Configurando um servidor Radius para sua rede.

Vamos configurar o servidor RADIUS responsvel pela autenticao dos usurios que iro usar a rede WiFi.ou sua rede cabeada. Suponhamos que j tenha um servidor Linux pronto pra receber os pacotes necessrios para a configurao do servidor RADIUS. Com o usurio root vamos instalar os pacotes necessrios para criarmos o nosso servidor de autenticao, veja a imagem 26 abaixo:

Em seguida iremos definir uma senha para o usurio Mysql, para facilitar definimos nossa senha com 123*abc como na imagem 27, a Imagem28 apenas para confirmar a senha digitada anteriormente por segurana.

Em seguida vamos fazer a instalao do phpmyadmin que serve para interagir diretamente com a base de dados MySql em uma interface grfica amigvel para o administrador de rede.

Passo 1: Escolha o apache2,

Passo 2: Quando escolhida a opo SIM indica que vamos ligar a base de dados mysql ao phpmyadmin em seguida ser apresentada as telas para a senha do usurio da base de dados que 123*abc, confirme a senha nas etapas dos passos 4 e 5.

Aps toda a instalao dos pacotes vamos entrar no diretrio onde se encontra os arquivos de configurao do freeradius.

Listando todo o diretrio com o comando ls apresentado todos os arquivos de configurao que fazem parte do freeradius.Em seguida vamos transportar todas as tabelas do freeradius para dentro do Mysql-server.

1 Passo abra o navegador de qualquer mquina que esteja na estao do servidor Linux digitando HTTP://ip_do_servidor/phpmyadminColoque o usurio e senha do phpmyadmin que no nosso caso user: root e password: 123*abc veja a imagem 32 abaixo:

Em seguida crie um banco de dados onde este ir receber todas as tabelas do freeradius-mysql.Passo 1: Acesse a aba Banco de DadosPasso 2: No campo Criar novo Banco de Dados criamos um banco chamado radiusPasso 3: Click no boto Criar.Voltamos ao servidor Linux e digitamos as seguintes linhas de comando (veja imagem 34) para transferir todas as tabelas do freeradius-mysql, uma chamada de eschema.sql e outra chamada de nas.sql.Obs.: Estamos apenas migrando as tabelas, porm preciso configurar cada uma das tabelas depois.

Vamos preparar alguns *.conf do freeradius para que o freeradius e o MySql possam trocar informaes, dentro do diretrio /etc/freeradius/, vamos procurar pelo arquivo radiusd.conf, com seu editor de arquivos preferido abra o radiusd.conf. pico radiusd.conf Procure pelo campo $INCLUDE sql.conf e descomente, removendo o smbolo # que se encontra no inicio da linha.#$INCLUED sql.conf$INCLUDE sql.confSalve e saia.

Em seguida editamos o arquivo sql.conf, procure pelo campo login = radius e password = radpass troque-o no campo login o radius pelo usurio do banco de dados que o root e no campo password a senha de radpass para a senha do usurio do banco de dados 123*abc, OBS1: O usurio e senha devem estar entre aspas .Veja a imagem36.

Agoravamos colocar os equipamentos que faro consulta ao servidor RADIUS, esses equipamentos ns os chamamos de Network Autentication Server (NAS). Vamos cadastrar o equipamento tanto no arquivo clients.conf quanto no mysql, nesse caso vamos usar nos dois por modo de preveno. Aimagem 37 nos mostra o ip do RB433AH Mikrotik. O administrador pode colocar tanto o ip do Access Point individual quanto uma faixa de ips, com senhas variadas. Vejas os exemplos que voc pode fazer.

Cdigo:************** Exemplo 1: INDIVIDUAL *************************************client 172.16.0.4 {secret =123465shortname =AP-01(Access-Point)}***********************************************************************

Cdigo:***************** Exemplo 2: A REDE TODA **********************************client 172.16.0.0/28 {secret = 123456shortname =TODO-A-REDE}***********************************************************************Cdigo:*************** Exemplo 3: NDIVIDUAL COM SENHAS DIFERENTE *************client 172.16.0.4 {secret =123456shortname = Access-Point-01}cleint 172.16.0.5 {secret = 123*abcshotname =Access-Point-02} ************************************************************************

Aindafaltam mais dois arquivos de texto para ser alterado um default outroinner-tunnel ambos encontram-se no diretrio /etc/freerdius/sites-available/No arquivo default abaixo da linha authorize procure por sql e descomente, mais abaixo procure por accounting e tambm descomente as linhas sql. Salve e saia do arquivo de texto default.

