IP Verme”

802.1x servisini açtım. Bunun için aramaya “services.msc” yazalım ve servisleri açalım.

windows servislerini acma
“Windows 8 Servislerini Açma”

Servislerden “Kablolu Otomatik Yapılandırma” başlatılmalıdır. İşletim sistemim İngilizce olduğundan “wired autoconfig” servisinde sağa tıklayıp “automatic” konumda start dedim.

windows 8 802.1x servisini aktif etme
“Windows 8 802.1x Servisini Aktif Etme”

Ağ bağdaştırıcısı ayarlarını yaptım.

windows 8 ağ bağdaştırıcısı 802.1x ayarları
“Windows 8 Ağ Bağdaştırıcısı Ayarları”
windows 8 ağ bağdaştırıcısı 802.1x ayarları
“Windows 8 Ağ Bağdaştırıcısı Ayarları”

 

Freeradius sunucusunun kurulu olduğu PC’yi switch’in fastethernet 0/11 portuna bağladım.

sunucu ile switch baglantisi
“Sunucu İle Switch Bağlantısı”

Windows 8 işletim sistemi kurulu olan laptop’umu switch’in fastethernet 0/4 portuna taktım.

pc switch baglantisi
“PC İle Switch Bağlantısı”
pc switch baglantisi
“PC İle Switch Bağlantısı”

Tam bu esnada Windows kullanıcı adı ve şifre sordu. Burada gireceğimiz şifre freeradius’ta tanımlanmış bir kullanıcı adı şifre kombinasyonu olmalıdır.

radius kullanıcı adı ve sifrenin yanlis girilmesi
“Radius Kullanıcı Adı ve Şifrenin Yanlış Girilmesi”

Görüldüğü üzere “yanlış_kullanıcı” adında rastgele yanlış bir kullanıcı adı ve şifre girildiğinde fa0/4 portu daha önce belirlediğimiz vlan 249’a alındı. Bunu switch’i izleyerek de anlayabiliriz.

radius kullanıcı adı ve sifrenin yanlis girilmesi
“Radius Kullanıcı Adı ve Şifrenin Yanlış Girilmesi”

Ağ bağdaştırıcısına bakıldığında da kimlik doğrulamanın başarısız olduğuna dair uyarıyı görmekteyiz.

radius kullanıcı adı ve sifrenin yanlis girilmesi
“Radius Kullanıcı Adı ve Şifrenin Yanlış Girilmesi”

Doğru kullanıcı girildiğinde yani mysq database’inde mevcut olan bir kullanıcı adı ile girildiğinde authenticate işlemi gerçekleştirilmiş oldu.

radius kullanıcı adı ve sifrenin dogru girilmesi
“Radius Kullanıcı Adı ve Şifrenin Doğru Girilmesi”

Sonuç: vlan1’de erişim izni olan fastethernet 0/4 portuna bağlı olan ve networkkampus/123 kullanıcı adı/şifre kombinasyonuna sahip olan bu kullanıcının 1.1.1.0/24 network’üne erişim izni sağlanmış oldu.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir