Sanal ortamda yaptığımız testlerde bazı sıkıntılar oluşabilmektedir. Bundan dolayı daha önceki adımlarda yaptığımız işlemi gerçek ortamda da test ekmek istedim. Genel bağlantı şemamız aşağıdaki olacaktır.
Gerçek ortamda “Cisco marka 2960 model switch” kullandım.
Kısaca bahsedecek olursak; bu laboratuvarda daha önce VMware’de sanal makine olarak kurduğumuz ve ubuntu üzerinde çalışan freeradius uygulasını gerçek ortama açtım. Bunun için radius sunucusunda network kart ayarlarında bridge seçeneğini seçtim.
Ardından vmware’in kurulu olduğu Windows 7 makinaya yani fiziksel gerçek bilgisayarımıza da el ile 1.1.1.0/24 network’ünden bir IP verdim.
Sonra pc’nin ethernet kartına bir cat-6 network kablosu taktım.
Sonra pc’nin ethernet’inden aldığım cat-6 network kablosunu switch’in fastethernet 0/11 portuna taktım. Cisco marka switch’te portları rastgele seçtim.
Switch konfigürasyonunu yapabilmek için konsol bağlantısı yaptım.
Konsol bağlantısı için switch’in consol portundan aldığım consol kablosunu pc’nin serial girişini taktım.
Ardından putty’i açtım. Önce hangi serial port’tan bağlantı kurulduğunu tespit ettim.
Buna göre de putty’den terminal ekrana girdim. Switch’e enerji vermeye unutmayalım. Ancak switch açık olursa terminal ekrana girebiliriz.
Artık switch’e ayar yapabilirim. Aşağıdaki ayarları girdim.
- switch# configure terminal
- switch(config)# aaa new-model
- switch(config)# radius-server host 1.1.1.10 auth-port 1812 acct-port 1812 key radiuskey
Switch’e radius’u tanıtmış olduk. Bakalım Radius sunucu ile anlaşabiliyor mu? Bunun için aşağıdaki şekilde komut kullanmalıyız.
- switch#test aaa group radius server 1.1.1.10 testuser 123 port 1812 legacy
Aşağıdaki gibi bir sonuç alıyorsanız test başarılı demektir. Yani switch, Radius üzerindeki testuser isimli kullanıcı, 123 şifresi ile authenticate olabildi. Burada kullanılan testuser isimli kullanıcıyı daha önce “6- UBUNTU ÜZERİNE FREERADIUS KURULUMU VE TESTİ“makalemizde tanımlamıştık. Veya “14- DALORADIUS’A SWITCH VE KULLANICI EKLEMEK” isimli makalemizde anlatıldığı gibi daloradius aracılığıyla da kullanıcı eklenebilir.
Başarılı olduğuna göre switch ayarlarında dot1.x ayarlarına devam edelim. İlk önce sanal ortamdaki switch gibi bir vlan 1 oluşturalım. Ardından da kimliği onaylanmayanları atmak istediğimiz başka bir vlan tanımlayalım. Bu vlan başka bir ağda yani 5.5.5.0/24 ağında olduğundan; bu vlan’a düşen port’taki kullanıcının 1.1.1.0/24 network’üne erişim izni olmayacaktır.
- switch# configure terminal
- switch(config)#interface vlan 1
- switch(config-if)#ip address 1.1.1.99 255.255.255.0
- switch(config-if)#no shut
- switch(config)#interface vlan 249
- switch(config-if)#ip address 5.5.5.5 255.255.255.0
- switch(config-if)#no shut
Girdiğimiz IP’leri “show ip int bri” komutu ile kontrol edebiliriz.
Bütün portları vlan1’e alalım.
- switch# configure terminal
- switch(config)# interface range fastEthernet 0/1 – 48
- switch(config)# switchport mode access
- switch(config)# switchport access vlan 1
Bunu “show vlan” komut ile kontrol edebiliriz. Gördüğümüz gibi tüm portlar vlan 1’e dahil olmuştur.
