Bir önceki makalemizde SmartCard’ın temel kurulum bilgileri ve Session logon yapabilmemiz için gerekli sertifika ayarlarını, sertifikanın smartcard’a yüklenmesi konusunu incelemiştik. Şimdi ise, uzak güvenli bağlantıların smartcard aracılığı ile sağlanması için “VPN with Smartcard” adlı konuyu incelemek istiyorum.
Karşımıza çıkan yeni pencerede “Use my Smartcard” seçeneği default olarak seçili olduğundan, burada herhangi bir değişiklik yapmıyoruz. Gerekli değişiklikleri makalenin sonunda inceleyeceğimiz “sertifika ile Vpn” bölümünde yapacağız.
Şimdi ise smartcard’ın sisteme takılmasını ve VPN bağlantısının gerçekleştirilmesini inceleyelim, burada belirmek isteriz ki , smartcard okuyucu cihazın driver’ları ile birlikte client’ın üzerinde yüklü olması gerekiyor ve daha önceden şirketimiz CA sunucusundan yüklemiş olduğumuz sertifikanın smartcard’ımızda bulunması gerekiyor. Bu işlemlerin nasıl yapıldığı konusunu halihazırda I. Makalemizde incelemiştik. Aşağıdaki şekilde, yukarıdaki EAP bağlantı ayarlarını tamamladıktan sonra VPN bağlantısına Connect dediğimizde karşımıza çıkan pencere görülmektedir, elbette herhangi bir username ve parola sormamakla beraber, bize authentication için gerekli olan tek şeyin smartcard olduğunu hatırlatıyor ve kartı takmamızı istiyor. “Accessing Smartcard” mesaji görüntülenirken biz details’e bastığımızda o andaki okuyucuda takılı olan smartcard’ı ve kart bilgilerini görüntülemektedir. “OK” diyerek bağlantıyı gerçekleştirmek istediğimizde Smartcard’ın yerel bir güvenlik ilkesi olan PIN sorgulaması karşımıza gelmektedir, burada kart PIN numaramızı girerek devam ederiz.Sonunda kimlik doğrulanarak bağlantımız sağlanır..
Bağlantı bilgilerini incelediğimizde Authentication Method olarak EAP’ın kullanıldığını teyid edebiliriz.
SmartCard’ın kullanım alanlarından birisi olan VPN’i de kısaca incelemiş olduk. Kullanıcılarımızın bu tür yapılandırmalarda yaşayacakları zorluk bir tarafa, sürekli dolaşımda oldukları lokasyonlardan şirket network’ümüze güvenli bağlantılar oluşturmak istediklerinde ve bu yer değiştirilen lokasyonlardan ayrıldıklarında kendilerine ait birtakım security unsurlarını orada unutmak istemiyorlar ise, smartcard VPN seçeneği alternatif bir yol olarak kullanılabilir. Buraya kadar geldiğimizde VPN bağlantısının sertifika ile yapılmasına da değinmek istiyorum, Client’ımızın EAP ayarlarına geldiğimizde biz smartcard için “use my smartcard” seçeneğini kullanmıştık, şimdi ise “Use certificate... “ seçeneği ile bağlantının yerel makinada bulunacak olan sertifika ile yapılmasını sağlayacağız.Bunun icin otorite’den alacağımız user sertifikası yeterli olacaktır. Sertifikayı almadan önce yukarıdaki şekilde görebileceğimiz gibi, şirketimizin sertifika otoritesi Trusted Root listesinde bulunmamaktadır. Bu noktada Validate Server certificate seçeneğini kullanamayız,
User sertifikasını alıp install ettikten sonra ise ;
Aşağıdaki güvenlik uyarısını alacağız, Tabii ki client’ların şirket dışında olacağını ve active directory yapımızda olmadıkları için alınacak bir sertifikanın trusted root container’ına gelemeyeceğinden dolayı, bize aşağıdaki güvenlik uyarısını vermektedir , ve onayladığımız takdirde ilgili sertifika client üzerinde Trusted root’a eklenecektir.Şu anda “Validate Server certificate” seçeneği ile CA otoritesi teyid edilebilecektir. Görüldüğü gibi bizim ADNCA isimli CA’imiz listede yer almaktadır.
İlgili ayarları tamamladıktan sonra aşağıdaki pencerede karşımıza çıkan sertifika ile bağlantı ve kullanıcı adı bilgilerini kontrol edebiliriz. Burada farklı kullanıcıların bağlanabilmesi için yukarıdaki “smartcard or other certificates” bölümünde en altta bulunan “ use different username for this connection “ ile farklı kullanıcı bağlantılarını ayrıca sağlayabiliriz. Bunun için her bir kullanıcı için kendilerine ait bir sertifikanın yüklü olması gerekiyor. Bağlantı ikonuna tıkladığımızda ise, username ve password sorgusundan arınmış tertemiz bir vpn penceresi karşımıza çıkmaktadır..Bir sonraki makalede görüşmek dileğiyle..