UBNT-BR
UBNT-BR
Nov 12, 2018 · 9 min read

Como Apontar um Servidor Radius no UniFi para Autenticar os Clientes da Rede Wi-Fi via Windows Server

Apesar de a maioria das redes Wi-Fi utilizarem uma chave compartilhada (PSK) com o método de segurança denominado WPA Personal, naqueles ambientes que demandam maior nível de controle e segurança é mais indicado o uso de um usuário/senha por cliente, o que pode ser feito com o método de segurança WPA Enterprise.

Ao utilizar o método WPA Enterprise é possível encaminhar a tarefa de autenticação dos usuários para um servidor Radius externo (via 802.1x) que seja capaz de verificar nome de usuário e senha, o que confere maior segurança do que uma única chave igual para todos os usuários, além de garantir mais controle de acesso porque permite registrar todos os acessos por nome de usuário. Ainda mais interessante é que o servidor Radius pode ser integrado com outros serviços de diretório que centralizam todas as contas dos usuários, como por exemplo o Active Directory no Windows Server que é bastante tradicional em ambientes corporativos, além de outros.

Ao criar um novo SSID na opção Wireless Networks do software UniFi, a segunda configuração após definir o nome da rede é justamente qual método de segurança deve ser utilizado para validar/autenticar os usuários. Conforme ilustrado na figura abaixo, basicamente é possível optar entre os seguintes métodos: Open, WEP, WPA Personal e WPA Enterprise.

O método aberto (open) permite que qualquer cliente possa se conectar na rede sem fornecer nenhuma chave compartilhada ou senha individual, por isso acaba sendo mais utilizado naqueles ambientes públicos que possuem algum outro sistema de Guest Portal (ou Captive Portal) para validar o usuário e/ou apenas para apresentar os termos de serviço que devem ser seguidos ao usar a rede Wi-Fi.

Observação: Neste artigo o leitor encontra mais informações sobre a configuração de um Guest Portal totalmente personalizado no UniFi Controller. Para saber mais sobre a configuração do sistema gratuito de Hotspot/Vouchers embutido no UniFi Controller, recomendados a leitura deste artigo.

O método WEP é obsoleto e não deveria mais ser utilizado porque atualmente sua chave pode ser facilmente quebrada em poucos minutos. Esse método ainda existe na controladora apenas para viabilizar a compatibilidade com equipamentos obsoletos e sem suporte ao WPA, como por exemplo catracas eletrônicas, leitores de códigos de barras, leitores de cartões, etc…

Observação: Quando existem equipamentos obsoletos no ambiente de produção que suportam apenas autenticação via WEP, a recomendação de segurança é criar um SSID isolado para eles, mantendo todos os demais equipamentos em outro SSID com o método de segurança WPA. É importante seguir essa recomendação também do ponto de vista de desempenho, já que a autenticação WEP força a utilização de menores taxas de transmissão na célula.

O método WPA é o recomendado por ser o mais seguro atualmente. Ele pode ser utilizado de duas formas: Personal ou Enterprise. No primeiro a conexão é autenticada com base em uma chave pré-compartilhada cadastrada pelo administrador, uma abordagem rápida e fácil porque permite a autenticação em massa com a mesma chave, mas que se torna um problema quando é necessário trocar essa chave, já que requer sua alteração em todos os dispositivos clientes. Já o método WPA Enterprise requer a autenticação individual de cada cliente através de um usuário/senha exclusivo que seja pré-cadastrado no servidor Radius.


Apontamento do Servidor Externo Radius no UniFi Controller

É muito fácil e rápido configurar um SSID no UniFi Controller com o método de autenticação baseado em WPA Enterprise, já que basta selecionar essa opção e indicar um perfil contendo as informações de apontamento para um servidor Radius externo, conforme ilustrado na figura abaixo.

No entanto, uma etapa prévia que se faz necessária é a criação de um perfil com as informações do servidor externo Radius (baseado em 802.1x). Essa configuração de perfil é realizada na opção Profiles do UniFi Controller, através do procedimento ilustrado na figura abaixo.

