Guida alla configurazione PPSK
Private Pre-Shared Key (PPSK) è una soluzione di sicurezza che permette di gestire singoli client diminuendo la complessità di configurazione. Con PPSK, a ogni utente viene assegnata una passphrase di autenticazione, è anche possibile associare una passphrase all'indirizzo MAC di un dispositivo in modo che solo i dispositivi specificati possano utilizzare la stessa per l'autenticazione.
In PPSK è anche possibile creare liste PPSK e applicarle a più network Wi-Fi, con un conseguente risparmio di tempo in fase di configurazione.
1. Introduzione alla PPSK.
Omada SDN Controller support due tipi di PPSK, PPSK senza RADIUS e PPSK con RADIUS.
- PPSK senza RADIUS: i profili PPSK vengono creati utilizzando Omada SDN Controller.
- PPSK con RADIUS:
- L'EAP svolge la funzione di Network Access Server (NAS). È necessario creare i client nel server RADIUS per permettere agli EAP di presentare la richiesta di autenticazione.
- Quando il client si connette all'SSID, l'EAP utilizza l'indirizzo MAC del client (nel formato "xx:xx:xx:xx:xx") come utente RADIUS e User-password, la PPSK presentata come Tunnel-password e presenta le informazioni al RADIUS server per l'autenticazione. Pertanto è necessario creare gli utenti nel RADIUS server in un formato adeguato.
2. Guida alla configurazione PPSK senza RADIUS.
Prima di tutto creiamo un nuovo Profilo PPSK in Settings > Profiles > PPSK, nominiamo il profilo e aggiungiamo la PPSKs manualmente, automaticamente oppure importandola. Per maggiori info sui profili PPSK fai riferimento alla User Guide.
Nella seguente immagine vediamo la creazione di una PPSK. Il nome “TP-Link” identifica la PPSK, mentre la passphrase “tplink123” è utilizzata per permettere al client di connettersi al Wi-Fi.
Inserendo nel profilo un indirizzo MAC solo i client speficificati potranno utilizzare la passphrase di autenticazione. Inserendo l'assegnazione VLAN, una volta effettuata l'autenticazione i client si connetteranno alle corrispondenti VLAN.
Dopo aver creato il profilo PPSK andiamo in Settings > Wireless Networks, creiamo un nuovo wireless network selezioniamo PPSK senza RADIUS e il profilo PPSK.
3. Guida alla configurazione PPSK con RADIUS.
Step 1. Configuriamo il server RADIUS.
Nell'esempio stiamo eseguendo un FreeRADIUS® server su un server Linux. Pe maggiori info sull'installazione e configurazione consulta FreeRADIUS documentation.
Prima di tutto editiamo il file “clients.conf”. Nell'esempio l'EAP si trova nel network 192.168.0.0/24, la shared secret condivisa utilizzata per le comunicazioni tra gli EAP e il server RADIUS è “tplink”. Il “clients.conf” file apparirà quindi come nell'immagine seguente:
Ora editiamo il file “users”. Nell'esempio sotto sono stati creati 3 profili PPSK.
- Quando il client con indirizzo MAC “xx:xx:xx:xx:xx:xx” presenta la PPSK “xxx_tplink”, l'autenticazione andrà a buon fine.
- Quando il client con indirizzo MAC “yy:yy:yy:yy:yy:yy” presenta la PPSK “yyy_tplink”, l'autenticazione andrà a buon fine e verrà connesso alla VLAN 10.
- Quando il client con indirizzo MAC sconosciuto presenta la password di default “default”, l'autenticazione andrà a buon fine e verrà connesso alla rete “Guest” nella VLAN 20.
Step 2. Creiamo il profilo RADIUS.
Andiamo in Settings > Authentication > RADIUS Profile e creiamo un nuovo profilo legato al server RADIUS. Se necessario selezioniamo “Enable VLAN Assignment for Wireless Network”.
Step 3. Creiamo più interfacce per l'assegnazione VLAN (opzionale)
Andiamo in Settings > Wired Networks > LAN e creiamo due interfacce con VLAN10 e VLAN20.
Step 4. Creiamo una rete wireless criptata con PPSK con RADIUS
Andiamo in Settings > Wireless Networks e creiamo la nuova rete Wi-Fi mostrata nell'immagine di seguito.