Autenticação WLAN RADIUS + AD

Versão avaliada: Windows Server 2022 + UniFi Network Application 7.3.83

CONFIGURAÇÃO

No Active Directory criar os usuários, grupo e associar os usuários ao grupo criado.
Gerar certificado auto assinado no servidor local ou instalar o ADCS, caso opte em criar certificado auto assinado siga o passo abaixo:

PS C:\> New-SelfSignedCertificate -DnsName hl104.local.domain -KeyLength 2048 -CertStoreLocation cert:\LocalMachine\My -NotAfter (Get-Date).AddYears(1)

Nota: O hostname hl104.local.domain, e o nome do servidor AD.

O comando certlm.msc auxilia na revisão do certificado.
No Windows Server acesse Add Roles and Features e instale o serviço NPS "Network Policy and Access Services".
Criar script para renovar automaticamente o certificado.

Siga os passos abaixo para configurar o serviço NPS RADIUS:

Acesse Templates Management > Shared Secrets e crie o template UniFi Secret Template com a Shared secret desejada.

Inicie o processo de criação do conecto RADIUS server for 802.1X or Wired Connections.
Este conector é usado para autorizar recursos WIFI e Switch.

Selecione Secure Wireless Connections e insira um nome por exemplo WIFI-CORP, clique em Next.

Em RADIUS clients clique em Add e insira:
Nome amigável.
Address (IP, Range or DNS) das Antenas UniFi.
Select a Shared Secret template criando anteiormente.
Clique em OK e depois em Next.

Selecione Microsoft: Protected EAP (PEAP)
Clique em Configure e selecione e/ou confira se esta selecionado o certificado.
Clique em OK e depois em Next.

Clique em Add e selecione os usuários/grupos que terão permissão autorizada.
Clicue em Next.

Clique em Next.

Confira e clique em Next.

Após finalizado o processo de configuração serão criadas as entradas em:
Policies > Connection Request Policies > WIFI-CORP

Policies > Network Policies > WIFI-CORP

Validar no firewall se Network Policy Server esta liberando em IN as portas 1812-1813,1645-1646 UDP.

Concluído os passos de configuração do NPS RADIUS o próximo passo e configurar o UniFi Controller com o apontamento ao servidor RADIUS e associar ao WIFI desejada a permissão de uso do RADIUS.

Ative o serviço RADIUS em Settings > Profiles > RADIUS.
Não habilite Wireless Network caso use Vlan.
Adicione a entrada Authentication Servers apontado para o IP do servidor configurado com o serviço NPS anteriormente. A configuração para a porta 1813 é opcional, mas para fins de auditoria, o login e enviado através desta configuração e ira ter a informação de que horas uma conta se logou e em qual rede.
Clique em Apply Changes para salvar.

Acesse WIFI e edite o SSID que deseja ativar o recurso RADIUS.
Em Security > Security Protocol selecione WPA2 Enterprise.
Em Security > RADIUS Profile selecione a entrada do servidor RADIUS criado anteriormente.
Clique em Apply Changes para salvar.

Aguarde propagar as configurações realizadas nas antenas e após sera possível testar o uso de autenticação com autorização em grupos do Active Directory.

Caso possua outra camada de segurança, outro Firewall ou Vlan, valide se é preciso fazer alguma liberação.

No celular quando for usar, habilitar a configuração PEAP insira o login e senha criada no Active Directory.

Page updated

Google Sites

Report abuse