Escolar Documentos
Profissional Documentos
Cultura Documentos
Configurando Um Servidor Radius para Sua Rede - Compress
Configurando Um Servidor Radius para Sua Rede - Compress
Vamos configurar o servidor RADIUS responsável pela autenticação dos usuários que
irão usar a rede WiFi.
ou sua rede cabeada. Suponhamos que já tenha um servidor Linux pronto pra receber os
pacotes necessários para a configuração do servidor RADIUS.
Com o usuário root vamos instalar os pacotes necessários para criarmos o nosso
servidor de autenticação, veja a imagem 26 abaixo:
Em seguida iremos definir uma senha para o usuário Mysql, para facilitar definimos
nossa senha com 123*abc como na imagem 27, a Imagem28 é apenas para confirmar a
senha digitada anteriormente por segurança.
Passo
2: Quando escolhida a opção “SIM” indica que vamos ligar a base de dados mysql ao
phpmyadmin em seguida será apresentada as telas para a senha do usuário da base de
dados que é 123*abc, confirme a senha nas etapas dos passos 4 e 5.
Após toda a instalação dos pacotes vamos entrar no diretório onde se encontra os
arquivos de configuração do freeradius.
Listando todo o diretório com o comando “ls” é apresentado todos os arquivos de
configuração que fazem parte do freeradius.
Em seguida vamos transportar todas as tabelas do freeradius para dentro do Mysql-
server.
1º Passo abra o navegador de qualquer máquina que esteja na estação do servidor Linux
digitando HTTP://ip_do_servidor/phpmyadmin
Coloque o usuário e senha do phpmyadmin que no nosso caso é “user: root e password:
123*abc” veja a imagem 32 abaixo:
Em seguida crie um banco de dados onde este irá receber todas as tabelas do freeradius-
mysql.
Passo 1: Acesse a aba “Banco de Dados”
Passo 2: No campo “Criar novo Banco de Dados” criamos um banco chamado “radius”
Passo 3: Click no botão “Criar”.
Voltamos ao servidor Linux e digitamos as seguintes linhas de comando
(veja imagem 34) para transferir todas as tabelas do freeradius-mysql,
uma chamada de “eschema.sql” e outra chamada de “nas.sql”.
Obs.: Estamos apenas migrando as tabelas, porém é preciso configurar cada uma das
tabelas depois.
Vamos preparar alguns *.conf do freeradius para que o freeradius e o MySql possam
trocar informações, dentro do diretório “/etc/freeradius/”, vamos procurar pelo arquivo
“radiusd.conf”, com seu editor de arquivos preferido abra o radiusd.conf. pico
radiusd.conf Procure pelo campo “$INCLUDE sql.conf” e descomente, removendo o
símbolo “#” que se encontra no inicio da linha.
#$INCLUED sql.conf
$INCLUDE sql.conf
Salve e saia.
Em seguida editamos o arquivo “sql.conf”, procure pelo campo login =
“radius” e password = “radpass” troque-o no campo login o “radius”
pelo usuário do banco de dados que é o “root” e no campo password a
senha de “radpass” para a senha do usuário do banco de dados “123*abc”,
OBS1: O usuário e senha devem estar entre aspas ” “.
Veja a imagem36.
Agora
vamos colocar os equipamentos que farão consulta ao servidor RADIUS,
esses equipamentos nós os chamamos de Network Autentication Server
(NAS). Vamos cadastrar o equipamento tanto no arquivo “clients.conf”
quanto no mysql, nesse caso vamos usar nos dois por modo de prevenção. A
imagem 37 nos mostra o ip do RB433AH Mikrotik. O administrador pode
colocar tanto o ip do Access Point individual quanto uma faixa de ip’s,
com senhas variadas. Vejas os exemplos que você pode fazer.
