Академический Документы
Профессиональный Документы
Культура Документы
Vamos configurar o servidor RADIUS responsvel pela autenticao dos usurios que
iro usar a rede WiFi.
ou sua rede cabeada. Suponhamos que j tenha um servidor Linux pronto pra receber os
pacotes necessrios para a configurao do servidor RADIUS.
Com o usurio root vamos instalar os pacotes necessrios para criarmos o nosso
servidor de autenticao, veja a imagem 26 abaixo:
Em seguida iremos definir uma senha para o usurio Mysql, para facilitar definimos
nossa senha com 123*abc como na imagem 27, a Imagem28 apenas para confirmar a
senha digitada anteriormente por segurana.
Aps toda a instalao dos pacotes vamos entrar no diretrio onde se encontra os
arquivos de configurao do freeradius.
Em seguida crie um banco de dados onde este ir receber todas as tabelas do freeradiusmysql.
Passo 1: Acesse a aba Banco de Dados
Passo 2: No campo Criar novo Banco de Dados criamos um banco chamado radius
Passo 3: Click no boto Criar.
Voltamos ao servidor Linux e digitamos as seguintes linhas de comando
(veja imagem 34) para transferir todas as tabelas do freeradius-mysql,
uma chamada de eschema.sql e outra chamada de nas.sql.
Obs.: Estamos apenas migrando as tabelas, porm preciso configurar cada uma das
tabelas depois.
Vamos preparar alguns *.conf do freeradius para que o freeradius e o MySql possam
trocar informaes, dentro do diretrio /etc/freeradius/, vamos procurar pelo arquivo
radiusd.conf, com seu editor de arquivos preferido abra o radiusd.conf. pico
radiusd.conf Procure pelo campo $INCLUDE sql.conf e descomente, removendo o
smbolo # que se encontra no inicio da linha.
#$INCLUED sql.conf
$INCLUDE sql.conf
Salve e saia.
Agora
vamos colocar os equipamentos que faro consulta ao servidor RADIUS,
esses equipamentos ns os chamamos de Network Autentication Server
(NAS). Vamos cadastrar o equipamento tanto no arquivo clients.conf
quanto no mysql, nesse caso vamos usar nos dois por modo de preveno. A
imagem 37 nos mostra o ip do RB433AH Mikrotik. O administrador pode
colocar tanto o ip do Access Point individual quanto uma faixa de ips,
com senhas variadas. Vejas os exemplos que voc pode fazer.
Cdigo:************** Exemplo 1: INDIVIDUAL
*************************************
client 172.16.0.4 {
secret =123465
shortname =AP-01(Access-Point)
}
**********************************************************************
*
Cdigo:***************** Exemplo 2: A REDE TODA
**********************************
client 172.16.0.0/28 {
secret = 123456
shortname =TODO-A-REDE
}
**********************************************************************
*
Cdigo:*************** Exemplo 3: NDIVIDUAL COM SENHAS DIFERENTE
*************
client 172.16.0.4 {
secret =123456
shortname = Access-Point-01
}
cleint 172.16.0.5 {
secret = 123*abc
shotname =Access-Point-02
}
**********************************************************************
**
Ainda
faltam mais dois arquivos de texto para ser alterado um default outro
inner-tunnel ambos encontram-se no diretrio
/etc/freerdius/sites-available/
No arquivo default abaixo da
linha authorize procure por sql e descomente, mais abaixo procure por
accounting e tambm descomente as linhas sql. Salve e saia do arquivo
de texto default.
Cdigo:#pico /etc/freeradius/sites-available/defaul
authorize {
# Look in an SQL database. The schema of the database
# is meant to mirror the "users" file.
#
# See "Authorization Queries" in sql.conf
sql
accounting {
#
# Create a 'detail'ed log of the packets.
# Note that accounting requests which are proxied
# are also logged in the detail file.
# See "Accounting queries" in sql.conf
Sql
O segundo arquivo de texto o inner-tunner
Cdigo:#pico /etc/freeradius/sites-available/inner-tunner
authorize {
# The chap module will set 'Auth-Type := CHAP' if we are
# handling a CHAP request and Auth-Type has not already been set
Chap
# Look in an SQL database. The schema of the database
# is meant to mirror the "users" file.
# See "Authorization Queries" in sql.conf
sql
Salve e saia do arquivo de texto inner-tunner.
Vamos voltar ao phpmyadmin e editar as seguintes tabelas (nas,radcheck,
radgroupcheck, radusergroup)
Comearemos pelo nas, confira a imagem 38 e veja como cada campo foi
configurado.
Em
nasname colocamos o ip da RB433AH ou qualquer host que far a
consulta ao servidor radius, no campo shortname uma identificao do
equipamento que est fazendo a consulta no servidor RADIUS, no campo
ports a porta que o servio radius trabalha para autenticao (1645 ou
1812) e para contabilidade (1646 ou 1813), por ultimo em secret a
senha para a autenticao, para fins didticos colocamos senhas fceis,
depois mande executar.
Em
seguida iremos cadastrar os usurios que tero permisso para utilizar a
rede WiFi, lembrando que no passo acima cadastramos o equipamento que
far a consulta ao servidor RADIUS desta vez ser o usurio que far a
consulta ao servidor, caso um usurio no esteja cadastrado seu acesso a
rede WiFi ser negada.
Fizemos
um cadastrado com um usurio chamado edikoston com a senha 123456,
crie mais um usurio, um para a rede WiFi e outro para o Hotspot, nesse
caso criamos mais um usurio chamado edilson com a senha 123*abc este
usurio edilson usaremos para logar no Hotspot.
Criaremos um grupo na
tabela redusergroup camado de banda larga depois setamos o usurio
edikoston nesse grupo, veja a Imagem 40.
Agora
vamos inserir valores na tabela redgroupcheck, coloque os valores da
mesma forma que voc v na Imagem 41, deve-se observar cada campo.
A criao do Hotspot fcil e simples no h tanto segredo, segue abaixo os passos para
a criao do Hotspot.
Obs.: Criamos um domnio chamando RC5NA.local, porm voc pode criar o de sua
preferncia.
Na
aba Server Profiles d um duplo click no domnio RC5NA.local, acesse a
aba Login e marque as opes HTTP CHAP, HTTP PAP e Cookie.
Na aba Radius marque a opo Use Radius e defina 19 (Wireless-802.11) em
NAS Port Type. Veja nas imagens 46 e 47.
At
aqui completamos a configurao do Hotspot para interagir com o RADIUS,
agora vamos para a configurao de autenticao da rede WiFi.
Partindo
para a criao de modo de autenticao na rede WiFi utilizando o
protocolo EAP (Protocolo de Autenticao Extensvel) para que o
equipamento do usurio possa participar da rede. Os passos abaixo
mostram a configurao simples e fcil:
Assim
como na Imagem 48 habilite o WAP PSK e o WPA2 PSK, defina uma chave
compartilhada (WPA e WPA2 Pre-Shared Key) para manuteno do
Em
seguida partimos para ltima parte do nosso projeto, que configurar a
mquina do usurio final e essa configurao ser realizada em uma
maquina Windows 7 Ultimate.
Segue o passo-a-passo desta configurao da Imagem 50 at a Imagem 54.
Obs.:
Se a opo Validar Certificado do Servidor estiver marcada,
desmarque-a. No passo da Imagem 55 desmarque tambm a opo Usar
automaticamente meu nome e senha de logon do Windows (e o domnio, se
houver) confirme esta etapa e voc voltar para a tela Propriedades
EAP protegidas confirme novamente.