# 01 - Processo de Instalação Este procedimento, tem como objetivo, auxiliar o usuário na execução do script de instalação de seu novo servidor IDP Eduroam . ### Obtendo uma máquina com Ubuntu 24.04 LTS Realize o download do SO no site oficial. **OBS: Instalar a versão padrão do Ubuntu, não utilizar a opção "minimal".** {% embed url="" %} ### Iniciando a instalação do Freeradius 3.2.x 1. Utilize usuário **root** ```bash sudo su - ``` 1.1 Baixe o script de instalação do eduroam a partir git da RNP ```bash git clone https://git.rnp.br/eduroam-idp/rnp ``` 1.2 Entre no diretório **/root/rnp** ```bash cd /root/rnp ``` {% hint style="warning" %} IMPORTANTE: Copiar o arquivo contendo o certificado que enviamos ao seu e-mail para dentro de seu novo servidor eduroam, localizado no diretório "**/root/rnp"**. Para copiar o arquivo você pode utilizar por exemplo a ferramenta WinSCP (). {% endhint %} 1.3 Descompacte o arquivo recebido do certificado (ex. eduroam.ufforigato.gov.br.tar.gz) ```bash tar xzvf arquivo_recebido_em_seu_email.tar.gz ``` 1.4 Mude a permissão do arquivo para modo executável: ```bash chmod +x configura_idp_eduroam.bash ``` 1.5 Execute o script: ```bash ./configura_idp_eduroam.bash ``` Após executar o comando acima será mostrado uma janela com todas informações necessárias para dar inicio na configuração do Freeradius. Selecione "**Yes**" para seguir . ![Tela Inicial](https://2718679435-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-M8CMBRB-YQwlxMaIyVu%2F-M8wHYhIEECK6g5HKiEp%2F-M8wJLhXSGYk68m5q5vT%2F01.png?alt=media\&token=24ec54ec-1687-48d4-8d0d-f2224a9cf06d) Na próxima tela selecione a opção **1 - Atualizar\_SO\_Freeradius**, ela atualizará o seu sistema operacional com o ultimo update e instalará o Freeradius em sua ultima versão . Executando a etapa **2 - Instalar\_EAPOL\_Test**, aqui faremos a instalação do software utilizado para realizar testes de autenticação EAP. Agora daremos inicio na etapa **3 - Instalar\_Certificados\_RNP**, ele é responsável pela comunicação entre o seu servidor Eduroam e a federação. **Selecione o item 3**, em seguida clique em "**OK".** ![Instalação do certificado](https://2718679435-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-M8CMBRB-YQwlxMaIyVu%2F-M8wKUh0nSZb0xMCxyGR%2F-M8wKf5v1TJajWGlpCdr%2F07.png?alt=media\&token=7d49a7fe-54c6-4ef0-8785-10c8df8b92ea) Após selecionar a etapa **3 - Instalação\_certificado\_RNP** será feito um backup dos arquivos de configuração, assim que pronto, **tecle S (sim)** para confirmar que os arquivos **FQDN** são correspondentes ao seu servidor Eduroam, observe a imagem abaixo . ![](https://2718679435-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-M8CMBRB-YQwlxMaIyVu%2F-M8wKUh0nSZb0xMCxyGR%2F-M8wKpnSsAE1jrvz2Yue%2F08.png?alt=media\&token=1c95e21f-598f-4e9c-8f81-01443b272029) {% hint style="info" %} A etapa 4 - Instalar\_certificado*\_*ICPEDU é apenas para as instituições que emitiram o certificado para o DNS do servidor através do ICPEDU Corporativo. Por tanto, podemos pular esta etapa caso seja utilizado o certificado auto assinado enviado por e-mail. {% endhint %} Caso a instituição utilize **LDAP,** selecionar a etapa **5 - Configurar\_LDAP.** Conforme imagem abaixo, informe o **IP** ou **FQDN** do seu servidor **LDAP**. ![](https://wiki.rnp.br/download/attachments/133963965/ldap%201.PNG?version=1\&modificationDate=1594387278000\&api=v2) Informe a porta de seu servidor **LDAP**, em seguida clique em "**OK".** ![](https://wiki.rnp.br/download/attachments/133963965/ldap%202.PNG?version=1\&modificationDate=1594387549000\&api=v2) Informe o **basedn**, em seguida clique em "**OK".** ![](https://wiki.rnp.br/download/attachments/133963965/ldap%203.PNG?version=1\&modificationDate=1594387648000\&api=v2) Informe o usuário com permissão de leitura em sua base **LDAP**, em seguida clique em "**OK".** ![](https://wiki.rnp.br/download/attachments/133963965/ldap%204.PNG?version=1\&modificationDate=1594387759000\&api=v2) Informe a senha do usuário, em seguida clique em "**OK".