Bu bölümde domain makinasını 802.1x desteği ile Active Directory user ve computer doğrulaması yaparak packetfence’e register olmasını sağlayacağız.
packetfence
Bunun için yapılması gerekenler;
-LDAP entegrasyonu sağlamak
-Authentication source belirlemek
-Switch konfigrasyonu yapmak(AAA,Radius,SNMP ve Port konfigrasyonu)
-Connection profile belirlemek
-Windows client cihazında gerekli 802.1X etkinleştirmek.
Active Directory Entegrasyonu
Configuration – Policies and Access Control – Active Directory Domains New Domain alanını açarak AD User, Password gibi bilgiler doldurulur ve greate ve join işlemi tamamlanır.
Join success yazısı görülmelidir.
Realms sekmesinden Default ve Null seçeneklerine Domain bilgisi “btlocal” olarak seçilir. Bu varsayılan olarak AD kimlik doğrulamasının kullanılmasını sağlayacaktır.
Active Directory Join işlemi ve Realms eşleşmesini tamamladık.
Authentication Source Belirleme
Bu aşamada doğrulama yapılma şekli ve kaynağı belirlenecektir. Burada Active Directory Doğrulama kaynağı olarak girilecektir. Siz isterseniz sadece istediğiniz Organization Unit in “Base DN” bilgisini alarak doğrulama kaynağını daraltabilirsiniz. Ben Organizasyonun tamamını alacağım.
Authentication Sources > New Internal Source > Active Directory alanı seçilerek bilgiler doldurulur.
Bilgileri eksiksiz doldurduktan sonra test butonu kullanılarak bağlantı kontrol edilir. Test başarılı olduğu kontrol edilip save edilir.
Switch Konfigürasyonu
Bu aşamada switch olarak Extreme 210 series switch kullanacağım ve bu switch ile ilgili konfigrasyonu da sizinle paylaşacağım. Diğer marka-model switchler için dokümantasyonu olduğu adresi buraya tıklayrak ulaşabilirsiniz.
Extreme 210 Series Switch Konfigürasyon
AAA, RADIUS, 802.1X, SNMP ve port konfigrasyonlarını paylaşıyor olacağım.
AAA, Radius Konfigürasyonu
*Radius konfigrasyonunda belirlenen string key packetfence e switch eklerken kullanılacaktır. Örn:radiuskey
authentication enable
dot1x system-auth-control
aaa authentication dot1x default radius
authorization network radius
dot1x dynamic-vlan enable
radius server host auth 20.0.1.105
radius server key auth 20.0.1.105" encrypted
SSH ConfigSNMP Konfigürasyonu
SNMP konfigürayonunu default olarak “public” bırakmışım ama size önermiyorum. Farklı bir community name vererek ilerlenir.
snmp-server community "public" rw
SSH ConfigInterface Konfigürasyonu
interface 0/1
authentication order do1x mab
authentication priority mab dot1x
dot1x port-control mac-based
dot1x mac-auth-bypass
exit
SSH ConfigTrunk Port
interface 0/24
dot1x port-control force-authorized
switchport mode trunk
SSH ConfigSwitch’i PacketFence’e Ekleme
*Önemli: Switch network ü ve packetfence sunusunun çift taraflı haberleşiyor olmasına dikkat edilmesi gerekiyor. Demo çalışması yapacaksanız aynı networkte de konumlandırılabilir.
Switch > New Switch seçilerek bilgiler doldurulur.
Definition menüsünde swich modeli doğru seçilmeli ve Mode olarak mutlaka “Production” seçilmiş olmalıdır.
Role menüsünde Role Vlan ID açık olmalı ve “default” rolüne Vlan Id girildiğinden emin olunmalıdır.
Role menüsünde olan diğer roller şuan için bizim için önemli değil.
Radius menüsünde switch’e yazılan String key, Secret Passphrase alanına girilmeli.
Snmp Menüsünde switchte konfigrasyonu yapılan “Community name” Community alanalrına girilmelidir.
İlgili alanlar tamamen doldurulup switch eklemesi tamamlanır.
Connection Profiles Konfigürasyonu
Bu, PacketFence’in kablolu ağdan veya WiFi ağdan gelen bir bağlantının nasıl ilerleneceğini bilmesi için gereklidir. Bu adımda, Microsoft Active Directory kimlik doğrulama kaynağımız ile 802.1X kullanarak otomatik olarak kaydetmesini sağlamak için Connection Profile oluşturacağız.
New Connection Profiles seçilerek bilgiler doldurulur.
Enable Profile seçeneği enable edilir. Automatically seçeneği enable edilir.
Filter kısmında Connection Type olarak Ethernet-Eap seçilir. Source alanı daha önce oluşturduğumuz Source seçilir. Biz AD-Source oluşturmuştuk.
Windows Client 802.1X Konfigürasyonu
802.1X’i etkinleştirmek için önce “Services.msc” yönetici olarak çalıştırılıp Kablolu Otomatik yapılandırma “Wired AutoConfig” etkinleştirilir.
Ardından ilgili Lan arayüzünün Özellikler penceresinden 802.1x ayarları yapılır.
Client 802.1x ayarlarının en düzgün gün bu şekilde çalıştığını gözlemledim. Aynı konfigrasyon yapıldığında sorun yaşanılmayacaktır. Veya ihtiyaca göre user-computer authentication ayarları değiştirilebilir.
Şimdi Windows makinayı daha önce switch portunu ayarlanmış olduğumuz noktaya bağlıyoruz.
Register işlemi başarılı, Yeşil register ibaresini görmek oldukça mutluluk verici:)
Makinanın önce unregister olarak düştüğünü sonradan hem computer name hem de username ile register olduğunu görülüyor. 802.1x ile rol rabanlı vlan atamasını yapmış olduk. Böylece kurumda bulanan tüm Ad kullanıcılarına Auth. Source yazıp, connection profile belirleyerek role göre vlan atanmasını yapmış oluyoruz. İstediğimiz zaman bu rolü manuel olarak da değişterebilir isole bir vlana atama yapabiliriz.
Misafir erişimleri ve 802.x1 yapılamayan cihazlar için Captive Portal Konfigrasyonunda görüşmek üzere…
Hi Mr Onur Öcal,
thank you for explanation configure for packetfence, i had try and foolow you instruction but whna i try to connect to which one port on swicth i got failed connect to network, and of course i type correct username and password active directory , when i go to radius audit log packetfence i not show my pc on there can you give me suggest sir, thank you