Radius server ile giriş işlemi için ilk önce local kullanıcı oluşturmalıyız. Çünkü Radius sunucuya erişim problemi olduğunda, en azından bu kullanıcı ile giriş yapılabilmelidir.
- username nizam privilege 15 password 0 123
Radius’a ulaşılamazsa local kullanıcıyla bağlanması için aşağıdaki komut girilir.
- aaa authentication login default group radius local
Eğer bir kullanıcı ancak Radius sunucu ile authenticate olursa yani kimliği doğrulanırsa yetkili (authorization) olmalıdır. Bunun için aşağıdaki komut girilir.
- aaa authorization exec default group radius if-authenticated
Daloradius’tan networkkampus isimli bir kullanıcı tanımladım. Şifre olarak 123 verdim.
Bu kullanıcı ile switch’e giriş yapmayı denedim.
Tam giriş esnasında Radius sunucu’da neler olduğunu izleyebilmek için aşağıdaki komutu kullanabiliriz.
- ngrep | grep 1.1.1.99
Bu komut ile aşağıdakine benzer bir çıktı alırız.
ngrep komutu çalışmadıysa aşağıdaki gibi yüklememiz gerekir.
- apt-get install ngrep
Burada switch ile Radius server arasındaki kabloyu çekersek lokal kullanıcı ile giriş yapılabildiğini de görebiliriz. Çünkü switch Radius sunucuya erişemediğinde lokal kullanıcı devreye girecek. Radius sunucuya erişmeye çalışacağı için kullanıcı onaylama işlemi biraz daha uzun sürecektir.
Radius ile authenticate işlemi başarılı olduğuna göre artık 802.1x ayarlarına geçebiliriz. Aşağıdaki komutları girelim.
- switch# configure terminal
- switch(config)# aaa authentication dot1x default group Radius
- switch(config)# dot1x system-auth-control
- switch(config)# interface FastEthernet0/4
- Switch(config-if)# dot1x auth-fail vlan 249
- Switch(config-if)# dot1x auth-fail max-attempts 1
Windows 8 ayarlarını yaptım. DHCP kullanmadığımız için ilk önce el ile 1.1.1.0/24 network’ünden sabit bir IP verelim. Bu işlem tüm windows işletim sistemlerinde benzerdir.
802.1x servisini açtım. Bunun için aramaya “services.msc” yazalım ve servisleri açalım.
Servislerden “Kablolu Otomatik Yapılandırma” başlatılmalıdır. İşletim sistemim İngilizce olduğundan “wired autoconfig” servisinde sağa tıklayıp “automatic” konumda start dedim.
Ağ bağdaştırıcısı ayarlarını yaptım.
Freeradius sunucusunun kurulu olduğu PC’yi switch’in fastethernet 0/11 portuna bağladım.
Windows 8 işletim sistemi kurulu olan laptop’umu switch’in fastethernet 0/4 portuna taktım.
Tam bu esnada Windows kullanıcı adı ve şifre sordu. Burada gireceğimiz şifre freeradius’ta tanımlanmış bir kullanıcı adı şifre kombinasyonu olmalıdır.
Görüldüğü üzere “yanlış_kullanıcı” adında rastgele yanlış bir kullanıcı adı ve şifre girildiğinde fa0/4 portu daha önce belirlediğimiz vlan 249’a alındı. Bunu switch’i izleyerek de anlayabiliriz.
Ağ bağdaştırıcısına bakıldığında da kimlik doğrulamanın başarısız olduğuna dair uyarıyı görmekteyiz.
Doğru kullanıcı girildiğinde yani mysq database’inde mevcut olan bir kullanıcı adı ile girildiğinde authenticate işlemi gerçekleştirilmiş oldu.
Sonuç: vlan1’de erişim izni olan fastethernet 0/4 portuna bağlı olan ve networkkampus/123 kullanıcı adı/şifre kombinasyonuna sahip olan bu kullanıcının 1.1.1.0/24 network’üne erişim izni sağlanmış oldu.