** ![](https://wiki.rnp.br/download/attachments/133963965/ldap%205.PNG?version=1\&modificationDate=1594387993000\&api=v2) Confirme a senha do usuário e em seguida clique em "**OK".** ![](https://wiki.rnp.br/download/attachments/133963965/ldap%206.PNG?version=1\&modificationDate=1594388095000\&api=v2) Por fim, confirme as informações e clique em "**OK".** ![](https://wiki.rnp.br/download/attachments/133963965/ldap%207.PNG?version=1\&modificationDate=1594388154000\&api=v2) Caso sua instituição utilize o **AD**, selecione a etapa **6 - Configurar\_AD**. Conforme a imagem abaixo, informe o **domínio de seu AD**, em seguida clique em "**OK".** ![Domínio do AD](https://2718679435-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-M8CMBRB-YQwlxMaIyVu%2F-M8wKUh0nSZb0xMCxyGR%2F-M8wLA8naIzYHo9V2_7a%2Fop%C3%A7%C3%A3o%206.1.png?alt=media\&token=f145615a-fe5e-4af0-be50-fbe08caf757e) Em seguida, **insira o IP do AD** e selecione "**OK**". ![IP do AD](https://2718679435-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-M8CMBRB-YQwlxMaIyVu%2F-M8wKUh0nSZb0xMCxyGR%2F-M8wLS4Od0FvUYgEUf-Y%2F10.png?alt=media\&token=a85c1d55-b36b-460a-bb0a-744c936427f9) Agora informe o **WorkGroup** do seu domínio e selecione "**OK**" para prosseguir. ![WorkGroup](https://2718679435-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-M8CMBRB-YQwlxMaIyVu%2F-M8wKUh0nSZb0xMCxyGR%2F-M8wLc4CtG-3ngenZJmW%2F11.png?alt=media\&token=59d12f41-9c45-49b8-83e8-6b88e2d6db11) Será solicitado o login e depois a senha de um usuário do seu AD que está com privilégios de administrador para inserir seu servidor ao domínio e selecione **"OK".** ![Usuário Admin](https://2718679435-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-M8CMBRB-YQwlxMaIyVu%2F-M8wKUh0nSZb0xMCxyGR%2F-M8wLyVmdokpqzZCuTIe%2F13.png?alt=media\&token=60890f5d-9dbe-49ea-99ac-52b650ce192b) Um aviso será apresentado, se os dados estiverem corretos, selecione "**YES**". ![Aviso](https://2718679435-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-M8CMBRB-YQwlxMaIyVu%2F-M8wKUh0nSZb0xMCxyGR%2F-M8wMLlhdUpTmrrKTWiJ%2F14.png?alt=media\&token=04a3d6db-f84c-4974-99fc-e6f3ee94f605) Nas telas a seguir serão realizadas algumas configurações, **basta aguardar os processos e pressionar enter sempre que for solicitado** para continuar à próxima parte. Verificação dos pacotes: ![](https://2718679435-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-M8CMBRB-YQwlxMaIyVu%2F-M8zwPQXI61oGPTO4ju-%2F-M8zwj_2R-vV2txgd6SX%2F20.png?alt=media\&token=ac5dee75-5174-44e5-9171-e17020fcceb4) Configuração do SAMBA: ![](https://2718679435-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-M8CMBRB-YQwlxMaIyVu%2F-M8zwPQXI61oGPTO4ju-%2F-M8zx1y_KqzNyzhHWvgU%2F21.png?alt=media\&token=e7caab60-594c-4248-8c15-0b75ab337c4c) Configuração do WINBIND: ![](https://2718679435-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-M8CMBRB-YQwlxMaIyVu%2F-M8zwPQXI61oGPTO4ju-%2F-M8zxVWKSxo9hwoQ8qCA%2F22.png?alt=media\&token=b7e38d91-5118-411b-bea6-42e0f338a574) Validação do usuário com o comando kinit: ![](https://2718679435-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-M8CMBRB-YQwlxMaIyVu%2F-M8zwPQXI61oGPTO4ju-%2F-M8zxbnrvwh85R-Kz0jJ%2Fop%C3%A7%C3%A3o6.10.png?alt=media\&token=459c970f-9873-4cd5-a1fd-0d8f45b72fd3) No passo seguinte, vamos executar o item **7 - Eapol\_test\_bob**, nesta opção existe um usuário local "BOB", que será utilizado para testar a configuração do Freeradius . ![](https://2718679435-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-M8CMBRB-YQwlxMaIyVu%2F-M8zwPQXI61oGPTO4ju-%2F-M8zyEXYPvBTgx4ktmQY%2F23.png?alt=media\&token=b21a3e21-ff28-4232-b056-fae2a9c40f24) Ocorrendo tudo certo, ele retornará a mensagem abaixo. ![](https://2718679435-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-M8CMBRB-YQwlxMaIyVu%2F-M8zwPQXI61oGPTO4ju-%2F-M8zyLuY3xgRNjk7GUbd%2F24.png?alt=media\&token=c6c40d67-fafb-4f01-a850-fca84e7b3dc6) Agora execute o item "**8 - Eapol\_teste\_rnp**" esta opção executa um teste com o usuário **.