Repare que basicamente é necessário informar o nome do perfil e o endereço IP de um servidor primário que esteja executando o serviço Radius, sendo que também é possível adicionar outro servidor secundário (ou mais) para fins de redundância em caso de falha do servidor primário. Por padrão o serviço Radius é executado na porta 1812 e o serviço complementar de accounting (bilhetagem/log) é executado na porta 1813. Também é necessário informar uma chave compartilhada previamente definida no próprio servidor Radius, um requisito importante para autorizar o vínculo dos APs UniFi na condição de clientes do servidor Radius 802.1x


Configuração do Servidor Radius no Windows Server 2012

Atualmente o Windows Server é uma das plataformas mais populares para fins de autenticação dos usuários na rede, visto que nativamente implementa o Active Directory Domain Services (AD DS). É bastante conveninente aproveitar toda a estrutura existente do AD DS com o cadastro das contas dos usuários autorizados, de maneira a viabilizar sua integração com o serviço Radius (802.1x) para autenticação dos usuários na rede Wi-Fi.

Observação: Essa seção do artigo é de autoria do amigo José Carlos Libardi Jr (Microsoft Certified Trainer) que colaborou na validação dos testes em bancada.

O serviço Active Directory Certificate Services (AD CS) é uma função disponível no Windows Server para que uma infraestrutura de chave pública (PKI) possa ser criada dentro da rede interna de qualquer organização. O principal componente de uma PKI é a autoridade certificadora (CA), serviço responsável pela emissão e gerenciamento de certificados digitais, assim é possível evitar o alto custo de obter certificados de uma CA pública.

Etapa 1) Instalação do AD CS

Para evitar problemas de autenticação dos clientes através do serviço Radius que será configurado posteriormente, antes é necessário emitir um certificado para validar a identidade do servidor. A primeira etapa é adicionar a função do AD CS por meio do Server Manager (figura 1), sendo que basta instalar apenas a CA que é o principal componente do AD CS (figura 2).

Observação: É recomendado um servidor dedicado para tal função, porém em ambientes menores é comum utilizar a mesma máquina do Active Directory Domain Services (AD DS).

Figura 01. Selecionar Funções do Servidor
Figura 02. Selecionar Serviços de Função

Após conclusão da instalação dos binários do AD CS, deve ser iniciado o processo de configuração da CA, sendo que a integração da CA ao AD DS requer as credenciais do Administrador do domínio. Todos os passos necessários estão ilustrados sequencialmente nas figuras 03–12.

Figura 03. Inserir as Credenciais do Administrador do Domínio
Figura 04. Selecionar o Serviço da Autoridade de Certificação
Figura 05. Selecionar Autoridade Certificadora Integrada ao AD DS
Figura 06. Selecionar AC Raíz no Tipo de CA
Figura 07. Criar Nova Chave Privada
Figura 08. Definir do Algoritmo de Criptografia e Hash
Figura 09. Criar o Nome da CA
Figura 10. Especificar o Período de Validade da CA
Figura 11. Informar o Local do Banco de Dados e Log
Figura 12. Autoridade Certificadora Configurada com Sucesso

Observação: Por padrão todos os certificados emitidos pela autoridade certificadora são validos por no máximo 2 anos. Empresas de pequeno e médio porte geralmente optam por estender esse tempo, evitando encargos administrativos relacionados ao processo de renovação no futuro. Para fazer esse ajuste, execute os comandos abaixo no Windows PowerShell:

#verificar o período de validade
certutil -getreg ca\ValidityPeriod
#verificar unidades do período de validade
certutil -getreg ca\ValidityPeriodUnits
#alterar o período máximo de validade para 25 anos
certutil -setreg ca\ValidityPeriodUnits 25
#reiniciar o serviço
Restart-Service –Name certsvc

Etapa 2) Personalização de Modelo de Certificado

Na sequência é necessário personalizar um modelo que será utilizado para emitir o certificado digital do servidor RADIUS. O Network Policy Server (NPS) é a implantação de RADIUS da Microsoft. Execute a console “Certification Authority” em Ferramentas Administrativas.

Figura 13. Console de Gerenciamento da Autoridade Certificadora

Uma vez na console da CA, faça os seguintes passos:

  • clicar com o botão direito em “Modelos de Certificados”
  • selecionar “Gerenciar” (figura 14)
  • localizar o modelo “Servidores RAS e IAS”
  • clicar com o botão direito e selecionar “Modelo Duplicado” (figura 15)
  • permitir que a chave privada seja exportada (figura 16)

Repare na figura 17 que aqueles servidores que são membros do grupo “Servidores RAS e IAS” possuem permissão para solicitar o novo modelo de certificado. Para solicitar o novo modelo de certificado:

  • clicar com o botão direito em “Modelos de Certificado”
  • apontar para “Novo”
  • selecionar “Modelo de Certificado a ser Emitido” (figura 18)
Figura 14. Modelos de Certificados Disponíveis no Windows Server 2012 R2
Figura 15. Propriedades do Novo Modelo (Geral)
Figura 16. Propriedades do Novo Modelo (Tratamento de Solicitação)
Figura 17. Propriedades do Novo Modelo (Segurança)
Figura 18. Ativar Modelos de Certificado

Etapa 3) Servidor NPS (RADIUS)

A etapa final e principal consiste na configuração do servidor NPS (RADIUS) propriamente dito. Basta acessar o Server Manager e adicionar a função “Serviços de Acesso e Política de Rede” (figura 19), instalando apenas o “Servidor de Políticas de Rede” (figura 20).

Figura 19. Selecionar a Função do Servidor NPS
Figura 20. Selecionar o Serviço de Função NPS

Na sequência é necessário permitir que o NPS possa autenticar os usuários cadastrados no Active Directory, criando uma relação de confiança entre os dois serviços. Basta acessar o console “Servidor de Políticas de Rede” em Ferramentas Administrativas, então clicar com o botão direito em “NPS (Local)” e selecionar “Registrar Servidor do Active Directory” (figura 21).

Figura 21. Registro do Servidor NPS no AD-DS

O processo de emissão do certificado para o servidor NPS requer:

  • digitar “mmc” <ENTER> (em Executar)
  • clicar em “Arquivo”
  • clicar em “Adicionar e Remover Snap-in”
  • selecionar “Certificados”
  • clicar em “Adicionar”
  • selecionar a opção “Conta de Computador”
  • clicar em “Avançar”
  • clicar em “Concluir”
  • expandir o ítem “Pessoal”
  • clicar com o botão direito em “Certificados”
  • apontar para todas as tarefas
  • selecionar “Solicitar Novo Certificado”
  • clicar em avançar duas vezes consecutivas
  • selecionar o modelo de certificado criado anteriormente (figura 22)
  • clicar em “Registrar” para certificado em nome do servidor (figura 23)
Figura 22. Selecionar o Certificado Criado Anteriormente
Figura 23. Certificado Emitido ao Servidor NPS

Feito tudo isso, chegou a hora de abrir a console do NPS e selecionar “Servidor RADIUS para Conexões 802.1X Com/Sem Fio”, então clicar na opção “Configurar 802.1X” (figura 24). Uma etapa muito importante fica na opção “Clientes RADIUS” (figura 25) e consiste em informar o endereço IP dos APs na rede para que eles sejam aceitos como elemento intermediário e possam encaminhar ao Radius a solicitação de autenticação dos clientes. Nessa etapa deve ser utilizada a chave compartilhada que fora previamente configurada no UniFi Controller.

  • selecionar o método “Microsoft: EAP Protegido (PEAP)” (figura 26)
  • selecionar os usuários que poderão se autenticar no Wi-Fi (figura 27)

Observação: Ainda no servidor NPS, em “Políticas de Rede” edite a política “Conexões Sem Fio Seguras” e clique na aba “Restrições”. Desmarque todas as opções em “Métodos de autenticação menos seguros” (figura 28).

Figura 24. Selecionar Tipo de Conexão 802.1x
Figura 25. Cadastro de Clientes Radius
Figura 26. Selecionar a Autenticação PEAP
Figura 27. Especificar o Grupo de Usuários com Direito de Autenticação
Figura 28. Protocolos de Autenticação Permitidos
Figura 29. Visualização do Certificado Digital

Grupo UniFi no Facebook 
facebook.com/groups/ubnt.unifi.br
Fórum Oficial da Ubiquiti
forum-pt.ubnt.com
Grupo UniFi no LinkedIN
linkedin.com/groups/12135007
Grupo UniFi no Telegram
t.me/ubiquitibr


Samuel Henrique Bucke Brito
samuel.brito@ui.com
Ubiquiti Inc.

Blog UBNT BR

O blog oficial da Ubiquiti no Brasil é focado na solução UniFi e aborda desde fundamentos de redes e Wi-Fi até o portfólio de produtos, além de compartilhar cases brasileiros de sucesso.

UBNT-BR

Written by

UBNT-BR

samuel.brito@ui.com

Blog UBNT BR

O blog oficial da Ubiquiti no Brasil é focado na solução UniFi e aborda desde fundamentos de redes e Wi-Fi até o portfólio de produtos, além de compartilhar cases brasileiros de sucesso.

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade