Você está na página 1de 22

Configurando um servidor Radius para sua rede.

Vamos configurar o servidor RADIUS responsvel pela autenticao dos usurios que
iro usar a rede WiFi.
ou sua rede cabeada. Suponhamos que j tenha um servidor Linux pronto pra receber os
pacotes necessrios para a configurao do servidor RADIUS.
Com o usurio root vamos instalar os pacotes necessrios para criarmos o nosso
servidor de autenticao, veja a imagem 26 abaixo:

Em seguida iremos definir uma senha para o usurio Mysql, para facilitar definimos
nossa senha com 123*abc como na imagem 27, a Imagem28 apenas para confirmar a
senha digitada anteriormente por segurana.

Em seguida vamos fazer a instalao do phpmyadmin que serve para interagir


diretamente com a base de dados MySql em uma interface grfica amigvel para o
administrador de rede.
Passo 1: Escolha o apache2,
Passo
2: Quando escolhida a opo SIM indica que vamos ligar a base de dados mysql ao
phpmyadmin em seguida ser apresentada as telas para a senha do usurio da base de
dados que 123*abc, confirme a senha nas etapas dos passos 4 e 5.

Aps toda a instalao dos pacotes vamos entrar no diretrio onde se encontra os
arquivos de configurao do freeradius.

Listando todo o diretrio com o comando ls apresentado todos os arquivos de


configurao que fazem parte do freeradius.
Em seguida vamos transportar todas as tabelas do freeradius para dentro do Mysqlserver.
1 Passo abra o navegador de qualquer mquina que esteja na estao do servidor Linux
digitando HTTP://ip_do_servidor/phpmyadmin
Coloque o usurio e senha do phpmyadmin que no nosso caso user: root e password:
123*abc veja a imagem 32 abaixo:

Em seguida crie um banco de dados onde este ir receber todas as tabelas do freeradiusmysql.
Passo 1: Acesse a aba Banco de Dados
Passo 2: No campo Criar novo Banco de Dados criamos um banco chamado radius
Passo 3: Click no boto Criar.
Voltamos ao servidor Linux e digitamos as seguintes linhas de comando
(veja imagem 34) para transferir todas as tabelas do freeradius-mysql,
uma chamada de eschema.sql e outra chamada de nas.sql.
Obs.: Estamos apenas migrando as tabelas, porm preciso configurar cada uma das
tabelas depois.

Vamos preparar alguns *.conf do freeradius para que o freeradius e o MySql possam
trocar informaes, dentro do diretrio /etc/freeradius/, vamos procurar pelo arquivo
radiusd.conf, com seu editor de arquivos preferido abra o radiusd.conf. pico
radiusd.conf Procure pelo campo $INCLUDE sql.conf e descomente, removendo o
smbolo # que se encontra no inicio da linha.
#$INCLUED sql.conf
$INCLUDE sql.conf
Salve e saia.

Em seguida editamos o arquivo sql.conf, procure pelo campo login =


radius e password = radpass troque-o no campo login o radius
pelo usurio do banco de dados que o root e no campo password a
senha de radpass para a senha do usurio do banco de dados 123*abc,
OBS1: O usurio e senha devem estar entre aspas .
Veja a imagem36.

Agora
vamos colocar os equipamentos que faro consulta ao servidor RADIUS,
esses equipamentos ns os chamamos de Network Autentication Server
(NAS). Vamos cadastrar o equipamento tanto no arquivo clients.conf
quanto no mysql, nesse caso vamos usar nos dois por modo de preveno. A
imagem 37 nos mostra o ip do RB433AH Mikrotik. O administrador pode
colocar tanto o ip do Access Point individual quanto uma faixa de ips,
com senhas variadas. Vejas os exemplos que voc pode fazer.
Cdigo:************** Exemplo 1: INDIVIDUAL
*************************************
client 172.16.0.4 {
secret =123465
shortname =AP-01(Access-Point)
}
**********************************************************************
*
Cdigo:***************** Exemplo 2: A REDE TODA
**********************************
client 172.16.0.0/28 {
secret = 123456

shortname =TODO-A-REDE
}
**********************************************************************
*
Cdigo:*************** Exemplo 3: NDIVIDUAL COM SENHAS DIFERENTE
*************
client 172.16.0.4 {
secret =123456
shortname = Access-Point-01
}
cleint 172.16.0.5 {
secret = 123*abc
shotname =Access-Point-02
}
**********************************************************************
**

Ainda
faltam mais dois arquivos de texto para ser alterado um default outro
inner-tunnel ambos encontram-se no diretrio

/etc/freerdius/sites-available/
No arquivo default abaixo da
linha authorize procure por sql e descomente, mais abaixo procure por
accounting e tambm descomente as linhas sql. Salve e saia do arquivo
de texto default.
Cdigo:#pico /etc/freeradius/sites-available/defaul
authorize {
# Look in an SQL database. The schema of the database
# is meant to mirror the "users" file.
#
# See "Authorization Queries" in sql.conf
sql
accounting {
#
# Create a 'detail'ed log of the packets.
# Note that accounting requests which are proxied
# are also logged in the detail file.
# See "Accounting queries" in sql.conf
Sql
O segundo arquivo de texto o inner-tunner
Cdigo:#pico /etc/freeradius/sites-available/inner-tunner
authorize {
# The chap module will set 'Auth-Type := CHAP' if we are
# handling a CHAP request and Auth-Type has not already been set
Chap
# Look in an SQL database. The schema of the database
# is meant to mirror the "users" file.
# See "Authorization Queries" in sql.conf
sql
Salve e saia do arquivo de texto inner-tunner.
Vamos voltar ao phpmyadmin e editar as seguintes tabelas (nas,radcheck,
radgroupcheck, radusergroup)
Comearemos pelo nas, confira a imagem 38 e veja como cada campo foi
configurado.
Em
nasname colocamos o ip da RB433AH ou qualquer host que far a
consulta ao servidor radius, no campo shortname uma identificao do
equipamento que est fazendo a consulta no servidor RADIUS, no campo
ports a porta que o servio radius trabalha para autenticao (1645 ou
1812) e para contabilidade (1646 ou 1813), por ultimo em secret a
senha para a autenticao, para fins didticos colocamos senhas fceis,
depois mande executar.

Em
seguida iremos cadastrar os usurios que tero permisso para utilizar a
rede WiFi, lembrando que no passo acima cadastramos o equipamento que
far a consulta ao servidor RADIUS desta vez ser o usurio que far a
consulta ao servidor, caso um usurio no esteja cadastrado seu acesso a
rede WiFi ser negada.

Fizemos
um cadastrado com um usurio chamado edikoston com a senha 123456,
crie mais um usurio, um para a rede WiFi e outro para o Hotspot, nesse
caso criamos mais um usurio chamado edilson com a senha 123*abc este
usurio edilson usaremos para logar no Hotspot.

Criaremos um grupo na
tabela redusergroup camado de banda larga depois setamos o usurio
edikoston nesse grupo, veja a Imagem 40.

Agora
vamos inserir valores na tabela redgroupcheck, coloque os valores da
mesma forma que voc v na Imagem 41, deve-se observar cada campo.

Com a BD do radius configurado vamos configurar o Hotspot na RB433AH para


receber a autenticao no servidor RADIUS.
Voltamos

ao Winbox do Mikrotik para fazermos a configurao do RADIUS na


RB433AH, marque apenas os servios que faro a autenticao ao servidor
RADUIS, o nosso projeto apenas voltado para o Hotspot e Wireless,
coloque o ip do servidor RADIUS e a senha de autenticao do NAS
123456, em caso de dvida lembre-se que a senha definida no arquivo
clients.conf ou na tabela nas do mysql.

A criao do Hotspot fcil e simples no h tanto segredo, segue abaixo os passos para
a criao do Hotspot.

Obs.: A interface selecionada no Hotspot a interface bridge-mesh.

Obs.: Criamos um domnio chamando RC5NA.local, porm voc pode criar o de sua
preferncia.
Na
aba Server Profiles d um duplo click no domnio RC5NA.local, acesse a
aba Login e marque as opes HTTP CHAP, HTTP PAP e Cookie.
Na aba Radius marque a opo Use Radius e defina 19 (Wireless-802.11) em
NAS Port Type. Veja nas imagens 46 e 47.

At
aqui completamos a configurao do Hotspot para interagir com o RADIUS,
agora vamos para a configurao de autenticao da rede WiFi.
Partindo
para a criao de modo de autenticao na rede WiFi utilizando o
protocolo EAP (Protocolo de Autenticao Extensvel) para que o
equipamento do usurio possa participar da rede. Os passos abaixo
mostram a configurao simples e fcil:

Assim
como na Imagem 48 habilite o WAP PSK e o WPA2 PSK, defina uma chave
compartilhada (WPA e WPA2 Pre-Shared Key) para manuteno do

administrador de rede, sempre que o administrador necessitar fazer


alterao ou mesmo entrar na RB433AH sem precisar passar pelo servidor
RADIUS.
Na aba Radius marque as opes MAC Accounting e EAP Accounting. Apply e
OK.

Em
seguida partimos para ltima parte do nosso projeto, que configurar a
mquina do usurio final e essa configurao ser realizada em uma
maquina Windows 7 Ultimate.
Segue o passo-a-passo desta configurao da Imagem 50 at a Imagem 54.

Obs.:
Se a opo Validar Certificado do Servidor estiver marcada,
desmarque-a. No passo da Imagem 55 desmarque tambm a opo Usar
automaticamente meu nome e senha de logon do Windows (e o domnio, se
houver) confirme esta etapa e voc voltar para a tela Propriedades
EAP protegidas confirme novamente.

Obs.: Usaremos o usurio Edilson com a senha 123*abc criada no servidor


RADIUS.