Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Manual Servidor IAS v1 - Portuguez

    Enviado por

    charlie8a
    31 visualizações10 páginas

    Direitos autorais

    © Attribution Non-Commercial (BY-NC)

    Formatos disponíveis

    PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    31 visualizações10 páginas

    Manual Servidor IAS v1 - Portuguez

    Enviado por

    charlie8a

    Direitos autorais:

    Attribution Non-Commercial (BY-NC)
    Baixe no formato PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 10

    Campus Virtuais

    Manual de configuração do Microsoft IAS

    Grupo de Comunicações
    CICUA
    Versão 1.0
    03 Fevereiro de 2004
    Manual do Microsoft IAS (Internet Authentication Server)

    Realizado em: Fevereiro de 2004

    1 Introdução
    O IAS é um servidor RADIUS comercial que implementa a norma RADIUS
    IETF. Este servidor, incluído no Windows 2003 Server, foi o escolhido pela
    Universidade de Aveiro para a implementação dos mecanismos de AAA
    necessários ao desenvolvimento do projecto e-U.
    Neste documento serão descritas as funcionalidades do IAS, com especial
    incidência na configuração das opções utilizadas no e-U.

    2 Requisitos
    A instalação do IAS pode ser feita apenas em servidores Microsoft Windows
    2003, estando a licença e o software incluídos no produto Windows 2003
    Server.
    Nota: O IAS do Windows 2003 Server Standard, tem um limite máximo de 50
    clientes RADIUS, ou seja, no máximo 50 APs. No caso do número de APs ser
    superior deve ser utilizado o Windows 2003 Server Enterprise que suporta,
    teoricamente, um número ilimitado de APs.
    O servidor deve ter as seguintes características:
    • PIII a 850MHz
    • 512MB RAM
    • 2 discos RAID1 (por questões de redundância)

    3 Arquitectura
    O IAS apresenta reais vantagens quando integrado com a ActiveDirectory, ou
    seja com a estrutura de autenticação central disponibilizada pelos serviços de
    directoria do Windows.

    Figura 1 - Configuração do RADIUS / AD / Proxy

    CICUA - Manual do Microsoft IAS (Internet Authentication Server) 2/10


    3.1 Funcionalidades úteis no e-U
    A lista que se segue contém apenas as funcionalidades que considerámos
    úteis na implementação do projecto e-U.
    • RADIUS Server
    • RADIUS Proxy
    • PEAP (MS-CHAPv2 ou SmartCard)
    • EAP-TLS
    • Cisco-AV-Pair
    • Definição de políticas de acesso por grupo de utilizadores
    • Logs para SQL (XML compliant)

    4 Instalação
    • Instalar Windows 2003 Server Enterprise Edition
    • Instalar os Service Packs e HotFixs
    • Adicionar o servidor ao domínio Microsoft (AD)
    • Instalar o IAS
    o Start->Control Panel->Add/Remove Programs->Add/Remove
    Windows Components

    o Start->Administrative Tools-> Internet Authentication Service

    CICUA - Manual do Microsoft IAS (Internet Authentication Server) 3/10


    Figura 2 - Registar o IAS na AD

    Findo este ponto o servidor IAS está instalado e a funcionar.

    5 Configuração
    O IAS permite uma panóplia de configurações que vão desde acessos DialUp
    a acessos Wireless. Os pontos que se apresentam de seguida dizem respeito
    apenas à configuração necessária aos acessos Wireless, para o cenário da
    Universidade de Aveiro.

    5.1 O Cenário
    A configuração do IAS foi realizada tendo em vista as características de
    mobilidade a implementar nos campus virtuais, contemplando também
    algumas particularidades da Universidade de Aveiro.
    Como requisitos principais para o cenário foram definidos os seguintes:
    • Suporte de realms (user@instituição.pt)
    o Do tipo @ua.pt para os utilizadores da Universidade de
    Aveiro
    o Do tipo @instituição.pt para utilizadores externos em roaming
    • Suporte de proxy RADIUS
    o Para redireccionamento dos pedidos de autenticação e
    auditoria de utilizadores externos à UA
    • Atribuição de VLANs por perfil de utilizador
    o Alunos
    o Staff
    o LANLocal
    o Visitantes
    o Publica
    • Suporte de um SSID público (“UA” e futuramente “e-U-Guest”)
    o Com o servidor de informação para disponibilização de
    acesso à rede e-U

    CICUA - Manual do Microsoft IAS (Internet Authentication Server) 4/10


    o Disponível na fase de migração e para manter a
    compatibilidade e o acesso à rede aos utilizadores com os
    sistemas que não suportam 802.1x
    • Suporte de um SSID “e-U” com WEP, 802.1x (possivelmente com WPA)
    o Para autenticação através de PEAP / MS-CHAP-V2)
    o Com atribuição de perfis de utilização

    Figura 3 - Esquema geral do cenário

    5.2 Configuração
    5.2.1 RADIUS Clients

    Cada Access Point tem de ser configurado como Radius Client do IAS. Para
    tal basta seleccionar “New RADIUS Client”, como mostra a figura e
    introduzir o “Friendly Name”, que poderá ser qualquer, no entanto, a política
    de nomes a atribuir deve ser especialmente cuidada. Este “Friendly Name”
    será utilizado na construção de políticas de acesso e nas funcionalidades de
    debugging, razão pela qual deve ser encontrado um esquema de nomes de
    acordo com as necessidades/especificidades da Instituição.
    Para a configuração simultânea de vários APs da mesma rede pode ser usada
    a nomenclatura da figura (Ex: para todos os IPs da rede 192.168.2.0, “Client
    IP” = “192.168.2.0/24”). Com este método a “Shared secret” terá de ser o
    mesmo em todos os APs.

    CICUA - Manual do Microsoft IAS (Internet Authentication Server) 5/10


    5.2.2 Remote access policies
    Na policy devem ser distinguidas duas componentes, a primeira diz respeito
    às condições necessárias à aplicação da policy, a segunda define o perfil do
    utilizador. A política a especificar neste caso será a adequada à rede de alunos
    e terá o nome “e-U Alunos”.

    5.2.2.1 Condições
    New Remote Access Policy -> Set up a custom policy (e-U Alunos)

    Nesta componente pode ser especificados vários atributos que darão acesso
    ao perfil. De entre eles, os usados no cenário, foram:
    • Client-Friendly-Name
    • Windows-Groups
    A política de acesso deve ser definida para “Grant remote access permission”

    CICUA - Manual do Microsoft IAS (Internet Authentication Server) 6/10


    5.2.2.2 Perfil
    No perfil, acessível em “Edit Profile”, serão especificadas as características da
    ligação de cada cliente.
    No tab “Authentication” é configurado apenas o método de EAP.

    No caso do cenário apresentado o único método configurado é o PEAP, para o


    qual é necessário um certificado de servidor.

    No Tab “Advanced”, poderão ser configurados vários parâmetros RADIUS a


    atribuir ao cliente.

    A atribuição de VLANs é feita, através da especificação dos seguintes


    atributos:
    • Tunnel-Medium-Type: 802
    • Tunnel-Pvt-Group-ID: 666 (string com número da VLAN)
    • Tunnel-Type: VLAN

    CICUA - Manual do Microsoft IAS (Internet Authentication Server) 7/10


    Aqui podem também ser definidos os VSAs específicos para cada
    equipamento.

    No Tab Encryption deve ser configurado o tipo de criptografia apenas para


    “Strongest encryption (MPPE 128 bit).

    5.2.3 Remote Radius Server Groups


    Nesta opção são definidos os servidores PROXY de RADIUS, para onde
    podem ser encaminhados os pedidos de autenticação. No cenário é definido
    um grupo FCCN, com o servidor cv-radius.fccn.pt e os portos de autenticação
    e accounting 1812/1813.

    CICUA - Manual do Microsoft IAS (Internet Authentication Server) 8/10


    Nota: O proxy de RADIUS e tendo em conta que vão existir pedidos de
    autenticação de e para a instituição terá de ser configurado também como
    cliente de RADIUS (ponto 5.2.1).

    5.2.4 Connection Request Policies


    Nesta opção podem ser definidas as condições que levam à utilização, ou não,
    do proxy de RADIUS. No cenário implementado optou-se por definir uma
    ordem de prioridades (processamento de regras) onde é verificado o realm e,
    caso seja “@ua.pt” é feita a validação no nosso servidor, caso contrário o
    pedido é redirecionado para o RADIUS da FCCN.

    No caso da UA, como o RADIUS autentica também outros serviços (VPN e


    modems), é verificada a condição “NAS-Port-Type” na decisão do envio das
    credenciais pelo RADIUS proxy.

    CICUA - Manual do Microsoft IAS (Internet Authentication Server) 9/10


    6 Certificado para o servidor RADIUS
    O certificado necessário para a activação do PEAP deve obedecer aos
    seguintes requisitos:
    • Server Authentication Certificate: (OID: 1.3.6.1.5.5.7.3.1)
    • Key Options: “Microsoft RSA SChannel Cryptographic Provider”
    • Server name (máximo 64 Chars)

    7 Considerações finais
    As configurações aqui apresentadas resumem-se apenas às características
    básicas do Microsoft IAS para o funcionamento no cenário e-U. Para
    configurações mais específicas ficam as links de referência seguintes:

    Links:
    Understanding IAS
    http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowss
    erver2003/proddocs/standard/sag_ias_RAD_comp.asp

    Deploying IAS
    http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowss
    erver2003/proddocs/standard/sag_ias_RAD_comp.asp

    Managing multiple IAS servers


    http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowss
    erver2003/proddocs/standard/sag_ias_mult.asp

    SQL Server database logging


    http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowss
    erver2003/proddocs/standard/sag_ias_log_sql.asp

    CICUA - Manual do Microsoft IAS (Internet Authentication Server) 10/10

    Você também pode gostar