12-FortiNAC Kurulum Serisi / RADIUS Tanımları – Access Pointler için 802.1x Devreye Alım
Access Pointler için Devreye Alım
Access pointlerde kabloludan farklı olarak RADIUS-802.1X ayarları ile devreye alım metodu çalıştırılır.
Wireless için authentication’ı sağlayacak bir mekanizmaya ihtiyaç duyulur. Bu mekanizma wireless için 802.1x mekanizmasıdır. Yani FortiNAC’’ın normal şartlar altında gelen kullanıcıyı domaine sorup authenticate etme gibi bir yapısı bulunmamaktadır. Bu mekanizmayı bu menü aracılığı ile FortiNAC’ın yeteneklerine dahil etme işlemi yapılacaktır.
Yani FortiNAC’ın kendi üzerinde RADIUS Sunuculuk yapabilmesi için ayarları mevcut.
FortiNAC üzerinde bir RADIUS mekanizması ile bilrikte geliyor. Burada Authentication port olarak 1812 seçildiğinde ve Enable Service butonu kullanıldığında üzerindeki RADIUS service çalışır duruma gelecektir. Arkaplanda FreeRadius çalışmaktadır.
İşin içinde 802.1x olduğu için, wifi çalışma mantığına göre Authentication işlemlerini yapacak yetkiye sahip olan makinenin domaine join olması gerekiyor. Yani bu senaryo için FortiNAC’ın domaine join olması gerekiyor. Burada bu yetki FortiAuthenticator’a da verilseydi onu da Domaine join etmek gerekecekti.
Kullanıcı doğrulama işlemlerinde ağa bağlanan device’lar sorgularını Fortinac’a, Fortinac Domaine sorguluyor. Bunu yapabilmek için Fortinac’ın yetkili olması gerekiyor, bu yetkiyi ona vermek için de Domain’e fortinac’ı dahil etmem gerekir.
Kabloluda bu Authentication işlemlerini SNMP ile yaptığı için yetki konusu sorun olmuyordu.
FortiNAC RADIUS Yapılandırma / Domain’e Join Etme
Network->RADIUS altından ilgili menüye girilir.
Burada üst menüden Winbind menüsüne girilir. Create New diyerek oluşturma menüsüne girilir.
Burada tüm ayarlar kurumun sistem ekibinden alınmalıdır.
Username Password olarak domain admin service account ile buraya giriş yapılır. Tüm bilgilerin doğru olduğu senaryoda Local service altında status’un running durumda olduğu görülür
Winbind altında da running ve domaine joined durumda olduğunu görüntülerim.
Domain’e join olma işlemleri tamamlanmış oldu ve artık FortiNAC gelen kullanıcıyı wifi’da sorgulatabilecek duruma geldi.
- İlk istek fortigate’e gelecek, fortigate authenticate işlemlerini Radius olarak FortiNAC’ın Radius servisine soracak. İlk local service bölümü bu işlemi sağlayacak.
- Daha sonra FortiNAC gelen isteği AD’ye soracak, bu da Winbind altında yapılan ayarlar sayesinde olacak. İkisinin up olması durumu bu yüzden önemlidir.
Fortigate’e gelen ilk authenticate isteğinin Fortinac’a yönlendirilmesi için; FortiGate’de Radius ayarlarını FortiNAC olacak şekilde yapılandırmak gerekmektedir.
FortiGate FortiNAC RADIUS Tanımları
Burada NAS IP olarak; Fortigate hangi source’undan istekleri RADIUS’a yollayacaksa o adres girilir, Method olarak MS-CHAP kullanılır. FortiNAC Ip’si RADIUS SERVER olarak gösterilir.
Burada bir secret key belirlenir; daha sonra virtualized device’da kullanılmak için.
- Ek olarak CLI’dan NAC-IP’yi source IP olarak tanımlamak gerekir.
Virtualized device tanımlarını da yaptıktan sonra bu connection status kontrol edilir, success olarak görmek gerekir.
Sonra tekrar Edit in CLI ile Radius cli ayarlarına girilir ve burada coa ayarları enable edilir. Kullanıcı role bilgilerini göndermeyi sağlayan ayarlar da burada girilir.
Virtualized Device RADIUS Tanımları
FortiNAC’a authenticate istekleri FortiAP’den dolayısıyla Fortigate’den geleceği için, Device Inventory’de bu cihazdan authenticate isteklerinin alınacağını belirtmek gerekir, yani RADIUS tanımlarının yapılması gerekir.
