Como Configurar um Servidor Radius no Próprio UniFi Security Gateway (USG) para Autenticar os Clientes da Rede Wi-Fi

Apesar de a maioria das redes Wi-Fi utilizarem uma chave compartilhada (PSK) com o método de segurança denominado WPA Personal, naqueles ambientes que demandam maior nível de controle e segurança é mais indicado o uso de um usuário/senha por cliente, o que pode ser feito com o método de segurança WPA Enterprise.

Em outro artigo explicamos ao leitor como fazer a configuração da solução UniFi para utilizar um servidor Radius externo para integrar a autenticação dos usuários da rede Wi-Fi com o Active Directory no Windows Server já existente no ambiente da empresa. Naquela oportunidade foi explicado que em redes Wi-Fi que demandam mais controle e segurança, é recomendado o uso de um usuário/senha por cliente conectado, o que pode ser feito através de um servidor Radius externo.

Observação: Veja neste artigo como fazer o apontamento para um servidor externo a partir da interface do software UniFi Controller, além do passo a passo para configurar um servidor NPS/RADIUS no Windows Server 2012.

Neste artigo mostraremos como é possível hospedar essa funcionalidade de servidor Radius internamente no próprio UniFi Security Gateway (USG), uma alternativa às caras soluções de firewall que existem no mercado decorrente do alto custo de licenciamento de software. O USG é gerenciado de maneira centralizada através da interface do UniFi Controller, um software gratuito, assim como ocorre com todos os demais dispositivos UniFi na infraestrutura de rede.

Observação: Leia este artigo para saber mais sobre as características do UniFi Security Gateway(USG) e recursos suportados.


Apontamento do Servidor Local Radius no USG

É muito fácil e rápido configurar um SSID no UniFi Controller com o método de autenticação baseado em WPA Enterprise, já que basta selecionar essa opção e indicar um perfil, conforme ilustrado na figura abaixo. Por padrão o UniFi Controller já possui um perfil Radius denominado “Default” na opção Profiles. Esse perfil deve ser utilizado quando um USG for utilizado para executar localmente uma instância do serviço Radius.

Configuração do Servidor Radius Local no USG

No entanto, para que o perfil padrão possa ser selecionado, antes é necessário habilitar o servidor Radius embutido no USG, ação que pode ser realizada através da seguinte opção no UniFi Controller, conforme ilustrado na figura abaixo:

> Settings
> Services
> Radius
> Server

Repare que na interface do servidor Radius no UniFi (figura acima), basta habilitar o serviço no primeiro botão, selecionar uma chave utilizada entre o servidor (USG) e os dispositivos UniFi. As portas do serviço de autenticação (1812) e de bilhetagem/logs (1813) podem ser mantidas.

Feito isso, o servidor Radius já está habilitado e operacional, no entanto ainda não existem usuários cadastrados na base do USG para que o firewall seja capaz de autorizar os usuários. O procedimento de cadastramento de novos usuários é bem fácil através da interface gráfica do UniFi, ficando localizado na seguinte opção exibida na figura abaixo:

> Settings
> Services
> Radius
> Users
> + Create New User

Depois que um ou mais usuários estiverem cadastrados, será possível visualizá-los e editá-los nesse mesmo menu. A qualquer momento novos usuários podem ser criados.

Pronto!

Observação: Ao habilitar o servidor Radius no próprio USG, é importante acompanhar o uso de processamento e memória do equipamento à medida que o número de usuários aumenta, inclusive para identificar quando é o momento de substituir o USG por um USG-PRO-4. Essa solução foi pensada para pequenas empresas, até porque em empresas maiores existe um servidor dedicado para esse fim, conforme explicado neste artigo.

Agora basta os clientes da rede Wi-Fi selecionarem o SSID da rede em que foi habilitado o método de segurança WPA-Enterprise, lembrando que ao fazer essa configuração apontamos para o servidor Radius Default do próprio USG. Ao conectar, a máquina dos clientes solicitará a inserção de um usuário e senha. A figura abaixo ilustra esse processo em uma máquina Linux Ubuntu, mas qualquer que seja o SO, basta informar usuário/senha.



Grupo UniFi no Facebook 
facebook.com/groups/ubnt.unifi.br
Fórum Oficial da Ubiquiti
forum-pt.ubnt.com
Grupo UniFi no LinkedIN
linkedin.com/groups/12135007
Grupo UniFi no Telegram
t.me/ubiquitibr


Samuel Henrique Bucke Brito
samuel.brito@ui.com
Ubiquiti Inc.

Blog UBNT BR

O blog oficial da Ubiquiti no Brasil é focado na solução UniFi e aborda desde fundamentos de redes e Wi-Fi até o portfólio de produtos, além de compartilhar cases brasileiros de sucesso.

UBNT-BR

Written by

UBNT-BR

samuel.brito@ui.com

Blog UBNT BR

O blog oficial da Ubiquiti no Brasil é focado na solução UniFi e aborda desde fundamentos de redes e Wi-Fi até o portfólio de produtos, além de compartilhar cases brasileiros de sucesso.

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade