Yönetim ve İşletme

Sağlık bilgilerini görüntüleme

Sağlık Bilgileri web arayüzünde şasi üzerine tıklayıp Health sekmesini seçince görüntülenir. Komut satırında ise show system komutunun çıktısı size aynı bilgileri sunar.

Şekil 1: KARINCA web arayüzündeki sağlık sekmesi

Komut satırında görülen sağlık bilgileri:

CONTROLLER>show status

Power Supply 1: UP Power Supply 2: DOWN Fan 1: UP

Chassis Type: 5060 Model: 5060

Serial Number: 5000301 Firmware Revision: 6.2022d4

Firmware Built: Wed 15 Jul 2015 12:03:42 Hardware Revision: 1.00

Up Time: 2 days 11 hours 14 mins 56 secs System Temperature: 38

System Temperature High Threshold: 70 Rule capacity used: 0%

Cihaz sağliğı ile ilgili aşağıdaki bilgiler listelenir:

  • Ayakta olma süresi (Up time) – Son başlangıçtan bu yana geçen süre
  • Model – Şasi model numarası
  • Donanım Sürümü (Hardware revision)
  • Seri numarası (Serial number)
  • Yazılım sürünü (Firmware Revision)
  • Yazılım tarihi (Firmware built)
  • Kullanılan toplam kural yüzdesi (Rule capacity used)
  • Sistem sıcaklığı (System temperature) – Derece cinsinden şasi iç sıcaklığı
  • Fanlar – Dahili fanların durumu
  • Güç Kaynağı durumları (Power supply).

Aşağıdaki değerler yöneticiler tarafından değiştirilebilir:

  • Sıcaklık eşiği (Temperature threshold) – SNMP uyarısının gönderileceği sıcaklık değerinin belirlemek için kullanılır.
  • Kural yaratma zaman aşımı (Rule generator timeout) – Bu değer kuralların yaratılma süresi için bir sınır koymakta kullanılır. Yöneticiler kural yapılandırması boyunca arayüzde değişiklik yapamaz. Kuralların uygulanmasının çok uzun sürmesi hatalı bir yapılandırma ihtimali doğurur. Bu durumda zaman aşımı uygulamak mantıklıdır. Zaman aşımına uğrayan yapılandırma, uygulanmaz ve yöneticinin üzerinde çalışması için bekletilir. Böylece yöneticiler arayüzün kontrolünü tekrara sağlar ve üzerinde çalışabilir.

Yerel kullanıcı yönetimi

Yerel kullanıcılar doğrudan cihaz üzerinden doğrulanır, harici RADIUS/TACACS sunucu kullanımına ihtiyaç duymaz. Yerl bir kullanıcı yaratırken, isim, parola ve yetki seviyesi (Yönetici-Administrator, Operatör veya Gözlemci-Auditor) Yetki seviyesi, kullanıcının yönetim fonksiyonlarını sınırlayan bir güvenlik özelliğidir:

  • Yöneticiler(Administrator) sistem ve arayüz ayarları üzerinde tam yetkilidir.
  • Operator sadece arayüz ayarlarına erişebilir
  • Gözlemci(Auditors) sistem ve arayüz ayarlarını sadece görebilir, değişiklik yapamaz.

Yerel kullanıcılar Security  sekmesi altındaki Local Users seçeneğinden ayarlanır.

Şekil 2: Local Users list

Yerel kullanıcı ekleme

1.  Şasiye tıklayın ve  Security sekmesini seçin.

2.  Configure local users başlığına tıklayın ve mevcut yerel kullanıcıları listeleyin.

3. Add new user butonuna basın, ya da mevcut bir kullanıcı ayarını değiştirmek için , Add/Edit user penceresini açın.

Şekil 3: Kullanıcı ekleme

4.  İstenen parametreleri girin:

  • İsim(Name) – Kullanıcı adını girin. Boşluk ve Türkçe karakter kullanmanıza izin verilmez. Kullanıcı adlarında harf boyuna duyarlıdır.
  • Yetki seviyesi(Authorisation level) – İstenilen yetki seviyesini seçin
  • Parola(Password) — Parola girin. Boşluk ve Türkçe karakter kullanmanıza izin verilmez. Parolalar harf boyuna duyarlıdır.
  • Parola Onayı(Confirm password) – Yukarıda girilen parolayı onay için tekrarlayın

5.  Add user/Save changes butonuna tıklayın. Kullanıcı eklenmiş veya güncellenmiştir.

6.  Review/apply butonuna basarak değişiklileri görebilirsiniz. Burada Apply changes  butonuyla yeni kullanıcıyı aktif hale getirebilirsiniz.

