Cómo Autenticar Usuarios Wireless con Summit WM20, WM100, WM200 etc. y Freeradius via MAC

Para esta guía, se requiere de lo siguiente:
1 - Servidor en mi caso estoy usando un ubuntu 9.04 (Jaunty Jackalope)
2 - FreeRadius (Freeradius 2.1)
3 - DaloRADIUS 0.9-8
4 - Un Wireless Switch WM (20, 100, 200, 1000, 3000, etc)

Para la instalación de FreeRadius, y el DaloRadius en el ubuntu 9.04 puede leer la siguiente guía en donde encontrará un paso a paso. Autenticación con Freeradius, MySQL y DaloRadius en Ubuntu 9.04

Una vez que tenemos instalado el Freeradius y el Daloradius (para la administración a través de Browser), ya podremos accesar a dicho sistema tal como se explica en la guía de Autenticación con Freeradius, MySQL y DaloRadius en Ubuntu 9.04. Seguidamente es necesario entrar a: "Management >> Nas >> New NAS" en donde declararemos el NAS (Network Access Server)
Figura 1:


NAS IP/HOST    : La IP o Nombre del WM (Si tenemos un DNS local, podemos crear un registro que apunte a la IP del WM, de tal forma que en este campo podríamos poner el nombre en lugar de la IP)
NAS Secret        : La palabra clave que se se le solicitará al WM para aceptar sus solicitudes de autenticacion
NAS Type            : Seleccionaremos un Tipo de NAS, que en este caso será "Other"
NAS Shortname: Un nombre que nos permita identificar nuestro equipo en la lista de NAS que tengamos

En este caso, comenzaremos haciendo autenticación por MAC, por lo tanto debemos crear un usuario de tipo MAC Address para lo cual tenemos que entrar en: Management >> Users >> New User >> MAC Address Autentication tal como se muestra en la figura 2
En donde se debe declarar la MAC Address tal cual la envia el NAS (WM),. En este punto se requiere tener mucho cuidado, pues si nosotros declaramos la MAC en un formato diferente al que se envia por el WM, entonces el proceso de autenticación se cancelará, debido a que la MAC enviada como la almacenada en la base de datos del RADIUS no será igual y si no se aparean el Radius Rechazará la petición.


Una vez que estemos dentro del Gui de administración del WM100 (este es mi caso), es necesario entrar a la  opción de: "WM Access Domain >> Global Settings" donde tendremos que declarar los parámetros necesarios para la creación del Realm de Autenticación del Radius. Ver Figura 3
Figura 3:

En "Server Name"    : Escribimos un Nombre para identificarel Realm de Autenticación (puede ser cualquier nombre que nos haga referencia al server)
En "Server Address" : Declaramos la IP del Servidor Radius (asegurarnos que el WM pueda alcanzar la IP del Servidor RADIUS)
En "Shared Secret"   : La Clave que escribimos cuando ralizamos la declaración del NAS en el Servidor de Radius (Esto vía el GUI de Daloradius).

Declarados ya todos los parámetros necesarios para levantar el Realm de autenticación via Radius, y teniendo ya definido el método de autenticación que deseamos implementar (en este caso, hemos comenzado por hacerlo via MAC), entonces ya podemos continuar con la configuración del Dominio de Acceso de WM, para lo cual podemos accesar a WM Access Domain y creamos un "Access Domain" al cual en nuestro ejemplo llamaremos "Lab-JM" y damos click en "Add Subnet" .
Una vez hecho esto, apararecerán otras opciones tal como se muestra en la figura 4.
WM-AD Mode: Esta opción nos permitirá configurar el compartamiento deseado para el tráfico.
- Routed:  El trafico es tuneleado al Controlador
- Bridge Traffic Locally at WAP: El Tráfico es pueneado al controlador
-  WDS: Sistema de Distribución Wireless (Utilizado para hacer bridge entre APs)
- Bridge Traffic Locally as SWM: Puenteado sobre una VLAN al controlador (No disponible en Controladores WM100/1000).
seleccionaremos la opción  Bridge Traffic Locally at WAP .
Figura 4:

Network Assignment: Esta opción nos determinará los demas factores de comportamiento del del WM-AD. Por lo tanto, podremos seleccionar los siguiente:
- SSID: Esta opción la seleccionaremos en cualquiera de los siguientes casos:
* Si se requiere un Portal Captivo para autenticación, o si no se requiere autenticación.
* Para soportar tráfico de Voz (QoS)
* Si el WM-AD es para usarlo con APs de terceros
* Si se requiere manejar privacidad de tipo WEP y WPA-PSK

- AAA: Esta opción nos permitirá la implementación del Standar 802.1x y se usará en cualquiera de los siguientes casos:
* Se requiere autenticación 802.1x
* Se requiere privacidad WEP y WPA

En cualquiera de estos casos, será necerio también filtrar algunas reglas necesarias para la interpretación de algunas respuestas del servidor Radius.

En esta misma sección debemos configurar también otros parámetros tales como: VLAN Settings y algunos tiempos de Timeout parámetros en los que no nos detendremos, debido a que el objetivo de este laboratorio es específicamente la parte de autenticación.

En la figura 5 se muestra la configuración de la distribución de RF que se har{a a traves de los Access Points distribuidos en el campus. Para este caso, la prueba se esta haciendo para un Solo AP, por lo tanto  el AP llamado "AP-LAB-JM" anunciará el SSID "JM-Lab". En la sección de "Altitude™ APs" es donde seleccionaremos a través de qué Access Points de los disponibles anunciaremos el SSID "JM-Lab", ademas de qué tipos de Radios propagaremos "a", "b/g", "b/g/n" ("n", dependerá si el modelos de WM ya soporta la tecnología 802.11n y si tenemos APs de este tipo conectados al controlador)
Figura 5:

En la sección de  "Advanced RF Settings" podemos configurar algunos settings tales como "Suppress SSID" opción que nos permitirá evitar que el SSID sea descubierto por las tarjetas Wireless. "Enable 11h Support" el cual permitirá a los dispositivos Wireless  descubrir qué niveles de señal de salida son los correctos para transmitir sus conexiones hacia el AP local. Asi mismo los APs podrán indicarles a los dispositivos wireless los niveles máximos de potencia para operar. Esto se hace a través de una funcion llamada "TPC" (Transmit Power Control), la cual es parte del standar 802.11h

Seguidamente, nos toca configurar la parte de autenticación para lo cual accesamos a la opción de "Auth & Acct" como se ve en la figura 6 en donde seleccionaremos la conexión de Radius que ya habiamos creado dentro de "Global Settings". Para nuestro caso será la conexión "lab-radius" luego seleccionamos el tipo de autenticación, para lo cual buscaremos la opción "MAC Servers" y en seguida, damos click en "Use" Figura 6:


Una vez esto esté listo, ya podremos ver la configuración tal cual se muestra en la figura 7. El * indica que se ha seleccionado un método de MAC
Figura 7:


si todo ha ido bien, podremos hacer algunas pruebas desde la opción de "Test" tal como se muestra en la figura 7. El formato de la mac deberá ser: xx:xx:xx:xx:xx:xx
Figura 8:


Si el Radius acepta la autenticación nos aparecerá un mensaje de "successfully authorized" al final del test indicándonos que todo ha ido ok. ver figura 8
Figura 8:


Si las pruebas de test dan OK, entonces ya podremos conectar conectar a los usuarios Wireless a traves del SSID en el cual se ha declarado el metodo de autenticacion "AAA". Tomando en cuenta, que esas MAC Address para esos dispositivos Wireless ya estan declarados en la base de datos del Servidor Radius.

.....!!!!!!

• Navegar

  • Inicio Base de Conocimientos
  • Todos los artículos
  • Glosario



• Categorías

  • Allied Telesyn (0)
  • BlueCoat (27)
  • Dlink (2)
  • Extreme Networks (3)
  • FortiAnalyzer (1)
  • Forticlient (1)
  • FortiDB (3)
  • FortiGates (43)
  • FortiMails (3)
  • FortiManager (0)
  • FortiVoice (7)
  • FortiWEB (0)
  • Mitel Networks (1)
  • Otros (4)
  • RedLine (5)
  • Ubuntu (14)
  • Videovigilancia IP (0)
  • Wireless Switch (0)