Fonction PPSK avec différents serveurs RADIUS Guide de configuration

Knowledgebase
Configuration Guide
05-30-2024

Les mises à jour récentes peuvent avoir élargi l'accès aux fonctionnalités abordées dans cette FAQ. Visitez la page d'assistance de votre produit, sélectionnez la version matérielle appropriée pour votre appareil et consultez la fiche technique ou la section du micrologiciel pour connaître les dernières améliorations ajoutées à votre produit.

 

1. Présentation du PPSK

La clé privée pré-partagée (PPSK) est une clé pré-partagée unique créée pour un seul utilisateur sur le même SSID. Ces clés peuvent être utilisées pour des réseaux plus petits au sein du même SSID, chacun avec un mot de passe différent mais partageant le même réseau Wi-Fi. PPSK prend en charge l'accès avec plusieurs mots de passe pour un SSID, chaque utilisateur se voyant attribuer un mot de passe indépendant. Si certains mots de passe sont divulgués, seuls les mots de passe divulgués doivent être modifiés, évitant ainsi l'impact sur tous les utilisateurs et donc plus résistants aux risques. Parallèlement, le processus d'authentification entre le point d'accès et le client nécessite une négociation à quatre, ce qui peut renforcer la sécurité des mots de passe. PPSK est classé en PPSK sans RADIUS et PPSK avec RADIUS. La fonction PPSK doit être configurée sur le contrôleur Omada. Avant la configuration, assurez-vous que l'EAP et le contrôleur Omada prennent en charge PPSK.

 

Ce guide expliquera comment configurer PPSK en utilisant le serveur RADIUS intégré sur le contrôleur Omada et d'autres serveurs RADIUS externes (par exemple FreeRadius, Rgnet, RoamingIQ et ElevenOS).

1.1 Scénarios

Pour les scénarios familiaux, la configuration d'une seule clé pré-partagée (PSK) pour chaque SSID peut garantir la sécurité, tandis que pour les entreprises, l'utilisation de la même PSK peut facilement entraîner une fuite de mot de passe, entraînant des risques de sécurité. PPSK peut fournir un PSK unique pour chaque terminal ou utilisateur et ainsi offrir une solution plus sécurisée et évolutive par rapport à la solution PSK traditionnelle. PPSK est principalement utilisé à deux fins :

  1. Les utilisateurs peuvent disposer de mots de passe Wi-Fi indépendants selon leurs besoins.
  2. Les données utilisateur peuvent être transmises au sein des VLAN, permettant ainsi des applications plus larges dans des scénarios de réseau tels que les hôtels, les bureaux, les écoles et les dortoirs.

Dans les scénarios avec un grand nombre d'utilisateurs (par exemple MDU), MSP peut utiliser des serveurs RADIUS externes (par exemple FreeRadius, Rgnet, RoamingIQ et ElevenOS) pour configurer davantage de PPSK pour le réseau.

1.2 VLAN PPSK

PPSK prend en charge le VLAN dynamique, chaque PSK étant lié à un seul VLAN, de sorte que le client sera attribué au VLAN spécifique après avoir utilisé le PSK pour l'authentification. Pour PPSK sans RADIUS, l'attribution de VLAN peut être configurée dans le profil PPSK pour les SSID. Pour PPSK avec RADIUS, le VLAN peut être attribué sur le serveur RADIUS. Associé à d'autres fonctionnalités VLAN du contrôleur Omada, cela permet une planification et une gestion de réseau plus flexibles et plus puissantes.

1.3 PPSK sans RADIUS

PPSK sans RADIUS est une nouvelle méthode de cryptage basée sur le cryptage WPA-Personal, qui vérifiera l'adresse MAC de l'utilisateur pour l'authentification et attribuera l'utilisateur à un VLAN spécifique après une authentification réussie. Lors de la configuration de PPSK sans RADIUS, sélectionnez la méthode de cryptage appropriée en mode WPA.

 

PPSK sans étapes de configuration RADIUS :

Étape 1 : Créez un nouveau réseau sans fil sur le contrôleur Omada et choisissez PPSK sans RADIUS comme sécurité.

Étape 2 : Cliquez sur Créer un nouveau profil PPSK dans la liste déroulante du profil PPSK.

Explication des paramètres :

Paramètre

Explication

Exigence des paramètres

Nom

Le nom du profil PPSK. Un seul profil peut contenir plusieurs PPSK.

La longueur du nom doit être comprise entre 1 et 64 caractères.

Nom(PPSK1)

Le nom de l'entrée PPSK.

La longueur du nom doit être comprise entre 1 et 64 caractères.

Phrase secrète

La clé utilisée pour l'accès au réseau.

La longueur de la phrase secrète doit être comprise entre 8 et 63 caractères.

Adresse Mac

L'adresse MAC liée à la phrase secrète. Seul l'appareil doté de l'adresse MAC spécifiée peut utiliser la phrase secrète pour l'authentification Wi-Fi. Cette configuration est facultative. S’il n’est pas configuré, n’importe quel appareil peut utiliser la phrase secrète pour se connecter au Wi-Fi.

L'adresse MAC doit être en monodiffusion.

Attribution du VLAN

Le VLAN lié à la phrase secrète. Le client utilisant cette phrase secrète pour l'authentification sera attribué au VLAN spécifié.

L'ID du VLAN doit être compris entre 1 et 4094.

 

1.4 PPSK avec RAYON

PPSK avec RADIUS est basé sur le cryptage WPA-Personal et l'authentification basée sur MAC. Pour se connecter au SSID configuré avec PPSK avec RADIUS, l'utilisateur n'a qu'à saisir le mot de passe attribué pour accéder au réseau. Pour PPSK avec RADIUS, les phrases secrètes du SSID peuvent être configurées sur le contrôleur Omada. Un SSID peut être défini avec plusieurs phrases secrètes (128 entrées au maximum). Lors de la définition des phrases secrètes, les adresses MAC et les VLAN peuvent également être spécifiées pour réaliser une authentification à deux facteurs et une attribution de VLAN.

PPSK avec étapes de configuration RADIUS :

Étape 1 : Créez un nouveau réseau sans fil sur le contrôleur Omada et choisissez PPSK avec RADIUS comme sécurité.

Étape 2 : Cliquez sur Créer un nouveau profil RADIUS dans la liste déroulante du profil RADIUS.

Explication des paramètres :

Paramètre

Explication

Exigence des paramètres

Nom

Le nom du profil RADIUS.

La longueur du nom doit être comprise entre 1 et 64 caractères.

Attribution de VLAN

Cochez la case pour permettre au serveur RADIUS d'attribuer un utilisateur sans fil à un VLAN spécifique en fonction de la phrase secrète fournie par l'utilisateur.

Cochez la case.

IP du serveur d'authentification

L'adresse IP du serveur RADIUS.

Adresses IP légales de classe A/B/C.

Port d'authentification

Le numéro de port du service RADIUS.

1-65535

Mot de passe d'authentification

Le mot de passe utilisé pour se connecter au serveur RADIUS.

Code ASCII (0-127)

2. Configuration du serveur RADIUS intégré sur le contrôleur Omada

Sur le contrôleur Omada et le contrôleur Omada Pro, il existe un serveur RADIUS intégré pour Generic Radius avec authentification MAC liée, ce qui évite aux utilisateurs d'avoir à créer un serveur RADIUS externe. Par défaut, l'adresse IP du serveur intégré est la même que celle du Controller et le port d'authentification est 1812. L'adresse IP du serveur intégré et le port d'authentification sont également personnalisables. Le mot de passe ou secret d'authentification est personnalisé par l'utilisateur.

 

Étapes de configuration :

Étape 1 : Accédez à Global->Server Setting et activez Built-in RADIUS.