Cdigo:#pico /etc/freeradius/sites-available/defaulauthorize {# Look in an SQL database. The schema of the database# is meant to mirror the "users" file.## See "Authorization Queries" in sql.confsql accounting {## Create a 'detail'ed log of the packets.# Note that accounting requests which are proxied# are also logged in the detail file.# See "Accounting queries" in sql.confSqlO segundo arquivo de texto o inner-tunner

Cdigo:#pico /etc/freeradius/sites-available/inner-tunnerauthorize {# The chap module will set 'Auth-Type := CHAP' if we are# handling a CHAP request and Auth-Type has not already been setChap# Look in an SQL database. The schema of the database# is meant to mirror the "users" file.# See "Authorization Queries" in sql.confsql

Salve e saia do arquivo de texto inner-tunner.

Vamos voltar ao phpmyadmin e editar as seguintes tabelas (nas,radcheck, radgroupcheck, radusergroup)Comearemos pelo nas, confira a imagem 38 e veja como cada campo foi configurado.Emnasname colocamos o ip da RB433AH ou qualquer host que far a consulta ao servidor radius, no campo shortname uma identificao do equipamento que est fazendo a consulta no servidor RADIUS, no campo ports a porta que o servio radius trabalha para autenticao (1645 ou1812) e para contabilidade (1646 ou 1813), por ultimo em secret a senha para a autenticao, para fins didticos colocamos senhas fceis, depois mande executar.

Emseguida iremos cadastrar os usurios que tero permisso para utilizar arede WiFi, lembrando que no passo acima cadastramos o equipamento que far a consulta ao servidor RADIUS desta vez ser o usurio que far a consulta ao servidor, caso um usurio no esteja cadastrado seu acesso arede WiFi ser negada.

Fizemosum cadastrado com um usurio chamado edikoston com a senha 123456, crie mais um usurio, um para a rede WiFi e outro para o Hotspot, nesse caso criamos mais um usurio chamado edilson com a senha 123*abc este usurio edilson usaremos para logar no Hotspot.Criaremos um grupo natabela redusergroup camado de banda larga depois setamos o usurio edikoston nesse grupo, veja a Imagem 40.

Agoravamos inserir valores na tabela redgroupcheck, coloque os valores da mesma forma que voc v na Imagem 41, deve-se observar cada campo.

Com a BD do radius configurado vamos configurar o Hotspot na RB433AH para receber a autenticao no servidor RADIUS.Voltamosao Winbox do Mikrotik para fazermos a configurao do RADIUS na RB433AH, marque apenas os servios que faro a autenticao ao servidor RADUIS, o nosso projeto apenas voltado para o Hotspot e Wireless, coloque o ip do servidor RADIUS e a senha de autenticao do NAS 123456, em caso de dvida lembre-se que a senha definida no arquivo clients.conf ou na tabela nas do mysql.

A criao do Hotspot fcil e simples no h tanto segredo, segue abaixo os passos para a criao do Hotspot.

Obs.: A interface selecionada no Hotspot a interface bridge-mesh.

Obs.: Criamos um domnio chamando RC5NA.local, porm voc pode criar o de sua preferncia.Naaba Server Profiles d um duplo click no domnio RC5NA.local, acesse aaba Login e marque as opes HTTP CHAP, HTTP PAP e Cookie.Na aba Radius marque a opo Use Radius e defina 19 (Wireless-802.11) em NAS Port Type. Veja nas imagens 46 e 47.

Ataqui completamos a configurao do Hotspot para interagir com o RADIUS,agora vamos para a configurao de autenticao da rede WiFi.Partindopara a criao de modo de autenticao na rede WiFi utilizando o protocolo EAP (Protocolo de Autenticao Extensvel) para que o equipamento do usurio possa participar da rede. Os passos abaixo mostram a configurao simples e fcil:

Assimcomo na Imagem 48 habilite o WAP PSK e o WPA2 PSK, defina uma chave compartilhada (WPA e WPA2 Pre-Shared Key) para manuteno do administrador de rede, sempre que o administrador necessitar fazer alterao ou mesmo entrar na RB433AH sem precisar passar pelo servidor RADIUS.Na aba Radius marque as opes MAC Accounting e EAP Accounting. Apply e OK.

Emseguida partimos para ltima parte do nosso projeto, que configurar amquina do usurio final e essa configurao ser realizada em uma maquina Windows 7 Ultimate.Segue o passo-a-passo desta configurao da Imagem 50 at a Imagem 54.

Obs.:Se a opo Validar Certificado do Servidor estiver marcada, desmarque-a. No passo da Imagem 55 desmarque tambm a opo Usar automaticamente meu nome e senha de logon do Windows (e o domnio, se houver) confirme esta etapa e voc voltar para a tela Propriedades EAP protegidas confirme novamente.

Obs.: Usaremos o usurio Edilson com a senha 123*abc criada no servidor RADIUS.