Como configurar um servidor radius para autenticao de usuario PPPOE e Hotspot

Configurando um servidor Radius para sua rede.

Vamos configurar o servidor RADIUS responsável pela autenticação dos usuários que irão usar a rede WiFi.
ou sua rede cabeada. Suponhamos que já tenha um servidor Linux pronto pra receber os pacotes necessários para a configuração do servidor RADIUS.
Com o usuário root vamos instalar os pacotes necessários para criarmos o nosso servidor de autenticação, veja a imagem 26 abaixo:



Em seguida iremos definir uma senha para o usuário Mysql, para facilitar definimos nossa senha com 123*abc como na imagem 27, a Imagem28 é apenas para confirmar a senha digitada anteriormente por segurança.


Em seguida vamos fazer a instalação do phpmyadmin que serve para interagir diretamente com a base de dados MySql em uma interface gráfica amigável para o administrador de rede.

Passo 1: Escolha o apache2,

Passo
2: Quando escolhida a opção “SIM” indica que vamos ligar a base de dados mysql ao phpmyadmin em seguida será apresentada as telas para a senha do usuário da base de dados que é 123*abc, confirme a senha nas etapas dos passos 4 e 5.





Após toda a instalação dos pacotes vamos entrar no diretório onde se encontra os arquivos de configuração do freeradius.



Listando todo o diretório com o comando “ls” é apresentado todos os arquivos de configuração que fazem parte do freeradius.
Em seguida vamos transportar todas as tabelas do freeradius para dentro do Mysql-server.

1º Passo abra o navegador de qualquer máquina que esteja na estação do servidor Linux digitando HTTP://ip_do_servidor/phpmyadmin
Coloque o usuário e senha do phpmyadmin que no nosso caso é “user: root e password: 123*abc” veja a imagem 32 abaixo:


Em seguida crie um banco de dados onde este irá receber todas as tabelas do freeradius-mysql.
Passo 1: Acesse a aba “Banco de Dados”
Passo 2: No campo “Criar novo Banco de Dados” criamos um banco chamado “radius”
Passo 3: Click no botão “Criar”.
Voltamos ao servidor Linux e digitamos as seguintes linhas de comando
(veja imagem 34) para transferir todas as tabelas do freeradius-mysql,
uma chamada de “eschema.sql” e outra chamada de “nas.sql”.
Obs.: Estamos apenas migrando as tabelas, porém é preciso configurar cada uma das tabelas depois.




Vamos preparar alguns *.conf do freeradius para que o freeradius e o MySql possam trocar informações, dentro do diretório “/etc/freeradius/”, vamos procurar pelo arquivo “radiusd.conf”, com seu editor de arquivos preferido abra o radiusd.conf. pico radiusd.conf Procure pelo campo “$INCLUDE sql.conf” e descomente, removendo o símbolo “#” que se encontra no inicio da linha.
#$INCLUED sql.conf
$INCLUDE sql.conf
Salve e saia.


Em seguida editamos o arquivo “sql.conf”, procure pelo campo login =
“radius” e password = “radpass” troque-o no campo login o “radius”
pelo usuário do banco de dados que é o “root” e no campo password a
senha de “radpass” para a senha do usuário do banco de dados “123*abc”,
OBS1: O usuário e senha devem estar entre aspas ” “.
Veja a imagem36.


Agora
vamos colocar os equipamentos que farão consulta ao servidor RADIUS,
esses equipamentos nós os chamamos de Network Autentication Server
(NAS). Vamos cadastrar o equipamento tanto no arquivo “clients.conf”
quanto no mysql, nesse caso vamos usar nos dois por modo de prevenção. A
imagem 37 nos mostra o ip do RB433AH Mikrotik. O administrador pode
colocar tanto o ip do Access Point individual quanto uma faixa de ip’s,
com senhas variadas. Vejas os exemplos que você pode fazer.

Código:************** Exemplo 1: INDIVIDUAL *************************************
client 172.16.0.4 {
secret =123465
shortname =AP-01(Access-Point)
}
***********************************************************************

Código:***************** Exemplo 2: A REDE TODA **********************************
client 172.16.0.0/28 {
secret = 123456
shortname =TODO-A-REDE
}
***********************************************************************
Código:*************** Exemplo 3: NDIVIDUAL COM SENHAS DIFERENTE *************
client 172.16.0.4 {
secret =123456
shortname = Access-Point-01
}
cleint 172.16.0.5 {
secret = 123*abc
shotname =Access-Point-02
}
************************************************************************



Ainda
faltam mais dois arquivos de texto para ser alterado um “default” outro
“inner-tunnel” ambos encontram-se no diretório
“/etc/freerdius/sites-available/”
No arquivo “default” abaixo da
linha “authorize” procure por sql e descomente, mais abaixo procure por
“accounting” e também descomente as linhas sql. Salve e saia do arquivo
de texto default.