Étape 2 : Créez un SSID configuré avec PPSK avec RADIUS et choisissez Profil de rayon intégré comme profil RADIUS.

Étape 3 : Créez un profil PPSK. Définissez les phrases secrètes utilisées pour la connexion SSID et spécifiez les adresses MAC et les VLAN.

 

3. Étapes de configuration de FreeRadius

3.1 Configuration de la gestion Web daloradius

Étape 1 : Accédez à Gestion > Nouvel utilisateur.

Étape 2 : Dans la section Authentification du nom d'utilisateur des informations sur le compte, entrez le nom d'utilisateur et le mot de passe qui sont l'adresse MAC de l'appareil. Le format de l'adresse MAC doit être le même que celui-ci.

Étape 3 : Accédez à Attributs et sélectionnez Localiser rapidement l’attribut avec saisie semi-automatique.

Étape 4 : Sélectionnez l'attribut dans la liste déroulante et cliquez sur Ajouter un attribut.

Étape 5 : Ajoutez l'attribut Tunnel-Password et entrez la valeur qui sera la phrase secrète pour la connexion SSID.

Étape 6 : Ajoutez les attributs Tunnel-Type, Tunnel-Medium-Type et Tunnel-Private-Group-Id et entrez les valeurs respectivement pour activer l'attribution de VLAN pour PPSK.

3.2 Configuration CLI

utilisateurs : un fichier qui peut être configuré pour gérer et autoriser les informations sur les utilisateurs.

cd /etc/raddb : une commande utilisée pour entrer dans le dossier cible qui contient le fichier utilisateurs.

utilisateurs vim : une commande utilisée pour éditer le fichier comme suit.

esc :wq : une commande utilisée pour enregistrer la configuration et quitter le mode édition.

reboot : une commande utilisée pour redémarrer le serveur FreeRadius pour mettre en œuvre la configuration.

La commande DEFAULT Auth-Type = Accept indique que les appareils avec n'importe quelle adresse MAC peuvent utiliser le mot de passe pour l'authentification.

 

Le port d'authentification et le mot de passe du serveur FreeRadius peuvent être personnalisés dans le fichier de /etc/raddb/site-available/default. La commande prendra effet après le redémarrage du serveur. Utilisez les commandes de service radiusd stop et radiusd –X pour redémarrer le serveur.

 

4. Étapes de configuration du serveur RgNet

4.1 Installation du serveur RgNet

Accédez au site officiel de RgNet ( https://www.rgnets.com ) et inscrivez-vous pour un compte rXg gratuit. Référez-vous au guide officiel Mise en route | RG Nets pour télécharger le fichier image du serveur et terminer la configuration initiale. Le serveur rXg utilisé dans ce guide est installé sur la machine virtuelle VMware.

Remarque : L'hôte pour l'installation du serveur rXg doit avoir des performances élevées, il est recommandé de posséder 4 processeurs et au moins 2 cartes réseau virtuelles avec 8 Go ou plus de RAM.

4.2 Configuration du serveur rXg

Après avoir installé la machine virtuelle, entrez 192.168.5.1 dans la barre d'adresse du navigateur Web pour charger la page Web pour la configuration initiale. Le système avant l'installation n'a pas de licence et est dans un état grisé et inutilisable. Allez dans Licence et un IUI sera créé. L'IUI est créé par le système Free rXg sur la base des informations sur l'hôte et identifie de manière unique cet hôte spécifique, ce qui signifie que l'IUI changera et qu'une nouvelle licence sera requise si l'image de la machine virtuelle est migrée vers un autre hôte. Accédez ensuite à rXg Asset Manager ( https://store.rgnets.com/asset_manager ) pour activer la licence. Entrez dans l'IUI pour obtenir le code d'activation et copiez et collez le code dans le système Free rXg pour terminer l'activation. Après l'activation, la configuration est terminée et vous pouvez commencer à configurer le système Free rXg.