** ![](https://2718679435-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-M8CMBRB-YQwlxMaIyVu%2F-M8zwPQXI61oGPTO4ju-%2F-M8zyXZf0C5rXgAcMQ1S%2F25.png?alt=media\&token=fa0de5d6-2f41-48dd-9b29-00e8eccc31fb) {% hint style="info" %} Caso ocorra falha na autenticação do usuário (externo) acima, uma causa comum seria o bloqueio no Firewall. Se o Firewall fizer inspeção de pacotes SSL, as requisições não chegam ao servidor da Federação para efetuar o proxy ao seu domínio de destino. Por tanto, verifique se as regras de Firewall estão configuradas corretamente. {% endhint %} Em seguida execute a opção **"9 - Eapol\_test\_usuario\_instituicao**" e insira o seu usuário e senha para realizar teste de autenticação, conforme demonstra a imagem abaixo. ![](https://2718679435-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-M8CMBRB-YQwlxMaIyVu%2F-M8zwPQXI61oGPTO4ju-%2F-M8zyl3Efj1kW0mGAsc4%2F26.png?alt=media\&token=d1e5c4ce-640f-412b-94f8-1b730d80484d) Repita o processo no **item 10** para confirmar a autenticação, ao final, pressione "**Enter**" para continuar . ![](https://2718679435-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-M8CMBRB-YQwlxMaIyVu%2F-M8zwPQXI61oGPTO4ju-%2F-M8zz5Y6HcigryUEH_yO%2F27.png?alt=media\&token=26ddef36-191a-4dc1-b800-cad308455f36) {% hint style="info" %} Ao ser efetuado o teste de autenticação no usuário da instituição, temos alguns pontos: No teste com AD, esperamos o resultado OK para o protocolo Mschapv2. Este protocolo é nativo do AD e autentica todos os sistemas operacionais. No teste com LDAP, esperamos o resultado OK para o protocolo PAP. Este protocolo é nativo do LDAP e autentica quase todos os sistemas, exceto o Windows. No caso do LDAP, se a base da instituição possuir o schema do sambaNTPassword habilitado e populado, basta ir no arquivo abaixo e descomentar a seguinte linha: Diretório: /etc/freeradius/mods-enabled/ldap Descomentar a linha: control:NT-Password := 'sambaNTPassword' Reinicie o serviço do Freeradius para que ele possa fazer a releitura do arquivo. {% endhint %} Execute a opção **11 - Testa Conexao Federacao**, esta opção irá testar a conexão dos servidores da Federação RPS01 e RPS02. ![](https://2718679435-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-M8CMBRB-YQwlxMaIyVu%2F-M8zwPQXI61oGPTO4ju-%2F-M8zzKA8MZQ-F44TBXfe%2F28.png?alt=media\&token=84fe992f-d5b8-4d9d-a18f-3c5ad1680be3) O sistema vai informar que a conexão do teste foi bem sucedida na porta 2083 dos servidores RPS01 e RPS02 , selecione **"OK"** para prosseguir. ![](https://2718679435-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-M8CMBRB-YQwlxMaIyVu%2F-M8zwPQXI61oGPTO4ju-%2F-M8zzUSrGumGC1Jf0dvD%2F29.png?alt=media\&token=8df7ffa7-0bad-4d34-a6ad-703412451548) Por fim, execute o item 18 para sair do script. ![](https://2718679435-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-M8CMBRB-YQwlxMaIyVu%2F-M8zwPQXI61oGPTO4ju-%2F-M8zzcAQprZRczJbwB8p%2F30.png?alt=media\&token=821ad972-ea13-4ad7-a993-5f2f5d74e8b1) ### Procedimento finais Após ter saído do Script, Inclua o IP de sua controladora/AP e sua chave secreta dentro do arquivo **/etc/freeradius/clients.conf** Segue exemplo de configuração: ```bash ### Campus Sede client 200.137.193.131 { ipaddr = 200.137.193.131 shortname = campus_sede secret = qplmkdfjgszvqru require_message_authenticator = no nastype = other } ``` Após as alterações reiniciar o Freeradius : ```bash /etc/init.d/freeradius restart ``` Configurar a controladora para se conectar no servidor eduroam. {% hint style="danger" %} **Atenção: Para que o roaming aconteça de forma automática e transparente, o SSID ****eduroam****, criado na controladora ou ponto de acesso, deve estar obrigatoriamente escrito no formato minúsculo.** {% endhint %} E por fim, executar testes em seu smartphone usando o SSID eduroam.