Kullanıcı hesaplarını yönetme

Sistem varsayılan olarak yönetici, operatör ve gözlemci kullanıcıları için parolalar tanımlamıştır. Bunları Güvenlik sekkemsinden veya komut satırından aşağıdaki şekilde değiştirebilrisiniz.

1.  Web arayüzüne yönetici olarak girin.

2.  Önce şasiye, sonra Security sekmesine tıklayın.

3.  Configure local users butonuna basın.

4. Açılan yerel kullanıcı listesinden , Administrator kullanıcısı için düzenleme butonuna basın. Edit local user penceresi açılır.

Şekil 4: Kullanıcı düzenleme penceresi

5.  Parola değiştir?(Change password?) kutusunu işaretleyin.

6.  Administrator hesabı için yeni parolayı girin. Parola boşluk ve Türkçe karakter içermemeli ve en fazla 80 karakter olmalıdır.

7.  Save changes butonuna tıklayın.

8.  Operator ve Audit kullanıcılarının parolalarını da aynı şekilde değiştirin.

9.  Review/apply butonuyla değişiklikleri görün ve Apply changes butonuyla onaylayarak devreye alın.

Parola değişikliği için eşlenik  CLI komutları aşağıda verilmiştir:

CONTROLLER>show users

user : security level 2

admin : security level 3

audit : security level 1

CONTROLLER>set user Admin password yeniparola

Changing password for user Admin

CONTROLLER> set user User password yeniparola

Changing password for user User

CONTROLLER>set user Audit password yeniparola

Changing password for user Audit

Sistem saatini yönetme

Ağ üzerinden zaman yönetimi, cihaz yönetimi, güvenlik, planlama ve arıza takibinde şebekedeki tüm cihazlardan üretilen  verilerde aynı zaman referansını kullanıması için kritik öneme sahiptir.

Zaman senkronizasyonu olmadığında, üretilen kayıtların birbirlerin göe durumunu tesbit etmek çok zorlaşır, hatta imkansız hale gelir.

En önemli örnekler, güvenlik açıklarına karşı kontrol ve ağ istatiklerinin toplanmasıdır. Bir çok bileşeni etkileyen bir sorunda, elde edilen kayıtlardaki zamanlar tutarsız olursa, sorunun ana nedeni bulunamaz Ayrıca dosya sistemlerinde, değişiklik zamanları gibi bilgilerin işletim sistemi bağımsız tutarlı olarak damgalanması gerekir.

Bu sebeplerden, ağ üzerindeki cihazlar zaman ayarlamasının verimli olması kritiktir.

 KARINCA NTP protokolünü deteklemektedir. Bu sayede NTP sunucu ile zaman senkronizasyonun dinamik olarak yapabilmektedir. Bu cihaz sadece NTP istemci olarak çalışır, başka cihazlara zaman servisi vermek için kullanılamaz.

NTP sunucu ekleme

KARINCA NTP sunucu kullanmak üzere aşağıdaki şekilde yapılandırılır.

1.  Web arayüzünde şasi üzerine tıklayın ve  Security sekmesini seçin.

2.  NTP server alanın, ağınızdaki erişilebilir NTP sunucunun adresini yazın.

3.  Review/apply butonuyla değişiklikleri görün ve Apply changes butonuyla onaylayarak devreye alın.

Mevcut yapılandırmayı kaydetme

Yöneticiler, arayüz ayarları, haritaları, filtreleri ve SNMP ayarlarını kalıcı bir belleğe daha sonra geri dönmek üzere kaydedebilirler. Kullanıcı ayarları ve ağ ayarları kaydedilmez.

1.  Web arayüzünde şasiye tıklayın ve  Management sekmesini seçin.

2.  Saved configurations (Kayıtlı Yapılandırma) başlığını seçin. Saved configurations kutusu açılır.

Şekil 5: Kayıtlı yapılandırma listesi

3.  Save current configuration butonuna basın ve kayıt için bir isim verin. En fazla 80 karakter kullanılabilen bu bölümde, alfanümerk karakterler ve alt çizgi (’_’) kullanılabilinir. Boşluk ve Türkçe karakter kullanılamaz.

4.  Save butonuna basarak yapılandırmayı kaydedin.

Yapılandırma kaydının  CLI üzerinden yapılması için aşağıdaki komutu kullanabilirsiniz:

CONTROLLER>create settings filename

Yapılandırma yükleme

Daha önce kaydedilen bir yapılandırma yükleyerek, arayüz ayarları, haritaları, filtreleri ve SNMP ayarlarını  geri alabilirsiniz. Örneğin

factory_defaults yapılandırması ile fabrika ayarlarına getirilmiş bir cihazda bunu yaparak eski yapılandırmayı kullanabilirsiniz. Bu işlemi gerçekleştirmek iiçn yönetici yetkisine sahip olmalısınız.

1.  Web arayüzünden şasiyi seçin ve  Management sekmesine tıklayın.

2.  Saved configurations bölümüne tıklayın.  Saved configurations kutusu açılacak ve eski yapılandırmalar listelencektr. Sisteminize göre, bir kaç tane ön tanımlı yapılandırma olabilir. Örneği factory_defaults yapılandırması cihazı fabrika çıkışındaki ilk yapılandırmasına döndürür. Sisteminizde başka yapılandırmalar da olabilir.

3.  İstediğiniz yapılandırmayı seçin ve geri dönme butonuna tıklayın.        .

4.  Load butonu ile yükleme başlayacak ve mevcut yapılandırmanızın üzerine yazılacaktır. .

CLI kullanarak yapılandırma geri yükleme

Komut satırı kullanarak, kalıcı bellekten, yapılandıma alabilrsiniz. Bunun için restore komutunun arkasına yapılandırma ismini yazmalısınız.

Örneğin karınca Benim_KARINCA-1048-6C_yapilandirma, isimli yapılandırma dosyasına geri dönmek için şu komutu kullanbilirsiniz.:

CONTROLLER>restore Benim_KARINCA-1048-6C_yapilandirma

applied settings OK

Sistem yapılandırmasını bilgisayarınıza indirme

Sistem yapılandırmanızı yedeklemek veya başka bir KARINCA’ya aktarmak için bilgisyarınıza indirebilirsiniz. Yapılandırma dosyası sistemin tam bir yedeğidir ve ağ yapılandırmasını ve parolalar hariç kullanıcı bilgilerini de içerir

Yedek dosyası ağ ayarları ve kullanıcı bilgileri düzenlenmeden, tekrar yüklenmemelidir. Aksi halde cihaza erişim sorunları yaşanabilir.

.

1.  Şasi üzerine tıklayın ve  Management sekmesini seçin.

2.  Download configuration butonuna basın. Gerekirse, tarayıcınızda açılan pencerelere onay verin.

3.  Yapılandırma bilgilerini bir yazı dosyasına kopyalayın ve kaydedin. Türkçe ve özel karakter ile boşluk kullanmayın.

4.  Açılmış pencereyi kapatarak işlemi sonlandırın

Sistem yapılndırmasını geri yükleme

Sistem yapılandırmasını geri yükleyerek, cihazı daha önceki bir duruma döndürebilirsiniz. Bunu yapınca, tüm arayüz, ağ ve kullanıcı ayarları yeni yapılandırma ile yer değiştirecektir.

Sistemden dışarı atılmayı engellemek için, sadece doğru ağ ve kullanıcı ayarları olan KARINCA yapılandırmasını yükleyin. Gerekirse yapılandırmayı düzenlemek için bir yazı editörü kulanın.

1.  Şasi üzerine tıklayın ve  Management sekmesini seçin.

2.  Önce Upload configuration file, butonuna sonra  Continue butonuna tıklayın. Sistem sizi kullanıcı onayı için dışarı atacaktır. .

3.  Yönetici kullanıcı adı ve parolasını girin, ve Choose file butonuna tıklayarak yüklemek istediğiniz dosyayı seçin.

Sistem yazılımını güncellemek

Angora Networks cihaz özelliklerini güncellemek, performansı artırmak ve hataları ayıklamak için zaman zaman yeni sistem yazılımları çıkartmaktadır.

Yazılım yükseltmesi için bir bakım aralığı ayarlanmalıdır. Sistem yazılımın değiştirilmesi temel değişiklikler içerdiğinden, sistemin paket akışında bir kaç dakikalık kesinti olması sıradandır.

Sistem yazılımını güncelleme

1.  Şasi üzerine tıklayın ve  Management sekmesini seçin.

2.  Önce Update butonuna sonra Continue  butonuna tıklayın. Sistemden çıkış yapılır ve Firmware update penceresi açılır (Aşağıdaki şekle bakın).

3.  Yönetici kullanıcı adı ve parolasını girin ve yüklenecek dosyayı seçin.

Hatalı dosya göndermeye çalışmanız cihazın işleyişinde geri dönülmez sorunlar yaratabilir. Dolayısıyla, sadece Angora Networks destek sayfalarından indirdiğiniz dosyaları kullanını. Eğer emin değilseniz Angora destek merkezine veya yetkili iş ortaklarına ulaşın.

4.  Upload new firmware butonuna basın.

Yazılım güncellemesi bir kaç dakika sürecektir. Bu sırada kesinlikle cihazın gücünü kesmeyin.

Şekil 6: Yazılım güncelleme penceresi

Özellik Paketleri Yükleme

Yöneticiler yeni özellik paketleri yükleyerek, sisteme yeni fonksiyonlar ekleyebilir. Her paket özelliklerine ve port sayısına göre aktive olur. Tüm portlarda tüm fonksiyonları aktive edebileceğiniz paketleri yükleyebilrsiniz

1.  Şasi üzerine tıklayın ve  Management sekmesini seçin.

2.  Önce Install features butonuna sonra , Continue butonuna tıklayın.

Sistemden dışarı çıkarılacak ve aşağıdaki  Install Features penceresi açılacaktır

3.  Yönetici adı ve parolasını girin ve Angora Networks tarafından sağlanmış özellik paketi dosyasını seçin.

Geçersiz bir özellik paketi kullanmaya çalışmak sistem özelliklerini geri dönülmez şekilde devre dışı bırkabilir. Bu yüzden Angora Network destek birimlerinden sağlanmamış özellik dosylarını kullanmayın. Özellik dosyaları sadece Angora Networks üzerinden gönderilmektedir.

4.  Install feature pack butonuna tıklayın.

Şekil 7: Özellik ekleme ekranı

Sistem güvenlik yapılandırması

Bu bölüm farklı güvenlik ve erişim kontrolü seöeneklerini anlatmaktadır. Kullancıı erişimi, kimlik doğrulama ve yönetim kayıtları burad anlatılmaktadır.

Kullanıcı tarafı anahtarı (public host keys) yönetme

KARINCA SSH erişimlerinde, cihazın varlığını onaylamak üzere kullanılan bir RSA kullanıcı anahtarı barındırmaktadır.

KARINCA’ya bir SSH istemci ile  ilk bağlandığınızda, istemci cihaza ait anahtarın bağlanan bilgisyarda kayıtlı olmadığı konusunda uyarı verir. SSH istemciniz çok muhtemelen, size  bu anahtara güvenmek isteyip istemediğiniz soracak ve isterseniz hafızasına kaydedecektir

The authenticity of host '192.168.254.100' can't be established.

RSA key fingerprint is 96:3a:45:fd:dc:bb:re:45:25:59:4d:a2:d3:31:af:4e.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added '192.168.254.100' (RSA) to the list of known hosts.

Olumlu cevabınız anahtarı kaydettiğiniz için, farklı bir anahtar ile bağlantı kurulmaya çalışılması durumunda, istemci size bir hata mesajı gösterecek ve oturumu sonlandıracaktır. İsterseniz varsayılan anahtar yerine kendi yarattığınız anahtarı kullanablirsiniz. Bunun için kendi anahtarınızı sisteme yüklemelisiniz.