Étape 1 : Créer une nouvelle entrée de contrôleur WLAN sur le serveur rXg

Accédez à Network-Wireless-WLAN Controller sur le serveur rXg, cliquez sur Créer nouveau pour saisir les informations correspondantes et cliquez sur Créer.

 

Étape 2 : Créer un nouveau SSID

Accédez à Network-Wireless-WLANs sur le serveur rXg, cliquez sur Créer nouveau pour saisir les informations correspondantes et cliquez sur Créer. Lors du provisionnement, le contrôleur doit être le même que celui créé à l'étape 1. Dans la configuration WLAN, le SSID doit correspondre à celui défini dans le contrôleur. Choisissez WPA2 pour le cryptage et Multiple-PSK pour l'authentification.

 

Étape 3 : Modifier le groupe IP

Accédez à Identités->Groupes IP pour modifier l’entrée de groupes IP créée automatiquement. Dans Members->Address , choisissez Management LAN (192.168.5.x/24) et enregistrez les paramètres.

 

Étape 4 : Créer un groupe de comptes et un compte

Accédez à Identités -> Comptes , cliquez sur Créer nouveau pour ajouter un groupe de comptes, cochez la case Désactiver la sécurité PSK améliorée et choisissez l'entrée tp-link Omada que vous venez de créer pour la stratégie.

 

Accédez à Créer un compte et entrez le nom d'utilisateur et le mot de passe pour la connexion, le prénom et le nom ainsi que l'e-mail. Dans Sessions, cochez la case Fourniture automatique et la case Illimité pour les sessions et appareils Max, puis saisissez la clé pré-partagée pour l'authentification.

 

Étape 5 : Créer des domaines de serveur Radius

Accédez à Services->Radius , créez un domaine de serveur Radius et choisissez l'entrée de stratégie que vous venez de configurer.

 

Étape 6 : Modifier l'attribut TPLink-EAPOL-Found-PMK

Accédez à Services->RADIUS . S'il n'y a pas de TPLink-EAPOL-Found-PMK dans la liste des attributs du serveur RADIUS, reportez-vous aux images suivantes pour ajouter l'attribut. Sélectionnez l'attribut dans les domaines du serveur RADIUS.

 

Étape 7 : Créer des options de serveur Radius

Accédez à Services->RADIUS , créez une entrée d'option de serveur Radius et choisissez l'entrée de stratégie que vous venez de configurer.

 

4.3 Configuration du contrôleur Omada

Étape 1 : Créer un nouveau profil RADIUS

Entrez l'adresse IP du serveur rXg (192.168.5.1) pour l'IP/URL du serveur d'authentification et l'IP/URL du serveur de comptabilité. Le port d'authentification est 1812 et le port de comptabilité est 1813. Assurez-vous que les mots de passe d'authentification/comptabilité/CoA correspondent à ceux définis dans la colonne Secret des options du serveur RADIUS sur le serveur rXg.

 

Étape 2 : Créer un nouveau SSID

Créez un nouveau SSID et choisissez PPSK avec RADIUS comme sécurité. Sélectionnez le profil RADIUS créé sur le serveur rXg. Notez que la bande 6 GHz ne doit pas être activée.

 

5. Étapes de configuration du serveur RoamingIQ

5.1 Configuration du serveur cloud RoamingIQ

Étape 1 : Connectez-vous au serveur cloud

Accédez à https://tplink.wifikey.io/ et connectez-vous au portail Web du serveur cloud, ou utilisez le compte d'administrateur de test local.

Étape 2 : accéder à la page d'accueil

Cliquez sur l'icône de l'administrateur dans le coin supérieur droit et sélectionnez Compte administrateur réseau pour accéder à la page d'accueil de configuration du serveur cloud.

Étape 3 : Créer un lieu

Cliquez sur Ajouter un nouveau lieu .

Entrez les informations sur le lieu.

 

Étape 4 Créer une unité

Cliquez sur Ajouter une nouvelle unité.

Entrez les informations sur l'unité. Ajoutez l'unité dans le lieu que vous venez de créer.

 

Étape 5 Créer un SSID

Cliquez sur le lieu que vous venez de créer sur la page d'accueil pour d'autres configurations.

Accédez aux pools de clés.

Créez un nouveau SSID dans le site actuel et cliquez sur Ajouter un pool de clés.

Accédez au plan de service et choisissez le plan de service requis.

Étape 6 : Créer un résident

Cliquez sur l'icône de l'administrateur dans le coin supérieur droit et sélectionnez Compte administrateur du site pour accéder à la page de configuration du site.

Sélectionnez le lieu que vous venez de créer dans le coin supérieur gauche et entrez dans le lieu.

Cliquez sur Ajouter un nouveau résident pour définir le mot de passe de chaque utilisateur.

Remplissez les informations du résident. L'adresse e-mail doit être valide pour recevoir les informations PPSK. Une nouvelle adresse e-mail devra créer un compte utilisateur en suivant le lien dans l'e-mail de réponse du serveur lors de la première utilisation.

 

Étape 7 : Connectez-vous au compte utilisateur

Accédez à https://tplink.wifikey.io/ et connectez-vous au serveur cloud. Utilisez le compte de messagerie mentionné ci-dessus pour vous connecter.

Après vous être connecté, sélectionnez l'unité (profil) et le SSID (réseau) pour choisir le réseau auquel vous souhaitez vous connecter. Utilisez le mot de passe Wi-Fi ou scannez le code QR pour vous connecter au réseau sans fil. Vous pouvez également visualiser d'autres appareils connectés au réseau sans fil et surveiller leur utilisation des données en temps réel.

 

5.2 Configuration du contrôleur Omada

Étape 1. Adoptez le périphérique EAP sur le contrôleur Omada

Étape 2 : Créer un nouveau profil RADIUS

Saisissez l'adresse IP, l'authentification, les ports de comptabilité et les mots de passe du serveur cloud. Activez l'attribution de VLAN pour le réseau sans fil. Le serveur cloud ne prend actuellement pas en charge CoA.

Étape 3 : Créer un nouveau SSID

Le SSID doit être le même que celui défini sur le serveur cloud. Choisissez PPSK avec Radius comme sécurité et sélectionnez le profil RADIUS que vous venez de créer. Seul le rayon générique avec MAC non lié est actuellement pris en charge pour le type d'authentification.

L'ID NAS doit également être spécifié. Il peut être trouvé dans les détails du profil du lieu sur le serveur cloud.

Étape 4 Connectez-vous au SSID

Utilisez le mot de passe Wi-Fi ou scannez le code QR pour vous connecter au réseau sans fil.

 

6. Étapes de configuration du serveur ElevenOS

La configuration du serveur ElevenOS nécessite deux sites Web : Secure.11os.com et app.wifiuseradmin.com . Le premier site Web est utilisé pour activer les services et enregistrer les informations sur les résidents. L'utilisateur doit acheter un ElevenOS pour obtenir un compte permettant d'utiliser le site Web. Le deuxième site Web est également connu sous le nom de Site Manager, utilisé pour gérer les sites et les utilisateurs du réseau sur les sites. Le compte du deuxième site est créé par l'invitation du compte précédemment acheté. Les deux sites Web sont connectés par les API du Site Manager.

6.1 Configuration de Secure.11os.com

Étape 1 Créer un nouveau site

Accédez à CONFIGURATION et cliquez sur Ajouter une organisation . Remplissez les informations de base du site et cliquez sur Créer.

Cliquez sur Go Live pour activer le site. La chaîne de chiffres et de lettres (ORG ID) dans le coin supérieur droit est l'ID NAS requis pour la configuration du contrôleur Omada.

 

Étape 2 : Créer une zone de service

Accédez à CONFIGURATION sur le site, choisissez Ajouter une organisation et créez une nouvelle zone de service.

