Como construir um sistema de autenticação de acesso 802.1X usando switches em um controlador Omada.
07-08-2024
15721Conteúdo
Configure o 802.1X no controlador
Ative a autenticação 802.1X no seu computador
Este artigo descreve como configurar o 802.1X no Controlador Omada e enviar a configuração para o switch de destino para autenticação do usuário.
- Omada Smart / L2+ / L3 series switches
- Omada Controller (software Controller / hardware Controller / CBC, v5.9 and above)
O sistema de autenticação de acesso 802.1X é amplamente utilizado em ambientes Ethernet como solução para fornecer acesso autenticado a clientes. A autenticação de acesso 802.1X é baseada em "porta", o que significa que o controle de acesso e as autenticações AAA para clientes são baseados na "porta" do NAS (Servidor de Acesso à Rede). Se o cliente se conectar à porta do NAS e passar pela autenticação do servidor Radius, ele poderá acessar os recursos pertencentes ao NAS, mas o contrário não é possível.
Nota: Neste artigo, NAS (Network Access Server) refere-se ao switch TP-Link que atua como autenticador 802.1X em um sistema 802.1X. Computadores ou servidores que executam o software de servidor Radius atuam como servidores de autenticação 802.1X em um sistema 802.1X. Abaixo, segue uma ilustração do sistema de autenticação de acesso 802.1X.
Conforme mostrado na topologia abaixo, a porta 1 do switch está conectada ao servidor Radius, que fornece a autenticação para o solicitante 802.1X. A porta 23 está conectada à porta de uplink, que é um roteador conectado à Internet. O switch atua como autenticador 802.1X e também como NAS para o sistema. O que precisamos é de um sistema que permita acesso à Internet apenas a usuários autorizados que passaram pela autenticação do servidor Radius através do switch.
Este artigo usa o FreeRadius como exemplo para configurar um servidor Radius em um computador local.
Passo 1. Instale o FreeRADIUS no Ubuntu. O FreeRADIUS pode ser instalado online com o comando `sudo apt install freeradius`, ou a partir do arquivo fonte. Para compilar, siga as instruções do guia de instalação do FreeRADIUS. Construindo o FreeRADIUS.
Passo 2. Configure o arquivo clients.conf para o FreeRadius. Para testes em máquinas externas, edite o arquivo /etc/freeradius/clients.conf e adicione uma entrada. Existem muitos exemplos e a sintaxe é simples:
client tplink {
ipaddr = 192.168.0.100
secret = testing123
}
Passo 3. Defina um usuário e uma senha. Edite o arquivo /etc/freeradius/users e crie uma conta de usuário de exemplo como a primeira entrada, ou seja, no início do arquivo, como:
admin Cleartext-Password := "admin"
Salve a configuração do arquivo acima, inicie o servidor FreeRadius e a mensagem "Pronto para processar solicitações" será exibida, indicando que a instalação do servidor FreeRadius foi bem-sucedida.
Configure o 802.1X no controlador.
Passo 1. Configurando o perfil RADIUS
Faça login no Controller, acesse Configurações > Perfis > Perfil RADIUS, clique em Criar Novo Perfil RADIUS e edite o Nome do servidor RADIUS no campo Nome. Insira o endereço IP do servidor RADIUS em IP do Servidor de Autenticação e o valor da porta RADIUS em Porta de Autenticação. Insira a chave compartilhada do servidor RADIUS em Senha de Autenticação. Após concluir as configurações, clique em Salvar para salvar a configuração.
Passo 2. Configure a autenticação 802.1X. Acesse Configurações > Autenticação > 802.1X para ativar o botão 802.1X. Na coluna Perfil RADIUS, selecione o servidor RADIUS criado na Etapa 4 e defina o Protocolo de Autenticação como EAP e o Tipo de Autenticação como Baseado em Porta. Por fim, selecione as portas 5 a 10 e clique em Salvar para concluir a configuração.
Nota: A autenticação baseada em MAC indica que qualquer dispositivo conectado à porta correspondente precisa de autenticação independente antes de obter acesso à rede. Já a autenticação baseada em porta indica que todos os dispositivos conectados a uma porta podem acessar a rede, desde que pelo menos um deles tenha sido autenticado na porta correspondente.
Ative a autenticação 802.1X no seu computador.
Passo 1. Pressione Win+R e digite services.msc
Você verá a seguinte tela.
Passo 2. Localize a opção Wired AutoConfig e clique em Iniciar para ativar a autenticação 802.1X.
Passo 3. Abra as configurações de Rede e Rede e ative a autenticação 802.1X.
Clique duas vezes na placa de rede para autenticar:
Clique em Propriedades:
Você verá a barra de opções de autenticação; clique para entrar. Marque a opção "Habilitar autenticação IEEE 802.1X" e selecione PEAP como método de autenticação de rede. Por fim, clique em "Configurações" para configurar as propriedades do PEAP.
Desative a verificação da identidade do servidor por meio da validação do certificado e selecione EAP-MSCHAP v2 como método de autenticação. Clique em Configurar para acessar a interface de propriedades do EAP MSCHAP v2.
Desmarque a opção "Usar automaticamente meu nome de usuário e senha do Windows (e domínio, se houver)".
Clique em OK e salve as configurações. O computador exibirá automaticamente a seguinte interface; insira a conta e a senha, conclua a autenticação e você poderá acessar a internet. A conta e a senha foram definidas na Etapa 3.
Você configurou com sucesso o 802.1X para o switch e está autenticado para acessar a Internet.
Para obter mais detalhes sobre cada função e configuração, acesse: Download Center Para baixar o manual do seu produto.