Kullanıcı tarafı anahtarı (public host keys) değiştirme

Web arayüzündeki Upload SSL certificate seçeneğini kullanarak varsayılan anahtarı değiştiebilirsiniz. Bu işlem komut satırı üzerinden yapılamamaktadır.

1.  Şasi üzerine tıklayın ve  Management sekmesini seçin.

2.  Önce Upload SSL certificate butonuna ardından Continue seçeneğine tıklayın. Upload SSL certificate sayfası aşılacaktır.

Şekil 8: SSL sertifikası yükleme sayfası

3.  Yönetici adı ve parolasını girin ve seritifka dosyasını seçin.

Sertifika dosaysı  .tar.bz2 formatında olmalı, ve içeriğinde sadece iki dosya olmalıdır:

  • AngoraNetworks.crt—X.509 sertifika dosyası (PEM-encoded; en fazla 8192 bit)
  • server.key—özel anahtar (private key) dosyası (PEM-encoded; en fazla 8192 bit)

Hatalı dosya gönderilmesi, cihazın ağ üzerinden erişilemez olması ile sonuçlanabilir. Eğer böyle olursa, konsol portu üzerinden bağlantı kurularak, fabrika ayarlarına dönmeniz gerekecektir.

4.  Upload new certificate butonuna tıklayın ve seritifkanın yüklenip devreye alınmasını bekleyin. Tüm yeni bağlantılar artık yeni yüklenen anahtar ile doğrulanacaktır.

Yönetim erişimi yapılandırması

Yönetim erişim yöntemlerine(SSH, konsol, HTTPS) kimlik doğrulama yöntemleri ekleyebilirsiniz. Bu yöntemler cihaz üzerinde veya TACACS+ veya RADIUS sunucular üzerinden yapılandırılabilir.

Kullanıcı doğrulaması seçilen erişim yöntemleri ile ayarlanan sırada yapılır. Eğer ilk yöntem erişilemez ise ikinci yöntem denenir. Örneğin, sıralama RADIUS ve local (cihaz üzerinden) şeklinde ise, ancak tüm ayarlı RADIUS sunucular erişilemez olursa, yerel veritabanı üzerinden sorgulama yapılır. Eğer kimik doğrulama yöntemi erişilebilir durumdaysa ve doğrulama başarısız olursa, kullanıcı cihaza giriş yapamaz. Bir sonraki yöntem denenmez.

Erişim yöntemlerinin tanımlanması

1.  Şasiye tıklayın ve Security sekmesini seçin

2. Authenticate users seçeneği yanındaki düzenleme butonuna tıklayın. Aşağıdaki resimde görüldüğü gibi Edit authentication types sayfası açılacaktır.

3.  İstenilen sırada olacak şekilde kimlik doğrulama yöntemlerini sürükleyin. Kullanılmayacak yöntemler

 And ignore: seçeneği altına sürüklenmelidir.

Aşağıdaki kimlik doğrulama yöntemleri kullanılabilir:

  • Yerel (Local) – Kullanıcı adı ve parola cihaz üzerinde tanımlanan bilgilere göre onaylanır. Bu kullanıcı adı ve parola çiftleri Local Users bölümünde tanımlanır.
  • RADIUS – Kullanıcılar RADIUS sunucu aracılığıyla onaylanır. En az bir tane RADIUS sunucu tanımlanmalıdır.
  • TACACS+ – Kullanıcılar TACACS+ sunucu aracılığıyla onaylanır. En az bir tane TACACS+sunucu tanımlanmalıdır.

4.  Review/apply butouna tıklayın ve değişiklikleri kontrol edin. Apply changes butonuna basarak değişiklikleri onaylayın.

Şekil 9: Kimlik doğrulama tipleri

TACACS+ kimlik doğrulama sunucusu yapılandırma

KARINCA sistemi bir   ‘Terminal Access Controller Access Control System (TACACS+)’ istemci olarak davranarak,  TACACS+ sunucu ile merkezi güvenlik, kimlik doğrulama ve yetkilendirme işlemlerini geçekleştirebilir.

TACACS+ aşağıdaki hizmetleri sunar:

  • Kimlik Doğrulama(Authentication) – Cihaza bağlanmak isteyen yöneticilerin kimlik doğrulaması için kullanıcı adı/parola onaylamasını sağlar.
  • Yetkilendirme(Authorization) – Girişte kontol edilir. Performed at login. Kimlik doğrulama tamamlandıktan sonra, sağlanan kullanıcı için yetkilendirme oturumu başlar. TACACS+ sunucun kullanıcının yetkilerini kontrol eder.
  • Kayıt Tutma – Accounting – Kullanıcı oturumlarının kayıtlarının tutulmasını sağlar. Bu sayede kullanıcı hareketleri TACACS+ sunucu üzerinde kayıt edilir.

Kimlik doğrulama oturumu tamamlandıktan sonra, kullanıcı için yetkilendirme oturumu başlar. TACACS+ sunucu kullanıcı yetkilerini kontrol eder. TACACS+ protokolü, istemci ile sunucu arasında giden bilginin güvenli ve değişmez bir şekilde değişimin sağlar

TACACS+ sadece IPv4 için desteklenmektedir.

TACACS+ sunucu, kullanıcıların ağa dahil olması içn kullanılan 802.1X kimlik doğrulamasında kullanılamaz.

Bazı  TACACS+ sunucular, tek bağlantı üzerinden tüm oturumları gerçekleştirir. Sunucu bunu desteklemiyorsa, çoklu oturum süreci başlar. KARINCA her iki modeli de destekler.

TACACS+ sunucular aşağıda gösterilen TACACS+ authentication bölümünden tanımlanır.

Şekil 10: TACACS+ sunucu yapılandırma sayfası

TACACS+ akışı

KARINCA TACACS+ kimlik doğrulaması için  CHAP (Challenge-Handshake Authentication Protocol) kullanır. Aşağıdaki TACACS+ yapılandırmasına ihtiyaç vardır: (Sunucu modelinize göre farklılık gösterebilir):

1.  TACACS+ sunucuda bir kullanıcı yaratın.

2.  Sunucuda, kullanıcı veya grup yetkilendimesi için şu değerleri kullanın: Gözlemci için 1, Operatör için 2, Yönetici için 3. Örneğin bir kullanıcı için yetki seviyesinin 2 verilmesi, aşağıdaki şekilde yapılabilir:

service = exec { priv-lvl = 2 }

3.  Kimlik doğrulama yöntemi olarak TACACS+ seçilir, böylelikle cihaza girişte kimlik doğrulama yöntemi yerel veritabanından, TACACS+ sunucuya çevrilmiş olur.

Birden fazla TACACS+ sunucu yapılandırılıdığında, cihaz erişilebilen sunucular arasında ayarlanan önceliklere göre istek gönderir. Sunucu öncelikleri aşağıdaki şekilde görüldüğü gibi sürklenererk yapılır. En üstteki sunucunun önceliği en yüksektir.

Şekil 11: Sunucu önceliği için istenilen sunucunun aşağı/yukarı sürüklenmesi yeterlidir.

TACACS+ kimlik doğrulama sunucuları

1.  Şasi üzerine tıklayıp Security sekmesini seçin.Mevcut TACACS+ sunucuların listelendiği TACACS+ authentication bölümü açılır.

2. Yeni TACACS+ eklemek için Add server seçeneğine tıklayın ya da mevcut bir sunucuda değişiklik yapmak için düzenle butonuna tıklayın Add TACACS+ server bölümü açılacaktır.

3.  TACACS+ sunucu için IPv4 adresini girin ve  Add/Save butonuna tıklayın. Sunucu listeye eklenecektir.

4.  Eğer birden fazla sunucu varsa ve sıralamak istiyorsanız, Arrange, butonunu kullanın. En üstteki sunucu ilk tercih edilecektir.

