Apresentação

O serviço eduroam reúne instituições de ensino e pesquisa brasileiras e internacionais. Através do eduroam, um usuário pode acessar a rede sem fio de sua instituição ou de outras instituições que fazem parte do serviço.

A adesão ao eduroam permite que sua instituição integre uma rede de hotspots espalhados pelo mundo, possibilitando dessa maneira o roaming de rede sem fio, sem a necessidade de outras configurações por parte dos usuários e administradores dessas redes.

As palavras-chave "deve" (must), "não deve" (must not), "necessário" (required), "deverá" (shall), "não deverá" (shall not), "deveria” (should), "não deveria" (should not), "recomendado" (recommended), "pode" (may), e "opcional" (optional), no presente documento estão de acordo com a RFC 21191.

Definições

• eduroam: eduroam é um serviço federado que provê acesso seguro à rede sem fio, autenticando os usuários com suas credenciais nas instituições de origem.

• Provedor de identidade eduroam (eduroam Identity Provider - IDP): Instituição responsável por gerenciar as credenciais de acesso e a operação de um servidor de autenticação utilizado para autenticar os seus usuários.

• Provedor de serviço eduroam (eduroam Service Provider - SP): Instituição que opera uma rede sem fio onde usuários do eduroam conseguem acesso, uma vez que eles sejam autenticados por suas instituições de origem (IDP).

• Organizações usuárias: qualquer instituição qualificada para utilização dos serviços da RNP;

• Identidade digital: registro do usuário da organização cliente com valor único e persistente;

• Credenciais: dados para autenticação do usuário, vinculados à sua identidade digital sendo, minimamente, login e senha;

• Protocolo: convenção ou padrão que controla e possibilita uma conexão, comunicação ou transferência de dados entre dois sistemas computacionais;

• Especificação Técnica do eduroam: informações técnicas do eduroam, disponibilizadas na página de Ajuda da RNP (https://ajuda.rnp.br/eduroam/);

• Comitê Assessor de Gestão de Identidade: grupo responsável pelo assessoramento da RNP nas questões que envolvem políticas, padrões, requisitos, boas práticas, adesão de provedores de serviços/identidade, bem como elaboração de planos de ações.

• Incidente de segurança: Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de computação ou de redes de computadores.

Principais terminologias do Eduroam

• Provedor de identidade do eduroam (eduroam Identity Provider - IDP): Uma entidade que é responsável pelas credenciais de usuário e a operação de um servidor de autenticação para acesso ao eduroam destes usuários. IdPs também são conhecidos como "instituições de origem".

• Provedor de serviço do eduroam (eduroam Service Provider - SP): Uma entidade que opera uma rede de acesso no qual os usuários eduroam são admitidos para acessar serviços de Internet, uma vez que são autenticado com êxito por seu IDP. SPs também são conhecidos como "instituições visitadas".

• Operador de roaming (Roaming Operator - RO): A entidade que opera o serviço eduroam para um país ou economia e que é reconhecido como tal pelo RC que ele pertence, ou, no caso de o país ou economia é parte de uma região geográfica para a qual um RC não é estabelecida, pela GeGC. O RO pode ser um operador Nacional de Pesquisa e Rede de Educação, por exemplo. ROs são por vezes referido como "As operadoras eduroam".

• Servidor de proxy RADIUS (RADIUS Proxy Server- RPS): RPSs são estabelecidos e mantidos, a fim de fornecer a infra-estrutura técnica (ou seja, a hierarquia do servidor RADIUS) parao serviço eduroam global. Os RPSs de nível superior para uma região geográfica são mantidas pelo RC correspondente. Nos casos em que um RC não é estabelecida para uma determinada região, o GeGC, aconselhado pelo ROs daquela região, nomeia o RO que irá executar os RPSs de nível superior para a região.

• Confederação de Roaming (Roaming Confederation - RC): Uma entidade que consiste em um conjunto coeso de ROs que sirva uma região geográfica e que seja reconhecido como tal pelo GeGC. O "European eduroam Confederation" é um exemplo.

Público alvo

O uso deste serviço é permitido a todas as organizações usuárias da RNP e àquelas instituições que forem autorizadas, em conjunto ou em particular, pelo Comitê Assessor de Gestão de Identidade com anuência da RNP.

Adesão ao serviço

O pedido de adesão ao serviço deve ser realizado pelo designado institucional, que deve entrar em contato com o Service Desk da RNP para início do processo de adesão e indicar os responsáveis local pela gestão do serviço na instituição cliente.

Se a instituição não estiver credenciada, a adesão somente prosseguirá após o término do credenciamento junto a equipe de relacionamento com o cliente da RNP.

Requisitos

A instituição solicitante deve ser cliente da Comunidade Acadêmica Federada (CAFe) e ter os recursos técnicos e humanos necessários para adesão ao eduroam e subsequente atendimento de seus usuários.

O dimensionamento destes recursos deve ser feito pela própria instituição de acordo com o tamanho de sua infraestrutura.

Termo de uso

As instituições devem:

De acordo com o termo de uso da CAFe:

• Associar a cada usuário um atributo de identidade com valor único e persistente, evitando que esses atributos sejam reutilizados;

• Manter atualizadas e fidedignas as informações dos usuários da instituição;

• Utilizar um serviço de autenticação de usuários seguro e confiável utilizando, no mínimo, login e senha únicos para cada usuário;

• Garantir que as contas de usuários autenticados na CAFe correspondem a pessoas físicas, não podendo existir usuários genéricos - associados a papéis e funções;

• Receber e auxiliar equipe designada pela CAFe para realização de auditoria;

• Aderir aos padrões estabelecidos na “Especificação Técnica da CAFe”;

• Atualizar os metadados da CAFe no mínimo a cada trinta dias.

Além dos deveres mapeados na política de uso da CAFe, foram agregados para o eduroam:

• Receber e auxiliar equipe designada pelo eduroam para realização de auditoria;

• Possuir infraestrutura técnica conforme padrões estabelecidos na “Especificação Técnica do eduroam”, disponibilizadas na página de Ajuda da RNP (https://ajuda.rnp.br/eduroam/);

• Disponibilizar ao menos 60% dos pontos de acesso disponíveis nos Campi ou área da instituição cliente, não podendo haver cobrança no acesso de usuários eduroam locais ou de qualquer outro IDP;

• Manter atualizadas as informações de georeferenciamento no portal Marker eduroam (https://marker-eduroam.rnp.br/);

• Manter a integridade e disponibilidade de todos os ativos envolvidos no serviço;

• Manter os todos ativos envolvidos no serviço eduroam atualizados, de acordo com a documentação vigente;

• Fornecer suporte aos seus usuários;

• Registrar todas as tentativas de autenticações, com registro de data e horário, atributo Nome do Usuário, endereço MAC e o tipo de resposta a autenticação (aceito ou rejeitado);

• Reter as informações de autenticação descritas no item anterior por pelo menos seis meses.

As especificações técnicas do eduroam poderão sofrer atualizações sem aviso prévio, com o intuito de acompanhar o desenvolvimento tecnológico e a manutenção da segurança do serviço.

O desrespeito a quaisquer dessas condições levará a instituição cliente a receber punições, que podem ir desde uma simples advertência até um processo jurídico.

Preço

A princípio, não há custos diretos para os clientes deste serviço, com exceção daqueles necessários para sua implantação, manutenção e disseminação dentro da própria organização cliente.

Processo de suporte

A RNP atuará no suporte interagindo com os responsáveis técnicos das instituições e não com os usuários finais. Quando o responsável técnico da instituição necessitar abrir uma solicitação de suporte, este deverá entrar em contato com o Service Desk da RNP (contatos abaixo) e informar detalhadamente o problema para que o primeiro nível de suporte seja fornecido. Se o problema não for sanado no primeiro nível, os suportes de segundo e terceiro nível trabalharão juntamente com o corpo técnico da instituição cliente para que o problema seja sanado o mais rápido possível. Todo processo será documentado via ferramenta de atendimento, sendo fornecido um número de atendimento, o qual será referenciado durante todo o processo de suporte.

Incidente de segurança

Em caso de incidente de segurança causado pelo usuário do eduroam, a instituição afetada deverá informar imediatamente à RNP via e-mail (atendimento@rnp.br). Após analisar o incidente a RNP notificará à instituição de origem e informará quais medidas deverão ser tomadas.

Considerações Finais

Os bancos de dados com os registros de identidade são mantidos exclusivamente pelas instituições clientes não sendo, portanto, responsabilidade da RNP como gestora do ponto central de roaming no Brasil, prover atualização dos metadados, auditoria ou cópias de segurança dos mesmos.

Contato

A RNP mantém um este portal de Ajuda onde a instituição cliente poderá consultar mais informações e atualizações sobre o serviço (ajuda.rnp.br). Demais dúvidas relacionadas a esta política de uso, poderão ser enviadas para o Service Desk da RNP pelo telefone/ WhatsApp 0800 722 0216, ou pelo e-mail atendimento@rnp.br, em qualquer horário, todos os dias da semana.

1 - Baixe o aplicativo CATeduroam na APP Store:

> APP Store

2 - Após baixar, acesse o aplicativo e na tela inicial escolha a sua instituição;

3 - Será solicitado seu usuário da instituição e senha para acesso à Rede sem fio eduroam.

Onde acessar? Baixe gratuitamente o aplicativo eduroam Companion para saber o local mais próximo com acesso Rede sem fio eduroam.

A instituição, além da necessidade de já possuir uma infraestrutura de rede sem fio, precisa reservar uma máquina para instalação do servidor radius eduroam.

