Implementando RADIUS no Windows Server 2016 para autenticação Wifi

Uma solução muito interessante para ser implementada em redes Enterprise, ainda mais com a chegada da LGPD(lei de geral de proteção de dados) que não se define somente uma senha compartilhada para várias conexões é o protocolo 802.1x, é possível realizar a autenticação através de usuário e senha, permitindo também gerir os acessos por usuários ao contrário da chave compartilhada WPA.

Como várias empresas possui em seu ambiente o serviço de Active Directory do Windows Server é possível realizar a integração do Radius ao AD DS(Active Directory Domain Services) para centralização dos acessos por usuários.

Leia mais:

Guia definitivo com 174 cursos grátis da Udemy para 2020
Rebaixar DC com problema do Active Directory via NTDSUTIL
Como desabilitar o update automático do Windows 10
Microsoft lança atualização urgente do Windows para corrigir duas falhas críticas
4 cursos para você que quer aprender Windows Server

Vamos para implementação dessa configuração, lembrando que já possui um AD no ambiente!

INSTALAÇÃO E CONFIGURAÇÃO AD CS

Passo 1: será configurado a função no Windows Server 2016 para emissão de um certificado digital interno, instalando os binários do AD CS (Active Directory Certificate Services) e posterior configuração da CA.

Recomenda-se para ambientes corporativos de médio e grande porte execução desse serviço em HA.

1) Instalação dos binários do AD CS:

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

2) Selecione somente a CA.

Só seguir dando next até a finalização de instalação dos binários.

3) Configuração da CA, para integração ao AD.

4) Necessário de privilégios administrativos, por isso utiliza-se as credencias de administrador

5) Selecionar serviço da CA.

6) Selecionar autoridade da CA Enterprise.

7) Selecionar CA Raiz.

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

8) Criar uma CA nova.

9) Definição do tipo de criptografia e seu hash.

10) Crie um nome para sua CA.

11) Adicionar validade para CA.

12) Local de preferência para banco de dados e log.

13) Resumo das configurações, antes de configurar.

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

14) Configuração da CA efetuada com sucesso.

No momento da definição de validade do certificado são permitido apenas 2 anos por certificadoras externas, por isso executa-se algum comandos para estender o tempo e evitar eventuais processos de renovações.

#Comandos via PowerShell privilégios administrativo
#verificar o período de validade
certutil -getreg ca\ValidityPeriod

#verificar unidades do período de validade
certutil -getreg ca\ValidityPeriodUnits

#alterar o período máximo de validade para 25 anos
certutil -setreg ca\ValidityPeriodUnits 25

#reiniciar o serviço
Restart-Service -Name certsvc

INSTALAÇÃO E CONFIGURAÇÃO NPS (Network Policy Server)

Nessa etapa será realizado a personalização do modelo de certificado que será utilizado para emissão do servidor RADIUS MS e instalação/configuração do NPS.

1) Instalação dos binários do Network Policy Server.

2) Executar o comando certsrv.msc, para começar as configurações do certificado do servidor Radius.

  1. botão direito em “Certificate Templates”
  2. selecionar “Manage”

3) RAS and IAS Server.

  1. botão direito “Duplicate Template”

4) Definir novo modelo.

5) Permitir chave privada seja compartilhada.

6) Permitir solicitação do modelo de certificado para o grupo RAS and IAS Servers(verificar se o o servidor se encontra nesse grupo).

7) Criar modelo de certifica a ser emitido.

  1. botão direito “New”
  2. selecionar “Certificate Template to Issue”

8) Ativar o modelo de certificado criado.

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

9) Configuração para o processo de emissão do certificado NPS.

  1. executar “mmc
  2. selecionar em “arquivo” e “adicionar snap-in
  3. selecionar “certificates
  4. adicionar opção “computer account” e concluir

10) Solicitar novo certificado.

  1. Avançar duas vezes

11) Selecionar modelo criado anteriormente e registrar.

12) Emissão do certificado de acordo com a validade selecionada.

  1. Nesse momento foi adicionado outro certificado com a validação para o servidor Radius.

13) Detalhes da emissão do certificado.

14) Abrir console NPS para configuração.

15) Selecionar server Radius para conexão.

16) Configurar IP do dispositivo que será aceito para encaminhar o Raidus para autenticação dos clientes.

17) Modelo de autenticação

18) Se preferir pode especificar grupos de segurança que deseja atribuir para os acessos ao Wifi, ou deixar em branco se não quiser efetuar esse controle.

19) Desmarcar métodos de conexão menos seguros.

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

FUNCIONAMENTO

1) Configurar no equipamento modelo de autenticação Enterprise utilizando Radius e apontando para o servidor.

2) Autenticação permitida somente para membros do grupo especificado

3) Tentativa de autenticação sem estar no grupo permitido, observe que o usuário não faz mais parte do grupo Wifi.

Referência: https://www.linkedin.com/pulse/implementando-radius-windows-server-2016-para-wifi-mateus/

Assine nosso Newsletter:

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram..

Felipe Santos
Felipe Santos é Arquiteto de Cloud e Segurança, com vivência em Administração de Ambientes Windows Server, Cluster, Storages, Backups Veeam e Office 365.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!