Como Apontar um Servidor Radius no UniFi para Autenticar os Clientes da Rede Wi-Fi via Windows Server
Apesar de a maioria das redes Wi-Fi utilizarem uma chave compartilhada (PSK) com o método de segurança denominado WPA Personal, naqueles ambientes que demandam maior nível de controle e segurança é mais indicado o uso de um usuário/senha por cliente, o que pode ser feito com o método de segurança WPA Enterprise.
Ao utilizar o método WPA Enterprise é possível encaminhar a tarefa de autenticação dos usuários para um servidor Radius externo (via 802.1x) que seja capaz de verificar nome de usuário e senha, o que confere maior segurança do que uma única chave igual para todos os usuários, além de garantir mais controle de acesso porque permite registrar todos os acessos por nome de usuário. Ainda mais interessante é que o servidor Radius pode ser integrado com outros serviços de diretório que centralizam todas as contas dos usuários, como por exemplo o Active Directory no Windows Server que é bastante tradicional em ambientes corporativos, além de outros.
Ao criar um novo SSID na opção Wireless Networks do software UniFi, a segunda configuração após definir o nome da rede é justamente qual método de segurança deve ser utilizado para validar/autenticar os usuários. Conforme ilustrado na figura abaixo, basicamente é possível optar entre os seguintes métodos: Open, WEP, WPA Personal e WPA Enterprise.
O método aberto (open) permite que qualquer cliente possa se conectar na rede sem fornecer nenhuma chave compartilhada ou senha individual, por isso acaba sendo mais utilizado naqueles ambientes públicos que possuem algum outro sistema de Guest Portal (ou Captive Portal) para validar o usuário e/ou apenas para apresentar os termos de serviço que devem ser seguidos ao usar a rede Wi-Fi.
Observação: Neste artigo o leitor encontra mais informações sobre a configuração de um Guest Portal totalmente personalizado no UniFi Controller. Para saber mais sobre a configuração do sistema gratuito de Hotspot/Vouchers embutido no UniFi Controller, recomendados a leitura deste artigo.
O método WEP é obsoleto e não deveria mais ser utilizado porque atualmente sua chave pode ser facilmente quebrada em poucos minutos. Esse método ainda existe na controladora apenas para viabilizar a compatibilidade com equipamentos obsoletos e sem suporte ao WPA, como por exemplo catracas eletrônicas, leitores de códigos de barras, leitores de cartões, etc…
Observação: Quando existem equipamentos obsoletos no ambiente de produção que suportam apenas autenticação via WEP, a recomendação de segurança é criar um SSID isolado para eles, mantendo todos os demais equipamentos em outro SSID com o método de segurança WPA. É importante seguir essa recomendação também do ponto de vista de desempenho, já que a autenticação WEP força a utilização de menores taxas de transmissão na célula.
O método WPA é o recomendado por ser o mais seguro atualmente. Ele pode ser utilizado de duas formas: Personal ou Enterprise. No primeiro a conexão é autenticada com base em uma chave pré-compartilhada cadastrada pelo administrador, uma abordagem rápida e fácil porque permite a autenticação em massa com a mesma chave, mas que se torna um problema quando é necessário trocar essa chave, já que requer sua alteração em todos os dispositivos clientes. Já o método WPA Enterprise requer a autenticação individual de cada cliente através de um usuário/senha exclusivo que seja pré-cadastrado no servidor Radius.
Apontamento do Servidor Externo Radius no UniFi Controller
É muito fácil e rápido configurar um SSID no UniFi Controller com o método de autenticação baseado em WPA Enterprise, já que basta selecionar essa opção e indicar um perfil contendo as informações de apontamento para um servidor Radius externo, conforme ilustrado na figura abaixo.
No entanto, uma etapa prévia que se faz necessária é a criação de um perfil com as informações do servidor externo Radius (baseado em 802.1x). Essa configuração de perfil é realizada na opção Profiles do UniFi Controller, através do procedimento ilustrado na figura abaixo.
Repare que basicamente é necessário informar o nome do perfil e o endereço IP de um servidor primário que esteja executando o serviço Radius, sendo que também é possível adicionar outro servidor secundário (ou mais) para fins de redundância em caso de falha do servidor primário. Por padrão o serviço Radius é executado na porta 1812 e o serviço complementar de accounting (bilhetagem/log) é executado na porta 1813. Também é necessário informar uma chave compartilhada previamente definida no próprio servidor Radius, um requisito importante para autorizar o vínculo dos APs UniFi na condição de clientes do servidor Radius 802.1x
Configuração do Servidor Radius no Windows Server 2012
Atualmente o Windows Server é uma das plataformas mais populares para fins de autenticação dos usuários na rede, visto que nativamente implementa o Active Directory Domain Services (AD DS). É bastante conveninente aproveitar toda a estrutura existente do AD DS com o cadastro das contas dos usuários autorizados, de maneira a viabilizar sua integração com o serviço Radius (802.1x) para autenticação dos usuários na rede Wi-Fi.
Observação: Essa seção do artigo é de autoria do amigo José Carlos Libardi Jr (Microsoft Certified Trainer) que colaborou na validação dos testes em bancada.
O serviço Active Directory Certificate Services (AD CS) é uma função disponível no Windows Server para que uma infraestrutura de chave pública (PKI) possa ser criada dentro da rede interna de qualquer organização. O principal componente de uma PKI é a autoridade certificadora (CA), serviço responsável pela emissão e gerenciamento de certificados digitais, assim é possível evitar o alto custo de obter certificados de uma CA pública.