Eğer başka marka bir AP olsaydı o cihaz için bu tanımları yapmak gerekecekti.
Hangi cihaz için RADIUS tanımı gerçekleştirilecekse o cihazı seçip virtualized device sekmesine girilmelidir. Yapıda fortigate olduğu için ve FortiAP’ler burada bulunduğundan bu kurgu için FortiAP’ler için bu tanımlar yapılır.
Network->Inventory->Fortigate->Virtualized Device->Root seçilerek Virt Dev menüsüne girilir.
Burada Radius menüsü altından local seçilir, Radius secret olarak Fortigate’de verilen secret bilgisi girilir. Radius sorgularının hangi IP’den geleceği seçilir. Burada normalde AP’nin IP adresi girilecekti fakat kullanılan cihaz FortiGate üzerinden yönetildiğinden FortiGate IP adresi tanımlanır.. Default Radius Attribute ile RFC_Role bilgisi eklenir.
Test SSID Oluşturma
Wifi Switch Controller->SSIDs->Create New SSID
Security Mode WPA2 Personal normal parolalı giriş için kullanılır, WPA2 Enterprise ben bunu bir RADIUS’a onaylatacağım ayarıdır. Burada WPA2 Enterprise seçiyorum ve RADIUS olarak FortiNAC seçiyorum.
Bridge mode’da yayın yapılır.
Dynamic Vlan Assigment, yani vlan atamalarında değişiklik yapılabilmesi için bunu aktif ediyorum. Farklı departmanda kullanıcıların, kendi departmanlarından vlan ID atanmasını bu teknoloji sağlar. Örneğin muhasebe departmanı için vlan 150 IK departmanı için vlan 200 alınabilmesini sağlıyor.
- AP’ye giden vlanların trunk geçirilmiş olması gerekmektedir.
Bu şekilde ayarlar kaydedilir.
NAC’ta kurallarını yazdıktan sonra, kullanıcı adı şifre girme ekranları geçildiğinde doğru vlana atanması sağlanacak.
SSID’yi FortiNAC’ta görüntüleme
Oluşturulan SSID Firewall’ın altında SSID menüsü altında gözüküyor olmalı, ilk bakışta görüntülenmeyebilir. Resync interface çalıştırılarak sayfa yenilendiğinde SSID görünür olacaktır.
NAC_Wifi çift tıklanarak ayarlarının değiştirilebileceği menü açılır.
Radius mode local olarak değiştirilir. Dot1x auto register yani kullanıcı adı şifre girdikten sonra otomatik register olması ayarı on olarak değiştirilir.
Use Custom Settings altında pre shared key girilir.
Default Wireless, switchlerde default vlan ile aynı ayarlarda olmalıdır. Diğer vlanlar için de doğru vlan atamaları yapılır.
- Client bağlanamadığını söylerse FortiGate’den Wifi Clients’a girilir. Burada vlan ID olarak doğru vlan görünmüyorsa ya da vlan ID 0 olarak görüntüleniyorsa FortiNAC vlan değerini yollamıyor demektir. Fortinac’ın kontrol edilmesi gereklidir.
Kablolu bir port gibi, ilgili SSID portu da NAC port group’a eklenecektir. Bu ayarlar tamamlandıktan sonra test edilebilir.
SSID Network Ayarları
Oluşturulan SSID’ye clientlar ve BT vlanından kullanıcılar bağlanacağı için Client ve BT vlanları, Access pointe kadar trunk uzatılmalıdır.
Ek olarak kullanıcıları karantinaya alacağı durumlar için Register ve Remediation vlanları da trunk geçirilmelidir.
Bu makalede Access Point’ler için FortiNAC ile RADIUS yapılandırması ve devreye alım süreci detaylı bir şekilde ele alındı. FortiNAC’ın domain’e join edilmesi, RADIUS tanımlamalarının yapılması ve SSID yapılandırmasının tamamlanması ile birlikte, kullanıcılar güvenli bir şekilde doğrulanabilir hale geldi. Bu yöntemle, kablosuz bağlantılar üzerinde tam kontrol sağlanırken, kullanıcılar güvenilir bir oturum açma deneyimi yaşadı.
Önümüzdeki hafta İyileştirme Tarama Konfigurasyonu / Endpoint Compliance makalesi ile tekrar buluşmak dileğiyle.
FortiNAC makale serisine genel bakış için FortiNAC’a Genel Bakış makalesini inceleyebilirsiniz. Haftaya görüşmek üzere.
