Você está na página 1de 28

AGRUPAMENTO DE ESCOLAS DE SARDOAL

AGRUPAMENTO DE ESCOLAS DE SARDOAL CONFIGURAÇÃO DA REDE WIRELESS PTE

CONFIGURAÇÃO DA REDE WIRELESS PTE

Fase 0

Esta fase só se configura uma única vez.

É necessário iniciar o serviço de configuração automática com fios para tal devem ser realizados os seguintes passos:

No VISTA

Começar por carregar em Painel de controlo no menu Iniciar

Começar por carregar em Painel de controlo no menu Iniciar De seguida clicar em Sistema e
Começar por carregar em Painel de controlo no menu Iniciar De seguida clicar em Sistema e

De seguida clicar em Sistema e Manutenção

Painel de controlo no menu Iniciar De seguida clicar em Sistema e Manutenção Agora clicar em

Agora clicar em Ferramentas Administrativas

Painel de controlo no menu Iniciar De seguida clicar em Sistema e Manutenção Agora clicar em
Painel de controlo no menu Iniciar De seguida clicar em Sistema e Manutenção Agora clicar em

Nesta zona clica-se em Serviços

Nesta zona clica-se em Serviços Se aparecer uma janela a pedir confirmação clicar em Continuar. Dentro

Se aparecer uma janela a pedir confirmação clicar em Continuar.

Dentro da Janela de Serviços procurar pelo serviço “Configuração Automática com Fios”.

clicar em Continuar. Dentro da Janela de Serviços procurar pelo serviço “Configuração Automática com Fios”.

Clicar em cima com o botão direito e clicar em Propriedades

Clicar em cima com o botão direito e clicar em Propriedades Na janela que vai aparecer

Na janela que vai aparecer é necessário realizar duas tarefas: em Tipo de arranque seleccionar “Automático” e em Estado de serviço clicar em “Iniciar”

realizar duas tarefas: em Tipo de arranque seleccionar “Automático” e em Estado de serviço clicar em
Missão concluída!!! No XP com SP3 (se não tiver a actualização SP3 não vai funcionar.

Missão concluída!!!

No XP com SP3 (se não tiver a actualização SP3 não vai funcionar. Caso não tenha, corra o Windows update para actualizar):

Começar por carregar em Painel de controlo no menu Iniciar

Caso não tenha, corra o Windows update para actualizar): Começar por carregar em Painel de controlo
Agora clicar em Ferramentas Administrativas

Agora clicar em Ferramentas Administrativas

Agora clicar em Ferramentas Administrativas

Nesta zona clica-se em Serviços

Nesta zona clica-se em Serviços Dentro da Janela de Serviços procurar pelo serviço “Configuração Automática com

Dentro da Janela de Serviços procurar pelo serviço “Configuração Automática com Fios”.

pelo serviço “Configuração Automática com Fios”. Clicar em cima com o botão direito e seleccionar

Clicar em cima com o botão direito e seleccionar Propriedades

pelo serviço “Configuração Automática com Fios”. Clicar em cima com o botão direito e seleccionar Propriedades

Na janela que vai aparecer é necessário realizar duas tarefas: em Tipo de arranque seleccionar “Automático” e em Estado de serviço clicar em “Iniciar”

em Tipo de arranque seleccionar “Automático” e em Estado de serviço clicar em “Iniciar” Já está
em Tipo de arranque seleccionar “Automático” e em Estado de serviço clicar em “Iniciar” Já está

Já está concluído!

1 -Configuração do Computador para Windows

Exemplo de configuração de 802.1x com Certificados de Servidor para o Windows Vista.

Antes de iniciar os passos de configuração verifique se tem a placa Wireless ligada, se a placa Wireless é compatível com a norma IEEE802.1x, se tem o(s) driver(s) da placa correctamente instalados (software da placa) e se possui dados de autenticação válidos (login/password).

Nota: Foi detectado que alguns antivírus (ex. Panda), firewalls e aplicativos de gestão Wireless prejudicam o processo de autenticação 802.1x., pelo que aconselhamos a sua desactivação durante o processo de configuração da rede.

1.1 -Configuração no Windows Vista

1.1.1 -Configuração da interface de rede

Para configurar um PC terminal com o sistema operativo Windows Vista, podem fazer-se os seguintes passos:

Configurar uma ligação ou rede

No menu Iniciar, clique em Ligar a:

Na janela “Ligar a uma rede” clicar na ligação que está em baixo: “Configurar uma ligação ou rede”.

a : Na janela “ Ligar a uma rede ” clicar na ligação que está em

Nesta janela escolha a opção “Ligar manualmente a uma rede sem fios”.

