Instalação do servidor radius com autenticação via ldap e entrega de vlan dinâmica por grupo de usuário do Ldap.

Tamanho: px

Começar a partir da página:

Download "Instalação do servidor radius com autenticação via ldap e entrega de vlan dinâmica por grupo de usuário do Ldap."

Bianca Lage Tavares
6 Há anos
Visualizações:

1 Instalação do servidor radius com autenticação via ldap e entrega de vlan dinâmica por grupo de usuário do Ldap. Ambiente do laboratório Servidor radius CentOS Linux release (Core) Pacotes: Freeradius el7_3.x86_64 Freeradius-ldap el7_3.x86_64 Freeradius-utils el7_3.x86_64 Cisco_EAP_Supplicant_Installer_v1.zip Access Point Aruba instant IAP 205 Switch 3Com Switch 5500G-EI 24-Port Software Clientes Samsung 4s mini Debian 8 Windows 7 home premium Instalação e configuração do radius yum install freeradius freeradius-utils freeradius-ldap Verificar se o módulo do LDAP já está ativo: [root@radius ~]# cd /etc/raddb/mods-enabled/ [root@radius mods-enabled]# ls -l ldap lrwxrwxrwx. 1 root root 22 Mar 29 09:19 ldap ->../mods-available/ldap Caso não esteja basta fazer um link simbólico. No arquivo LDAP preencha com as configurações do servidor, no meu caso ldap { server = "meuldap.unochapeco.edu.br"

2 port = 389 identity = "cn=manager,o=unochapeco" password = *********** base_dn = "o=unochapeco" User { base_dn = "ou=people,${..base_dn}" filter = "(uid=%{%{stripped-user-name}:-%{user-name}})" access_attribute = "uid" access_positive = yes } Group { base_dn = "${..base_dn}" filter = "(objectclass=posixgroup)" scope = 'sub' name_attribute = cn membership_filter = "( (member=%{control:ldap-userdn})(memberuid=%{%{stripped-user-name}:-%{user-name}} ))" membership_attribute = "memberof" } } No arquivo EAP modifiquei as seguintes linhas: [root@radius mods-enabled]# vi eap eap { default_eap_type = peap ttls { peap { default_eap_type = mschapv2 copy_request_to_tunnel = yes use_tunneled_reply = yes copy_request_to_tunnel = yes use_tunneled_reply = yes [root@radius mods-enabled]# vi /etc/raddb/users # entrada que faz a autenticação no ldap e compara se o grupo do usuário pertence a DTI para aplicar a vlan id 1 DEFAULT Ldap-Group == dti Reply-Message := "Hello, %{User-Name}",

3 Tunnel-Type = 13, Tunnel-Medium-Type = 6, Tunnel-Private-Group-Id = "1" #entrada de testes sem o LDAP para o teste do radius noc Cleartext-Password := "hello" Reply-Message := "Hello, %{User-Name}", Tunnel-Type = 13, Tunnel-Medium-Type = 6, Tunnel-Private-Group-Id = "20" Cadastrar a rede que vai ter acesso a consultar o radius [root@radius raddb]# vi /etc/raddb/clients.conf client private-network-1 { ipaddr = ip_da_rede/maskara secret = secret-do-radius } Sobre o serviço em modo de depuração [root@radius ~]# radiusd -X Se estiver tudo ok o resultado é similar a isso após as configurações Listening on auth address * port 1812 as server default Listening on acct address * port 1813 as server default Listening on auth address :: port 1812 as server default Listening on acct address :: port 1813 as server default Listening on auth address port as server inner-tunnel Opening new proxy socket 'proxy address * port 0' Listening on proxy address * port Ready to process requests Teste de acesso do radius via linha de comando jhony@meuhost:~$ radtest usuarioteste ******* ip_do_radius 1812 secret-do-radius Vai sair algo do tipo Sending Access-Request of id 215 to port 1812

User-Name = "usuarioteste" User-Password = "********" NAS-IP-Address = 179.124.152.

4 User-Name = "usuarioteste" User-Password = "********" NAS-IP-Address = NAS-Port = 1812 Message-Authenticator = 0x rad_recv: Access-Accept packet from host port 1812, id=215, length=20 jhony@meuhost:~$ radtest jhony ******* ip_do_radius 1812 secret-do-radius Sending Access-Request of id 23 to port 1812 User-Name = "jhony" User-Password = "***********" NAS-IP-Address = NAS-Port = 1812 Message-Authenticator = 0x rad_recv: Access-Accept packet from host port 1812, id=23, length=49 Reply-Message = "Hello, jhony" Tunnel-Type:0 = VLAN Tunnel-Medium-Type:0 = IEEE-802 Tunnel-Private-Group-Id:0 = "1" Configuração do switch Colocar a porta em modo trunk -> Link Type Taggear ela para todas as vlans -> Trunk

5 Configuração da instant aruba No painel principal criar um novo SSID Em vlan é necessário criar um if tunnel como o acima para cada VLAN que vai ser entregue, onde o group id corresponde a vlan.

6 Em Autentication server é necessário editar e cadastrar o servidor radius

7 Configuração dos clientes Clientes windows Para os clientes windows o drive compatível com o tipo de autenticação que o LDAP prove não é nativo mas pode ser baixado do site da microsoft. O nome do pacote é cisco eap supplicant installer -devices Fiz o teste com a seguinte versão, Cisco_EAP_Supplicant_Installer_v1.zip Dentro do Zip estão 3 pastas, utilizei apenas a pasta CiscoEapPeap_all_components

9 Após a instalação é necessário configurar a conexão wifi que será utilizada.

11 Terminado a configuração é só conectar a rede wifi, ela deverá abrir um caixa solicitando o usuário e senha.

12 Clientes Debian Apenas ajustar a configuração da rede

13 Clientes android Basta configurar as opções avançadas da rede como a figura abaixo

15 Referencias ng-freeradius-3,-sssd-1.12,-&-google-authenticator onfig.html E outros que não lembrei de anotar

Documentos relacionados

Experiências com 802.1x

Experiências com 802.1x João Marcelo Ceron Leandro Márcio Bertholdo Emerson Virti Liane Tarouco suporte@pop rs.rnp.br CERT RS / POP RS Centro de Resposta a Incidentes de Segurança da Rede Tchê Ponto de