Etapa 1) Instalação do AD CS
Para evitar problemas de autenticação dos clientes através do serviço Radius que será configurado posteriormente, antes é necessário emitir um certificado para validar a identidade do servidor. A primeira etapa é adicionar a função do AD CS por meio do Server Manager (figura 1), sendo que basta instalar apenas a CA que é o principal componente do AD CS (figura 2).
Observação: É recomendado um servidor dedicado para tal função, porém em ambientes menores é comum utilizar a mesma máquina do Active Directory Domain Services (AD DS).
Após conclusão da instalação dos binários do AD CS, deve ser iniciado o processo de configuração da CA, sendo que a integração da CA ao AD DS requer as credenciais do Administrador do domínio. Todos os passos necessários estão ilustrados sequencialmente nas figuras 03–12.
Observação: Por padrão todos os certificados emitidos pela autoridade certificadora são validos por no máximo 2 anos. Empresas de pequeno e médio porte geralmente optam por estender esse tempo, evitando encargos administrativos relacionados ao processo de renovação no futuro. Para fazer esse ajuste, execute os comandos abaixo no Windows PowerShell:
#verificar o período de validade
certutil -getreg ca\ValidityPeriod#verificar unidades do período de validade
certutil -getreg ca\ValidityPeriodUnits#alterar o período máximo de validade para 25 anos
certutil -setreg ca\ValidityPeriodUnits 25#reiniciar o serviço
Restart-Service –Name certsvc
Etapa 2) Personalização de Modelo de Certificado
Na sequência é necessário personalizar um modelo que será utilizado para emitir o certificado digital do servidor RADIUS. O Network Policy Server (NPS) é a implantação de RADIUS da Microsoft. Execute a console “Certification Authority” em Ferramentas Administrativas.
Uma vez na console da CA, faça os seguintes passos:
- clicar com o botão direito em “Modelos de Certificados”
- selecionar “Gerenciar” (figura 14)
- localizar o modelo “Servidores RAS e IAS”
- clicar com o botão direito e selecionar “Modelo Duplicado” (figura 15)
- permitir que a chave privada seja exportada (figura 16)
Repare na figura 17 que aqueles servidores que são membros do grupo “Servidores RAS e IAS” possuem permissão para solicitar o novo modelo de certificado. Para solicitar o novo modelo de certificado:
- clicar com o botão direito em “Modelos de Certificado”
- apontar para “Novo”
- selecionar “Modelo de Certificado a ser Emitido” (figura 18)
Etapa 3) Servidor NPS (RADIUS)
A etapa final e principal consiste na configuração do servidor NPS (RADIUS) propriamente dito. Basta acessar o Server Manager e adicionar a função “Serviços de Acesso e Política de Rede” (figura 19), instalando apenas o “Servidor de Políticas de Rede” (figura 20).
Na sequência é necessário permitir que o NPS possa autenticar os usuários cadastrados no Active Directory, criando uma relação de confiança entre os dois serviços. Basta acessar o console “Servidor de Políticas de Rede” em Ferramentas Administrativas, então clicar com o botão direito em “NPS (Local)” e selecionar “Registrar Servidor do Active Directory” (figura 21).
O processo de emissão do certificado para o servidor NPS requer:
- digitar “mmc” <ENTER> (em Executar)
- clicar em “Arquivo”
- clicar em “Adicionar e Remover Snap-in”
- selecionar “Certificados”
- clicar em “Adicionar”
- selecionar a opção “Conta de Computador”
- clicar em “Avançar”
- clicar em “Concluir”
- expandir o ítem “Pessoal”
- clicar com o botão direito em “Certificados”
- apontar para todas as tarefas
- selecionar “Solicitar Novo Certificado”
- clicar em avançar duas vezes consecutivas
- selecionar o modelo de certificado criado anteriormente (figura 22)
- clicar em “Registrar” para certificado em nome do servidor (figura 23)
Feito tudo isso, chegou a hora de abrir a console do NPS e selecionar “Servidor RADIUS para Conexões 802.1X Com/Sem Fio”, então clicar na opção “Configurar 802.1X” (figura 24). Uma etapa muito importante fica na opção “Clientes RADIUS” (figura 25) e consiste em informar o endereço IP dos APs na rede para que eles sejam aceitos como elemento intermediário e possam encaminhar ao Radius a solicitação de autenticação dos clientes. Nessa etapa deve ser utilizada a chave compartilhada que fora previamente configurada no UniFi Controller.
- selecionar o método “Microsoft: EAP Protegido (PEAP)” (figura 26)
- selecionar os usuários que poderão se autenticar no Wi-Fi (figura 27)
Observação: Ainda no servidor NPS, em “Políticas de Rede” edite a política “Conexões Sem Fio Seguras” e clique na aba “Restrições”. Desmarque todas as opções em “Métodos de autenticação menos seguros” (figura 28).
Loja Oficial Ubiquiti BR
br.store.ui.comGrupo UniFi Facebook
fb.com/groups/ubnt.unifi.brGrupo UniFi LinkedIN
linkedin.com/groups/12135007Fórum Oficial Ubiquiti
forum-pt.ui.com
Samuel Henrique Bucke Brito
samuel.brito@ui.com
Ubiquiti Inc.
