Configurando um certificado válido
Para configurar o servidor do eduroam na instituição para responder com um certificado válido é simples e não requer muitos passos de configuração.
É necessário ter um certificado válido Gerado pelo serviço ICPEdu ou caso a instituição tenha convênio com outra certificadora.
Crie a pasta onde os arquivos da ICPEdu GlobalSign ficarão armazenados
mkdir /etc/freeradius/certs/icpedu
Entre na pasta
cd /etc/freeradius/certs/icpedu/
Salvar todos os arquivos gerados (e.g. *.crt, *.pem, *.key etc) na pasta padrão de certificados do Freeradius: /etc/freeradius/certs/icpedu
Configurando arquivos necessários no Freeradius
O único arquivo que deve ser alterado para conter o caminho do certificado válido é o eap
Localização do arquivo
cd /etc/freeradius/mods-available/
Editando o arquivo
vim /etc/freeradius/mods-available/eap
Alterando conteúdo para indicar o novo certificado (válido)
Altere os campos indicados abaixo para suportar a validação do certificado
...
eap {
...
tls-config tls-common {
private_key_password = <SENHA_CERTIFICADO> # exemplo: [email protected]
private_key_file = ${certdir}/icpedu/<CHAVE_CERTIFICADO> # exemplo: eduroam.ufjf.br.key
certificate_file = ${certdir}/icpedu/<ARQUIVO_CERTIFICADO> # exemplo: eduroam.ufjf.br.crt
ca_file = ${cadir}/icpedu/<CERTIFICADO_CA> # exemplo: icpedu.crt (Arquivo de certificado da CA ICPEdu GlobalSign)
# auto_chain = yes
dh_file = ${certdir}/dh
# random_file = /dev/urandom
# fragment_size = 1024
# include_length = yes
# check_crl = yes
# check_all_crl = yes
ca_path = ${cadir}
...
}
}
Os parâmetros acima normalmente não existem no arquivo final do EAP, porém, caso existam, favor comentar conforme a imagem.
Reinicie o serviço
service freeradius restart
Esqueça a rede Eduroam nos dispositivos dos clientes e teste a autenticação nos dispositivos.
Last modified 7d ago