Informações da rede

manualmente a uma rede sem fios” . Informações da rede Defina o Nome de Rede (minedu).

Defina o Nome de Rede (minedu). Seleccione a opção WPA2 - Enterprise no tipo de segurança, coloque um visto em “Iniciar automaticamente esta ligação” e “ligar mesmo que a rede não esteja a difundir”.

e “ ligar mesmo que a rede não esteja a difundir” . Clique em OK .

Clique em OK.

Nota: Deverá ajustar a configuração de “Tipo de Segurança” e “Tipo de encriptação” de forma a satisfazer os requisitos da rede da escola. Para exemplo foram usados WPA2-Enterprise e AES.

Clique na opção Alterar as definições da ligação:

rede da escola. Para exemplo foram usados WPA2-Enterprise e AES. Clique na opção Alterar as definições

Propriedades da rede

Na janela seguinte seleccione o separador Segurança. Escolha o método de autenticação EAP protegido (PEAP).

Escolha o método de autenticação EAP protegido (PEAP) . Nota: Deverá ajustar a configuração de “Tipo

Nota: Deverá ajustar a configuração de “Tipo de Segurança” e “Tipo de encriptação” de forma a satisfazer os requisitos da rede da escola. Para exemplo foram usados WPA2-Enterprise e AES.

Depois clique em Definições do método de autenticação

Definições do método de autenticação

Método de autenticação sem validação do certificado

Desmarque a opção Validar certificado do servidor, de acordo com a figura. Seleccionar o método de autenticação EAPMSCHAPv2. Activar a opção de ligação rápida "Permitir religação rápida".

método de autenticação EAPMSCHAPv2. Activar a opção de ligação rápida " Permitir religação rápida ".
método de autenticação EAPMSCHAPv2. Activar a opção de ligação rápida " Permitir religação rápida ".

Propriedade de EAP MSCHAPv2

Propriedade de EAP MSCHAPv2 Clique no botão " Configurar Verifique que está seleccionado o método EAP-MSCHAPv2.

Clique no botão "Configurar

Verifique que está seleccionado o método EAP-MSCHAPv2. Nas propriedades do EAP-MSCHAPv2 tem de desactivar a opção de usar automaticamente o login/password do Windows.

"

do método de autenticação.

/ password do Windows. " do método de autenticação. Concluir a configuração Confirme as configurações

Concluir a configuração

Confirme as configurações efectuadas clicando em OK em todas as janelas abertas usadas para a configuração da rede. Activar antivírus e firewalls. Este passo é necessário caso tenha desactivado algum software que estivesse a bloquear o processo de autenticação.

Iniciar a ligação

O Windows pesquisa a rede configurada e ao detectá-la pede os dados de autenticação. Clique na mensagem que pede as credenciais.

Os dados necessários são apenas o nome de utilizador e a palavra-chave disponibilizados pelos Serviços Administrativos. Atenção: NÃO se deve preencher o campo domínio. A figura serve apenas de exemplo.

Introduzir credenciais

Introduza o seu username e password. Clique OK.

domínio. A figura serve apenas de exemplo. Introduzir credenciais Introduza o seu username e password .
domínio. A figura serve apenas de exemplo. Introduzir credenciais Introduza o seu username e password .

1.2 -Configuração do WindowsXP-SP3

Este capítulo é um exemplo da configuração de 802.1x para o Windows XP com Service Pack 3.

1.2.1 -Configuração da interface de rede

No menu iniciar, clique em Painel de controlo e depois em ligações de rede e internet. Clique em Ligações de rede

Clique em propriedades, depois de carregar em cima com o botão do lado direito do rato.

Propriedades da Ligação de rede

Na lista, clique em Internet Protocol(TCP/IP) e depois em Propriedades.

do rato. Propriedades da Ligação de rede Na lista, clique em Internet Protocol(TCP/IP) e depois em
do rato. Propriedades da Ligação de rede Na lista, clique em Internet Protocol(TCP/IP) e depois em

Confirme que as características da ligação estão de forma a obter um endereço IP de forma automática (por DHCP):

Clique no separador redes sem fios(Wireless Networks). Marque a opção “Use Windows to

configure my wireless network settings” Clique em

de redes pré definidas.

