Freeradius‘u Ubuntu Linux işletim sistemi üzerine kurduğumuza göre artık authenticator olarak kullanacağımız cisco marka switch için dot1x yani 802.1x ayarlarını gireceğiz. Başlangıç konfigürasyonu olarak aşağıdaki komutları switch’e girelim.
switch# configure terminal
switch(config)# aaa new-model
switch(config)# radius-server host 1.1.1.10 auth-port 1812 acct-port 1812 key radiuskey
Switch’e radius’u tanıtmış olduk. Bakalım switch, radius sunucu ile anlaşabiliyor mu? Bunun için aşağıdaki şekilde komut kullanmalıyız.
Switch#test aaa group radius server 1.1.1.10 testuser 123 port 1812 legacy
Aşağıdaki gibi bir sonuç alıyorsanız test başarılı demektir.
Radius server ile giriş işlemi için ilk önce local kullanıcı oluşturmalıyız. Çünkü Radius sunucuya erişim problemi olduğunda, en azından bu kullanıcı ile giriş yapılabilmelidir.
switch(config)# username nizam privilege 15 password 0 123
Radius’a ulaşılamazsa local kullanıcıyla bağlanması için aşağıdaki komut girilir.
switch(config)# aaa authentication login default group radius local
Eğer bir kullanıcı ancak Radius sunucu ile authenticate olursa yani kimliği doğrulanırsa yetkili (authorization) olmalıdır. Bunun için aşağıdaki komut girilir.
switch(config)# aaa authorization exec default group radius if-authenticated
Switch’e girdiğimiz tüm ayarları kontrol etmek için “show run | in radius” ve “show run | in aaa” komutlarını kullanabiliriz.
Şimdi testuser isimli kullanıcıyla switch’e bağlanalım. Hem giriş yapabildik hem de sunucuda yazdığımız karşılama mesajını alabildik.
Radius ile authenticate işlemi başarılı olduğuna göre artık 802.1x ayarlarına geçebiliriz. Aşağıdaki komutları girelim.
switch# configure terminal
switch(config)# aaa authentication dot1x default group Radius
switch(config)# dot1x system-auth-control
switch(config)# interface eth 0/2
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto
Switch(config-if)# interface eth 1/0
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto
Switch ile radius arasındaki ayarları ve port bazında kimlik doğrulama için gerekli olan dot1x ayarlarını yaptığımıza göre switch’e bağlı işletim sistemlerinin authenticate olabilmesi için gerekli olan sertifika ve PEAP ayarlarına geçebiliriz.
