802.1X Kimliği Doğrulanmış Kablosuz Erişime Genel Bakış
Uygulama Alanı: Windows Server 2012
Bu belge, IEEE 802.11 kablosuz erişimi için Institute of Electrical and Electronics Engineers (IEEE) 802.1X kimlik doğrulamalı erişim hakkında tanıtıcı bilgi sağlar. 802.1X kimlik doğrulamalı kablosuz erişim ile yakından ilgili teknolojiler ya da kablosuz erişim ile ilgili bilgi içeren kaynaklara bağlantılar da sağlanmıştır.
Not
Bu konuya ek olarak, Windows Server 2012 için aşağıdaki 802.1X Kimlik Doğrulamalı Kablosuz Erişim belgeleri de kullanılabilir.
Şunu mu demek istediniz...
TechNet'teki Windows Server 2008 R2 ve Windows Server 2008 teknik kitaplığında Kablosuz Yerel Ağ (WLAN) için Netsh Komutları.
TechNet'teki Windows Server 2008 R2 ve Windows Server 2008 teknik kitaplığında802.1X Kimliği Doğrulanmış Kablosuz Erişim.
Özellik açıklaması
IEEE 802.1 X kimlik doğrulama, başarılı bir kimlik doğrulaması yapamayan yönetilmeyen, konuk veya yanlış bilgisayarların, intranetinize bağlanmasını önlemek için kullanabileceğiniz, intranetiniz için ek bir güvenlik engeli sağlar.
Yöneticilerin, IEEE 802.3 kablolu ağlar için IEEE 802.1 X dağıtmasıyla aynı nedenden dolayı—gelişmiş güvenlik—ağ yöneticileri, kendi kablosuz ağ bağlantılarını korumaya yardımcı olmak için IEEE 802.1 X standardını uygulamak ister. Kimliği doğrulanmış bir kablolu istemcinin, kablolu Ethernet intraneti üzerinden çerçeveler göndermesine izin verilmesinden önce doğrulanması için bir kimlik bilgileri kümesi göndermesi gerektiği gibi, bir IEEE 802.1 X kablosuz istemcisi de, kablosuz erişim noktası (AP) bağlantı noktası üzerinden ve ağ üzerinden trafik gönderebilmesi öncesinde kimlik doğrulama yapabilmelidir.
Önemli terminoloji ve teknoloji incelemeleri
Aşağıda 802.1X kimlik doğrulamalı kablosuz erişim dağıtmak için gereken çeşitli teknolojileri anlamanıza yardımcı olacak genel incelemeler sunulmuştur.
Not
Bu belgede, 802.1X kimlik doğrulamalı kablosuz erişime WiFi erişimi denir.
IEEE 802.1X
IEEE 802.1X standardı, şirket ağlarına kimlik doğrulamalı WiFi erişimi sağlamak için kullanılan bağlantı noktası tabanlı ağ erişim denetimini tanımlar. Bu bağlantı noktası tabanlı ağ erişim denetimi, LAN bağlantı noktasına bağlı cihazların kimlik doğrulamasını yapmak için 802.1 X özellikli kablosuz AP'nin altyapısının fiziksel özelliklerini kullanır. Kimlik doğrulama işlemi başarısız olursa, bağlantı noktasına erişim engellenebilir. Bu standart önce kablolu Ethernet ağları için tasarlanmış olsa da, 802.11 kablosuz LAN'lar üzerinde kullanım için de uyarlanmıştır.
IEEE 802.1 X özellikli kablolu Ethernet anahtarları
802.1 X kablosuz erişimi dağıtmak için ağınızda bir veya daha fazla 802.1 X özellikli kablosuz AP yükleyip yapılandırmanız gerekir. Kablosuz AP'lerin Uzaktan Kimlik Doğrulama Çevirmeli Kullanıcı Hizmeti (RADIUS) protokolü ile uyumlu olması gerekir.
802.1 X ve RADIUS uyumlu kablosuz AP'ler bir NPS sunucusu gibi bir RADIUS sunucusu ile bir RADIUS altyapısında dağıtıldığında, bunlara RADIUS istemcileri denir.
IEEE 802.11 kablosuz
IEEE 802.11, Katman-1 (fiziksel katman) ve Katman-2 (veri-bağlantı katmanı medya erişim denetimi (MAC)) WiFi erişimi tanımlayan bir standartlar topluluğudur.
Ağ İlkesi Sunucusu
Ağ İlkesi Sunucusu (NPS) aşağıdaki üç bileşeni kullanarak ağ ilkelerini merkezi olarak yapılandırmanıza ve yönetmenize olanak sağlar: RADIUS sunucusu, RADIUS proxy’si ve Ağ Erişim Koruması (NAP) ilke sunucusu. 802.1X kablosuz erişimi dağıtmak için NPS gerekir.
Sunucu sertifikaları
WiFi erişimi dağıtımı, 802.1X kimlik doğrulaması yapan her NPS sunucusu için sunucu sertifikaları gerektirir.
Sunucu sertifikası, kimlik doğrulama için ve açık ağlarda bilgilerin güvenliğini sağlamak için yaygın olarak kullanılan dijital bir belgedir. Bir sertifika bir genel anahtarı, ilgili özel anahtara sahip varlığa güvenli şekilde bağlar. Sertifikalar, veren sertifika yetkilisi (CA) tarafından dijital olarak imzalanır ve bir kullanıcı, bilgisayar veya hizmet için verilebilir.
CA, ilgililere (genellikle kullanıcılar veya bilgisayarlardır) veya başka CA'lara ait ortak anahtarları vermekten ve özgün olduğunu belgelemekten sorumlu varlıktır. CA'ların faaliyetleri ortak anahtarların imzalanan sertifikalarla ayırt edilen adlara bağlanmasını, sertifika seri numaralarının yönetilmesini ve sertifikaların iptal edilmesini kapsayabilir.
Active Directory Sertifika Hizmetleri (AD CS) bir ağ CA'sı olarak sertifika veren bir Windows Server 2012 sunucu rolüdür.Ortak anahtar altyapısı (PKI) olarak da bilinen bir AD CS sertifika altyapısı, kuruluş için sertifika vermek ve yönetmek üzere özelleştirilebilir hizmetler sağlar.
EAP
Genişletilebilir Kimlik Doğrulama Protokolü (EAP), Noktadan Noktaya Protokolü (PPP) genişleterek, rasgele uzunlukta kimlik bilgisi ve bilgi alışverişleri kullanan ek kimlik doğrulama yöntemlerine olanak sağlar. EAP kimlik doğrulaması ile hem ağ erişim istemcisinin hem de doğrulayıcının (örneğin, bir NPS sunucusu) başarılı bir kimlik doğrulaması için aynı EAP türünü desteklemesi gerekir.
Yeni ve değiştirilmiş işlevsellik
Windows Server 2012'de, WiFi erişimi, Windows Server 2008 R2’de sağlanan kablolu erişim çözümünde sadece küçük değişiklikler içerir. Bu değişiklik aşağıdaki şekilde özetlenmiştir:
Özellik/işlevsellik |
Önceki işletim sistemi |
Yeni işletim sistemi |
|---|---|---|
Varsayılan olarak bulunan kimlik doğrulama yöntemleri listesine eklenen EAP-Tünelli Aktarım Katmanı Güvenliği (EAP-TTLS) |
Dahil değildir |
Varsayılan olarak dahildir |
Ayrıca bkz.
Aşağıda 802.1X kimlik doğrulamalı kablosuz erişim ile ilgili ek kaynaklar verilmiştir.