“Add

para adicionar uma nova rede Wireless à lista

network settings ” Clique em ” de redes pré definidas. “Add para adicionar uma nova rede

Configurar rede sem fios

No separador associação defina o SSID da rede para minedu. Escolha a autenticação de dados usada na rede e a encriptação de dados (WPA2 e AES). Mude para o separador de autenticação.

(WPA2 e AES). Mude para o separador de autenticação . Nota: Deverá ajustar a configuração de

Nota: Deverá ajustar a configuração de “Autenticação de Rede” e “Encriptação de dados” de forma a satisfazer os requisitos da rede da escola. Na nossa escola foram

usados WPA2 e AES. A figura serve apenas de exemplo.

foram usados WPA2 e AES. A figura serve apenas de exemplo. Active a autenticação IEEE802.1X .

Active a autenticação IEEE802.1X. Mude o tipo de EAP para EAP protegido(PEAP). Garanta que as duas opções em baixo estão desmarcadas como demonstra a figura. Clique em propriedades.

Definições do método de autenticação

Definições do método de autenticação Método de autenticação sem validação do certificado Desmarque a opção

Método de autenticação sem validação do certificado

Desmarque a opção Validar certificado do servidor, de acordo com a figura ao lado. Activar a opção de ligação rápida "Enable Fast Reconnect".

de ligação rápida " Enable Fast Reconnect ". Propriedade de EAP MSCHAPv2 " do método de

Propriedade de EAP MSCHAPv2

" do método de

Clique no botão "Configurar

autenticação. Verifique que está seleccionado o método

EAP-MSCHAPv2.

Nas propriedades do EAP-MSCHAPv2 tem de desactivar a opção de usar automaticamente o login/password do Windows.

Concluir a configuração

Confirme as configurações efectuadas clicando em OK em todas as janelas abertas usadas para a configuração da rede.

Iniciar a ligação

O Windows pesquisa a rede configurada e ao detecta-la pede os dados de autenticação. Clique na mensagem que pede as credenciais.

autenticação. Clique na mensagem que pede as credenciais. Os dados necessários são apenas o nome de
autenticação. Clique na mensagem que pede as credenciais. Os dados necessários são apenas o nome de

Os dados necessários são apenas o nome de utilizador e a palavra-chave. Atenção: NÃO deverá preencher o campo domínio. A figura serve apenas de exemplo.

Introduzir credenciais

Introduza o seu username e password. Clique OK.

domínio. A figura serve apenas de exemplo. Introduzir credenciais Introduza o seu username e password .

3.3 -Limpeza de Cache do Windows

No Windows XP por vezes existe a necessidade de limpar a cache de credenciais dos utilizadores. Para tal é necessário aceder ao registry e apagar a seguinte entrada:

HKEY_CURRENT_USER\Software\Microsoft\EAPOL\UserEapInfo

4 -Configuração dos clientes para Linux 4.1 -Requisitos dos clientes para Linux Nota : As

4 -Configuração dos clientes para Linux

4.1 -Requisitos dos clientes para Linux

Nota: As operações aqui descritas devem ser executadas com permissões de root.

4.1.1 -Software

O sistema operativo utilizado como referência é a distribuição Ubuntu , versão “feisty”.

Openssl – Este software é necessário para uma correcta instalação do cliente 802.1.x. Deve ser instalada antes do cliente 802.1x.

Xsupplicant – Este software é um suplicante 802.1x e permite a autenticação 802.1x, e pode ser usado em ligações sem fios e também em ligações com fios.

wpa_supplicant – Este software é também é um suplicante 802.1x e permite a autenticação 802.1x e normalmente usado para estabelecer ligações sem fios com autenticação 802.1x.

Instalação do software

O software pode ser instalado usando uma ferramenta de gestão de pacotes como dpkg, aptitude, apt, synaptic, ou então descarregando o código fonte e compilando-o localmente.

Certificados

De modo a poder validar o certificado do servidor de Autenticação deve importar um certificado emitido pela entidade de certificação usada para gerar o certificado desse mesmo servidor. O processo de importação e instalação de um certificado requer alguns passos:

1 Obter o certificado junto da sua escola. Na maioria das situações o certificado terá uma extensão .pem ou .der.

2 No caso dos certificados terem a extensão .der será necessário converter esses certificados para a extensão .pem, pelo qual deve ser executado o seguinte comando:

openssl x509 –outform PEM –out <nome_do_certificado>.pem –inform DER –in <nome_do_certificado>.der

3. Após obter o certificado, este deve ser copiado para uma pasta onde possa ser acedido pelo cliente suplicante (por exemplo /etc/certs/cacert.pem) A localização e o nome desse ficheiro devem ser reflectidos no ficheiro de configuração do cliente suplicante.