Especificações da máquina (podendo ser física ou virtual):

• Sistema Operacional Ubuntu 22.04 LTS;

• Arquitetura de 64 bits;

• 8GB de memória RAM;

• 4 CPUs;

• 1 Disco rígido de 200 GB;

• 1 Adaptador de rede pré-configurado para usar ip fixo (nat ou válido);

• Saber o nome físico da placa de rede da vm, exemplo: ens160;

• Ter certificado válido para o Freeradius;

• Rodar apt update e apt upgrade na vm

• Definir o DNS da maquina dentro da instituição, tem que ser o DNS direto e reverso. Exemplo DNS direto: eduroam.suainstituicao.edu.br apontando para o IP x.x.x.x Exemplo de DNS reverso. x.x.x.x apontando para eduroam.suainstituicao.edu.br

• LDAP e/ou AD:

  • LDAP: Necessário que a pessoa que estiver instalando o IDP Eduroam dentro da instituição tenha em mãos: Todos os dados do LDAP caso a instituição utilize o LDAP para autenticar os usuários, inclusive dentro do schema do LDAP deve ter o campo sambaNTPassword.

  • AD: IP do servidor de AD. O servidor do Eduroam deve ser inserido no grupo de computadores do AD, para isso é necessário que você tenha um usuário com poder de inserir novas maquinas no domínio de seu AD.

Configurações da máquina:

• O servidor deve estar configurado com IP e com acesso a internet ;

• Certifique que DNS foi configurado corretamente em sua nova máquina (normalmente fica em /etc/resolv.conf).

Configurações de Firewall:

• Para que a comunicação entre os servidores funcionem, necessário liberar a entrada e saída da porta TCP 2083 para os IPs 200.130.35.98 e 200.143.193.92;

• Liberar também o PING (ICMP).

IP's: rps01.eduroam.org.br (200.130.35.98) rps02.eduroam.org.br (200.143.193.92)

Porta: TCP 2083

Outras orientações:

As instituições que utilizam o OpenLDAP como diretório de autenticação de seus usuários e precisam autenticar usuários que utilizam o sistema operacional Microsoft Windows devem observar as seguintes informações:

• O OpenLDAP não suporta nativamente a autenticação de clientes Microsoft Windows que utilizam o protocolo MS-CHAP (Microsoft Challenge-Handshake Authentication Protocol). Para suportar a autenticação de usuários que utilizam o sistema operacional Microsoft Windows, é necessário no OpenLDAP adicionar o atributo SambaNTPassword disponível no schema samba.

Para se certificar que o servidor está resolvendo o DNS:

ping -c 3 rps01.eduroam.org.br

Resposta esperada: PING rps01.eduroam.org.br (200.130.35.98) 56(84) bytes of data. 64 bytes from 200.130.35.98: icmp_req=1 ttl=64 time=0.059 ms 64 bytes from 200.130.35.98: icmp_req=2 ttl=64 time=0.029 ms 64 bytes from 200.130.35.98: icmp_req=3 ttl=64 time=0.035 ms --- 200.130.35.98 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 1998ms rtt min/avg/max/mdev = 0.029/0.041/0.059/0.013 ms

Checando se seu novo servidor eduroam está configurado corretamente com acesso à internet:

Os testes utilizam os nossos servidores rps01 e rps02, com isso utilize os comandos abaixo a partir de seu novo servidor eduroam que você está instalando agora.

ping -c 3 200.130.35.98

Resposta esperada: PING 200.130.35.98 (200.130.35.98) 56(84) bytes of data. 64 bytes from 200.130.35.98: icmp_req=1 ttl=64 time=0.059 ms 64 bytes from 200.130.35.98: icmp_req=2 ttl=64 time=0.029 ms 64 bytes from 200.130.35.98: icmp_req=3 ttl=64 time=0.035 ms --- 200.130.35.98 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 1998ms rtt min/avg/max/mdev = 0.029/0.041/0.059/0.013 ms

Comando: ping -c 3 200.143.193.92

Resposta esperada: PING 200.143.193.92 (200.143.193.92) 56(84) bytes of data. 64 bytes from 200.143.193.92: icmp_req=1 ttl=57 time=20.3 ms 64 bytes from 200.143.193.92: icmp_req=2 ttl=57 time=20.4 ms 64 bytes from 200.143.193.92: icmp_req=3 ttl=57 time=19.9 ms --- 200.143.193.92 ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2001ms rtt min/avg/max/mdev = 19.938/20.229/20.421/0.266 ms

As orientações abaixo informam como criar um SSID do eduroam em uma antena Aruba.

1.Ligue a fonte de alimentação na antena

2. Conecte o cabo de rede na porta Ethernet

3. Conecte no SSID "instant"

4. Abra o Prompt de comando (CMD) e digite o comando:

ipconfig /all

5. Localize o Gateway Padrão, por exemplo:

6. Acesse a interface web com o endereço IP no navagedor;

Username: admin
Password: admin

7. Selecione o Country Code e clique em "Ok":

8. Atribua um nome para a antena e endereço IP. Clique no Acess point em seguida em "edit". Lembrando que a configurão de endereço IP varia de acordo com o padrão de cada PoP.

9. Clique em "System", informe o endereço do servidor NTP:

ntp.cais.rnp.br

10. Para criar o SSID, clique em "New", em "Name (SSID):, preenche com o nome "eduroam", em seguida "Next" ;

11. As configurações serão mantidas, clique em "Next";

12. Modifique o Secure Mode para "Enterprise", Key Management "WPA-2 Enterprise", em seguida em Authentication server1, clique em "New";

13. Insira as informações, clique em "OK":

Name: RADIUS_RNP
IP address: 200.130.35.91
Auth port: 1812
Accounting port: 1813
Shared key: Será informado por email.
Retype key: Repita a senha informada.

14. Após preencher os campos para o Servidor Radius, clique em "Next";

15. Mantenha as configurações, clique em "Next";

Configuração concluída.

Configurando o servidor Freeradius com certificado válido

Para configurar o servidor do eduroam na instituição para responder com um certificado válido é simples e não requer muitos passos de configuração.

É necessário ter um certificado válido Gerado pelo serviço ICPEdu ou caso a instituição tenha convênio com outra certificadora.

Como gero os arquivos do certificado válido para minha instituição?

Siga o manual do certificado corporativo clicando aqui.

Onde salvar os arquivos do certificado válido gerados?

Crie a pasta onde os arquivos da ICPEdu GlobalSign ficarão armazenados

mkdir /etc/freeradius/certs/icpedu

Entre na pasta

cd /etc/freeradius/certs/icpedu/

Configurando arquivos necessários no Freeradius

Localização do arquivo

cd /etc/freeradius/mods-available/

Editando o arquivo

vim /etc/freeradius/mods-available/eap

Alterando conteúdo para indicar o novo certificado (válido)

...
eap {
...
    tls-config tls-common {
        private_key_password = <SENHA_CERTIFICADO> # exemplo: Senha@EduroamCertificado36
        private_key_file = ${certdir}/icpedu/<CHAVE_CERTIFICADO> # exemplo: eduroam.ufjf.br.key
        certificate_file = ${certdir}/icpedu/<ARQUIVO_CERTIFICADO> # exemplo: eduroam.ufjf.br.crt
        ca_file = ${cadir}/icpedu/<CERTIFICADO_CA> # exemplo: icpedu.crt (Arquivo de certificado da CA ICPEdu GlobalSign)
    #   auto_chain = yes
        dh_file = ${certdir}/dh
    #   random_file = /dev/urandom
    #   fragment_size = 1024
    #   include_length = yes
    #   check_crl = yes
    #   check_all_crl = yes
        ca_path = ${cadir}
...
    }
}

Reinicie o serviço

service freeradius restart

Esqueça a rede Eduroam nos dispositivos dos clientes e teste a autenticação nos dispositivos.

Freeradius

Instalando FreeRADIUS 3.2.4 no Ubuntu Jammy 22.04.4 LTS

Adicione a chave pública NetworkRADIUS PGP :

install -d -o root -g root -m 0755 /etc/apt/keyrings
curl -s 'https://packages.networkradius.com/pgp/packages%40networkradius.com' | \
    sudo tee /etc/apt/keyrings/packages.networkradius.com.asc > /dev/null 

Adicione um arquivo de preferências APT para garantir que todos os pacotes freeradius sejam instalados do repositório Network RADIUS:

printf 'Package: /freeradius/\nPin: origin "packages.networkradius.com"\nPin-Priority: 999\n' | \
    sudo tee /etc/apt/preferences.d/networkradius > /dev/null

Adicione a lista de fontes do APT:

echo "deb [arch=amd64 signed-by=/etc/apt/keyrings/packages.networkradius.com.asc] http://packages.networkradius.com/freeradius-3.2/ubuntu/jammy jammy main" | \
    sudo tee /etc/apt/sources.list.d/networkradius.list > /dev/null

Por fim, atualize o banco de dados APT e instale os pacotes:

sudo apt-get update
sudo apt-get install freeradius

Comandos úteis: systemctl status freeradius.service systemctl start freeradius.service systemctl stop freeradius.service Rodar o Freeradius em modo de debug no nível máximo: systemctl stop freeradius.service freeradius -fxxxxx -lstdout systemctl start freeradius.service Verificar se as configurações do Freeradius estão OK: freeradius -CX

