instalação do servidor radius com autenticação via ... · entrega de vlan dinâmica por grupo...
TRANSCRIPT
Instalação do servidor radius com autenticação via ldap e entrega de vlan dinâmica por grupo de usuário do Ldap.
Ambiente do laboratório Servidor radius
CentOS Linux release 7.3.1611 (Core) Pacotes:
Freeradius-3.0.4-7.el7_3.x86_64 Freeradius-ldap-3.0.4-7.el7_3.x86_64 Freeradius-utils-3.0.4-7.el7_3.x86_64 Cisco_EAP_Supplicant_Installer_v1.zip
Access Point Aruba instant IAP 205
Switch 3Com Switch 5500G-EI 24-Port Software
Clientes Samsung 4s mini Debian 8 Windows 7 home premium
Instalação e configuração do radius yum install freeradius freeradius-utils freeradius-ldap
Verificar se o módulo do LDAP já está ativo:
[root@radius ~]# cd /etc/raddb/mods-enabled/ [root@radius mods-enabled]# ls -l ldap lrwxrwxrwx. 1 root root 22 Mar 29 09:19 ldap -> ../mods-available/ldap
Caso não esteja basta fazer um link simbólico.
No arquivo LDAP preencha com as configurações do servidor, no meu caso ldap { server = "meuldap.unochapeco.edu.br"
port = 389 identity = "cn=manager,o=unochapeco" password = *********** base_dn = "o=unochapeco" User {
base_dn = "ou=people,${..base_dn}" filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})" access_attribute = "uid" access_positive = yes }
Group { base_dn = "${..base_dn}"
filter = "(objectClass=posixGroup)" scope = 'sub'
name_attribute = cn membership_filter = "(|(member=%{control:Ldap-UserDn})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"
membership_attribute = "memberOf" }
} No arquivo EAP modifiquei as seguintes linhas: [root@radius mods-enabled]# vi eap
eap { default_eap_type = peap
ttls {
default_eap_type = mschapv2 copy_request_to_tunnel = yes use_tunneled_reply = yes
peap { copy_request_to_tunnel = yes
use_tunneled_reply = yes [root@radius mods-enabled]# vi /etc/raddb/users # entrada que faz a autenticação no ldap e compara se o grupo do usuário pertence a DTI para aplicar a vlan id 1 DEFAULT Ldap-Group == dti Reply-Message := "Hello, %{User-Name}",
Tunnel-Type = 13, Tunnel-Medium-Type = 6, Tunnel-Private-Group-Id = "1" #entrada de testes sem o LDAP para o teste do radius noc Cleartext-Password := "hello" Reply-Message := "Hello, %{User-Name}", Tunnel-Type = 13, Tunnel-Medium-Type = 6, Tunnel-Private-Group-Id = "20"
Cadastrar a rede que vai ter acesso a consultar o radius [root@radius raddb]# vi /etc/raddb/clients.conf client private-network-1 { ipaddr = ip_da_rede/maskara secret = secret-do-radius }
Sobre o serviço em modo de depuração
[root@radius ~]# radiusd -X Se estiver tudo ok o resultado é similar a isso após as configurações
Listening on auth address * port 1812 as server default Listening on acct address * port 1813 as server default Listening on auth address :: port 1812 as server default Listening on acct address :: port 1813 as server default Listening on auth address 127.0.0.1 port 18120 as server inner-tunnel Opening new proxy socket 'proxy address * port 0' Listening on proxy address * port 33985 Ready to process requests Teste de acesso do radius via linha de comando jhony@meuhost:~$ radtest usuarioteste ******* ip_do_radius 1812 secret-do-radius
Vai sair algo do tipo
Sending Access-Request of id 215 to 179.124.152.104 port 1812
User-Name = "usuarioteste" User-Password = "********" NAS-IP-Address = 179.124.152.15 NAS-Port = 1812 Message-Authenticator = 0x00000000000000000000000000000000 rad_recv: Access-Accept packet from host 179.124.152.104 port 1812, id=215, length=20 jhony@meuhost:~$ radtest jhony ******* ip_do_radius 1812 secret-do-radius Sending Access-Request of id 23 to 179.124.152.104 port 1812 User-Name = "jhony" User-Password = "***********" NAS-IP-Address = 179.124.152.15 NAS-Port = 1812 Message-Authenticator = 0x00000000000000000000000000000000 rad_recv: Access-Accept packet from host 179.124.152.104 port 1812, id=23, length=49 Reply-Message = "Hello, jhony" Tunnel-Type:0 = VLAN Tunnel-Medium-Type:0 = IEEE-802 Tunnel-Private-Group-Id:0 = "1"
Configuração do switch Colocar a porta em modo trunk -> Link Type Trunk Taggear ela para todas as vlans ->
Configuração da instant aruba No painel principal criar um novo SSID
Em vlan é necessário criar um if tunnel como o acima para cada VLAN que vai
ser entregue, onde o group id corresponde a vlan.
Em Autentication server é necessário editar e cadastrar o servidor radius
Configuração dos clientes
Clientes windows Para os clientes windows o drive compatível com o tipo de autenticação que o
LDAP prove não é nativo mas pode ser baixado do site da microsoft. O nome do pacote é cisco eap supplicant installer https://technet.microsoft.com/pt-br/itpro/surface/enable-peap-eap-fast-and-cisco-leap-on-surface-devices https://www.microsoft.com/en-us/download/details.aspx?id=46703
Fiz o teste com a seguinte versão, Cisco_EAP_Supplicant_Installer_v1.zip
Dentro do Zip estão 3 pastas, utilizei apenas a pasta CiscoEapPeap_all_components
Após a instalação é necessário configurar a conexão wifi que será utilizada.
Terminado a configuração é só conectar a rede wifi, ela deverá abrir um caixa solicitando o usuário e senha.
Clientes Debian Apenas ajustar a configuração da rede
Clientes android Basta configurar as opções avançadas da rede como a figura abaixo
Referencias https://github.com/rharmonson/richtech/wiki/CentOS-7-Minimal-&-Two-factor-Authentication-using-FreeRADIUS-3,-SSSD-1.12,-&-Google-Authenticator https://commonworkspace.ru/article.php?id=38 http://www.cisco.com/c/en/us/support/docs/wireless-mobility/wireless-vlan/71683-dynamicvlan-config.html E outros que não lembrei de anotar