4.2 -Configuração do Cliente Xsupplicant

De forma a poder ser utilizado este suplicante 802.1x deve ser criado um ficheiro de configuração onde são definidos os diversos parâmetros necessários para uma correcta autenticação. Por omissão este ficheiro existe em /etc/xsupplicant/xsupplicant.conf.

Caso altere a localização ou o nome do ficheiro, deve ter em atenção que ao executar o comando para iniciar o xsuplicant deve ser indicada esse local/nome, usando para isso a flag –c.

4.2.1 -Ficheiro de configuração para PEAP

a flag –c. 4.2.1 -Ficheiro de configuração para PEAP Protected Extensible Authentication Protocol – Protocolo

Protected Extensible Authentication Protocol – Protocolo de autenticação, desenvolvido pela Microsoft, Cisco e RSA Security, para autenticação de clientes em redes sem fios da norma IEEE 802.11.

# Ficheiro de configuração para xsuplicant – autenticação PEAP default_netname = NOME DA REDE

first_auth_command = echo "Fim da autenticação PEAP " reauth_command = iwconfig wlan0 essid NOME_DA_REDE

network_list = NOME DA REDE

NOME DA REDE {

allow_types = eap-peap type = wireless wireless_control = yes

identity = utilizador@dominio_escola

eap-peap { root_cert = /etc/certs/cacert.pem random_file = /dev/urandom session_resume = yes

eap-mschapv2 { username = utilizador@dominio_escola password = password_do_utilizador

} } }

NOTA: Caso não queira validar o certificado do Servidor deve substituir a linha “root_cert = /etc/certs/cacert.pem” por “root_cert = NONE”.

4.2.2 -Ficheiro de configuração TTLS

O modo de autenticação TTLS foi desenvolvido para ultrapassar a dificuldade de autenticação de clientes através de certificados. Tem um modo de funcionamento de duas fases, na primeira é estabelecido um túnel de comunicações seguro e na segunda é então autenticado o cliente.

# Autenticação TTLS

default_netname = NOME DA REDE first_auth_command = echo "Fim da autenticação TTLS " reauth_command = iwconfig wlan0 essid NOME_DA_REDE

network_list = NOME DA REDE

NOME DA REDE {

allow_types = eap-ttls type = wireless wireless_control = yes

identity = utilizador@dominio_escola

eap-ttls { root_cert = /etc/certs/cacert.pem random_file = /dev/urandom session_resume = yes

random_file = /dev/urandom session_resume = yes pap { username = utilizador@dominio_escola password =

pap { username = utilizador@dominio_escola password = password_do_utilizador

} } }

4.3 -Configuração do Cliente wpa_supplicant

De forma a poder ser utilizado este suplicante 802.1x deve ser criado um ficheiro de configuração onde são definidos os diversos parâmetros necessários para uma correcta autenticação. Pode criar um ficheiro de configuração por exemplo em /etc/wpa_supplicant/wpa_supplicant.conf.

Caso altere a localização ou o nome do ficheiro, deve ter em atenção que ao executar o comando para iniciar o wpa_suplicant deve ser indicada esse local/nome, usando para isso a flag –c.

4.3.1 -Ficheiro de configuração para PEAP

# Ficheiro de configuração para wpa_suplicant – autenticação PEAP

ctrl_interface=/var/run/wpa_supplicant ctrl_interface_group=0 eapol_version=1 ap_scan=1 #se a placa n suportar testar com ap_scan=0 e ap_scan=2 fast_reauth=1

network={ ssid="NOME DA REDE" scan_ssid=1 # only needed if your access point uses a hidden ssid key_mgmt=IEEE8021X eap=PEAP identity="utilizador@dominio_escola" password="password_do_utilizador" ca_cert="/etc/certs/cacert.pem" phase2="auth=MSCHAPV2"

}

NOTA: Caso não queira validar o certificado do Servidor deve remover a linha “ca_cert = /etc/certs/cacert.pem”.

4.3.2 -Ficheiro de configuração TTLS

# Ficheiro de configuração para wpa_suplicant – autenticação TTLS

ctrl_interface=/var/run/wpa_supplicant ctrl_interface_group=0 eapol_version=1 ap_scan=1 #se a placa n suportar testar com ap_scan=0 e ap_scan=2 fast_reauth=1

network={ ssid="NOME DA REDE" scan_ssid=1 # only needed if your access point uses a hidden ssid key_mgmt=IEEE8021X eap=TTLS identity="utilizador@dominio_escola" password="password_do_utilizador" ca_cert="/etc/certs/cacert.pem" phase2="auth=PAP"

}

password="password_do_utilizador" ca_cert="/etc/certs/cacert.pem" phase2="auth=PAP" }

5 -Configuração dos Clientes em Mac OS X – Leopard

5 -Configuração dos Clientes em Mac OS X – Leopard Este capítulo destina-se às configurações 802.1x

Este capítulo destina-se às configurações 802.1x em clientes Mac OS X, na versão 10.5 – Leopard.

5.1 -Configuração 802.1x com Fios

Aceder ao Painel de Controlo

Acede à doca e escolher o ícone System Preferences

Escolher o painel Network Seleccionar o ícone

Network para aceder ao painel Network

o ícone System Preferences Escolher o painel Network Seleccionar o ícone Network para aceder ao painel
o ícone System Preferences Escolher o painel Network Seleccionar o ícone Network para aceder ao painel

Aceder

ao

Painel

Advanced

Escolher a interface Ethernet e clicar no botão Advanced.

Aceder ao Painel 802.1x

Aceder ao Painel Advanced Escolher a interface Ethernet e clicar no botão Advanced . Aceder ao
Aceder ao Painel Advanced Escolher a interface Ethernet e clicar no botão Advanced . Aceder ao

Adicionar um novo perfil

Adicionar um novo perfil Clicar no botão (+) e adicionar um novo perfil de utilizador. Nomear

Clicar no botão (+) e adicionar um novo perfil de utilizador.

Nomear o perfil

Deverá nomear o perfil com um nome sugestivo. No caso de um Aluno sugere-se por ex:

Aluno.

De seguida deverá colocar as credenciais correctas: nome de utilizador e password.

Deverá também ter apenas escolhida a opção PEAP na lista de opções de autenticação.

No final seleccione OK.

Deverá também ter apenas escolhida a opção PEAP na lista de opções de autenticação. No final
Deverá também ter apenas escolhida a opção PEAP na lista de opções de autenticação. No final

Autenticar e efectuar ligação

Com o cabo ethernet correctamente ligado bastará apenas efectuar a ligação. Para tal é necessário seleccionar o botão de Connect.

Concluir Ligação

Após ter autenticado com sucesso o estado do painel anterior ficará este aspecto.

Todos os detalhes do estado da ligação e definições de rede encontram-se no painel.

anterior ficará este aspecto. Todos os detalhes do estado da ligação e definições de rede encontram-se
anterior ficará este aspecto. Todos os detalhes do estado da ligação e definições de rede encontram-se

5.2 -Configuração 802.1x sem Fios -Wireless

5.2 -Configuração 802.1x sem Fios -Wireless Aceder ao menu da Airport Seleccione o ícone da placa

Aceder ao menu da Airport

Seleccione o ícone da placa de rede sem fios, conhecida como Airport no Mac OS X.

placa de rede sem fios, conhecida como Airport no Mac OS X. Escolher a rede Wireless
placa de rede sem fios, conhecida como Airport no Mac OS X. Escolher a rede Wireless

Escolher a rede Wireless em questão

Na lista de redes disponíveis escolher a rede pretentida. Neste caso ptedu.

Em seguida aparecerá um diálogo para introduzir as credenciais necessárias à autenticação. Deverá introduzir o nome de utilizador e a password fornecidas.

Escolha 802.1x Automatic e ignore o campo TLS Certificate. Se pretender seleccione o campo Remember this network se pretender memorizar as credenciais para autenticação automática.

Credenciais de Utilizador

Remember this network se pretender memorizar as credenciais para autenticação automática. Credenciais de Utilizador

Concluir e verificar ligação

Concluir e verificar ligação Para terminar, basta verificar que a ligação se executou com sucesso em

Para terminar, basta verificar que a ligação se executou com sucesso em System Preferences / Network. O painel deverá ter o seguinte aspecto: