Forum

RADIUS İçin AD...
 
Bildirimler
Hepsini Temizle

RADIUS İçin AD Gerekli mi?

Hamit Karakaya
(@HamitKarakaya)
Üye

WORKGROUP Ortamında bulunan windows server 2003 Standart Türkçe üzerinde RADIUS nasıl aktif hale getirilir.


Elimde ayrı sunucularda bir Windows Server 2003 Standar ve ISA 2006 var. Ben ISa üzerindeki kurallar için kullanıcıları Server 2003 den temin etmek istiyorum. Bunun için ilk olarak RADIUS aklıma geldi fakat başarılı olamadım. Forumda bulunan birçok RADIUS konusunu okumama rağmen sonuca ulaşamadım. Bu arada 2003 server sadece TS olarak kullanılıyor.


ISA Herhangi bir sorun olmadan stabil bir şekilde çalışıyor.


İç bacak X.X.100.1 Dış Bacak X.X.1.3


 2003 server da RADIUS kurdum ve istemciler kısmında ISA nın X.X.100.1 bacağını gösterdim.


ISA üzerinde de WebProxy Authentication kısmında RADIUS işaretledim ve RADIUS server olarak ta X.X.100.10


Uzaktan Erişim kısmında da Windows-Group olarak bir grubu tanımladım. ISA internete çıkarken kullanıcı adı ve şifre soruyor


fakat verdiğim Kullanıcı adı ve şifresini doğrulayamıyor. RADIUS da AD den ayrı herhangi bir aktifleştirme göremedim. Acaba boşa mı kürek sallıyorum. RADIUS AD dışında etkisiz mi?[:S]

Alıntı
Konu başlatıcı Gönderildi : 27/02/2010 16:51

Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Merhaba


Kullandığınız kimlik doğrulama metoduna göre değişir. Eğer MD5 kullanırsanız domain e gerek yok .


sanırım ayarlarınızda sorun var . karışık bir süreç ve kuralları iyi yazmalısınız . IAS için radius client eklemeyi de unutmayın.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 28/02/2010 02:21

Hamit Karakaya
(@HamitKarakaya)
Üye

Hakan bey Kimlik Doğrulama Metodunu değiştiremiyorum. Galiba ISA üzerinde değiştirmem gerekiyor.

IAS üzerinde "Uzaktan Erişim İlkelerinde", "Diğer erişim sunucularına yapılan bağlantılar" ilkesinin profilinde bulunan kimlik doğrulama tabında EAP yöntemini "MD5 - Çekişme" Olarak düzelttim ve aşağıtaki sonuçla karşılaştım.

---------------------------------------------------------TS üzeine IAS olarak düşen Event ID - 2------------------------------------------------------

Kullanıcı 1 için erişim reddedildi.
Tam Niteleyici Kullanıcı Adı = Server\1
 NAS-IP-Adresi = 100.100.1.3
 NAS-Tanımlayıcısı = <yok>
 Aranan İstasyon Tanımlayıcısı = <yok>
 Arayan İstasyon Tanımlayıcısı = <yok>
 İstemci Kolay Adı = ISA
 İstemci IP Adresi = 100.100.1.3
 NAS Bağlantı Noktası Türü = <yok>
 NAS Bağlantı Noktası = 443
 Proxy-İlke-Adı = ISA_Baglanti
 Kimlik Doğrulama Sağlayıcısı = Windows
 Kimlik Doğrulama Sunucusu = <belirlenmemiş>
 İlke Adı = Diğer erişim sunucularına yapılan bağlantılar
 Kimlik Doğrulama Türü = PAP
 EAP Türü = <belirlenmemiş>
 Neden Kodu = 66
 Neden = Kullanıcı, eşleşen uzaktan erişim ilkesinde etkinleştirilmemiş bir kimlik denetimi yöntemi kullanmaya çalıştı.