Configurando o Freeradius

clients.conf

vim /etc/freeradius/clients.conf

# Este bloco libera a consulta em localhost
client localhost {
       ipaddr = 127.0.0.1
       proto = *
       secret = radsec
       require_message_authenticator = no
       shortname = localhost
       nas_type         = other        # localhost isn't usually a NAS...
       limit {
               max_connections = 16
               lifetime = 0
               idle_timeout = 30
       }
}
# Este bloco libera a consulta em localhost usando IPv6
client localhost_ipv6 {
       ipv6addr        = ::1
       secret          = radsec
}
# IP da controladora da sua instituicao
client 200.130.66.29 {
       ipaddr = 200.130.66.29
       shortname = Campus_Campinas
       secret = radsec
       require_message_authenticator = no
       nastype     = other
       }

#

proxy.conf

vim /etc/freeradius/proxy.conf

proxy server {
       default_fallback = no
}
home_server localhost {
       type = auth
       ipaddr = 127.0.0.1
       port = 1812
       secret = radsec
       response_window = 20
       zombie_period = 40
       revive_interval = 120
       status_check = status-server
       check_interval = 30
       check_timeout = 4
       num_answers_to_alive = 3
       max_outstanding = 65536
       coa {
               irt = 2
               mrt = 16
               mrc = 5
               mrd = 30
       }
       limit {
             max_connections = 16
             max_requests = 0
             lifetime = 0
             idle_timeout = 0
       }
}
 
home_server_pool my_localhost {
       type            = fail-over
       home_server     = localhost
}

realm DEFAULT {
}
realm LOCAL {
}

realm NULL {
       secret          = radsec
}

# Expressao para subdominios de sua instituicao
realm "~(.*\.)*sua_instituicao.br$" {
       auth_pool       = my_localhost
       secret          = radsec
}

Configurando o arquivo default

vim /etc/freeradius/sites-enabled/default

server default {
listen {
       type = auth
       ipaddr = *
       port = 0
       limit {
             max_connections = 16
             lifetime = 0
             idle_timeout = 30
       }
}
listen {
       ipaddr = *
       port = 0
       type = acct
       limit {
       }
}
listen {
       type = auth
       ipv6addr = ::   # any.  ::1 == localhost
       port = 0
       limit {
             max_connections = 16
             lifetime = 0
             idle_timeout = 30
       }
}
listen {
       ipv6addr = ::
       port = 0
       type = acct
       limit {
       }
}
authorize {
       filter_username
       preprocess
       chap
       mschap
       digest
       suffix
               
       # Expressao para subdominios
       if ( Realm =~ /sua_instituicao.br/i ) {
                    update control {
                   &Proxy-To-Realm := LOCAL
                }
       }
       
       eap {
               ok = return
       }
       files
       -sql
       -ldap
       expiration
       logintime
       pap
}
authenticate {
       Auth-Type PAP {
               pap
       }
       Auth-Type CHAP {
               chap
       }
       Auth-Type MS-CHAP {
               mschap
       }
       mschap
       digest
       eap
}
preacct {
       preprocess
       acct_unique
       files
}
accounting {
       linelog
       detail
       unix
       #radutmp
       -sql
       exec
       attr_filter.accounting_response
       log_accounting
}
post-auth {
       update {
         &reply: += &session-state:
       }
       -sql
       -ldap
       exec
       remove_reply_message_if_eap
       Post-Auth-Type REJECT {
               -sql
               attr_filter.access_reject
               eap
               remove_reply_message_if_eap
       }
}
pre-proxy {
       update proxy-request {
           Operator-Name = "1sua_instituicao.br"
           Eduroam-SP-Country = "BR"
       }
}
post-proxy {
       eap
}
}

Configurando o arquivo inner-tunnel

vim /etc/freeradius/sites-enabled/inner-tunnel

server inner-tunnel {
listen {
       type = auth
       ipaddr = *
       port = 18120
       limit {
             max_connections = 16
             lifetime = 0
             idle_timeout = 30
       }
}
authorize {
       filter_username
       preprocess
       chap
       mschap
       digest
       suffix
       # Expressao para subdominios
       if ( Realm =~ /sua_instituicao/i ) {
                
                update control {
                   &Proxy-To-Realm := LOCAL
                }
       }
       
       eap {
               ok = return
       }
       files
       -sql
       -ldap
       expiration
       logintime
       pap
}
authenticate {
       Auth-Type PAP {
               pap
       }
       Auth-Type CHAP {
               chap
       }
       Auth-Type MS-CHAP {
               mschap
       }
       mschap
       digest
       eap
}
preacct {
       preprocess
       acct_unique
       files
}
accounting {
       detail
       unix
       -sql
       exec
       attr_filter.accounting_response
}
session {
}
post-auth {
       update {
               &reply: += &session-state:
       }
       -sql
       -ldap
       exec
       remove_reply_message_if_eap
       Post-Auth-Type REJECT {
               -sql
               attr_filter.access_reject
               eap
               remove_reply_message_if_eap
       }
}
pre-proxy {
       update proxy-request {
           Operator-Name = "1sua_instituicao.br"
           Eduroam-SP-Country = "BR"
       }

}
post-proxy {
       eap
}
}

Configurando o arquivo radsec

vim /etc/freeradius/sites-enabled/radsec

listen {
   ipaddr = *
   port = 2083
   type = auth
   proto = tcp
   virtual_server = default
   clients = radsec
       limit {
             max_connections = 0
             lifetime = 0
             idle_timeout = 3600
             }
   tls {
       certdir = ${confdir}/certs       
       cadir = ${confdir}/certs
       private_key_password = whatever
       private_key_file = ${certdir}/server.pem
       certificate_file = ${certdir}/server.pem
       ca_file = ${cadir}/ca.pem
       dh_file = ${certdir}/dh
       random_file = /dev/urandom
       fragment_size = 8192
        ca_path = ${cadir}
         include_length = yes
        cipher_list = "DEFAULT"
         cipher_server_preference = no
         tls_min_version = "1.2"
         tls_max_version = "1.3"
         ecdh_curve = ""
       cache {
             enable = yes
             lifetime = 24 # hours           
       }
       require_client_cert = yes
       verify {
       }
   }
}
 
listen {
   ipv6addr = ::
   port = 2083
   type = auth
   proto = tcp
   clients = radsec
   limit {
             max_connections = 0
             lifetime = 0
             idle_timeout = 600
       }
   tls {
       certdir = ${confdir}/certs
       cadir = ${confdir}/certs
       private_key_password = whatever
       private_key_file = ${certdir}/server.pem
       certificate_file = ${certdir}/server.pem
       ca_file = ${cadir}/ca.pem
       dh_file = ${certdir}/dh
       random_file = /dev/urandom
       
      fragment_size = 8192
        ca_path = ${cadir}
         include_length = yes
        cipher_list = "DEFAULT"
         cipher_server_preference = no
         tls_min_version = "1.2"
         tls_max_version = "1.3"
         ecdh_curve = ""
       cache {
             enable = yes
             max_entries = 255
       }
       require_client_cert = yes
       verify {
       }
   }
}
 
clients radsec {
   limit {
             max_connections = 0
             lifetime = 0
             idle_timeout = 3600
       }
   client 127.0.0.1 {
       ipaddr = 127.0.0.1
       proto = tls
       secret = radsec
   }
      client rps01 {
       ipaddr = rps01.eduroam.org.br
       proto = tls
       secret = radsec
       limit {
             max_connections = 0
             lifetime = 0
             idle_timeout = 3600
       }
   }
   client rps02 {
       ipaddr = rps02.eduroam.org.br
       proto = tls
       secret = radsec
       limit {
             max_connections = 0
             lifetime = 0
             idle_timeout = 3600
       }
   }
       
}
 
# local test listener for debug (present by default)
listen {
      ipaddr = 127.0.0.1
      port = 4000
      type = auth
}
home_server rps01 {
   ipaddr = rps01.eduroam.org.br
   port = 2083
   type = auth
   secret = radsec
   proto = tcp
   status_check = none
   tls {
       certdir = ${confdir}/certs
       cadir = ${confdir}/certs
       private_key_password = whatever
       private_key_file = ${certdir}/server.pem
       certificate_file = ${certdir}/server.pem
       ca_file = ${cadir}/ca.pem
       dh_file = ${certdir}/dh
       random_file = /dev/urandom
       
      fragment_size = 8192
        ca_path = ${cadir}
         include_length = yes
        cipher_list = "DEFAULT"
         cipher_server_preference = no
         tls_min_version = "1.2"
         tls_max_version = "1.3"
         ecdh_curve = ""
   }
}
 
home_server rps02 {
   ipaddr = rps02.eduroam.org.br
   port = 2083
   type = auth
   secret = radsec
   proto = tcp
   status_check = none
   tls {
       certdir = ${confdir}/certs
       cadir = ${confdir}/certs
       private_key_password = whatever
       private_key_file = ${certdir}/server.pem
       certificate_file = ${certdir}/server.pem
       ca_file = ${cadir}/ca.pem
       dh_file = ${certdir}/dh
       random_file = /dev/urandom
       
      fragment_size = 8192
        ca_path = ${cadir}
         include_length = yes
        cipher_list = "DEFAULT"
         cipher_server_preference = no
         tls_min_version = "1.2"
         tls_max_version = "1.3"
         ecdh_curve = ""
   }
}
 
home_server_pool BR {
        type = fail-over
        home_server = rps01
        home_server = rps02
}

realm "~.+$" {
      auth_pool = BR
      nostrip
}
 

configurando o arquivo eap

vim /etc/freeradius/mods-enabled/eap

eap {
       default_eap_type = peap
       timer_expire     = 60
       ignore_unknown_eap_types = no
       cisco_accounting_username_bug = no
       max_sessions = ${max_requests}
       md5 {
       }
       leap {
       }
       gtc {
               auth_type = PAP
       }
       tls-config tls-common {
               cipher_server_preference = yes
               require_client_cert = yes
               
