[Zyxel Switch / XGS / GS 2xxx Serisi ve üzeri] - Active Directory ile MAC Doğrulaması
Bu eğitim, Active Directory ile MAC doğrulamasının uygulanmasına odaklanmakta olup, özellikle Windows Server 2019 kullanılarak Basit Active Directory ayarlarına uygun, sade bir yapıya göre hazırlanmıştır:
BaseDN: DC=ad,DC=local
İlk Adım: Kullanıcı Oluşturma ve Ekleme Süreci başlatmak için, istemci olarak görev yapacak bir kullanıcı oluşturmak ve eklemek zorunludur. Örnek olarak, MAC adresi "b827eb2550df" olan bir cihazı (örneğin Raspberry Pi) düşünün. Bu kullanıcı, sonraki adımlarda belirtilen doğrulama sürecinde önemli bir rol oynayacaktır.
Switch Ayarları
NPS Sunucusunda Zyxel Switch'i RADIUS istemcisi olarak eklememiz gerekiyor
1) Active Directory Users and Computers'u açın: Başlat > Tüm Programlar > Yönetim Araçları > Active Directory Users and Computers.
2) Yeni bir kullanıcı hesabı oluşturun. Kullanıcı adı ve şifre, bağlanan cihazın MAC adresi olmalıdır. Not: Switch'te hangi seçeneklerin desteklendiğini kontrol edin ve buna göre yapılandırın; X/GS2xxx veya üzeri için aşağıdaki seçenekler mevcuttur:
Switch'i şu yolu izleyerek yapılandırın:
SECURITY > Port Authentication > MAC AuthenticationArdından MAC Doğrulamayı etkinleştirin, küçük harfli MAC adresine dayalı şifre türünü seçin ve kullanmak istediğiniz portlarda MAC Doğrulamayı aktif hale getirin. Switch üzerindeki tireyi (dash) yok olarak değiştirin.
Olası ayarlar şunlardır:
| Ad Öneki | Doğrulama için RADIUS sunucusuna gönderilen tüm MAC adreslerine eklenen öneki yazın. En fazla 32 yazdırılabilir ASCII karakteri girebilirsiniz. Bu alan boş bırakılırsa, yalnızca istemcinin MAC adresi RADIUS sunucusuna iletilir. | ||
| Ayırıcı | RADIUS sunucusunun hesap kullanıcı adı (ve şifresi) olarak kullanılan MAC adreslerindeki çiftleri ayırmak için kullandığı ayırıcıyı seçin. Tire (–), İki Nokta Üst Üste (:) veya Hiçbiri seçeneklerinden birini seçebilirsiniz; Hiçbiri seçilirse MAC adresinde ayırıcı kullanılmaz. | ||
| Büyük/Küçük Harf | RADIUS sunucusunun hesap kullanıcı adı (ve şifresi) olarak kullanılan MAC adreslerinde harfler için istediği büyük veya küçük harf seçimini yapın. | ||
| Şifre Türü | Switch'in aşağıda belirttiğiniz şifreyi göndermesi için Statik'i veya istemci MAC adresini şifre olarak kullanmak için MAC-Adresi'ni seçin. | ||
| Şifre | Switch'in, RADIUS sunucusuyla doğrulama için istemcinin MAC adresi ile birlikte göndereceği şifreyi yazın. [ ? ], [ | ], [ ' ], [ " ] veya [ , ] karakterleri hariç olmak üzere en fazla 32 yazdırılabilir ASCII karakteri girebilirsiniz. | ||
| Zaman Aşımı |
Switch'in doğrulaması başarısız olan istemci MAC adresinin tekrar doğrulama denemesi yapmasına izin vermeden önce geçen süreyi belirtin. Maksimum süre 3000 saniyedir. Bir istemci MAC doğrulaması başarısız olduğunda, MAC adresi "reddedildi" durumu ile MAC adres tablosunda öğrenilir. Burada belirttiğiniz zaman aşımı süresi, MAC adresi girdisinin MAC adres tablosunda kalma süresidir. Zaman aşımı değeri 0 olarak ayarlanırsa, Switch, Switch Ayarları ekranında yapılandırılan Yaşlandırma Süresini kullanır.
|
Bu örnekte istemcinin MAC ve kullanıcı adı “b827eb2550df” olarak belirlenmiştir. PI, MAC ve şifreyi aynı şekilde gönderecektir, yani Kullanıcı ve Şifre: “b827eb2550df”. MAC adresinin kullanıcı ve şifre olarak herhangi bir iki nokta üst üste olmadan eklendiğinden emin olun.
-
MAC adresini şifre olarak kullanırken, sunucu şifre karmaşıklığı gereksinimlerini düzenleyerek zorunlu minimum şifre gereksinimlerini kaldırmanız gerekebilir.
Sunucu Yöneticisi'ne gidin, sağ üst köşeden Araçlar, Yerel Güvenlik Politikası, Hesap Politikası, Şifre Politikası ve Minimum Şifre Uzunluğu'nu yok olarak değiştirin. Not: Tüm MAC Adresi kullanıcı hesaplarını ekledikten sonra bu seçeneği etkinleştirdiğinizden emin olun
- Kullanıcının AD tarafından doğrulanabilmesi için bir Grup oluşturmamız gerekir:
Böylece Kullanıcı ve Grup oluşturuldu, şimdi NPS'yi yapılandırmalıyız.
NPS Ayarları
Bir istemciyi doğrulaması gereken tüm switchler NPS'ye RADIUS İstemcisi olarak eklenmelidir.
- NPS Sunucu Konsolunu açmak için Başlat > Programlar > Yönetim Araçları > Ağ İlkesi Sunucusu'na gidin
- Sol panelde RADIUS İstemcileri ve Sunucuları seçeneğini genişletin.
- RADIUS İstemcileri seçeneğine sağ tıklayın ve Yeni'yi seçin.
- Zyxel-Switch için bir Ad girin.
- Zyxel Switch'inizin IP adresini girin.
- Bir RADIUS Paylaşılan Sırrı oluşturun ve girin.
- İşlem tamamlandığında Tamam'a basın.
- MAC-Auth için kullanılacak tüm switchler için bu adımları tekrarlayın.
Şimdi bir NPS Bağlantı İsteği İlkesi oluşturmamız gerekiyor.
Windows Grubu ve NAS Port Türü ayarları ile:
Ayarlarında Kimlik Doğrulama Yöntemi ile:
Şimdi Switch Yapılandırmasına devam edebiliriz.
Öncelikle AAA Sunucusunu şu yolu izleyerek eklemeliyiz:
SECURITY > AAA > RADIUS Server Setup- 6 numaralı NPS ayarına bakın; Paylaşılan Sır => IP'yi ayarlayın ve bir RADIUS Paylaşılan Sırrı girin.
Şimdi MAC-Auth'ın kullanılacağı portu etkinleştirmeliyiz:
(Burada örnek olarak PI Port 6'ya bağlıdır):
Yeniden başlatma sonrası yapılandırmanın kaybolmaması için yapılandırmanızı kaydedin:
Doğrulama:
Wireshark ile doğrulama yaptım ve çalışıyor:
- Ayrıca Domain-Log kullanabilirsiniz, aynı sonucu göreceksiniz:
Not: Switch yapılandırmasını yaptıktan sonra yeni yapılandırmanızı her zaman switch üzerinde kaydetmelisiniz.
Aksi takdirde, switch yeniden başlatıldığında değişiklikler kaybolacaktır
Güç Kesintisi veya Güç Döngüsü Sonrası Switch Yapılandırması Kaybolma Sorunu
Yorumlar
0 yorumMakale yorumlara kapalı.