Ek bilgi için http://go.microsoft.com/fwlink/events.asp adresindeki Yardım ve Destek Merkezi'ne bakın => Herhangi Bir Açıklama Yok

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------

 

CevapAlıntı
Konu başlatıcı Gönderildi : 28/02/2010 16:43

Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Bunun iki nedeni vardır ;

IAS ile ISA aynı kimlik doğrulamayı kabul etmiyor ki eğer bu değil se IAS domain user olmayan user larda Domain için gerekli olan bir kimlik doğrulama seçilmiştir. ( EAP-TLS )

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 28/02/2010 17:08

Hamit Karakaya
(@HamitKarakaya)
Üye

Aşağıdaki linkte mevcut durumun bir resmini ekledim

 Terminal Sunucuda son durum bu şekilde. Açıkçası bu konu hakkında bir makaleye ulaşabilirsem veya tam bir açıklama gelirse çok iyi olacak.[:^)]

CevapAlıntı
Konu başlatıcı Gönderildi : 28/02/2010 19:44

Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

kullanıcıya kullanıcı adı şifre ekranı geliyor mu ? geliyor ise buraya domain\user şeklinde yazıyormusunuz kullanıcı adını ? buradaki domain olarak server 2003 makine ismi olacak.

Makale olsa zaten bu soruyu şu anda bize soruyor olmazdınız herhalde değil mi ? veya daha detaylı biri anlatmış olsa. Bunlar çok teknik konular ve bende size olabildiğince özet geçiyorum ki yapmaya çalıştığınız şey pek normal değil . IAS domain için destek veriyor , sizde bunu yapmak istemiyorsunuz bunu dediğiniz ancak zaten 100 teknoloji uzmanından 99 u bu konu ile ilgilenmez ki bu kişiye özel bir soru olur ben yinede size bilgi birkimimi paylaşıyorum ve sadece MD5 ile bu desteğin olduğundan bahsettim ama tutup adım adım sizin sisteminiz için inceleme sunmak demek danışmanlık demektir ki bu da sorun değil ama zamanım yok bu kadar üzgünüm .

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 28/02/2010 20:00

Hamit Karakaya
(@HamitKarakaya)
Üye

Evet kullanıcı adı ve şifre soruyor. Birde galiba "makine adı\kullanıcı" yada sadece "kullanıcı" olması birşey değitirmiyor. Çünkü olay günlüklerinde  kullanıcı adı her iki şekilde de "makine adı\kullanıcı" durumunda görünüyor. Anladığım kadarıyla hedef sunucu üzerinde bu kullanıcıyı arıyor. Tam bir açıklama derken danışmanlık hizmetini kastetmemiştim. Yani nerelere bakmam gerektiğini gösteren bir ok işareti de işe yarayabilir[Y]

Okuduğum makalelerde IAS domaine kaydettiriliyor ve ISA sunucusundan Radius olarak IAS kurulu makine gösteriliyordu. Bu durum benim için pek elzem değil ve 2003 Sunucuyu domain yapısına yükseltmek en kolayı olsada bir defa aklıma takıldığından yapabilene kadarda pek rahat uyuyamayacağım. Eğer çözebilirsem bunun için bir makale yazabilirim. Nede olsa %1 de düşünmek gerkir. Benim gibi takıntılı arkadaşları rahatlatmak için uzun bir süre malayani işlerle meşgul olacağım gibi[N]

Arkadaşlar bilgileriniz, ayırdığınız zaman ve yapacağınız yardımlar için teşekkür ederim.[C]

CevapAlıntı
Konu başlatıcı Gönderildi : 28/02/2010 21:26

Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Tabiki herkesi düşünerek kaynak paylaşımı yapmak gerekiyor buna şüphe yok ama dediğim gibi ben size bu konuda gerekli bilgileri verdim ; eğer domain de olmayacak ise MD5 kullanabilirsiniz .

birde ISA Server system policy içerisinde RADIUS tanımlı mı ?