               private_key_password = whatever
               private_key_file = ${certdir}/server.pem
               certificate_file = ${certdir}/server.pem
               ca_file = ${cadir}/ca.pem
               cipher_list = "DEFAULT"
                cipher_server_preference = no
                tls_min_version = "1.2"
                tls_max_version = “1.2”
               ecdh_curve = ""
               cache {
                       enable = no
                       lifetime = 24 # hours
               }
               verify {
               }
               ocsp {
                       enable = no
                       override_cert_url = yes
                       url = "http://127.0.0.1/ocsp/"
               }
       }
       tls {
               tls = tls-common
       }
       ttls {
               tls = tls-common
               default_eap_type = mschapv2
               copy_request_to_tunnel = yes
               use_tunneled_reply = yes
               virtual_server = "inner-tunnel"
       }
       peap {
               tls = tls-common
               default_eap_type = mschapv2
               copy_request_to_tunnel = yes
               use_tunneled_reply = yes
               virtual_server = "inner-tunnel"
       }
        mschapv2 {
       }
}

vim /etc/freeradius/mods-enabled/eap

cd /etc/freeradius/certs

openssl dhparam -out dh -2 2048

cp seu_certificado_recebito_da_rnp.crt /etc/freeradius/certs/server.pem

cat seu_certificado_recebito_da_rnp.key /etc/freeradius/certs/server.pem

cat rnp-ca.crt /etc/freeradius/certs/ca.pem

Agora precisamos configurar se o servidor da instituição vai se conectar com a base LDAP ou com o AD. Configurando o servidor para autenticar os usuários no LDAP

vim /etc/freeradius/mods-available/ldap

# -*- text -*- # # $Id: 015ae6907b8113771691ae3a3c1d53b05756d143 $

# # Lightweight Directory Access Protocol (LDAP) # ldap { # Note that this needs to match the name(s) in the LDAP server # certificate, if you're using ldaps. See OpenLDAP documentation # for the behavioral semantics of specifying more than one host. # # Depending on the libldap in use, server may be an LDAP URI. # In the case of OpenLDAP this allows additional the following # additional schemes: # - ldaps:// (LDAP over SSL) # - ldapi:// (LDAP over Unix socket) # - ldapc:// (Connectionless LDAP) server = 'IP_ou_nome_do_seu_servidor_ldap'

# Port to connect on, defaults to 389, will be ignored for LDAP URIs. port = 389

# Administrator account for searching and possibly modifying. # If using SASL + KRB5 these should be commented out. identity = 'uid=app.idpeduroam.r,ou=APLICACOES,dc=dominio,dc=local' password = Xlhtuop0

# Unless overridden in another section, the dn from which all # searches will start from. base_dn = 'dc=seu_dominio,dc=local'

# # You can run the 'ldapsearch' command line tool using the # parameters from this module's configuration. # # ldapsearch -D ${identity} -w ${password} -h ${server} -b 'CN=user,${base_dn}' # # That will give you the LDAP information for 'user'. # # Group membership can be queried by using the above "ldapsearch" string, # and adding "memberof" qualifiers. For ActiveDirectory, use: # # ldapsearch ... '(&(objectClass=user)(sAMAccountName=user)(memberof=CN=group,${base_dn}))' # # Where 'user' is the user as above, and 'group' is the group you are querying for. #

# # SASL parameters to use for admin binds # # When we're prompted by the SASL library, these control # the responses given, as well as the identity and password # directives above. # # If any directive is commented out, a NULL response will be # provided to cyrus-sasl. # # Unfortunately the only way to control Keberos here is through # environmental variables, as cyrus-sasl provides no API to # set the krb5 config directly. # # Full documentation for MIT krb5 can be found here: # # http://web.mit.edu/kerberos/krb5-devel/doc/admin/env_variables.html # # At a minimum you probably want to set KRB5_CLIENT_KTNAME. # sasl { # SASL mechanism # mech = 'PLAIN'

# SASL authorisation identity to proxy. # proxy = 'autz_id'

# SASL realm. Used for kerberos. # realm = 'example.org' }

# # Generic valuepair attribute #

# If set, this will attribute will be retrieved in addition to any # mapped attributes. # # Values should be in the format: # <radius attr> <op> <value> # # Where: # <radius attr>: Is the attribute you wish to create # with any valid list and request qualifiers. # <op>: Is any assignment operator (=, :=, +=, -=). # <value>: Is the value to parse into the new valuepair. # If the value is wrapped in double quotes it # will be xlat expanded. # valuepair_attribute = 'radiusAttribute'

# # Mapping of LDAP directory attributes to RADIUS dictionary attributes. #

# WARNING: Although this format is almost identical to the unlang # update section format, it does *NOT* mean that you can use other # unlang constructs in module configuration files. # # Configuration items are in the format: # <radius attr> <op> <ldap attr> # # Where: # <radius attr>: Is the destination RADIUS attribute # with any valid list and request qualifiers. # <op>: Is any assignment attribute (=, :=, +=, -=). # <ldap attr>: Is the attribute associated with user or # profile objects in the LDAP directory. # If the attribute name is wrapped in double # quotes it will be xlat expanded. # # Request and list qualifiers may also be placed after the 'update' # section name to set defaults destination requests/lists # for unqualified RADIUS attributes. # # Note: LDAP attribute names should be single quoted unless you want # the name value to be derived from an xlat expansion, or an # attribute ref. update { control:Password-With-Header += 'userPassword' # control:NT-Password := 'ntPassword' control:NT-Password := 'sambaNTPassword' reply:Reply-Message := 'radiusReplyMessage' reply:Tunnel-Type := 'radiusTunnelType' reply:Tunnel-Medium-Type := 'radiusTunnelMediumType' reply:Tunnel-Private-Group-ID := 'radiusTunnelPrivategroupId'

# Where only a list is specified as the RADIUS attribute, # the value of the LDAP attribute is parsed as a valuepair # in the same format as the 'valuepair_attribute' (above). control: += 'radiusControlAttribute' request: += 'radiusRequestAttribute' reply: += 'radiusReplyAttribute' }

# Set to yes if you have eDirectory and want to use the universal # password mechanism. # edir = no

# Set to yes if you want to bind as the user after retrieving the # Cleartext-Password. This will consume the login grace, and # verify user authorization. # edir_autz = no

# Note: set_auth_type was removed in v3.x.x # # Equivalent functionality can be achieved by adding the # following "if" statement to the authorize {} section of # the virtual server, after the "ldap" module. For example: # # ... # ldap # if ((ok || updated) && User-Password && !control:Auth-Type) { # update { # control:Auth-Type := ldap # } # } # ... # # You will also need to uncomment the "Auth-Type LDAP" block in the # "authenticate" section. #

# # Name of the attribute that contains the user DN. # The default name is LDAP-UserDn. # # If you have multiple LDAP instances, you should # # ${.:instance}-LDAP-UserDn # # That change allows the modules to set their own # User DN, and to not conflict with each other. # user_dn = "LDAP-UserDn"

# # User object identification. # user { # Where to start searching in the tree for users base_dn = "${..base_dn}"

# Filter for user objects, should be specific enough # to identify a single user object. # # For Active Directory, you should use # "samaccountname=" instead of "uid=" # # filter = "(sAMAccountName=%{%{Stripped-User-Name}:-%{User-Name}})" # filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})"

# Exemplo abaixo para instituicao utilizando OR para autenticar somente pelo uid ou pelo email # filter = "(|(uid=%{%{Stripped-User-Name}:-%{User-Name}})(mail=%{User-Name}))" # filter = "(mail=%{User-Name})"

# For Active Directory nested group, you should comment out the previous 'filter = ...' # and use the below. Where 'group' is the group you are querying for. # # NOTE: The string '1.2.840.113556.1.4.1941' specifies LDAP_MATCHING_RULE_IN_CHAIN. # This applies only to DN attributes. This is an extended match operator that walks # the chain of ancestry in objects all the way to the root until it finds a match. # This reveals group nesting. It is available only on domain controllers with # Windows Server 2003 SP2 or Windows Server 2008 (or above). # # See: https://social.technet.microsoft.com/wiki/contents/articles/5392.active-directory-ldap-syntax-filters.aspx # # filter = "(&(objectClass=user)(sAMAccountName=%{%{Stripped-User-Name}:-%{User-Name}})(memberOf:1.2.840.113556.1.4.1941:=cn=group,${..base_dn}))"

# SASL parameters to use for user binds # # When we're prompted by the SASL library, these control # the responses given. # # Any of the config items below may be an attribute ref # or and expansion, so different SASL mechs, proxy IDs # and realms may be used for different users. sasl { # SASL mechanism # mech = 'PLAIN'

# SASL authorisation identity to proxy. # proxy = &User-Name

# SASL realm. Used for kerberos. # realm = 'example.org' }

# Search scope, may be 'base', 'one', sub' or 'children' # scope = 'sub'

# Server side result sorting # # A list of space delimited attributes to order the result # set by, if the filter matches multiple objects. # Only the first result in the set will be processed. # # If the attribute name is prefixed with a hyphen '-' the # sorting order will be reversed for that attribute. # # If sort_by is set, and the server does not support sorting # the search will fail. # sort_by = '-uid'

# If this is undefined, anyone is authorised. # If it is defined, the contents of this attribute # determine whether or not the user is authorised # access_attribute = 'dialupAccess'

# Control whether the presence of 'access_attribute' # allows access, or denys access. # # If 'yes', and the access_attribute is present, or # 'no' and the access_attribute is absent then access # will be allowed. # # If 'yes', and the access_attribute is absent, or # 'no' and the access_attribute is present, then # access will not be allowed. # # If the value of the access_attribute is 'false', it # will negate the result. # # e.g. # access_positive = yes # access_attribute = userAccessAllowed # # With an LDAP object containing: # userAccessAllowed: false # # Will result in the user being locked out. # access_positive = yes }

# # User membership checking. # group { # Where to start searching in the tree for groups base_dn = "${..base_dn}"

# Filter for group objects, should match all available # group objects a user might be a member of. # # If using Active Directory you are likely to need "group" # instead of "posixGroup". filter = '(objectClass=posixGroup)'

# Search scope, may be 'base', 'one', sub' or 'children' # scope = 'sub'

# Attribute that uniquely identifies a group. # Is used when converting group DNs to group # names. # name_attribute = cn

# Filter to find all group objects a user is a member of. # That is, group objects with attributes that # identify members (the inverse of membership_attribute). # # Note that this configuration references the "user_dn" # configuration defined above. # # membership_filter = "(|(member=%{control:${..user_dn}})(memberUid=%{%{Stripped-User-Name}:-%{User-Name}}))"

# The attribute, in user objects, which contain the names # or DNs of groups a user is a member of. # # Unless a conversion between group name and group DN is # needed, there's no requirement for the group objects # referenced to actually exist. # # If the LDAP server does not support the "memberOf" # attribute (or equivalent), then you will need to use the # membership_filter option above instead. If you can't see # the memberOf attribute then it is also possible that the # LDAP bind user does not have the correct permissions to # view it. membership_attribute = 'memberOf'

# If cacheable_name or cacheable_dn are enabled, # all group information for the user will be # retrieved from the directory and written to LDAP-Group # attributes appropriate for the instance of rlm_ldap. # # For group comparisons these attributes will be checked # instead of querying the LDAP directory directly. # # This feature is intended to be used with rlm_cache. # # If you wish to use this feature, you should enable # the type that matches the format of your check items # i.e. if your groups are specified as DNs then enable # cacheable_dn else enable cacheable_name. # cacheable_name = 'no' # cacheable_dn = 'no'

# Override the normal cache attribute (<inst>-LDAP-Group or # LDAP-Group if using the default instance) and create a # custom attribute. This can help if multiple module instances # are used in fail-over. # cache_attribute = 'LDAP-Cached-Membership'

# If the group being checked is specified as a name, but # the user's groups are referenced by DN, and one of those # group DNs is invalid, the whole group check is treated as # invalid, and a negative result will be returned. # When set to 'yes', this option ignores invalid DN # references. # allow_dangling_group_ref = 'no' }

# # User profiles. RADIUS profile objects contain sets of attributes # to insert into the request. These attributes are mapped using # the same mapping scheme applied to user objects (the update section above). # profile { # Filter for RADIUS profile objects # filter = '(objectclass=radiusprofile)'

# The default profile. This may be a DN or an attribute # reference. # To get old v2.2.x style behaviour, or to use the # &User-Profile attribute to specify the default profile, # set this to &control:User-Profile. # default = 'cn=radprofile,dc=example,dc=org'

# The LDAP attribute containing profile DNs to apply # in addition to the default profile above. These are # retrieved from the user object, at the same time as the # attributes from the update section, are are applied # if authorization is successful. # attribute = 'radiusProfileDn' }

# # Bulk load clients from the directory # client { # Where to start searching in the tree for clients base_dn = "${..base_dn}"

# # Filter to match client objects # filter = '(objectClass=radiusClient)'

# Search scope, may be 'base', 'one', 'sub' or 'children' # scope = 'sub'

# # Sets default values (not obtained from LDAP) for new client entries # template { # login = 'test' # password = 'test' # proto = tcp # require_message_authenticator = yes

# Uncomment to add a home_server with the same # attributes as the client. # coa_server { # response_window = 2.0 # } }

# # Client attribute mappings are in the format: # <client attribute> = <ldap attribute> # # The following attributes are required: # * ipaddr | ipv4addr | ipv6addr - Client IP Address. # * secret - RADIUS shared secret. # # All other attributes usually supported in a client # definition are also supported here. # # Schemas are available in doc/schemas/ldap for openldap and eDirectory # attribute { ipaddr = 'radiusClientIdentifier' secret = 'radiusClientSecret' # shortname = 'radiusClientShortname' # nas_type = 'radiusClientType' # virtual_server = 'radiusClientVirtualServer' # require_message_authenticator = 'radiusClientRequireMa' } }

# Load clients on startup # read_clients = no

# # Modify user object on receiving Accounting-Request #

# Useful for recording things like the last time the user logged # in, or the Acct-Session-ID for CoA/DM. # # LDAP modification items are in the format: # <ldap attr> <op> <value> # # Where: # <ldap attr>: The LDAP attribute to add modify or delete. # <op>: One of the assignment operators: # (:=, +=, -=, ++). # Note: '=' is *not* supported. # <value>: The value to add modify or delete. # # WARNING: If using the ':=' operator with a multi-valued LDAP # attribute, all instances of the attribute will be removed and # replaced with a single attribute. # NAO PRECISA COMENTAR AS LINHAS ABAIXO PARA LDAP OU AD accounting { reference = "%{tolower:type.%{Acct-Status-Type}}"

type { start { update { description := "Online at %S" } }

interim-update { update { description := "Last seen at %S" } }

stop { update { description := "Offline at %S" } } } }

# # Post-Auth can modify LDAP objects too #

post-auth { # COMENTAR O BLOCO ABAIXO POIS ELE TENTA GRAVAR NO AD/LDAP O HORARIO DE AUTENTICACAO #update { # description := "Authenticated at %S" # } }

# # LDAP connection-specific options. # # These options set timeouts, keep-alives, etc. for the connections. # options { # Control under which situations aliases are followed. # May be one of 'never', 'searching', 'finding' or 'always' # default: libldap's default which is usually 'never'. # # LDAP_OPT_DEREF is set to this value. # dereference = 'always'

# # The following two configuration items control whether the # server follows references returned by LDAP directory. # They are mostly for Active Directory compatibility. # If you set these to 'no', then searches will likely return # 'operations error', instead of a useful result. # chase_referrals = yes rebind = yes

# SASL Security Properties (see SASL_SECPROPS in ldap.conf man page). # Note - uncomment when using GSS-API sasl mechanism along with TLS # encryption against Active-Directory LDAP servers (this disables # sealing and signing at the GSS level as required by AD). #sasl_secprops = 'noanonymous,noplain,maxssf=0'

# Seconds to wait for LDAP query to finish. default: 20 res_timeout = 10

# Seconds LDAP server has to process the query (server-side # time limit). default: 20 # # LDAP_OPT_TIMELIMIT is set to this value. srv_timelimit = 3

# Seconds to wait for response of the server. (network # failures) default: 10 # # LDAP_OPT_NETWORK_TIMEOUT is set to this value. net_timeout = 1

# LDAP_OPT_X_KEEPALIVE_IDLE idle = 60

# LDAP_OPT_X_KEEPALIVE_PROBES probes = 3

# LDAP_OPT_X_KEEPALIVE_INTERVAL interval = 3

# ldap_debug: debug flag for LDAP SDK # (see OpenLDAP documentation). Set this to enable # huge amounts of LDAP debugging on the screen. # You should only use this if you are an LDAP expert. # # default: 0x0000 (no debugging messages) # Example:(LDAP_DEBUG_FILTER+LDAP_DEBUG_CONNS) ldap_debug = 0x0028 }

# # This subsection configures the tls related items # that control how FreeRADIUS connects to an LDAP # server. It contains all of the 'tls_*' configuration # entries used in older versions of FreeRADIUS. Those # configuration entries can still be used, but we recommend # using these. # tls { # Set this to 'yes' to use TLS encrypted connections # to the LDAP database by using the StartTLS extended # operation. # # The StartTLS operation is supposed to be # used with normal ldap connections instead of # using ldaps (port 636) connections # start_tls = yes

# ca_file = ${certdir}/cacert.pem

# ca_path = ${certdir} # certificate_file = /path/to/radius.crt # private_key_file = /path/to/radius.key # random_file = /dev/urandom

# Certificate Verification requirements. Can be: # 'never' (do not even bother trying) # 'allow' (try, but don't fail if the certificate # cannot be verified) # 'demand' (fail if the certificate does not verify) # 'hard' (similar to 'demand' but fails if TLS # cannot negotiate) # # The default is libldap's default, which varies based # on the contents of ldap.conf.

# require_cert = 'demand'

# # Minimum TLS version to accept. We STRONGLY recommend # setting this to "1.2" # # tls_min_version = "1.2" }

# As of version 3.0, the 'pool' section has replaced the # following configuration items: # # ldap_connections_number

# The connection pool is new for 3.0, and will be used in many # modules, for all kinds of connection-related activity. # # When the server is not threaded, the connection pool # limits are ignored, and only one connection is used. pool { # Connections to create during module instantiation. # If the server cannot create specified number of # connections during instantiation it will exit. # Set to 0 to allow the server to start without the # directory being available. start = ${thread[pool].start_servers}

# Minimum number of connections to keep open min = ${thread[pool].min_spare_servers}

# Maximum number of connections # # If these connections are all in use and a new one # is requested, the request will NOT get a connection. # # Setting 'max' to LESS than the number of threads means # that some threads may starve, and you will see errors # like 'No connections available and at max connection limit' # # Setting 'max' to MORE than the number of threads means # that there are more connections than necessary. max = ${thread[pool].max_servers}

# Spare connections to be left idle # # NOTE: Idle connections WILL be closed if "idle_timeout" # is set. This should be less than or equal to "max" above. spare = ${thread[pool].max_spare_servers}

# Number of uses before the connection is closed # # 0 means "infinite" uses = 0

# The number of seconds to wait after the server tries # to open a connection, and fails. During this time, # no new connections will be opened. retry_delay = 30

# The lifetime (in seconds) of the connection lifetime = 0

# Idle timeout (in seconds). A connection which is # unused for this length of time will be closed. idle_timeout = 60

# NOTE: All configuration settings are enforced. If a # connection is closed because of 'idle_timeout', # 'uses', or 'lifetime', then the total number of # connections MAY fall below 'min'. When that # happens, it will open a new connection. It will # also log a WARNING message. # # The solution is to either lower the 'min' connections, # or increase lifetime/idle_timeout. } }

Agora precisamos criar o link para a ativação de autenticação via LDAP ln -s /etc/freeradius/mods-available/ldap /etc/freeradius/mods-enabled/ldap

Agora você pode executar o comando freeradius -CX para verificar se a configuração está OK

Utilizando o Freeradius para autenticar os usuários no AD Será necessário instalar os pacotes do samba

Se ao instalar os pacotes, se aparecer alguma tela perguntando por alguma informação, você pode pressionar Enter, não precisa responder. apt install krb5-user libpam-krb5 krb5-config libkrb5-3 libkadm5clnt-mit12 winbind systemd-timesyncd ntpdate samba samba-common samba-common-bin samba-dsdb-modules samba-libs samba-vfs-modules cifs-utils smbclient

krb5.conf

Configuração do arquivo krb5.conf vim /etc/krb5.conf

[libdefaults] default_realm = SEU_DOMINIO.LOCAL dns_lookup_realm = true dns_lookup_kdc = true ticket_lifetime = 24h renew_lifetime = 7d forwardable = true rdns = false

[realms] SEU_DOMINIO.LOCAL = { kdc = 200.130.35.164 kdc = 200.143.193.71 admin_server = 200.130.35.164 default_domain = seu_dominio.local master_kdc = 200.130.35.164 }

[domain_realm] seu_dominio.local = SEU_DOMINIO.LOCAL .seu_dominio.local = SEU_DOMINIO.LOCAL

[login] krb4_convert = true krb4_get_tickets = false

[logging] libkrb5 = 0-/SYSLOG: default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log

Para testar se a configuração acima está funcionando, voce pode utilizar o seguinte comando: kinit seulogin@SEU_DOMINIO.LOCAL

Para ver se você se autenticou pode utilizar o comando: klist

Configurando o arquivo do Samba

vim /etc/samba/smb.conf

[global] netbios name = idp1 security = ads realm = SEU_DOMINIO.LOCAL workgroup = SEU_DOMINIO server role = standalone server server string = EDUROAM RADIUS server invalid users = root socket options = TCP_NODELAY idmap config * : rangesize = 1000000 idmap config * : range = 1000000-19999999 idmap config * : backend = autorid winbind enum users = yes winbind enum groups = yes template homedir = /home/%D/%U template shell = /bin/bash client use spnego = yes client ntlmv2 auth = yes encrypt passwords = yes winbind use default domain = yes restrict anonymous = 2 domain master = no local master = no preferred master = no os level = 0 logging = syslog@1 file log level = 1 smb:4 acls:4 locking:4 log file = /var/log/samba/%m.log smbd profiling level = on pam password change = yes password server = *

#log level = 10 #debug pid = true #max log size = 0

# adicionado em 14-06-2023 kerberos method = secrets and keytab client signing = yes

winbind offline logon = yes winbind request timeout = 10

Vamos remover o arquivo resolv.conf e criar um novo

cp /etc/resolv.conf /etc/resolv.conf.bak

rm /etc/resolv.conf

vim /etc/resolv.conf

nameserver 200.130.35.164 nameserver 18.229.209.221 search SEU_DOMINIO.LOCAL domain SEU_DOMINIO.LOCAL

Ingressando a máquina no dominio do local net ads join -I ip_ad -U user_ad

Para saber se a maquina ingressou com sucesso: net ads testjoin

Verificar o conteúdo do arquivo mschap vim /etc/freeradius/mods-enabled/mschap mschap { use_mppe = yes require_encryption = yes require_strong = yes with_ntdomain_hack = yes ntlm_auth = "/usr/bin/ntlm_auth --request-nt-key --username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}} --challenge=%{%{mschap:Challenge}:-00} --nt-response=%{%{mschap:NT-Response}:-00}" }

Configurando o arquivo ntlm_auth vim /etc/freeradius/mods-enabled/ntlm_auth exec ntlm_auth { wait = yes program = "/usr/bin/ntlm_auth --request-nt-key --domain=SEU_COMINIO.LOCAL --username=%{mschap:User-Name} --password=%{User-Password}" }

Agora reiniciar todos os serviços com stop e start

/etc/init.d/freeradius stop ; /etc/init.d/smbd stop ; /etc/init.d/nmbd stop ; /etc/init.d/winbind stop /etc/init.d/smbd start ; /etc/init.d/nmbd start ; /etc/init.d/winbind start ; /etc/init.d/freeradius start

Agora você ja pode testar a autenticação com o comando radtest

radtest login_do_usuario_do_ad@seu_dominio.br senha_do_usuario 127.0.0.1 0 radsec

Este procedimento tem por objetivo criar instrução de como configurar o FreeRadius para aceitar requisições de autenticação dos Access Points (AP). Não será abordado a configuração do AP em si, uma vez que existe uma gama muito grande de produtos com diversas formas de configuração.

O arquivo de configuração que contém as definições de clientes do FreeRadius é o "/etc/freeradius/clients.conf".

Cada cliente possui uma entrada neste arquivo com informações estruturadas em um bloco de configuração básica como este abaixo:

client <short-name>
{
<attribute> = <value>
}

Exemplo:

client ap01-administracao
{
ipaddr = 192.168.100.17
secret = 1qw2edvfr45tg#$%968qasw
shortname = ap01-admin
nastype = other
} 

Também é possível adicionar uma rede neste arquivo, conforme exemplo abaixo:

client private-network-1
{
ipaddr = 192.168.100.0
netmask = 24
secret = 1qw2edvfr45tg#$%968qasw
shortname = private-network-1
}

Procedimento de configuração

1. Acessar o servidor via ssh com credenciais que tenham permissão de root.

2. Editar o arquivo /etc/freeradius/clients.conf com seu editor de preferência e adicionar os clientes conforme exemplo dado no tópico de introdução.

3. Reiniciar o serviço do FreeRadius.

/etc/init.d/freeradius restart

Este procedimento, tem como objetivo, auxiliar o usuário na execução do script de instalação de seu novo servidor IDP Eduroam .

Obtendo uma máquina com Ubuntu 22.04 LTS

Realize o download do SO no site oficial

https://releases.ubuntu.com/22.04.3/ubuntu-22.04.3-live-server-amd64.iso

Iniciando a instalação do Freeradius 3.2.x

1. Utilize usuário root

sudo su -

1.1 Baixe o script de instalação do eduroam a partir git da RNP

git clone https://git.rnp.br/eduroam-idp/rnp

1.2 Entre no diretório /root/rnp

cd /root/rnp

1.3 Descompacte o arquivo recebido do certificado (ex. eduroam.ufforigato.gov.br.tar.gz)

tar xzvf arquivo_recebido_em_seu_email.tar.gz

1.4 Mude a permissão do arquivo para modo executável:

chmod +x configura_idp_eduroam_Ubuntu22.04-Freeradius3.bash

1.5 Execute o script:

./configura_idp_eduroam_Ubuntu22.04-Freeradius3.bash

Após executar o comando acima será mostrado uma janela com todas informações necessárias para dar inicio na configuração do Freeradius. Selecione "Yes" para seguir .

Na próxima tela selecione a opção 1 - Atualizar_SO_Freeradius, ela atualizará o seu sistema operacional com o ultimo update e instalará o Freeradius em sua ultima versão .

Executando a etapa 2 - Instalar_EAPOL_Test, aqui faremos a instalação do software utilizado para realizar testes de autenticação EAP.

Agora daremos inicio na etapa 3 - Instalar_Certificados_RNP, ele é responsável pela comunicação entre o seu servidor Eduroam e a federação. Selecione o item 3, em seguida clique em "OK".

Após selecionar a etapa 3 - Instalação_certificado_RNP será feito um backup dos arquivos de configuração, assim que pronto, tecle S (sim) para confirmar que os arquivos FQDN são correspondentes ao seu servidor Eduroam, observe a imagem abaixo .

Caso a instituição utilize LDAP, selecionar a etapa 5 - Configurar_LDAP. Conforme imagem abaixo, informe o IP ou FQDN do seu servidor LDAP.

Informe a porta de seu servidor LDAP, em seguida clique em "OK".

Informe o basedn, em seguida clique em "OK".

Informe o usuário com permissão de leitura em sua base LDAP, em seguida clique em "OK".

Informe a senha do usuário, em seguida clique em "OK".

Confirme a senha do usuário e em seguida clique em "OK".

Por fim, confirme as informações e clique em "OK".

Caso sua instituição utilize o AD, selecione a etapa 6 - Configurar_AD. Conforme a imagem abaixo, informe o domínio de seu AD, em seguida clique em "OK".

Em seguida, insira o IP do AD e selecione "OK".

Agora informe o WorkGroup do seu domínio e selecione "OK" para prosseguir.

Será solicitado o login e depois a senha de um usuário do seu AD que está com privilégios de administrador para inserir seu servidor ao domínio e selecione "OK".

