15 Haziran 2013 Cumartesi

Coslat Web Kimlik Dogrulama Servisi (WKS)

Kurumsal ağlarda kullanılan bir çok uygulama farklı veritabanları ve kimlik doğrulama mekanizmaları üzerinde yetkilendirme yapmaktadırlar.
Kurumlar içinde kullanılan Hostspot ve Güvenlik duvarı uygulamalarının var olan kimlik doğrulama sistemlerine entegrasyonları ile güvenlik ve yönetim kolaylığı sağlanabilir.

Coslat Web Kimlik Doğrulama servisi harici bir veri tabanına bağlanarak Hotspot hizmeti verilen istemcilerin internet erişimlerinin yönetimi için ekstra güvenlik sağlayabilir.
Veri Tabanı entegrasyonu ile Yönetim Yükünün Azaltılması
Coslat Web Kimlik Doğrulama Servisi Oracle, Mssql, Mysql ve Access veritabanlarından kayıtların okunmasını sağlayarak internet erişimini entegre olunan veritabanı kayıtları doğrultusunda sağlayabilmektedir.
3. Parti Uygulamalar ile Entegrasyon
Bu sayede Otel Uygulamalarının veritabanlarında bulunan check in yapmış müşterilerin doğrulanmasını ve internete çıkışını sağlayabilir, kart okuma sistemleri ile entegre çalışarak firma kurumu ziyaret eden kişinin bilgilerini doğrulayabilir.

Şube & Merkez
Bağlantıları
Coslat Hotspot & Firewall sistemlerinin kimlik doğrulamada kullandıkları web servis ile dağınık yapılarda bulunan pek çok Hotspot ve Firewall un aynı veritabanından kimlik doğrulama işlemlerini gerçekleştirmesi sağlanabilir.

Coslat Hotspot & Firewall Kimlik Doğrulama;
a. Radius & IAS
b. LDAP
c. Etki Alanı
d. Yerel Veritabanı
e. Harici Veritabanları : Oracle, Mysql, Mssql ve Access veritabanlarına yerel ve uzaktan bağlantı kurabilme.

Sistem Gereksinimleri:
1. IIS 6.0 ve üstü
2..Net Framework 4.0
3. Office 2007 Runtime
4. Oracle Client (Oracle DB Bağlantısı için)

11 Nisan 2013 Perşembe

Coslat HotSpot Yapılandırma


Hotspot Yapılandırması

Konu: Hotspot Yapılandırması
Son değişiklik: 11.04.2013
Sürüm:Coslat V3.104

Bu makalemizde Freebsd, Monowall ve pfSense altyapısı üzerinde geliştirilen Coslat ürününün hotspot yapılandırmasından bahsedeceğiz.

Hotspot olarak bilinen yapı aslında kullanıcıların internete çıkmadan önce bir kimlik denetimine tabi tutulmasıdır. Bu kullanımlar genelde misafirlerine kablosuz ağ bağlantısı ile internet hizmeti veren otel, kafeterya ve restoran gibi yapılarda tercih edilmektedir. Ayrıca birçok şirket de misafirlerine ya da kablosuz bağlantıdan internete çıkan çalışanlarına, içe ağa dâhil olmadan interneti kullanabilmeleri için bu hizmeti vermektedirler.

 Bu yapıyı sağlayabilmek için, kullanıcıların internete Coslat üzerinden çıkmaları gerekmektedir. Aşağıdaki Şekil-1 de en basit anlamda bu yapı gösterilmektedir. Daha karmaşık yapılarda da (1 den fazla SSID yayını yapılan kablosuz ağlar gibi) bu özellikler kullanılabilmektedir. Fakat biz bu makalede en basit hali ile ele alacağız.

Bu yapıda dikkat edilmesi gereken bazı noktalar vardır. Öncelikli olarak yukarıda da bahsettiğimiz gibi kullanıcıların varsayılan ağ geçitleri (default gateway) Coslat LAN ip adresi olması gerekmektedir.Bu noktada kullanıcıların tüm internet trafiği engellenecek ve http (port 80) protokolü istekleri Coslat karşılama ekranına yönlendirilecektir.

 Dikkat edilmesi gereken bir nokta da kullanıcıların kullandıkları DNS adresleridir. Genelde kullanıcılara DNS adresi olarak, ağ geçidinde olduğu gibi Coslat LAN ip adresi verilebilir. Çünkü Coslat kendisi de bir DNS yönlendiricidir. Kullanıcılara farklı bir DNS verilmesi durumunda ise Coslat ta bu DNS adresi İzinli ip adreslerine eklenmelidir. Aksi takdirde kullanıcılar DNS çözümlemesi yapamayacak ve bir http isteği gönderemedikleri için karşılama ekranı gelmeyecektir.

Bu sebeplerden ötürü genelde kullanıcılar için bir DHCP sunucu hizmeti misafir ağında verilmelidir. İsterseniz Coslat üzerinde var olan DHCP Sunucu servisini kullanabilirsiniz.

Kimlik doğrulama yöntemi olarak Yerel Kullanıcı yönetimi’ni, Coslat SMS’i veya RADIUS Kimlik Doğrulama’yı kullanabilirsiniz.

Yerel Kimlik doğrulama ile elle kullanıcı açabilir, TC Kimlik no ve SMS ile kullanıcıların kendilerinin kayıt olmasını sağlayabilirsiniz.

Coslat SMS ile kullanıcıların 1230 ‘a SMS atarak şifre almalarını ve bu işlem için hizmet bedelini kendilerinin SMS karşılığı olarak ödemelerini sağlayabilirsiniz.

RADIUS kimlik doğrulama ile de Active Directory ile entegre olabilirsiniz.

Ayrıca sisteminizde var olan bir veri tabanı ile entegrasyon seçenekleri de mevcut, fakat bu seçenekler özelleştirmeler ile birlikte gelmektedir.

Hotspot Etkinleştirme

Coslat menüsünden "Servisler -> Hizmet portalı"na gelerek karşılama ekranın hangi arabirimde kullanılacağını seçiyoruz. Şekil-1 deki ağ şemasına göre LAN arabirimini seçerek "Hizmet Portalını etkinleştir" kutucuğunu işaretliyoruz.

Kullanıcı Hesaplarını Yönetmek ve El ile kullanıcı açmak

"Servisler ->Hizmet portalı ->Kullanıcı Yönetimi" menüsünden kullanıcı hesaplarına ulaşabilirsiniz. Bu sayfada elle kullanıcı açabilir ve TC kimlik Numarası ya da SMS ile kayıt olmuş kullanıcıları görüntüleyebilir, bu kullanıcıların şifrelerini resetleyebilir, kullanıcıları silip yeniden kaydolmalarını sağlayabilir veya hesap sürelerini değiştirebilirsiniz. Hesap süresi boş olan kullanıcıların hesapları sistem üzerinde kalıcı olacaktır (siz silmediğiniz takdirde) .

El ile kullanıcı açmak için Kullanıcı yönetiminden Artı butonuna basınız. Kullanıcı açarken kullanıcılara, kullanıcı adlarını (Türkçe karakter kullanılması tavsiye edilmez), parolalarını ve hesaplarının geçerlilik sürelerini belirlemelisiniz. Hesap sürelerini silerek boş bırakırsanız, hesaplar kalıcı olacaktır.

  ikonu ile Cep telefonu girerek kullanıcılara otomatik şifre gönderebilirsiniz. Bu yöntem ile kullanıcılar kullanıcı adı olarak Cep telefonlarını kullanacaklardır. Bu yöntemi kullanabilmek için aşağıda bahsedilen SMS gönderimi aktif edilmeli ve SMS sunucu bilgileri girilmelidir.

SMS ile Kayıt seçeneği

Hotspot özelliğini etkinleştirdikten sonra, SMS ile kullanıcı açabilir ya da kullanıcıların SMS ile kendilerinin kayıt olmasını sağlayabilirsiniz. Bunun için servis sağlayıcı kullanmanız gerekmektedir. Sistemde entegre olan servis sağlayıcılardan birini kullanabilir ya da kullandığınız bir servis sağlayıcı varsa bunun entegrasyonunu Coslat tan talep edebilirsiniz.

SMS servisini kullanmak için, "SMS İle Kullanıcı Kaydı" kısmında "SMS Gönder" seçeneğini işaretleyiniz. Sadece bu seçeneği işaretlerseniz, kullanıcı yönetiminden cep telefonu girerek kullanıcılara SMS ile şifre gönderebilirsiniz.

Kullanıcıların SMS ile kayıt olabilmelerini istiyorsanız "Çevrim İçi Kayıt" seçeneğini işaretleyiniz. Bu seçeneği işaretlediğinizde kullanıcıların karşısına gelen karşılama ekranında "SMS ile Kayıt Ol" butonu çıkacaktır.  Kayıt işlemi esnasında kullanıcıların TC Kimlik numaralarını da girmelerini istiyorsanız "Kimlik No kontrolü"nü etkinleştiriniz. Bu seçenek ile kullanıcılar sms ile kayıt olurken "Ad, Soyad, Doğum Tarihi ve TC Kimlik Numara"larını da girecekler ve bu bilgilerin doğruluğu NVİ’den kontrol edilecektir.

Son olarak kullanıcıların parolalarını kendilerinin sıfırlayabilmelerini istiyorsanız Parola Sıfırlama seçeneğini de işaretleyiniz. Bu seçenek TC Kimlik Kontrolü ile birlikte çalışmaktadır.

Servis sağlayıcı bilgilerinizi girdikten sonra SMS ile kayıt olacak kullanıcıların Parola uzunluklarını ne tür parola almaları gerektiğini belirleyebilirsiniz. Parolalar rast gele oluşturulacaktır. Son olarak ta SMS ile kayıt olan kullanıcıların hesap ömürlerini belirleyebilirsiniz. Süresi dolan hesap otomatik olarak silinecektir.

Çevrim İçi Kayıt seçeneği (TC Kimlik No ile Kayıt)

Bu seçenekler sayesinde kullanıcıları sisteme kendilerinin kayıt olmasını sağlayabilirsiniz. "Çevrim içi kaydı etkinleştir" seçeneğini işaretleyerek bu özelliği aktif edebilirsiniz.  Bu sayede kullanıcılar kayıt işlemi sırasında kendi kullanıcı adlarını ve parolalarını belirleyebileceklerdir. "Çevrim içi kayıtta otomatik giriş" seçeneği ise, kullanıcıları kayıt işleminden sonra oturum açma ekranına yönlendirmeden direk giriş yapmalarını sağlayacaktır.

Kullanıcıların kayıt olurken TC Kimlik Numarası kontrolünün yapılmasını istiyorsanız "Kayıt olurken Kimlik kontrolünü etkinleştir" seçeneğini işaretleyiniz.  Bu seçenek ile kullanıcı kayıt olurken TC Kimlik Numarasını, Adını, Soyadını ve Doğum Tarihini kimlikteki gibi doğru girmesi istenecek ve yanlış girişlerde kayıt işlemi yapılamayacaktır.  Doğruluk kontrolü NVİ’den sağlanmaktadır. Bu kayıt şeklinde kullanıcılar, kullanıcı adı olarak TC Kimlik Numaralarını kullanacaklardır. Yine bu bölümde de kayıt olan kullanıcıların hesap ömürlerini belirleyebilirsiniz. Süresi dolan hesaplar otomatik olarak silinecektir.

"Çoklu kayıtlara izin ver" seçeneği ise, hesapları silinmeden oturumları kapanan kullanıcılar için düşünülmüştür. Bazı kullanıcılar hesap ömründen önce oturumları kapandığında (boşta bekleme zamanı ile) hesapları silinmiş olduğunu düşünüp yeniden kayıt olmaları gerektiğini düşünüyorlar. Hesapları silinmediği için bu hesap daha önceden kayıtlı hata mesajı ile karşılaşıyorlar. Bu seçenek ile kişinin hesabı olsa daha yeniden kayıt olabilmeleri sağlanmış oluyor.

Hotspot özellikte dikkat edilmesi gereken bir nokta da "Boşta bekleme zamanı"dır. Bu ayar kullanıcının oturum açtıktan sonra, ne kadar süre zarfında internet trafiği oluşturmazsa oturumunun sonlanacağını belirtir. Bu ayarı boş bırakmamanız tavsiye edilir ve DHCP kira süresinden az olmamalıdır.

"Oturum kapat penceresi" ağ içerisinde ortak kullanılan bilgisayarlar var ise gerekli bir özelliktir. Bu özellik aktif edildiğinde kullanıcı giriş yaptıktan sonra ufak bir pencerede oturumu kapat butonu çıkacaktır. Fakat bu pencerenin çıkması için kullanıcının bilgisayarında açılır pencere engelleyicisinin aktif olmaması gerekmektedir. Ayrıca kullanıcı oturumunu kapatıncaya kadar bu pencereyi açık tutmalıdır.

Kullanıcıları oturum açtıktan sonra istediğiniz bir sayfaya yönlendirebilirsiniz. Varsayılan olarak kullanıcılar hangi sayfa gitmek istiyorlarsa (ilk defa internete bağlandıklarında ) sistem onları o sayfaya yönlendirecektir. Fakat bu ayar ile onları ilk oturum açışlarında istediğiniz bir sayfaya yönlendirebilirsiniz.

"Eş zamanlı oturumları devre dışı bırak" seçeneği ile kullanıcıların tek bir kullanıcı adı ve parola ile birden fazla sistemde oturum açmalarını engelleyebilirsiniz. Bu sayede birden fazla kişinin aynı kullanıcı adını kullanmalarını da engellemiş olacaksınız, fakat günümüzde kullanıcıların Cep telefonu, laptop ve tablet bilgisayarlarının da olduğunu ve birden fazla sistemde oturum açmaları gerektiğini de düşünürseniz bu özelliği aktif etmemeniz tavsiye edilir.

 Kullanıcıların hangi ip mac ile oturum açtıkları sistem tarafından kontrol edilir. İp adresi değişen sistemler olduğunda (DHCP servislerinde genelde aynı mac adresine ayn ip adresi verilir) mac eşleşmesi uymadığı için sistem kişiyi sürekli olarak oturum açma sayfasına yönlendirir. Bu seçenek kullanıcıların bir yönlendirici (Router) arkasından geldikleri durumlarda kullanılır. Çünkü yönlendirici arkasından gelen kullanıcıların mac adresleri olarak sistemde sadece yönlendiricinin mac adresi görülecektir. Ayrıca bu özellik kullanıcıların otomatik ip aldıkları DHCP ip havuzu dolma ve aynı kullanıcının farklı ip adresi alma ihtimali olan durumlar için de tercih edilebilir.

"Bant genişliği sınırlaması" seçeneği ile kullanıcıların bant genişliğini adil bir şekilde kullanmalarını sağlayabilirsiniz. Kullanıcı başına indirme (download) ve gönderme (upload) hızlarını ayarlayabilirsiniz.

HTTPs Kimlik Doğrulama

Kullanıcıların kimlik doğrulama sayfalarını HTTPs  olarak değiştirebilirsiniz. HTTPs oturum seçeneğini etkinleştirip, sertifika bilgilerini girerek bu özelliği kullanabilirsiniz.

İzinli Mac ve İp adresleri

Sistem üzerinden internete çıkan ve karşılama ekranı ile karşılaşmalarını istemediğiniz kullanıcılarınız varsa, (şirket çalışanları veya yöneticiler gibi) bu kullanıcıların MAC adreslerini "İzinli mac adresleri" kısmına, veya sabit ip adresi kullanmalarını sağlayabilirseniz (DHCP sunucudan ip-mac eşleşmesi veya el ile sabit ip vererek bu mümkün olabilir) ip adreslerini "İzinli ip adresleri" kısmına girerek, direk internete çıkmalarını sağlayabilirsiniz.

Ayrıca bu kişilerin bant genişliklerini kendilerine özel olarak ayarlayabilirsiniz.

Biletler ile süreli İnternet

Bilet özelliği ile kullanıcılara interneti satabilirsiniz. Örneğin 1 saatlik, 2 saatlik ya da 5 saatlik sürelere sahip biletler oluşturup, bu biletleri CVS formatında bilgisayarınıza indirip özel bir tasarım ile kullanıcılara satabilirsiniz. Kullanıcı biletteki bilet numarası ile sisteme giriş yaptıktan sonra belirlenen süre sonunda otomatik olarak oturumu sonlanacaktır.

Oluşturduğunuz biletleri yanındaki “!” işaretini tıklayarak CSV formatında indirebilirsiniz.


Toplu Kullanıcı Açmak

"Gruplar" özelliğini kullanarak toplu halde kullanıcı açabilirsiniz.  Grup adını belirttikten sonra üye sayısını ve parolasını belirterek grubu oluşturunuz.

Daha sonra bu oluşturduğunuz grup adına göre kullanıcılar aşağıdaki gibi eklenecektir.

 Aktif kullanıcılar

"Hizmet Portalı -> Durum" sekmesinden o an için sistemde var olan aktif kullanıcıları ve biletleri görebilirsiniz. Ayrıca istediğiniz kullanıcının oturumunu sonlandırabilirsiniz.

Karşılama Ekranı Özelleştirme

Hotspot istem üzerinde kullanıcıların karşısına çıkacak şifre ekranlarını özelleştirebilirsiniz. Bunun için arka plan resmini "Dosya yöneticisi"nden ismi "portal-loginbg.jpg" (sistem bu dosya adının başına dosyayı yükledikten sonra ek getirecektir) olacak şekilde atabilirsiniz.


Karşılama ekranındaki metinleri ise HTML olarak,  "Hizmet Portalı sayfa içerikleri" kısmından ve yanlış kullanıcı adı girilmesine karşılık "Kimlik doğrulama hata sayfası" kısmından yükleyebilirsiniz.

Örnek HTML dosyaları aşağıdaki linkten indirebilirsiniz.


Örnek Tasarımlar