5.  Set shared secret butonuna tıklayarak sunucu ile iletişimde kullanılacak gizli anahtarı tanımlayabilrsiniz.

6.  Review/apply butonuyla değişiklikleri görün ve Apply changes butonuyla onaylayarak devreye alın.

Şekil 12: TACACS+ sunucu penceresi

RADIUS yetkilendirme sunucusu yapılandırması

Remote Authorization Dial-In User Service (RADIUS) sunucuları merkezi 802.1x ve MC tabanlı ağ erişim kontorlü sağlamak amacıyla kullanılır. KARINCA RADIUS sunucu üzerinden doğrulama yapmayı sağlayan bir istemci olarak çalışır.

Biri kurumunu tüm cihazlarında ağ erişim kontrolü sağlamak için merkezi bir RADIUS sunucu kullanılabilir. Böylelikle kimlik doğrulama ve yetkilendirme tüm organizasyon için tek bir noktadan yapılabilir.

Cihaz RADIUS istemci olarak, sunucudan aşağıdaki hizmetleri alabilir:

  • Kimlik Doğrulama-Cihaza kullanıcı adı ve parola ile bağlanmak isteyen kullanıcıların onaylanması için gereken akışın yürütülmesi
  • Yetkilendirme-Cihaza giriş esnasında yürütülür. Kimlik doğrulama oturumu bitince, kullanıcı adı için yetkilendirme oturumu başlatılır. RADIUS sunucu kullanıcının yetkisini kontrol ederek, geri dönüş sağlar.
  • Kayıt Tutma-Kullanıcı oturumlarının RADIUS sunucu üzerinden kayıtlarının tutulmasını sağlar.  Bu şekilde yöneticiler RADIUS sunucu üzerinden giriş istatistiklerini toplayabilir.

RADIUS kimlik doğrulama sunucusu RADIUS authentication bölümünden yapılandırılır.

Şekil 13: RADIUS sunucu listesi

RADIUS akışı

KARINCA RADIUS kimlik doğrulaması için PAP (Password Authentication Protocol) yöntemini kullanır. Tipik bir freeRadius temelli RADIUS sunucu üzerinde aşağıdaki yapılandırma oluşturulmalıdır:

1.  RADIUS sunucu üzerinde cihaz için bir kayıt yaratılmalıdır.

2.  Sunucudaki  radiusd.conf yapılandırma dosyasında, kullanıcı eklenmeli ve Reply-Message özelliği eklenmeli ve rollere göre

 “audit”, “user”, ya da“admin” anahtar kelimeleri  ile Gözlemci, Operatör, ve Yönetici hesapları yaratılmalıdır.

user1 Cleartext-Password := “User1Password

Reply-Message = "audit"

user2 Cleartext-Password := “User2Password

Reply-Message = "user"

user3 Cleartext-Password := “User3Password

Reply-Message = "admin"

3.  RADIUS kimlik doğrulama yöntemi seçilmelidir, böylelikle kullanıcı yetkilendirmesi için yerel veritabanı yerine, RADIUS sunucu kullanılır.

Eğer birden fazla RADIUS sunucu tanımlanırsa, KARINCA önceliğe göre sunucu seçiöi yapar. Aşağıdaki şekilde görüldüğü gibi, sunucu önceliği, sunucuları tutup sürükleyerek istenilen sıraya konmasıyla düzenlenir. En üstteki sunucunun önceliği en yüksektir.

Şekil 14: Sunucuları tutup aşağı, yukarı sürükleyerek öncelikleri tanımlayabilirsiniz.

RADIUS kimlik doğrulama sunucusu tanımlama

1.  Şasi üzerine tıklayarak Security sekmesini seçin

Varolan RADIUS kimik doğrulama sunucuları  RADIUS authentication bölümünde gösterilir.

2.  Add server butonuna tıklayın.

3 Add RADIUS server bölümünde, parametreleri girin:

  • Sunucu Adresi (Server address) – Sunucu IPv4 adresini girin.
  • Sunucu portu (Server port) – UDP port numarasını girin. Tipik bir sunucu için kimlik doğrulama 1812 numaralı porttan yapılır.
  • Paylaşılan Anahtar (Shared secret) – Sunucuda tanımlanmış olan anahtarı girin.
  • Anahtar Onayı (Confirm secret)-Doğrulamak için anahtarı tekrar girin.