Código:#pico /etc/freeradius/sites-available/defaul
authorize {
# Look in an SQL database. The schema of the database
# is meant to mirror the "users" file.
#
# See "Authorization Queries" in sql.conf
sql
accounting {
#
# Create a 'detail'ed log of the packets.
# Note that accounting requests which are proxied
# are also logged in the detail file.
# See "Accounting queries" in sql.conf
Sql
O segundo arquivo de texto é o “inner-tunner”

Código:#pico /etc/freeradius/sites-available/inner-tunner
authorize {
# The chap module will set 'Auth-Type := CHAP' if we are
# handling a CHAP request and Auth-Type has not already been set
Chap
# Look in an SQL database. The schema of the database
# is meant to mirror the "users" file.
# See "Authorization Queries" in sql.conf
sql

Salve e saia do arquivo de texto “inner-tunner”.

Vamos voltar ao phpmyadmin e editar as seguintes tabelas (nas,radcheck, radgroupcheck, radusergroup)
Começaremos pelo “nas”, confira a imagem 38 e veja como cada campo foi configurado.
Em
“nasname” colocamos o ip da RB433AH ou qualquer host que fará a
consulta ao servidor radius, no campo “shortname” uma identificação do
equipamento que está fazendo a consulta no servidor RADIUS, no campo
“ports” a porta que o serviço radius trabalha para autenticação (1645 ou
1812) e para contabilidade (1646 ou 1813), por ultimo em “secret” a
senha para a autenticação, para fins didáticos colocamos senhas fáceis,
depois mande executar.


Em
seguida iremos cadastrar os usuários que terão permissão para utilizar a
rede WiFi, lembrando que no passo acima cadastramos o equipamento que
fará a consulta ao servidor RADIUS desta vez será o usuário que fará a
consulta ao servidor, caso um usuário não esteja cadastrado seu acesso a
rede WiFi será negada.


Fizemos
um cadastrado com um usuário chamado “edikoston” com a senha “123456”,
crie mais um usuário, um para a rede WiFi e outro para o Hotspot, nesse
caso criamos mais um usuário chamado edilson com a senha 123*abc este
usuário edilson usaremos para logar no Hotspot.
Criaremos um grupo na
tabela “redusergroup” camado de banda larga depois setamos o usuário
edikoston nesse grupo, veja a Imagem 40.


Agora
vamos inserir valores na tabela “redgroupcheck”, coloque os valores da
mesma forma que você vê na Imagem 41, deve-se observar cada campo.


Com a BD do radius configurado vamos configurar o Hotspot na RB433AH para receber a autenticação no servidor RADIUS.
Voltamos
ao Winbox do Mikrotik para fazermos a configuração do RADIUS na
RB433AH, marque apenas os serviços que farão a autenticação ao servidor
RADUIS, o nosso projeto é apenas voltado para o Hotspot e Wireless,
coloque o ip do servidor RADIUS e a senha de autenticação do NAS
“123456”, em caso de dúvida lembre-se que é a senha definida no arquivo
“clients.conf” ou na tabela “nas” do mysql.


A criação do Hotspot é fácil e simples não há tanto segredo, segue abaixo os passos para a criação do Hotspot.




Obs.: A interface selecionada no Hotspot é a interface “bridge-mesh”.


Obs.: Criamos um domínio chamando RC5NA.local, porém você pode criar o de sua preferência.
Na
aba “Server Profiles” dê um duplo click no domínio RC5NA.local, acesse a
aba Login e marque as opções “HTTP CHAP”, “HTTP PAP” e “Cookie”.
Na aba “Radius” marque a opção “Use Radius” e defina “19 (Wireless-802.11)” em “NAS Port Type”. Veja nas imagens 46 e 47.


Até
aqui completamos a configuração do Hotspot para interagir com o RADIUS,
agora vamos para a configuração de autenticação da rede WiFi.
Partindo
para a criação de modo de autenticação na rede WiFi utilizando o
protocolo EAP (Protocolo de Autenticação Extensível) para que o
equipamento do usuário possa participar da rede. Os passos abaixo
mostram a configuração simples e fácil:


Assim
como na Imagem 48 habilite o WAP PSK e o WPA2 PSK, defina uma chave
compartilhada (WPA e WPA2 Pre-Shared Key) para manutenção do
administrador de rede, sempre que o administrador necessitar fazer
alteração ou mesmo entrar na RB433AH sem precisar passar pelo servidor
RADIUS.
Na aba “Radius” marque as opções “MAC Accounting” e “EAP Accounting”. Apply e OK.


Em
seguida partimos para última parte do nosso projeto, que é configurar a
máquina do usuário final e essa configuração será realizada em uma
maquina Windows 7 Ultimate.
Segue o passo-a-passo desta configuração da Imagem 50 até a Imagem 54.










Obs.:
Se a opção “Validar Certificado do Servidor” estiver marcada,
desmarque-a. No passo da Imagem 55 desmarque também a opção “Usar
automaticamente meu nome e senha de logon do Windows (e o domínio, se
houver)” confirme esta etapa e você voltará para a tela “Propriedades
EAP protegidas” confirme novamente.












Obs.: Usaremos o usuário “Edilson” com a senha “123*abc” criada no servidor RADIUS.[/font]

Fonte:http://getlan.blogspot.com.br/2012/07/passo-passo-de-uma-implementacao-de-uma.html