Links

01 - Processo de Instalação

Ubuntu 22.04 LTS + Freeradius 3.2.x
Este procedimento, tem como objetivo, auxiliar o usuário na execução do script de instalação de seu novo servidor IDP Eduroam .

Obtendo uma máquina com Ubuntu 22.04 LTS

Realize o download do SO no site oficial

Iniciando a instalação do Freeradius 3.2.x

  1. 1.
    Utilize usuário root
sudo su -
1.1 Baixe o script de instalação do eduroam a partir git da RNP
git clone https://git.rnp.br/eduroam-idp/rnp
1.2 Entre no diretório /root/rnp
cd /root/rnp
IMPORTANTE:
Copiar o arquivo contendo o certificado que enviamos ao seu e-mail para dentro de seu novo servidor eduroam, localizado no diretório "/root/rnp".
Para copiar o arquivo você pode utilizar por exemplo a ferramenta WinSCP (https://winscp.net/eng/download.php).
1.3 Descompacte o arquivo recebido do certificado (ex. eduroam.ufforigato.gov.br.tar.gz)
tar xzvf arquivo_recebido_em_seu_email.tar.gz
1.4 Mude a permissão do arquivo para modo executável:
chmod +x configura_idp_eduroam_Ubuntu22.04-Freeradius3.bash
1.5 Execute o script:
./configura_idp_eduroam_Ubuntu22.04-Freeradius3.bash
Após executar o comando acima será mostrado uma janela com todas informações necessárias para dar inicio na configuração do Freeradius. Selecione "Yes" para seguir .
Tela Inicial
Na próxima tela selecione a opção 1 - Atualizar_SO_Freeradius, ela atualizará o seu sistema operacional com o ultimo update e instalará o Freeradius em sua ultima versão .
Executando a etapa 2 - Instalar_EAPOL_Test, aqui faremos a instalação do software utilizado para realizar testes de autenticação EAP.
Agora daremos inicio na etapa 3 - Instalar_Certificados_RNP, ele é responsável pela comunicação entre o seu servidor Eduroam e a federação. Selecione o item 3, em seguida clique em "OK".
Instalação do certificado
Após selecionar a etapa 3 - Instalação_certificado_RNP será feito um backup dos arquivos de configuração, assim que pronto, tecle S (sim) para confirmar que os arquivos FQDN são correspondentes ao seu servidor Eduroam, observe a imagem abaixo .
A etapa 4 - Instalar_certificado_ICPEDU é apenas para as instituições que emitiram o certificado para o DNS do servidor através do ICPEDU Corporativo.
Por tanto, podemos pular esta etapa caso seja utilizado o certificado auto assinado enviado por e-mail.
Caso a instituição utilize LDAP, selecionar a etapa 5 - Configurar_LDAP. Conforme imagem abaixo, informe o IP ou FQDN do seu servidor LDAP.
Informe a porta de seu servidor LDAP, em seguida clique em "OK".
Informe o basedn, em seguida clique em "OK".
Informe o usuário com permissão de leitura em sua base LDAP, em seguida clique em "OK".
Informe a senha do usuário, em seguida clique em "OK".
Confirme a senha do usuário e em seguida clique em "OK".
Por fim, confirme as informações e clique em "OK".
Caso sua instituição utilize o AD, selecione a etapa 6 - Configurar_AD. Conforme a imagem abaixo, informe o domínio de seu AD, em seguida clique em "OK".
Domínio do AD
Em seguida, insira o IP do AD e selecione "OK".
IP do AD
Agora informe o WorkGroup do seu domínio e selecione "OK" para prosseguir.
WorkGroup
Será solicitado o login e depois a senha de um usuário do seu AD que está com privilégios de administrador para inserir seu servidor ao domínio e selecione "OK".
Usuário Admin
Um aviso será apresentado, se os dados estiverem corretos, selecione "YES".
Aviso
Nas telas a seguir serão realizadas algumas configurações, basta aguardar os processos e pressionar enter sempre que for solicitado para continuar à próxima parte.
Verificação dos pacotes:
Configuração do SAMBA:
Configuração do WINBIND:
Validação do usuário com o comando kinit:
No passo seguinte, vamos executar o item 7 - Eapol_test_bob, nesta opção existe um usuário local "BOB", que será utilizado para testar a configuração do Freeradius .
Ocorrendo tudo certo, ele retornará a mensagem abaixo.
Agora execute o item "8 - Eapol_teste_rnp" esta opção executa um teste com o usuário [email protected].
Caso ocorra falha na autenticação do usuário (externo) acima, uma causa comum seria o bloqueio no Firewall.
Se o Firewall fizer inspeção de pacotes SSL, as requisições não chegam ao servidor da Federação para efetuar o proxy ao seu domínio de destino.
Por tanto, verifique se as regras de Firewall estão configuradas corretamente.
Em seguida execute a opção "9 - Eapol_test_usuario_instituicao" e insira o seu usuário e senha para realizar teste de autenticação, conforme demonstra a imagem abaixo.
Repita o processo no item 10 para confirmar a autenticação, ao final, pressione "Enter" para continuar .
Ao ser efetuado o teste de autenticação no usuário da instituição, temos alguns pontos:
No teste com AD, esperamos o resultado OK para o protocolo Mschapv2. Este protocolo é nativo do AD e autentica todos os sistemas operacionais.
No teste com LDAP, esperamos o resultado OK para o protocolo PAP. Este protocolo é nativo do LDAP e autentica quase todos os sistemas, exceto o Windows.
No caso do LDAP, se a base da instituição possuir o schema do sambaNTPassword habilitado e populado, basta ir no arquivo abaixo e descomentar a seguinte linha:
Diretório:
/etc/freeradius/mods-enabled/ldap
Descomentar a linha:
control:NT-Password := 'sambaNTPassword'
Reinicie o serviço do Freeradius para que ele possa fazer a releitura do arquivo.
Execute a opção 11 - Testa Conexao Federacao, esta opção irá testar a conexão dos servidores da Federação RPS01 e RPS02.
O sistema vai informar que a conexão do teste foi bem sucedida na porta 2083 dos servidores RPS01 e RPS02 , selecione "OK" para prosseguir.
Por fim, execute o item 18 para sair do script.

Procedimento finais

Após ter saído do Script, Inclua o IP de sua controladora/AP e sua chave secreta dentro do arquivo /etc/freeradius/clients.conf
Segue exemplo de configuração:
### Campus Sede
client 200.137.193.131 {
ipaddr = 200.137.193.131
shortname = campus_sede
secret = qplmkdfjgszvqru
require_message_authenticator = no
nastype = other
}
Após as alterações reiniciar o Freeradius :
/etc/init.d/freeradius restart
Configurar a controladora para se conectar no servidor eduroam.
Atenção: Para que o roaming aconteça de forma automática e transparente, o SSID eduroam, criado na controladora ou ponto de acesso, deve estar obrigatoriamente escrito no formato minúsculo.
E por fim, executar testes em seu smartphone usando o SSID eduroam.