4.  Add server butonuna tıklayın. Sunucu RADIUS doğrulama sunucuları listesine eklenir.

5. Gererkirse düzenleme butonun ile sunucuların öncelikleri ayarlanabilir. En üstteki sunucuya ilk istek gönderilir.

6.  Review/apply butonuyla değişiklikleri görün ve Apply changes butonuyla onaylayarak devreye alın.

Şekil 15: RADIUS Sunucu ekleme

Kayıt tutmanın yapılandırılması

Kayıt tutma özelliği ile, kullanımın takibi mümkün hale gelir. Böylelikle kullanıcı hareketleri ve alınıp verilen bilgilerin raporlanması mümkün hale gelir.

KARINCA kayıtların yerel olarak tutulmasına izin vermez. TACACS+ veya RADIUS gibi bir kayıt tutma sunucusuna ihtiyaç duyar ve kayıtları buraya gönderir.

TACACS+ kayıt tutma sunucusu yapılandırma

1.  Şasiye tıklayın ve  Security sekmesini seçin.

Varolan  TACACS+ sunucularının listelendiği bölüm açılır

Şekil 16: TACACS+ kayıt tutma sunucuları

2.  Add server butonuna tıklayın ve TACACS+ sunucun için IPv4 adresi girin. Sunucu listeye eklencektir.

Eğer birden fazla TACACS+ sunucu tanımlanırsa, KARINCA önceliğe göre sunucu seçiöi yapar. Aşağıdaki şekilde görüldüğü gibi, sunucu önceliği, sunucuları tutup sürükleyerek istenilen sıraya konmasıyla düzenlenir. En üstteki sunucunun önceliği en yüksektir.

3.  Önceden ayarlamadıysanız, Set shared secret butonuna basarak TACACS paylaşılan anahtarını girin.

4.  Review/apply butonuyla değişiklikleri görün ve Apply changes butonuyla onaylayarak devreye alın.

Add RADIUS accounting servers

1.  Şasiye tıklayın ve  Security sekmesini seçin.

Daha önce eklenen tüm sunucular RADIUS accounting listesinde gösterilir:

Şekil 17: RADIUS kayıt tutma listesi

2.  Add server butonuna tıklayın ve RADIUS kayıt tutma sunucusu için parametreleri girin:

  • Sunucu Adresi (Server address) – Sunucu IPv4 adresini girin.
  • Sunucu portu (Server port) – UDP port numarasını girin. Tipik bir sunucu için kayıt tutma 1813 numaralı porttan yapılır.
  • Paylaşılan Anahtar (Shared secret) – Sunucuda tanımlanmış olan anahtarı girin.
  • Anahtar Onayı (Confirm secret)-Doğrulamak için anahtarı tekrar girin.
Şekil 18: RADIUS sunucu penceresi

3.  Add server butonuna tıklayın. Sunucun kayıt tutma listesine eklenir.

Eğer birden fazla sunucu tanımlanırsa, KARINCA önceliğe göre sunucu seçiöi yapar. Aşağıdaki şekilde görüldüğü gibi, sunucu önceliği, sunucuları tutup sürükleyerek istenilen sıraya konmasıyla düzenlenir. En üstteki sunucunun önceliği en yüksektir.

4.  Review/apply butonuyla değişiklikleri görün ve Apply changes butonuyla onaylayarak devreye alın.

Sistemi yeniden başlatmak

Cihazı yeniden başlatarak, sistemi son kaydedilmiş ve uygulanmış yapılandırmaya geri çevirebilirsiniz. Bekleyen ve uygulanmamış değişiklikler, kaybedilir.

Sistemin yeniden başlaması 2-3 dakika sürer. Bu sırada cihaza erişim sağlanamaz ve ağ trafiği işlenmez. TAP modu aktif durumda olur.

Yeniden başlatma

1.  Şasiye tıklayın ve  Security sekmesini seçin.

2.  Yönetim seçeneklerinden , Reboot butonuna tıklayın. Reboot penceresi açılır.

3.  Reboot butonuna basın. Cihaz tekrar başlar. Cihazın işlediği tüm trafik 2-3 dakika boyunca kesilir.

Şekil 25: Reboot penceresi

Was this article helpful?

Related Articles

Leave A Comment?