Reply Message Politikaları
Reply Message Politikaları, SecTrail MFA'nın başarılı kimlik doğrulama sonrasında NAS'a (Network Access Server) gönderilen Access-Accept yanıtına özel RADIUS öznitelikleri eklemesine olanak tanır. Bu özellik, kullanıcıya özgü verilerin — grup üyeliği, VLAN ataması veya rol adı gibi — giriş sonrası erişim kontrolü için VPN gateway, güvenlik duvarı veya ağ cihazına geri iletilmesinde kullanılır.
Reply Message Politikaları NAS istemcisi bazında yapılandırılır ve kimlik doğrulama anında öncelik sırasıyla değerlendirilir.
Nasıl Çalışır
SecTrail MFA bir kullanıcıyı başarıyla doğruladıktan sonra sistem, isteği gönderen NAS istemcisiyle ilişkili Reply Message Politikalarını değerlendirir. İlk eşleşen politika, yapılandırılan RADIUS özniteliğini Access-Accept yanıtına ekler.
İki politika modu desteklenir:
Statik Mod
Sistem, kullanıcının öznitelik değerini LDAP veya Yerel profilden alır ve yapılandırılmış koşul değeriyle karşılaştırır. Eşleşirse, belirlenen RADIUS yanıt özniteliğine sabit yapılandırılmış değer eklenir.
Örnek: memberOf, VPN-Admins içeriyorsa Fortinet-Group-Name = "Admin" ile yanıt ver.
Dinamik Mod
Sistem bir kullanıcı özniteliği değerini alır ve doğrudan RADIUS yanıt özniteliği değeri olarak iletir — koşul eşleşmesi yapılmaz.
Örnek: Her zaman Framed-IP-Address = <kullanıcının ipAddress LDAP özniteliğinin değeri> ile yanıt ver.
Politika Alanları
| Alan | Açıklama |
|---|---|
| NAS İstemcisi | Bu politikanın uygulandığı RADIUS/NAS istemcisi |
| Öncelik | Değerlendirme sırası — düşük numara = önce değerlendirilir |
| Mod | Statik (koşul eşleşmesi + sabit dönüş değeri) veya Dinamik (doğrudan iletim) |
| Auth Profili | Kullanıcının özniteliklerini aramak için kullanılan LDAP veya Yerel profil |
| Öznitelik | Kontrol edilecek veya okunacak kullanıcı özniteliği (LDAP: distinguishedName, sAMAccountName, memberOf, mail, displayName, userPrincipalName; Yerel: herhangi bir kullanıcı sütunu) |
| Öznitelik Değeri | (Yalnızca Statik) Bu politikayı tetiklemek için özniteliğin eşleşmesi gereken değer |
| RADIUS Dönüş Özniteliği | Access-Accept yanıtına eklenecek RADIUS öznitelik adı |
| Dönüş Değeri | (Yalnızca Statik) Koşul eşleştiğinde RADIUS dönüş özniteliğine atanacak değer |
Desteklenen RADIUS Dönüş Öznitelikleri
RADIUS özniteliği açılır listesi cihaz türüne göre RADIUS öznitelik tablosundan doldurulur. Yaygın kullanılan öznitelikler:
Framed-IP-AddressReply-MessageCalled-Station-IdCalling-Station-IdNAS-IdentifierProxy-StateFortinet-Group-Name- Cihaz türünüz için FreeRADIUS sözlüğünde tanımlanmış herhangi bir öznitelik
Özel öznitelik adları da manuel girilebilir — sistem kaydetmeden önce bunları FreeRADIUS sözlüğüne göre doğrular.
Öncelik ve Sıralama
Politikalar artan öncelik sırasıyla değerlendirilir. Her NAS istemcisi için yalnızca ilk eşleşen politika yanıta uygulanır. Politikalar, politika listesi sayfasında sürükle-bırak ile yeniden sıralanabilir. Yeniden sıralamadan sonra yeni diziyi kalıcı hale getirmek için Sırayı Kaydet'e tıklayın.
Kullanım Senaryoları
Gruba Göre VLAN Ataması
Senaryo: VPN gateway'i kullanıcıları AD grup üyeliğine göre farklı VLAN'lara atamalı.
Kurulum (Statik):
- Auth Profil: LDAP profili
- Öznitelik:
memberOf - Öznitelik Değeri:
VPN-Sales(grup DN veya alt dizisi) - RADIUS Dönüş Özniteliği:
Tunnel-Private-Group-Id - Dönüş Değeri:
100(VLAN ID)
Her grup/VLAN kombinasyonu için uygun önceliklerle ayrı politika oluşturun.
Rol Tabanlı Güvenlik Duvarı Politikası
Senaryo: Fortinet güvenlik duvarı, kullanıcının AD grubuna göre güvenlik duvarı politika grubu adı atamalı.
Kurulum (Statik):
- Öznitelik:
memberOf - Öznitelik Değeri:
Fortinet-Admins - RADIUS Dönüş Özniteliği:
Fortinet-Group-Name - Dönüş Değeri:
Admin-Policy
IP Adresi Doğrudan İletim
Senaryo: Kullanıcının LDAP özniteliğinde saklanan atanmış IP adresini döndür.
Kurulum (Dinamik):
- Auth Profil: LDAP profili
- Öznitelik:
ipHostNumber(veya özel LDAP özniteliğiniz) - RADIUS Dönüş Özniteliği:
Framed-IP-Address
Kurulum Adımları
- Yapılandırma → RADIUS İstemcileri bölümüne gidin
- Yapılandırmak istediğiniz NAS istemcisini bulun
- O istemcinin satırında Reply Message Politikaları'na tıklayın
- Politika Oluştur'a tıklayın
- Statik veya Dinamik modu seçin
- Kullanıcı özniteliği araması için auth profili seçin
- Kullanıcı özniteliğini ve (Statik için) koşul değerini seçin
- RADIUS dönüş özniteliğini ve (Statik için) dönüş değerini seçin
- Kaydedin
- Farklı öncelik seviyeleriyle ek kurallar için tekrarlayın
- Değerlendirme sırasını belirlemek için sürükle-bırak ile yeniden sıralayın
- Öncelik değişikliklerini kalıcı hale getirmek için Sırayı Kaydet'e tıklayın
Önemli Hususlar
- Kimlik doğrulama başına yalnızca bir politika uygulanır — ilk eşleşen politika kazanır, sonraki politikalar değerlendirilmez
- Statik modda öznitelik karşılaştırması büyük/küçük harfe duyarlıdır — koşul değerinin LDAP'ta veya yerel profilde saklananla tam eşleştiğinden emin olun
- RADIUS dönüş özniteliği kaydetme anında FreeRADIUS sözlüğüne göre doğrulanır
- Reply Message Politikaları yalnızca Access-Accept paketlerini (başarılı kimlik doğrulamalar) etkiler. Başarısız kimlik doğrulamalara özel yanıt öznitelikleri eklenmez
- Dinamik modun koşulu yoktur — her zaman uygulanır ve kullanıcının profil öznitelik değerini kullanır. Kullanıcının özniteliği boşsa RADIUS özniteliği yanıta eklenmez
- Politikalar NAS istemcisi kapsamındadır — farklı NAS istemcileri tamamen farklı reply message politikalarına sahip olabilir