Ainda
faltam mais dois arquivos de texto para ser alterado um “default” outro
“inner-tunnel” ambos encontram-se no diretório
“/etc/freerdius/sites-available/”
No arquivo “default” abaixo da
linha “authorize” procure por sql e descomente, mais abaixo procure por
“accounting” e também descomente as linhas sql. Salve e saia do arquivo
de texto default.
Código:#pico /etc/freeradius/sites-available/defaul
authorize {
# Look in an SQL database. The schema of the database
# is meant to mirror the "users" file.
#
# See "Authorization Queries" in sql.conf
sql
accounting {
#
# Create a 'detail'ed log of the packets.
# Note that accounting requests which are proxied
# are also logged in the detail file.
# See "Accounting queries" in sql.conf
Sql
O segundo arquivo de texto é o “inner-tunner”
Código:#pico /etc/freeradius/sites-available/inner-tunner
authorize {
# The chap module will set 'Auth-Type := CHAP' if we are
# handling a CHAP request and Auth-Type has not already been set
Chap
# Look in an SQL database. The schema of the database
# is meant to mirror the "users" file.
# See "Authorization Queries" in sql.conf
sql
Fizemos
um cadastrado com um usuário chamado “edikoston” com a senha “123456”,
crie mais um usuário, um para a rede WiFi e outro para o Hotspot, nesse
caso criamos mais um usuário chamado edilson com a senha 123*abc este
usuário edilson usaremos para logar no Hotspot.
Criaremos um grupo na
tabela “redusergroup” camado de banda larga depois setamos o usuário
edikoston nesse grupo, veja a Imagem 40.
Agora
vamos inserir valores na tabela “redgroupcheck”, coloque os valores da
mesma forma que você vê na Imagem 41, deve-se observar cada campo.
A criação do Hotspot é fácil e simples não há tanto segredo, segue abaixo os passos para
a criação do Hotspot.
Obs.: A interface selecionada no Hotspot é a interface “bridge-mesh”.
Obs.: Criamos um domínio chamando RC5NA.local, porém você pode criar o de sua
preferência.
Na
aba “Server Profiles” dê um duplo click no domínio RC5NA.local, acesse a
aba Login e marque as opções “HTTP CHAP”, “HTTP PAP” e “Cookie”.
Na aba “Radius” marque a opção “Use Radius” e defina “19 (Wireless-802.11)” em
“NAS Port Type”. Veja nas imagens 46 e 47.
Até
aqui completamos a configuração do Hotspot para interagir com o RADIUS,
agora vamos para a configuração de autenticação da rede WiFi.
Partindo
para a criação de modo de autenticação na rede WiFi utilizando o
protocolo EAP (Protocolo de Autenticação Extensível) para que o
equipamento do usuário possa participar da rede. Os passos abaixo
mostram a configuração simples e fácil:
Assim
como na Imagem 48 habilite o WAP PSK e o WPA2 PSK, defina uma chave
compartilhada (WPA e WPA2 Pre-Shared Key) para manutenção do
administrador de rede, sempre que o administrador necessitar fazer
alteração ou mesmo entrar na RB433AH sem precisar passar pelo servidor
RADIUS.
Na aba “Radius” marque as opções “MAC Accounting” e “EAP Accounting”. Apply e
OK.
Em
seguida partimos para última parte do nosso projeto, que é configurar a
máquina do usuário final e essa configuração será realizada em uma
maquina Windows 7 Ultimate.
Segue o passo-a-passo desta configuração da Imagem 50 até a Imagem 54.
Obs.:
Se a opção “Validar Certificado do Servidor” estiver marcada,
desmarque-a. No passo da Imagem 55 desmarque também a opção “Usar
automaticamente meu nome e senha de logon do Windows (e o domínio, se
houver)” confirme esta etapa e você voltará para a tela “Propriedades
EAP protegidas” confirme novamente.
Obs.: Usaremos o usuário “Edilson” com a senha “123*abc” criada no servidor
RADIUS.