Étape 3 : Configurer les attributs

Accédez à Attributs , cliquez sur Ajouter des attributs et configurez les attributs de Juno, ResidentPan, ZoneType et KeyService, qui représentent respectivement quatre services différents. June fait référence à l'activation de Portal Manager, ResidentPan indique les services de cartographie PAN, ZoneType représente les scénarios et KeyService signifie l'activation des services de comptabilité. Pour plus d'informations sur d'autres attributs, reportez-vous à Comprendre les attributs d'organisation personnalisés ElevenOS – Eleven (elevensoftware.com) .

Étape 4 : Créer un portail

Accédez à CONFIGURATION et choisissez Portail. Configurez l'interface utilisateur du portail pour que les utilisateurs fournissent leurs informations et leur adresse e-mail afin d'obtenir le mot de passe généré par le serveur ElevenOS.

Étape 5 : Configurer le mappage PAN

Allez dans CONFIGURATION et choisissez PAN Mapping. Créez des VLAN correspondant aux unités. Ici, la configuration du VLAN est obligatoire.

Étape 6 : Configurer le profil de connexion

Accédez à CONFIGURATION et choisissez Profil de connexion . Sélectionnez Centralized-ElevenOS pour la clé d'accès personnelle. Le SSID configuré sur le contrôleur doit être le même que le SSID du réseau ici. Configurez le modèle de clé dans Paramètres des touches. Vous pouvez choisir des modèles numériques, de noms et d'adjectifs ou un modèle mixte. Les mots de passe obtenus par les utilisateurs via leurs e-mails sont similaires à l'exemple de clé.

6.2 Configuration du gestionnaire de site

Étape 1 : Cliquez sur Importer le site pour importer le site 11OS créé. Accédez au site importé et cliquez sur Nouveau résident pour enregistrer les informations utilisateur, notamment l'adresse e-mail, l'unité, le VLAN attribué et la période de validité du mot de passe.

Étape 2 : Le serveur 11OS enverra un e-mail à l'utilisateur, comprenant des informations telles que le nom SSID et le mot de passe, avec lesquels l'utilisateur pourra se connecter au SSID.

6.3 Configuration du contrôleur Omada

Étape 1 : Créez un nouveau SSID et choisissez EKMS pour le type d'authentification.

Remarque : EKMS est uniquement pris en charge dans Omada Pro Controller et Omada Software Controller (version 5.14.0 et supérieure).

Étape 2 : Créez un nouveau profil RADIUS. Entrez les paramètres correspondants et l'EAP enverra une demande au serveur Eleven OS pour l'authentification et la connexion réseau.

 

7. FAQ

Lors de la configuration des serveurs, diverses raisons peuvent conduire à une défaillance de l'association d'authentification client-serveur ou de la connexion réseau. Vous trouverez ci-dessous quelques raisons courantes pouvant entraîner l'échec de la connexion des clients sans fil au serveur RADIUS. Vous pouvez suivre les étapes de dépannage pour résoudre les problèmes rencontrés :

1. Reportez-vous aux étapes de dépannage dans Impossible de se connecter au WiFi EAP .

2. Vérifiez les versions du micrologiciel EAP et du contrôleur Omada pour vous assurer que vos versions du micrologiciel EAP et du contrôleur Omada prennent en charge la fonctionnalité PPSK.

3. Vérifiez la connectivité de votre serveur RADIUS. Vérifiez que la configuration du profil RADIUS est correcte, que le serveur RADIUS est en ligne et que la connexion entre le périphérique EAP et le serveur RADIUS est accessible.

4. Assurez-vous que le SSID pour lequel vous avez activé PPSK sur le contrôleur Omada correspond à celui configuré sur le serveur RADIUS.

Si les étapes ci-dessus ne résolvent pas le problème, veuillez contacter l'assistance technique TP-Link pour obtenir de l'aide.

Veuillez noter ce document

Documents connexes