01 - Processo de Instalação

Ubuntu 22.04 LTS + Freeradius 3.2.x

Este procedimento, tem como objetivo, auxiliar o usuário na execução do script de instalação de seu novo servidor IDP Eduroam .

Obtendo uma máquina com Ubuntu 22.04 LTS

Realize o download do SO no site oficial

https://releases.ubuntu.com/22.04.3/ubuntu-22.04.3-live-server-amd64.iso

Iniciando a instalação do Freeradius 3.2.x

  1. Utilize usuário root

sudo su -

1.1 Baixe o script de instalação do eduroam a partir git da RNP

git clone https://git.rnp.br/eduroam-idp/rnp

1.2 Entre no diretório /root/rnp

cd /root/rnp

IMPORTANTE:

Copiar o arquivo contendo o certificado que enviamos ao seu e-mail para dentro de seu novo servidor eduroam, localizado no diretório "/root/rnp".

Para copiar o arquivo você pode utilizar por exemplo a ferramenta WinSCP (https://winscp.net/eng/download.php).

1.3 Descompacte o arquivo recebido do certificado (ex. eduroam.ufforigato.gov.br.tar.gz)

tar xzvf arquivo_recebido_em_seu_email.tar.gz

1.4 Mude a permissão do arquivo para modo executável:

chmod +x configura_idp_eduroam_Ubuntu22.04-Freeradius3.bash

1.5 Execute o script:

./configura_idp_eduroam_Ubuntu22.04-Freeradius3.bash

Após executar o comando acima será mostrado uma janela com todas informações necessárias para dar inicio na configuração do Freeradius. Selecione "Yes" para seguir .

Na próxima tela selecione a opção 1 - Atualizar_SO_Freeradius, ela atualizará o seu sistema operacional com o ultimo update e instalará o Freeradius em sua ultima versão .

Executando a etapa 2 - Instalar_EAPOL_Test, aqui faremos a instalação do software utilizado para realizar testes de autenticação EAP.

Agora daremos inicio na etapa 3 - Instalar_Certificados_RNP, ele é responsável pela comunicação entre o seu servidor Eduroam e a federação. Selecione o item 3, em seguida clique em "OK".

Após selecionar a etapa 3 - Instalação_certificado_RNP será feito um backup dos arquivos de configuração, assim que pronto, tecle S (sim) para confirmar que os arquivos FQDN são correspondentes ao seu servidor Eduroam, observe a imagem abaixo .

A etapa 4 - Instalar_certificado_ICPEDU é apenas para as instituições que emitiram o certificado para o DNS do servidor através do ICPEDU Corporativo.

Por tanto, podemos pular esta etapa caso seja utilizado o certificado auto assinado enviado por e-mail.

Caso a instituição utilize LDAP, selecionar a etapa 5 - Configurar_LDAP. Conforme imagem abaixo, informe o IP ou FQDN do seu servidor LDAP.

Informe a porta de seu servidor LDAP, em seguida clique em "OK".

Informe o basedn, em seguida clique em "OK".

Informe o usuário com permissão de leitura em sua base LDAP, em seguida clique em "OK".

Informe a senha do usuário, em seguida clique em "OK".

Confirme a senha do usuário e em seguida clique em "OK".

Por fim, confirme as informações e clique em "OK".

Caso sua instituição utilize o AD, selecione a etapa 6 - Configurar_AD. Conforme a imagem abaixo, informe o domínio de seu AD, em seguida clique em "OK".

Em seguida, insira o IP do AD e selecione "OK".

Agora informe o WorkGroup do seu domínio e selecione "OK" para prosseguir.

Será solicitado o login e depois a senha de um usuário do seu AD que está com privilégios de administrador para inserir seu servidor ao domínio e selecione "OK".

Um aviso será apresentado, se os dados estiverem corretos, selecione "YES".

Nas telas a seguir serão realizadas algumas configurações, basta aguardar os processos e pressionar enter sempre que for solicitado para continuar à próxima parte.

Verificação dos pacotes:

Configuração do SAMBA:

Configuração do WINBIND:

Validação do usuário com o comando kinit:

No passo seguinte, vamos executar o item 7 - Eapol_test_bob, nesta opção existe um usuário local "BOB", que será utilizado para testar a configuração do Freeradius .

Ocorrendo tudo certo, ele retornará a mensagem abaixo.

Agora execute o item "8 - Eapol_teste_rnp" esta opção executa um teste com o usuário teste.eduroam@rnp.br.

Caso ocorra falha na autenticação do usuário (externo) acima, uma causa comum seria o bloqueio no Firewall.

Se o Firewall fizer inspeção de pacotes SSL, as requisições não chegam ao servidor da Federação para efetuar o proxy ao seu domínio de destino.

Por tanto, verifique se as regras de Firewall estão configuradas corretamente.

Em seguida execute a opção "9 - Eapol_test_usuario_instituicao" e insira o seu usuário e senha para realizar teste de autenticação, conforme demonstra a imagem abaixo.

Repita o processo no item 10 para confirmar a autenticação, ao final, pressione "Enter" para continuar .

Ao ser efetuado o teste de autenticação no usuário da instituição, temos alguns pontos:

No teste com AD, esperamos o resultado OK para o protocolo Mschapv2. Este protocolo é nativo do AD e autentica todos os sistemas operacionais.

No teste com LDAP, esperamos o resultado OK para o protocolo PAP. Este protocolo é nativo do LDAP e autentica quase todos os sistemas, exceto o Windows.

No caso do LDAP, se a base da instituição possuir o schema do sambaNTPassword habilitado e populado, basta ir no arquivo abaixo e descomentar a seguinte linha:

Diretório:

/etc/freeradius/mods-enabled/ldap

Descomentar a linha:

control:NT-Password := 'sambaNTPassword'

Reinicie o serviço do Freeradius para que ele possa fazer a releitura do arquivo.

Execute a opção 11 - Testa Conexao Federacao, esta opção irá testar a conexão dos servidores da Federação RPS01 e RPS02.

O sistema vai informar que a conexão do teste foi bem sucedida na porta 2083 dos servidores RPS01 e RPS02 , selecione "OK" para prosseguir.

Por fim, execute o item 18 para sair do script.

Procedimento finais

Após ter saído do Script, Inclua o IP de sua controladora/AP e sua chave secreta dentro do arquivo /etc/freeradius/clients.conf

Segue exemplo de configuração:

### Campus Sede
client 200.137.193.131 {
          ipaddr = 200.137.193.131
          shortname = campus_sede
          secret = qplmkdfjgszvqru
          require_message_authenticator = no
          nastype = other
          }

Após as alterações reiniciar o Freeradius :

/etc/init.d/freeradius restart

Configurar a controladora para se conectar no servidor eduroam.

Atenção: Para que o roaming aconteça de forma automática e transparente, o SSID eduroam, criado na controladora ou ponto de acesso, deve estar obrigatoriamente escrito no formato minúsculo.

E por fim, executar testes em seu smartphone usando o SSID eduroam.

Last updated