Um aviso será apresentado, se os dados estiverem corretos, selecione "YES".

Nas telas a seguir serão realizadas algumas configurações, basta aguardar os processos e pressionar enter sempre que for solicitado para continuar à próxima parte.

Verificação dos pacotes:

Configuração do SAMBA:

Configuração do WINBIND:

Validação do usuário com o comando kinit:

No passo seguinte, vamos executar o item 7 - Eapol_test_bob, nesta opção existe um usuário local "BOB", que será utilizado para testar a configuração do Freeradius .

Ocorrendo tudo certo, ele retornará a mensagem abaixo.

Agora execute o item "8 - Eapol_teste_rnp" esta opção executa um teste com o usuário teste.eduroam@rnp.br.

Em seguida execute a opção "9 - Eapol_test_usuario_instituicao" e insira o seu usuário e senha para realizar teste de autenticação, conforme demonstra a imagem abaixo.

Repita o processo no item 10 para confirmar a autenticação, ao final, pressione "Enter" para continuar .

Execute a opção 11 - Testa Conexao Federacao, esta opção irá testar a conexão dos servidores da Federação RPS01 e RPS02.

O sistema vai informar que a conexão do teste foi bem sucedida na porta 2083 dos servidores RPS01 e RPS02 , selecione "OK" para prosseguir.

Por fim, execute o item 18 para sair do script.

Procedimento finais

Após ter saído do Script, Inclua o IP de sua controladora/AP e sua chave secreta dentro do arquivo /etc/freeradius/clients.conf

Segue exemplo de configuração:

### Campus Sede
client 200.137.193.131 {
          ipaddr = 200.137.193.131
          shortname = campus_sede
          secret = qplmkdfjgszvqru
          require_message_authenticator = no
          nastype = other
          }

Após as alterações reiniciar o Freeradius :

/etc/init.d/freeradius restart

Configurar a controladora para se conectar no servidor eduroam.

E por fim, executar testes em seu smartphone usando o SSID eduroam.

Caso você queira instalar o novo servidor IdP Eduroam manualmente, você pode seguir o passo a passo deste manual.

Link para baixar a distribuição do Ubuntu Server 20.04 LTS amd64: https://mirror.uepg.br/ubuntu-releases/20.04.4/ubuntu-20.04.4-live-server-amd64.iso http://mirror.pop-sc.rnp.br/ubuntu-releases/focal/ubuntu-20.04.4-live-server-amd64.iso https://ubuntu.com/download/server

Detalhes técnicos da máquina virtual a ser criada: 8 GB RAM 2 vCPUs 200 GB de espaço em disco 1 placa de rede

Utilize o comando abaixo para obter privilégios de super usuário (root)

sudo su -

Após a instalação da máquina virtual acima vamos configurar o IP fixo. Edite o arquivo /etc/netplan/00-installer-config.yaml Segue abaixo exemplo do conteúdo do arquivo:

vim /etc/netplan/00-installer-config.yaml

This is the network config written by 'subiquity'

network: version: 2 renderer: networkd ethernets: ens160: addresses: [200.133.240.72/24] gateway4: 200.133.240.1 nameservers: addresses: - 200.133.241.164 Se for usar AD para autenticar seus usuários então utilize o IP do seu servidor AD - 200.133.241.165 Se for usar AD para autenticar seus usuários então utilize o IP do seu servidor AD search: [RNP.LOCAL] Se for usar AD, utilize o nome do dominio interno do seu AD

Se for utilizar o AD para autenticar seus usuários, então você deve informar no campo nameservers address o IP de seus ADs que estão na mesma rede ou mais próximos. Estamos levando em consideração que o servidor de DNS de seus ADs estão rodando na mesma máquina que roda o AD, por isso que estamos utilizando o mesmo IP. Existem instituições que rodam o DNS do AD em outros servidodres, o que você precisa fazer é informar os IPs dos servidores de DNS dos ADs. Eu não utilizo AD apenas LDAP, qual IP de DNS devo utilizar? Neste caso você pode utilizar o seu servidor de DNS público, basta apenas informar os IPs.

Após gravar as modificações no arquivo acima precisamos executar o comando abaixo para que surta efeito no sistema operacional:

netplan apply

Verificando se IP configurado anteriormente subiu corretamente, digite o comando abaixo:

ip a

Será exibido a configuração da placa de rede:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 00:50:56:b0:a4:3a brd ff:ff:ff:ff:ff:ff
    inet 200.133.240.72/24 brd 200.133.240.255 scope global ens160
       valid_lft forever preferred_lft forever
    inet6 fe80::250:56ff:feb0:a43a/64 scope link
       valid_lft forever preferred_lft forever

Podemos ver que a placa de rede ens160 está configurada com o IP 200.130.35.91 e mascara de rede 255.255.255.0 que equivale a 200.130.35.91/24 como mostrado no resultado do comando acima. Lembrando que para configurar a placa de rede basta editar o arquivo /etc/netplan/00-installer-config.yaml e após a alteração executar o comando netplan apply e para ver se as alterações foram aplicadas vamos executar novamente o comando ip a como mostrado no exemplo acima.

Verificando os IPs do DNS Servers e DNS Domain com o comando:

systemd-resolve --status

Link 2 (ens160)
      Current Scopes: DNS
DefaultRoute setting: yes
       LLMNR setting: yes
MulticastDNS setting: no
  DNSOverTLS setting: no
      DNSSEC setting: no
    DNSSEC supported: no
         DNS Servers: 200.133.241.164
                      200.133.241.165
          DNS Domain: RNP.LOCAL

A linha 1 exibe Link 2 (ens160) significa que as linhas a seguir referem-se as configurações da placa de rede ens160

As linhas 9 e 10 referem-se ao DNS que está sendo utilizado. DNS Servers: 200.133.241.164 200.133.241.165 Lembrando mais uma vez que se você estiver utilizando o AD para autenticar os usuários no IdP Eduroam, estes IPs devem ser de seu AD e não do seu servidor de DNS público. Se estiver utilizando somente o servidor LDAP de sua instituição então você pode utilizar os IPs de seu DNS público.

A linha 11: DNS Domain: RNP.LOCAL refere-se a qual domínio estamos utilizando em nosso DNS. Esta linha exibe a configuração do domínio que você está utilizando. Para dominios internos utilizando o AD normalmente é instituição.local, mas tem instituições fora do padrão pois criaram no AD o dominio externo. O padrão recomendado no material da Microsoft é sempre criar para dominios de autenticação de usuários internos o nome da empresa-instituição.LOCAL. Exemplos de nomes de dominios internos do AD utilizados em instituições usuárias do IdP Eduroam: RNP.LOCAL INSTITUICAO-A.LOCAL INSTITUICAO-B.EDU.BR INSTITUICAO-C.GOV.BR INSTITUICAO-D.BR

Verificando o roteamento

Vamos utilizar o comando ip route conforme exemplo abaixo:

ip route

default via 200.133.240.1 dev ens160 proto static 200.133.240.0/24 dev ens160 proto kernel scope link src 200.133.240.72

Podemos ver acima que o nosso default gateway está apontando para o IP 200.133.240.1 conforme configurado dentro do arquivo /etc/netplan/00-installer-config.yaml

Precisamos testar a conexão com o default gateway, com o seguinte comando, exemplo:

ping IP-DO-SEU-GATEWAY-EXIBIDO-ACIMA exemplo: ping 200.133.240.1

Caso ocorra algum problema será necessário verificar se o endereço IP/Mascara/Gateway definidos em sua máquina estão corretos.

Verificando se o servidor está acessando a internet

Vamos utilizar o comando ping conforme exemplo abaixo:

• ping 8.8.8.8

• ping 200.133.241.164

• ping 200.133.241.165

Caso ocorram problemas no comando acima, será necessário verificar no firewall da instituição se a saída da máquina está liberada para a internet

Verificando DNS

Agora precisamos verificar se sua máquina está resolvendo nomes internos e externos.

Se você utiliza AD o primeiro passo é verificar se está resolvendo o nome do dominio interno, exemplo:

ping rnp.local

ping seu-dominio.interno

Verificando a resolução de nomes para dominios externos:

ping www.google.com

ping archive.ubuntu.com

ping rps01.eduroam.org.br

ping rps02.eduroam.org.br

Verificando o nome de sua maquina, para isso podemos utilizar os seguintes comandos:

hostname

cat /etc/hostname

hostnamectl

Lembrando que se você utiliza AD é necessário que sua máquina esteja dentro do dominio interno de seu AD, exemplos:

prometheus.rnp.local

Se não utilizar AD então sua maquina pode utilizar dominio externo, exemplo:

prometheus.rnp.br

Como alterar o nome do servidor permanentemente:

voce pode editar o arquivo:

vim /etc/hostname

ou alterar o nome utilizando o comando:

hostnamectl set-hostname prometheus.rnp.br

E para ver se o nome foi alterado com sucesso, vamos utilizar novamente um dos comandos abaixo:

hostnamectl

hostname

cat /etc/hostname

Instalação de Pacotes

Os pacotes podem variar de acordo com o tipo de autenticação, se for autenticação via LDAP é um pacote, se a autenticação for via AD são outros pacotes, algumas instituições realizam a autenticação via LDAP e via AD, neste caso instalamos todos os pacotes.

