Dışarıya aktar (0) Yazdır
Tümünü Genişlet

Kablosuz erişim

Kablosuz erişim

Bu konuda, bir kuruluşa yapılan kablosuz bağlantılar için kimlik doğrulama, yetkilendirme ve hesap oluşturmayı desteklemek üzere IAS'nin nasıl kullanılabileceği açıklanmaktadır. Bu konuda aşağıdakileri kullanan bir kuruluşun normal yapılandırması açıklanıyor:

  • İki IAS sunucusu.
    RADIUS tabanlı kimlik doğrulamasında hataya dayanıklılık sağlamak için iki IAS sunucusu (bir birincil ve bir ikincil) kullanılır. Yalnızca bir RADIUS sunucusu yapılandırılır ve bu kullanılamaz duruma gelirse, kablosuz erişim istemcileri bağlanamaz. İki IAS sunucusu kullanıp, tüm kablosuz erişim noktaları (RADIUS istemcileri) birincil ve ikincil IAS sunucuları için yapılandırılarak, RADIUS istemcileri, birincil RADIUS sunucusunun kullanılamaz olduğunu algılayabilir ve otomatik olarak onun yerine ikincil IAS sunucusu çalışabilir.
  • Active Directory etki alanları.
    Active Directory etki alanları, IAS sunucularının kullanıcı kimlik bilgilerini doğrulamak, yetkilendirme ve bağlantı sınırlamalarını değerlendirmek için gereksinim duydukları kullanıcı hesaplarını, parolaları ve içeri arama özelliklerini içerir. Hem IAS kimlik doğrulama ve yetkilendirme yanıtı sürelerini en iyi hale getirmek, hem de ağ trafiğini en düşük düzeye indirmek için, IAS, etki alanı denetleyicilerine yüklenir.
  • Sertifika altyapısı.
    Kablosuz istemcilerin kimliğinin doğrulanması için, yerel olarak yüklenen kullanıcı sertifikalarıyla Genişletilmiş Kimlik Doğrulama Protokolü-Aktarım Düzeyi Güvenliği (EAP-TLS) kimlik doğrulama protokolü kullanılır.
  • Kablosuz uzaktan erişim ilkeleri.
    Uzaktan erişim ilkelerinin kablosuz bağlantılar için yapılandırılmasıyla, kimliği doğrulanmış kablosuz kullanıcılarının kuruluş intranetine sınırsız erişim edinmeleri ve konuk kablosuz kullanıcılarının, sertifika sunucusu içeren bir sanal yerel ağa (VLAN) sınırlı erişim edinmeleri sağlanır.
  • Birden çok kablosuz erişim noktası.
    Birden çok farklı şirket kablosuz erişim noktası, bir kuruluşun farklı binalarına kablosuz erişim sağlar.
  • Yeni kablosuz istemciler için ayrı bir VLAN'da sertifika sunucusu
    Yeni kablosuz istemciler için, ayrı bir sanal yerel ağa (VLAN) bir sertifika sunucusu yerleştirilir. Sertifika sunucusu, yeni bir kablosuz istemci tarafından, sonraki kablosuz erişim için kullanıcı sertifikası edinmek amacıyla kullanılır. Konuk bağlantısı alınmasından 10 dakika sonra, kablosuz istemcinin bağlantısı kesilir. Kablosuz istemci bilgisayarı yeniden bağlandığında, yeni yüklenen kullanıcı sertifikası kullanılarak kimliği doğrulanır ve ağa kimliği doğrulanmış kablosuz erişim edinir.

Aşağıdaki şekil bir kablosuz yapılandırmayı göstermektedir.

Kablosuz erişim istemcisi yapılandırması

IAS'yi, kablosuz istemcilerin VLAN'daki sertifika sunucusuna erişebilecekleri şekilde yapılandırırken, konuk teriminin kullanıcı kimliği ile, kimliği doğrulanmamış teriminin ise kullanıcı kimlik bilgileri ile ilgili olduğuna dikkat edin. Aşağıdaki kurallarda, Guest hesabı ile uzaktan erişim ilkesi kimliği doğrulanmamış erişim arasındaki farklılıklar gösterilmektedir:

Kullanıcı kimliği kuralları

 

Koşul IAS eylemi

Kablosuz istemcinin bir Kullanıcı Kimliği varsa,

IAS ilgili Windows hesabı ile eşleştirir.

Kablosuz istemcinin Kullanıcı Kimliği yoksa veya değer içermeyen bir Kullanıcı Kimliği kullanıyorsa,

IAS, varsayılan olarak Guest hesabını dener (IAS'nin üye olduğu etki alanında).

Kimlik bilgileri kuralları

 

Koşul IAS eylemi

Kablosuz istemci kimlik bilgileri sağlarsa

Kullanılan kimlik doğrulama yöntemi, bağlantı girişiminin kabul edilip edilmemesini belirler. EAP-MD5 konuk kimlik doğrulaması, bir Kullanıcı Kimliği ve parola (değer içermeyebilir) ile standart kullanıcı kimlik doğrulamasıdır. Ancak, güvenli kanal (Schannel), NULL sertifikaya dayanan bir Windows hesabına kimlik doğrulama yapılmasını desteklemez.

Kablosuz istemci kimlik bilgileri sağlamazsa

IAS, kimliği doğrulanmamış erişime izin verilip verilmediğini belirlemek için, uzaktan erişim ilkesini denetler. EAP-TLS tek yönlü kimlik doğrulamayı destekler; örneğin, kablosuz istemcinin kimlik bilgilerini göndermediği kimliği doğrulanmamış erişim. Ancak, EAP-MD5, tek yönlü kimlik doğrulamayı desteklemez.

Notlar

  • Bu konuda yalnızca IAS yapılandırması açıklanıyor. Active Directory etki alanlarının yapılandırmasını, sertifika altyapısını veya kablosuz erişim noktalarını tanımlamaz. Bu bileşenlerin dağıtımı hakkında daha fazla bilgi almak için, ilgili Yardım konularına bakın.
  • Bu konuda, sertifika sunucusu içeren bir VLAN kullanılarak, kablosuz istemcilerinin önyüklemesi açıklanmaktadır. Kimliği doğrulanmamış bir Ethernet bağlantısını veya diskete ayıklanmış olan bir sertifikayı kullanarak da kablosuz istemcileri önyükleyebilirsiniz.

Bu örnek için IAS’yi yapılandırmak üzere aşağıdaki adımları uygulayın:

  • Kullanıcı hesapları ve grupları için Active Directory’yi yapılandırın.
  • Birincil IAS sunucusunu etki alanı denetleyicisinde yapılandırın.
  • İkincil IAS sunucusunu farklı bir etki alanı denetleyicisinde yapılandırın.
  • RADIUS hesap oluşturma ve kimlik doğrulamayı kablosuz erişim noktalarında yapılandırın.

Kullanıcı hesaplarını ve gruplarını yapılandırma

Kullanıcı hesaplarını ve gruplarını yapılandırmak için aşağıdakileri yapın:

  1. Kablosuz bağlantı kuran tüm kullanıcıların, ilgili kullanıcı hesabına sahip olduğundan emin olun.
  2. Kullanıcı hesaplarında uzaktan erişim iznini Erişime izin ver veya Erişimi engelle olarak ayarlayarak, kablosuz erişiminizi kullanıcıya göre yönetin. Kablosuz erişiminizi grubu göre yönetmek için, kullanıcı hesaplarının uzaktan erişim iznini Uzaktan Erişim İlkesi aracılığıyla erişimi denetle olarak ayarlayın. Daha fazla bilgi için bkz: Kullanıcı için uzaktan erişim izni yapılandırma.
  3. Kablosuz erişim kullanıcılarınızı, grup tabanlı uzaktan erişim ilkelerinin avantajlarından yararlanmak için uygun evrensel ve iç içe gruplar halinde düzenleyin. Örneğin, kablosuz kullanıcı hesaplarının genel gruplarını içeren KablosuzKullanıcılar adında evrensel bir grup oluşturun. Daha fazla bilgi için bkz: Grup kapsamı.
  4. Guest hesabını, yeni kablosuz istemciler için konuk erişimine izin verecek şekilde yapılandırın. Daha fazla bilgi için, bkz: Konuk kimlik doğrulaması. Guest hesabında tersten şifrelenmiş parola depolamayı etkinleştirin. Daha fazla bilgi için bkz: Kullanıcı ve bilgisayar hesapları.
  5. Guests adında bir grup oluşturun ve Guest hesabını üye olarak ekleyin. Daha fazla bilgi için, bkz: Yeni grup oluşturma.
  6. IAS sunucu bilgisayarlarının üye olacakları etki alanını, bilgisayar sertifikalarının otomatik kaydedilmesi için yapılandırın. Daha fazla bilgi için, bkz: Kuruluş sertifika yetkilisinden otomatik sertifika ayırmasını yapılandırma.

Birincil IAS sunucusunu etki alanı denetleyicisinde yapılandırma

Birincil IAS sunucusunu etki alanı denetleyicisinde yapılandırmak için aşağıdakileri yapın:

  1. Etki alanı denetleyicisinde IAS’yi isteğe bağlı bir ağ bileşeni olarak yükleyin. Daha fazla bilgi için bkz: IAS’yi yükleme.
  2. Etki alanındaki kullanıcı hesaplarının özelliklerini okumak için IAS sunucu bilgisayarını (etki alanı denetleyicisi) yapılandırın. Daha fazla bilgi için bkz: IAS sunucusunu Active Directory'deki kullanıcı hesaplarını okumak üzere etkinleştirme.
  3. IAS sunucusu, diğer etki alanlarındaki kullanıcı hesaplarına bağlanma denemeleri için kimlik doğrulaması gerçekleştiriyorsa, diğer etki alanlarıyla IAS sunucu bilgisayarının üyesi olduğu etki alanı arasında iki yönlü güven olduğunu doğrulayın. Ardından diğer etki alanlarındaki kullanıcı hesaplarının özelliklerini okumak için IAS sunucu bilgisayarını yapılandırın. Daha fazla bilgi için bkz: IAS sunucusunu Active Directory'deki kullanıcı hesaplarını okumak üzere etkinleştirme. Güven ilişkileri hakkında ek bilgi için bkz: Güven yönü.
    IAS sunucusu, diğer etki alanlarındaki kullanıcı hesaplarına bağlanma denemeleri için kimlik doğrulaması gerçekleştiriyorsa ve bu etki alanlarıyla IAS sunucu bilgisayarının üyesi olduğu etki alanı arasında iki yönlü güven yoksa, bkz: Ormanlarda kimlik doğrulaması.
  4. Hesap oluşturma ve kimlik doğrulaması olayları için dosya günlüğü kaydını etkinleştirin. Daha fazla bilgi için bkz: Günlük dosyası özelliklerini yapılandırma.
  5. Gerekiyorsa, RADIUS istemcileri tarafından gönderilen kimlik doğrulaması ve hesap oluşturma iletileri için ek UDP bağlantı noktalarını yapılandırın. Daha fazla bilgi için bkz: IAS bağlantı noktası bilgilerini yapılandırma. IAS, varsayılan olarak kimlik doğrulaması için 1812 ve 1645, hesap oluşturmak için 1813 ve 1646 numaralı bağlantı noktalarını kullanır.
  6. IAS sunucusunun RADIUS istemcileri olarak kablosuz erişim noktalarını ekleyin. Daha fazla bilgi için, bkz: RADIUS istemcileri ekleme. Doğru adı veya IP adresini ve paylaşılan gizli kod dizelerini yapılandırdığınızdan emin olun. Daha fazla bilgi için, bkz: Paylaşılan gizli kod dizeleri. İleti Kimlik Doğrulayıcı özniteliğini, yalnızca kablosuz erişim noktası tarafından desteklendiğinde etkinleştirin.
  7. Aşağıdaki ayarlarla ortak kablosuz ilke oluşturmak için Yeni Uzaktan Erişim İlkesi Sihirbazı’nı kullanın:
    • İlke adı: Kablosuz erişim
    • Erişim Yöntemi: Kablosuz erişim
    • Kullanıcı veya Grup: Grup’u seçin ve ardından KablosuzKullanıcılar grubunu belirleyin (örnek).
    • Kimlik doğrulama yöntemleri: Akıllı Kart veya diğer Sertifika’yı seçin. Birden çok bilgisayar sertifikası varsa, Yapılandır’ı tıklatın ve ardından uygun bilgisayar sertifikasını seçin.
    • İlke Şifreleme Düzeyi: En sağlam şifreleme onay kutusunu seçin, diğer tüm onay kutularının işaretlerini kaldırın.
  8. Aşağıdaki ayarlarla özel kablosuz ilke oluşturmak için Yeni Uzaktan Erişim İlkesi Sihirbazı’nı kullanın:
    • İlke adı: Yeni kablosuz erişim
    • Koşullar:
    • NAS Bağlantı Noktası Türü, Kablosuz Diğer veya Kablosuz IEEE 802.11 ile eşleşiyor
    • Windows Grupları Guests ile eşleşiyor
    • İzin: Uzaktan erişime izin ver
    • Profil ayarları, Arama Sınırlamaları sekmesi:
    • İstemcinin bağlı kalabileceği süre (dakika) onay kutusunu seçin ve 10 yazın.
    • Profil ayarları, Gelişmiş sekmesi:
    • Tünel Türü özniteliğini, Sanal LAN’lar (VLAN) değeriyle ekleyin.
    • Yeni kablosuz istemciler için sertifika sunucusu içeren VLAN'ın VLAN ID değeri ile Tunnel-Pvt-Group-ID özniteliğini ekleyin.

