Quản lý xác thực RADIUS với UniFi

UniFi và RADIUS hoạt động tốt với nhau. UniFi cho phép bạn quản lý mạng ở mọi nơi bất kể từ xa và với RADIUS bạn có thể sử dụng cùng một đăng nhập ở mỗi trang web.

Trong bài đăng trên blog này, tôi sẽ giải thích cách RADIUS hoạt động sau đó cho bạn thấy cách tích hợp nó với UniFi.

Xác thực RADIUS là gì?

RADIUS (Remote Authentication Dial trong User Service) là một giao thức mạng phổ biến cung cấp cho các nhu cầu AAA (Xác thực, Cấp phép và Kế toán) của các môi trường CNTT hiện đại. RADIUS trang bị cho các quản trị viên các phương tiện để quản lý tốt hơn việc truy cập mạng bằng cách cung cấp mức độ an ninh, kiểm soát và giám sát cao hơn. Về cơ bản, RADIUS cho phép người dùng từ xa kết nối với mạng không dây bằng cách xác định tài khoản và sau đó nhận được quyền truy cập vào hệ thống.

Khi bắt đầu xác thực RADIUS, yêu cầu xác thực và thông tin đăng nhập được gửi từ thiết bị của người dùng đến máy khách RADIUS (RADIUS Client). RADIUS Client gửi yêu cầu này tới máy chủ xác thực RADIUS để kiểm tra các quy tắc được xác định trước trên cơ sở dữ liệu tài khoản.

Phản hồi chấp nhận được gửi lại cho thiết bị người dùng thông qua máy khách nếu yêu cầu này đáp ứng các yêu cầu cần thiết.

Các thiết lập được kích hoạt, cung cấp cho quản trị viên thông tin bổ sung như thời gian session kết nối và băng thông.

Cách thiết lập Radius trên nền tảng Linux và Windows)  và chỉ cần hai bước để tích hợp cấu hình RADIUS hoạt động UniFi. Hai bước đó là:

  1. Xác định Access Points / Switch UniFi như “RADIUS Clients” trên RADIUS Server của bạn và tạo chuỗi bí mật / mật khẩu để được thêm vào UniFi Settings.
  2. Thêm RADIUS Server / RADIUS Proxy Server vào mạng của bạn trong UniFi Controller.

Cả hai bước chi tiết thông qua một Cấu hình RADIUS Server Windows qua NPS (Network Policy Server) và Ubuntu Linux.

Microsoft Windows Server 2012 R2

cấu hình RADIUS trong Windows có thể được thiết lập thông qua Network Policy Server (NPS) là một tính năng có thể bổ sung vào cài đặt Windows Server qua NAP (Active Directory).

Khi bạn đã cấu hình máy chủ NPS như một máy chủ RADIUS, UAP / US của bạn có thể được thêm vào như là một Máy khách RADIUS bằng cách nhấp chuột phải vào "RADIUS Clients" và chọn "New".

Để thêm UAP-AC-PRO làm Client à nhập địa chỉ IP của thiết bị và đặt tên là "apradius1" và nhập vào một "Shared Secret".

"Shared Secret" được sử dụng để xác minh rằng RADIUS Client được phép xử lý các yêu cầu xác thực thông qua RADIUS Server.

Để hoàn tất cấu hình máy chủ, các port cần thiết đã được mở (1812 cho Authorization, 1813 cho Accounting

Lưu ý: Nếu bạn gặp bất kỳ vấn đề xác thực nào đối với mạng không dây bằng PEAP, cần nhập chứng chỉ vào máy chủ cho các mục đích Server Authentication.

Linux FreeRADIUS Configuration

Để thiết lập và kiểm tra máy chủ xác thực RADIUS Linux. Mặc dù Ubuntu không hỗ trợ RADIUS, mã nguồn mở miễn phí cho các quản trị viên Linux
Đây là một hướng dẫn ngắn gọn về các bước tôi phải làm để đưa máy chủ Ubuntu FreeRADIUS làm việc với các AP UniFi trong mạng.

Trước tiên, cài đặt FreeRADIUS bằng lệnh sau:

$ sudo apt-get install freeradius

Tiếp theo,  mở các port mặc định được sử dụng cho Xác thực RADIUS (1812) và Accounting (1813).
Để thêm một AP, bạn cần phải chỉnh sửa tệp tin cấu hình clients.conf trong thư mục / etc / freeradius

đặt tên là "apradius1". Kèm theo client này, tôi cung cấp địa chỉ IP của AP kèm theo chuỗi bí mật:

client apradius1 {
       ipaddr = 192.168.1.139
       secret = secret1234
}

Thêm RADIUS server vào Cài đặt UniFi

Để cấu hình mạng UniFi, mở Controller và hoàn thành các bước sau:

• Settings > Wireless Networks

• Tạo một mạng mới hoặc sửa đổi một mạng hiện có bằng cách nhấp vào “Edit”.

• Chọn "WPA Enterprise" trên dòng “Sercurity”

• Trong "RADIUS Auth Server" nhập Địa chỉ IP của RADIUS hoặc RADIUS Proxy Server

• Nhập port được sử dụng bởi RADIUS Server để ủy quyền, mặc định là 1812

• Trong trường Password, nhập chuỗi bí mật mà bạn đã gán cho AP là radius client.

Các bước tùy chọn cần thiết cho chức năng Accounting RADIUS:

• Nhấn vào "+ RADIUS Accounting Server"

• Thêm IP, Port (1813  mặc định) và Shared Secret để tính toán trên RADIUS Server.

Để hoàn tất cấu hình RADIUS trong UniFi Controller - chọn mạng "TurtleRA1", chọn "WPA Enterprise"  và "RADIUS Auth Server" thêm địa chỉ IP của máy chủ xác thực RADIUS.

Nhập port 1812, và cho trường mật khẩu, chuỗi bí mật mà tôi đã tạo ra trước đó. nhấp vào "Save" để lưu cấu hình.

Xác thực thiết bị Client bằng phương pháp EAP

Sau khi bạn đã hoàn thành cấu hình-kiểm tra xem mọi thứ có hoạt động bằng cách kết nối một thiết bị với mạng RADIUS. Kết nối với AP với chức năng RADIUS được kích hoạt sẽ nhắc bạn chọn phương pháp EAP. Chọn bất kỳ phương pháp nào bạn đã ủy quyền trên máy chủ RADIUS.

Để kiểm tra RADIUS mới thiết lập, kết nối điện thoại di động với mạng wireless mới "TurtleRA1".

 Chọn PEAP (Protected Extensible Authentication Protocol),

Sau khi nhập các chứng chỉ kiểm tra, nhấp vào "Lưu". AP đã xác thực với máy chủ RADIUS cho phép thiết bị của tôi kết nối thành công..