 

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 01/03/2010 00:44

Hamit Karakaya
(@HamitKarakaya)
Üye

Evet, gösterdiğiniz gibi tanımlı. Sorgu IAS a ulaşıyor - IAS Kullanıcı adını ve şifresini doğruluyor (Kullanıcı adı, şifresi yanlış olunca olay günlüğüne yanlış olarak düşüyor.) fakat daha sonra;

"Neden = Kullanıcı, eşleşen uzaktan erişim ilkesinde etkinleştirilmemiş bir kimlik denetimi yöntemi kullanmaya çalıştı." Burayı çözemedim?

Kullanıcı 1 için erişim reddedildi.
Tam Niteleyici Kullanıcı Adı = Server\1
 NAS-IP-Adresi = 100.100.1.3
 NAS-Tanımlayıcısı = <yok>
 Aranan İstasyon Tanımlayıcısı = <yok>
 Arayan İstasyon Tanımlayıcısı = <yok>
 İstemci Kolay Adı = ISA
 İstemci IP Adresi = 100.100.1.3
 NAS Bağlantı Noktası Türü = <yok>
 NAS Bağlantı Noktası = 443
 Proxy-İlke-Adı = ISA_Baglanti
 Kimlik Doğrulama Sağlayıcısı = Windows
 Kimlik Doğrulama Sunucusu = <belirlenmemiş>
 İlke Adı = Diğer erişim sunucularına yapılan bağlantılar
 Kimlik Doğrulama Türü = PAP
 EAP Türü = <belirlenmemiş>
 Neden Kodu = 66
 Neden = Kullanıcı, eşleşen uzaktan erişim ilkesinde etkinleştirilmemiş bir kimlik denetimi yöntemi kullanmaya çalıştı. 

CevapAlıntı
Konu başlatıcı Gönderildi : 01/03/2010 14:24

Hamit Karakaya
(@HamitKarakaya)
Üye

En sonunda Bir çözüm üretebildim. Fakat bu çözüm Şifresiz kimlik doğrulama olduğu için ağı dinleyebilen biri bunu rahatlıkla çözebilir diye düşünüyorum. Aşağıdaki resimde de görüldüğü gibi "Şifresiz kimlik doğrulama" yöntemi ile çalışıyor. Daha önceleri EAP yöntemleri kısmında "MD5 - Çekime"  doğrulamasını kullanmaya çalışıyordum. En azından bir adım atabildim[:)] Bu durumda anladığım kadarıyla IAS kullanıcı doğrulaması işleminde MD-5 yöntemini kullanabilse de Yönlendirme ve Uzaktan Erişim sunucusunda bunu tanımlamayı başaramadım.

 Doğrulama

Şimdi sırada  Yönlendirme ve Uzaktan Erişim sunucusu var.

Fikirlerinizi bekliyorum [pi]

CevapAlıntı
Konu başlatıcı Gönderildi : 01/03/2010 15:41

Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Bunu kullanamayan ISA yani ISA MD5 ile gelmediği için IAS da bunu doğrulayamıyor.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 01/03/2010 16:00

Hamit Karakaya
(@HamitKarakaya)
Üye

Evet haklısınız.

 ISA 2006 yardım da "configure Radius" ile aratınca şu cevap çıkıyor;

For VPN clients, Extensible Authentication Protocol (EAP) messages are always
sent with a message authenticator. For Web Proxy clients, only Password
Authentication Protocol (PAP) is used. 

 

Aynı sorun Firewall Client istemcileri içinde geçerlimi. Açıklamada yer verilmemiş, uğraşmalı mıyım? Yoksa zaman kaybı mı?[^o)]

Herşey için teşekkür ederim.

CevapAlıntı
Konu başlatıcı Gönderildi : 01/03/2010 17:18

Hakan Uzuner
(@hakanuzuner)
Kıdemli Üye Yönetici

Hiç denemedim ama farklı olacağını sanmıyorum.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

CevapAlıntı
Gönderildi : 01/03/2010 17:25

Paylaş: