Você está na página 1de 10

Campus Virtuais

Manual de configuração do Microsoft IAS

Grupo de Comunicações
CICUA
Versão 1.0
03 Fevereiro de 2004
Manual do Microsoft IAS (Internet Authentication Server)

Realizado em: Fevereiro de 2004

1 Introdução
O IAS é um servidor RADIUS comercial que implementa a norma RADIUS
IETF. Este servidor, incluído no Windows 2003 Server, foi o escolhido pela
Universidade de Aveiro para a implementação dos mecanismos de AAA
necessários ao desenvolvimento do projecto e-U.
Neste documento serão descritas as funcionalidades do IAS, com especial
incidência na configuração das opções utilizadas no e-U.

2 Requisitos
A instalação do IAS pode ser feita apenas em servidores Microsoft Windows
2003, estando a licença e o software incluídos no produto Windows 2003
Server.
Nota: O IAS do Windows 2003 Server Standard, tem um limite máximo de 50
clientes RADIUS, ou seja, no máximo 50 APs. No caso do número de APs ser
superior deve ser utilizado o Windows 2003 Server Enterprise que suporta,
teoricamente, um número ilimitado de APs.
O servidor deve ter as seguintes características:
• PIII a 850MHz
• 512MB RAM
• 2 discos RAID1 (por questões de redundância)

3 Arquitectura
O IAS apresenta reais vantagens quando integrado com a ActiveDirectory, ou
seja com a estrutura de autenticação central disponibilizada pelos serviços de
directoria do Windows.

Figura 1 - Configuração do RADIUS / AD / Proxy

CICUA - Manual do Microsoft IAS (Internet Authentication Server) 2/10


3.1 Funcionalidades úteis no e-U
A lista que se segue contém apenas as funcionalidades que considerámos
úteis na implementação do projecto e-U.
• RADIUS Server
• RADIUS Proxy
• PEAP (MS-CHAPv2 ou SmartCard)
• EAP-TLS
• Cisco-AV-Pair
• Definição de políticas de acesso por grupo de utilizadores
• Logs para SQL (XML compliant)

4 Instalação
• Instalar Windows 2003 Server Enterprise Edition
• Instalar os Service Packs e HotFixs
• Adicionar o servidor ao domínio Microsoft (AD)
• Instalar o IAS
o Start->Control Panel->Add/Remove Programs->Add/Remove
Windows Components

o Start->Administrative Tools-> Internet Authentication Service

CICUA - Manual do Microsoft IAS (Internet Authentication Server) 3/10


Figura 2 - Registar o IAS na AD

Findo este ponto o servidor IAS está instalado e a funcionar.

5 Configuração
O IAS permite uma panóplia de configurações que vão desde acessos DialUp
a acessos Wireless. Os pontos que se apresentam de seguida dizem respeito
apenas à configuração necessária aos acessos Wireless, para o cenário da
Universidade de Aveiro.

5.1 O Cenário
A configuração do IAS foi realizada tendo em vista as características de
mobilidade a implementar nos campus virtuais, contemplando também
algumas particularidades da Universidade de Aveiro.
Como requisitos principais para o cenário foram definidos os seguintes:
• Suporte de realms (user@instituição.pt)
o Do tipo @ua.pt para os utilizadores da Universidade de
Aveiro
o Do tipo @instituição.pt para utilizadores externos em roaming
• Suporte de proxy RADIUS
o Para redireccionamento dos pedidos de autenticação e
auditoria de utilizadores externos à UA
• Atribuição de VLANs por perfil de utilizador
o Alunos
o Staff
o LANLocal
o Visitantes
o Publica
• Suporte de um SSID público (“UA” e futuramente “e-U-Guest”)
o Com o servidor de informação para disponibilização de
acesso à rede e-U

CICUA - Manual do Microsoft IAS (Internet Authentication Server) 4/10


o Disponível na fase de migração e para manter a
compatibilidade e o acesso à rede aos utilizadores com os
sistemas que não suportam 802.1x
• Suporte de um SSID “e-U” com WEP, 802.1x (possivelmente com WPA)
o Para autenticação através de PEAP / MS-CHAP-V2)
o Com atribuição de perfis de utilização

Figura 3 - Esquema geral do cenário

5.2 Configuração
5.2.1 RADIUS Clients

Cada Access Point tem de ser configurado como Radius Client do IAS. Para
tal basta seleccionar “New RADIUS Client”, como mostra a figura e
introduzir o “Friendly Name”, que poderá ser qualquer, no entanto, a política
de nomes a atribuir deve ser especialmente cuidada. Este “Friendly Name”
será utilizado na construção de políticas de acesso e nas funcionalidades de
debugging, razão pela qual deve ser encontrado um esquema de nomes de
acordo com as necessidades/especificidades da Instituição.
Para a configuração simultânea de vários APs da mesma rede pode ser usada
a nomenclatura da figura (Ex: para todos os IPs da rede 192.168.2.0, “Client
IP” = “192.168.2.0/24”). Com este método a “Shared secret” terá de ser o
mesmo em todos os APs.

CICUA - Manual do Microsoft IAS (Internet Authentication Server) 5/10


5.2.2 Remote access policies
Na policy devem ser distinguidas duas componentes, a primeira diz respeito
às condições necessárias à aplicação da policy, a segunda define o perfil do
utilizador. A política a especificar neste caso será a adequada à rede de alunos
e terá o nome “e-U Alunos”.

5.2.2.1 Condições
New Remote Access Policy -> Set up a custom policy (e-U Alunos)

Nesta componente pode ser especificados vários atributos que darão acesso
ao perfil. De entre eles, os usados no cenário, foram:
• Client-Friendly-Name
• Windows-Groups
A política de acesso deve ser definida para “Grant remote access permission”

CICUA - Manual do Microsoft IAS (Internet Authentication Server) 6/10


5.2.2.2 Perfil
No perfil, acessível em “Edit Profile”, serão especificadas as características da
ligação de cada cliente.
No tab “Authentication” é configurado apenas o método de EAP.

No caso do cenário apresentado o único método configurado é o PEAP, para o


qual é necessário um certificado de servidor.

No Tab “Advanced”, poderão ser configurados vários parâmetros RADIUS a


atribuir ao cliente.

A atribuição de VLANs é feita, através da especificação dos seguintes


atributos:
• Tunnel-Medium-Type: 802
• Tunnel-Pvt-Group-ID: 666 (string com número da VLAN)
• Tunnel-Type: VLAN

CICUA - Manual do Microsoft IAS (Internet Authentication Server) 7/10


Aqui podem também ser definidos os VSAs específicos para cada
equipamento.

No Tab Encryption deve ser configurado o tipo de criptografia apenas para


“Strongest encryption (MPPE 128 bit).

5.2.3 Remote Radius Server Groups


Nesta opção são definidos os servidores PROXY de RADIUS, para onde
podem ser encaminhados os pedidos de autenticação. No cenário é definido
um grupo FCCN, com o servidor cv-radius.fccn.pt e os portos de autenticação
e accounting 1812/1813.

CICUA - Manual do Microsoft IAS (Internet Authentication Server) 8/10


Nota: O proxy de RADIUS e tendo em conta que vão existir pedidos de
autenticação de e para a instituição terá de ser configurado também como
cliente de RADIUS (ponto 5.2.1).

5.2.4 Connection Request Policies


Nesta opção podem ser definidas as condições que levam à utilização, ou não,
do proxy de RADIUS. No cenário implementado optou-se por definir uma
ordem de prioridades (processamento de regras) onde é verificado o realm e,
caso seja “@ua.pt” é feita a validação no nosso servidor, caso contrário o
pedido é redirecionado para o RADIUS da FCCN.

No caso da UA, como o RADIUS autentica também outros serviços (VPN e


modems), é verificada a condição “NAS-Port-Type” na decisão do envio das
credenciais pelo RADIUS proxy.

CICUA - Manual do Microsoft IAS (Internet Authentication Server) 9/10


6 Certificado para o servidor RADIUS
O certificado necessário para a activação do PEAP deve obedecer aos
seguintes requisitos:
• Server Authentication Certificate: (OID: 1.3.6.1.5.5.7.3.1)
• Key Options: “Microsoft RSA SChannel Cryptographic Provider”
• Server name (máximo 64 Chars)

7 Considerações finais
As configurações aqui apresentadas resumem-se apenas às características
básicas do Microsoft IAS para o funcionamento no cenário e-U. Para
configurações mais específicas ficam as links de referência seguintes:

Links:
Understanding IAS
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowss
erver2003/proddocs/standard/sag_ias_RAD_comp.asp

Deploying IAS
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowss
erver2003/proddocs/standard/sag_ias_RAD_comp.asp

Managing multiple IAS servers


http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowss
erver2003/proddocs/standard/sag_ias_mult.asp

SQL Server database logging


http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowss
erver2003/proddocs/standard/sag_ias_log_sql.asp

CICUA - Manual do Microsoft IAS (Internet Authentication Server) 10/10