Uzaktan erişim ilkelerine ek örnekler için, bkz: Uzaktan Erişim İlkelerine Örnekler.

  1. Varsayılan uzaktan erişim ilkelerini silin. Daha fazla bilgi için, bkz: Uzaktan erişim ilkesini silme.

İkincil IAS sunucusunu farklı bir etki alanı denetleyicisinde yapılandırma

İkincil IAS sunucusunu başka bir etki alanı denetleyicisinde yapılandırmak için aşağıdakileri yapın:

  1. Diğer etki alanı denetleyicisinde IAS’yi isteğe bağlı bir ağ bileşeni olarak yükleyin. Daha fazla bilgi için bkz: IAS’yi yükleme.
  2. Etki alanındaki kullanıcı hesaplarının özelliklerini okumak için ikincil IAS sunucu bilgisayarını (diğer etki alanı denetleyicisi) yapılandırın. Daha fazla bilgi için bkz: IAS sunucusunu Active Directory'deki kullanıcı hesaplarını okumak üzere etkinleştirme.
  3. İkincil IAS sunucusu, diğer etki alanlarındaki kullanıcı hesaplarına bağlanma denemeleri için kimlik doğrulaması gerçekleştiriyorsa, diğer etki alanlarıyla ikincil IAS sunucu bilgisayarının üyesi olduğu etki alanı arasında iki yönlü güven olduğunu doğrulayın. Ardından diğer etki alanlarındaki kullanıcı hesaplarının özelliklerini okumak için ikincil IAS sunucusu bilgisayarını yapılandırın. Daha fazla bilgi için bkz: IAS sunucusunu Active Directory'deki kullanıcı hesaplarını okumak üzere etkinleştirme. Güven ilişkileri hakkında ek bilgi için bkz: Güven yönü.
    İkincil IAS sunucusu, diğer etki alanlarındaki kullanıcı hesaplarına bağlanma denemeleri için kimlik doğrulaması gerçekleştiriyorsa ve bu etki alanlarıyla ikincil IAS sunucu bilgisayarının üyesi olduğu etki alanı arasında iki yönlü güven yoksa, bkz: Ormanlarda kimlik doğrulaması.
  4. Birincil IAS sunucusu yapılandırmasını ikincil IAS sunucusuna kopyalayın. Daha fazla bilgi için bkz: IAS yapılandırmasını başka bir sunucuya kopyalama.

RADIUS kimlik doğrulama ve hesap oluşturmayı kablosuz erişim noktalarında yapılandırma

Farklı şirket kablosuz erişim noktanızı, bir RADIUS istemcisi olarak, iki RADIUS sunucusu (birincil ve ikincil IAS sunucuları) ile yapılandırın. Daha fazla bilgi için kablosuz erişim noktası belgelerine bakın.

Bunu faydalı buldunuz mu?
(1500 karakter kaldı)
Geri bildiriminiz için teşekkür ederiz

Topluluk İçeriği

Show:
© 2014 Microsoft