Vamos acrescentar o repositório do Freeradius ao repositório do Ubuntu utilizando os comandos abaixo:

Adicionar repositório do Freeradius

echo "deb [arch=amd64] http://packages.networkradius.com/releases/ubuntu-`lsb_release -s -c` `lsb_release -s -c` main" | tee /etc/apt/sources.list.d/networkradius.list > /dev/null

Adicionando chaves

Para Ubuntu 20.04 LTS (Focal) / 18.04 LTS (Bionic)

curl -s 'https://packages.networkradius.com/pgp/packages%40networkradius.com' | tee /etc/apt/trusted.gpg.d/packages.networkradius.com.asc > /dev/null

Para Ubuntu 16.04 LTS (Xenial) / 14.04 LTS (Trusty) / 12.04 LTS (Precise)

apt-key adv --keyserver hkp://keys.gnupg.net:80 --recv-key 0x41382202

apt-key adv --keyserver hkp://209.244.105.201:80 --recv-key 0x41382202

apt-key adv --keyserver hkp://192.146.137.140:80 --recv-key 0x41382202

apt-key adv --keyserver hkp://192.146.137.141:80 --recv-key 0x41382202

Atualizando o Freeradius após a execução dos itens acima.

Execute o comando:

apt update

Instalando Freeradius e suas dependências

Ressaltando que a instalaçao do Freeradius neste manual é realizado com o Ubuntu 20.04 LTS.

apt -y update && apt list --upgradable && apt -y upgrade && apt install -y ssl-cert freeradius freeradius-utils freeradius-config freeradius-common freeradius-ldap freeradius-mysql freeradius-postgresql freeradius-krb5 snmp glibc-doc libclone-perl libmldbm-perl libnet-daemon-perl libsql-statement-perl make-doc libfreeradius3 libpython2.7 libpython2.7-minimal libpython2.7-stdlib libtalloc2 libwbclient0 libclone-perl libmldbm-perl libnet-daemon-perl libsql-statement-perl make make-doc libmysqlclient21 libpq5 mysql-common nmap dialog cryptsetup ldap-utils ntpdate ntpstat systemd-timesyncd net-tools traceroute lynx whois dialog

Instalando pacotes para conectar Freeradius com AD via SAMBA

Você deve instalar os pacotes mencionados acima e os pacotes adicionais abaixo para utilizar o AD para autenticar seus usuários em sua instituição. Segue abaixo o comando utilizado:

apt -y update && apt list --upgradable && apt -y upgrade && apt install -y krb5-user libpam-krb5 krb5-config libkrb5-3 libkadm5clnt-mit11 winbind systemd-timesyncd ntpdate samba samba-common samba-common-bin samba-dsdb-modules samba-libs samba-vfs-modules cifs-utils smbclient

Verificando se o Freeradius foi instalado com sucesso

Podemos utilizar um dos comandos abaixo:

systemctl status freeradius ou /etc/init.d/freeradius status ou service freeradius status

resultado esperado:

Caso ocorra algum problema com o Freeradius será necessário verificar a seção de Troubleshooting.

Utilizando email recebido com os arquivos de configuração de seu servidor

Crie uma pasta com o nome rnp dentro do diretório root, segue o comando a ser utilizado:

mkdir /root/rnp

cd /root/rnp

Copie os arquivos que você recebeu via email da RNP para dentro da pasta /root/rnp

Para realizar esta cópia você pode utilizar por exemplo o software WinSCP encontrado no site https://sourceforge.net/projects/winscp/

Descompacte o arquivo recebido dentro da pasta /root/rnp

tar xzvf eduroam01.sua-instituicao.edu.br.tar.gz

Liste os arquivos que foram descompactados com o comando abaixo:

ls -lart

Veja exemplo do resultado esperado:

-rw-r--r-- 1 root root 455 Mar 28 2020 atualiza_configura_idp_eduroam.bash -rw-r--r-- 1 root root 1330 Mar 9 08:22 rnp-ca.crt -rw-r--r-- 1 root root 4691 Mar 9 08:22 radsec -rw-r--r-- 1 root root 2532 Mar 9 08:22 proxy.conf -rw-r--r-- 1 root root 1103 Mar 9 08:22 inner-tunnel -rw-r--r-- 1 root root 1704 Mar 9 08:22 eduroam01.sua-instituicao.edu.br.key -rw-r--r-- 1 root root 4208 Mar 9 08:22 eduroam01.sua-instituicao.edu.br.crt -rw-r--r-- 1 root root 31393 Mar 9 08:22 eap -rw-r--r-- 1 root root 1306 Mar 9 08:22 default -rw-r--r-- 1 root root 1453 Mar 9 08:22 clients.conf

Onde está eduroam01.sua-instituicao.edu.br será substituido pelo nome do seu servidor e sua instituição.

Realizando backup dos arquivos originais

Abaixo os comados para criar o diretorio para armazenar o backup dos arquivos originais do freeradius, e em seguida realizamos a cópia destes arquivos para dentro do diretorio /root/rnp/backup

mkdir /root/rnp/backup

cp /etc/freeradius/{clients.conf,radiusd.conf,proxy.conf,mods-config/files/authorize,mods-enabled/{eap,mschap,ntlm_auth},mods-available/ldap,sites-available/{default,inner-tunnel}} /etc/ssl/openssl.cnf /etc/hosts /etc/resolv.conf /root/rnp/backup/

Substituindo os arquivos originais pelos arquivos recebidos

Agora vamos substituir os arquivos originais do Freeradius pelos arquivos recebidos da RNP.

Estes arquivos possuem as configurações necessárias para que o seu servidor conecte com as máquinas da nossa federação.

Criar o diretorio /etc/freeradius/certs/radsec, neste diretório vamos copiar os arquivos de certificados gerados pela RNP para realizar a conexão com os servidores da federação.

mkdir /etc/freeradius/certs/radsec
cp /root/rnp/{rnp-ca.crt,eduroam01.sua-instituicao.edu.br.key,eduroam01.sua-instituicao.edu.br.crt} /etc/freeradius/certs/radsec
ls -lart /etc/freeradius/certs/radsec

total 24

drwxr-s--x 3 freerad freerad 4096 Mar 9 12:51 ..

-rw-r--r-- 1 root freerad 1330 Mar 9 12:51 rnp-ca.crt

-rw-r--r-- 1 root freerad 1704 Mar 9 12:51 eduroam01.sua-instituicao.edu.br.key

-rw-r--r-- 1 root freerad 4208 Mar 9 12:51 eduroam01.sua-instituicao.edu.br.crt

drwxr-sr-x 2 root freerad 4096 Mar 9 12:51 .

Copiar os demais arquivos de configuração do Freeradius

cp /root/rnp/{radsec,inner-tunnel,default} /etc/freeradius/sites-enabled/
cp /root/rnp/eap /etc/freeradius/mods-enabled/eap
cp /root/rnp/{clients.conf,proxy.conf} /etc/freeradius/
cp /root/rnp/openssl.cnf  /etc/ssl/openssl.cnf
dd if=/dev/urandom of=/etc/freeradius/certs/radsec/random count=10
openssl dhparam -out /etc/freeradius/certs/radsec/dh -2 2048

Após a realização de todo procedimento acima devemos executar o comando freeradius -CX para verificar se há algum problema.

freeradius -CX

Se tudo ocorreu bem até o momento, a ultima linha do resultado deste comando deve ser:

Configuration appears to be OK

Analisando os arquivos de configurações

Neste item vamos analisar os arquivos de configurações que foram gerados pela RNP.

Estes arquivos gerados foram copiados para dentro de vários diretórios do Freeradius como executamos no item anterior.

/etc/freeradius/sites-enabled/default

server default {
listen {
        type = auth
        ipaddr = *
        port = 0
        limit {
              max_connections = 16
              lifetime = 0
              idle_timeout = 30
        }
}
listen {
        ipaddr = *
        port = 0
        type = acct
        limit {
        }
}
listen {
        type = auth
        ipv6addr = ::   # any.  ::1 == localhost
        port = 0
        limit {
              max_connections = 16
              lifetime = 0
              idle_timeout = 30
        }
}
listen {
        ipv6addr = ::
        port = 0
        type = acct
        limit {
        }
}
authorize {
        filter_username
        preprocess
        chap
        mschap
        digest
        suffix

        if ( Realm =~ /sua-instituicao.edu.br/i ) {
                 update control {
                    &Proxy-To-Realm := LOCAL
                 }
        }
        eap {
                ok = return
        }
        files
        -sql
        -ldap
        expiration
        logintime
        pap
}
authenticate {
        Auth-Type PAP {
                pap
        }

        Auth-Type CHAP {
                chap
        }

        Auth-Type MS-CHAP {
                mschap
        }

        mschap
        digest
        eap
}

preacct {
        preprocess
        acct_unique
        files
}

accounting {
        detail
        unix
        -sql
        exec
        attr_filter.accounting_response
}
session {
}
post-auth {
        update {
                &reply: += &session-state:
        }
        -sql
        -ldap
        exec
        remove_reply_message_if_eap
        Post-Auth-Type REJECT {
                -sql
                attr_filter.access_reject
                eap
                remove_reply_message_if_eap
        }
}
pre-proxy {
        update proxy-request {
            Operator-Name = "1sua-instituicao.edu.br"
            Eduroam-SP-Country = "BR"
        }

}
post-proxy {
        eap
}
}

/etc/freeradius/sites-enabled/inner-tunnel

server inner-tunnel {
listen {
        type = auth
        ipaddr = *
        port = 18120
        limit {
              max_connections = 16
              lifetime = 0
              idle_timeout = 30
        }
}

authorize {
        filter_username
        preprocess
        chap
        mschap
        digest
        suffix

        if ( Realm =~ /sua-instituicao.edu.br/i ) {
                 update control {
                    &Proxy-To-Realm := LOCAL
                 }
        }

        eap {
                ok = return
        }
        files
        -sql
        -ldap
        expiration
        logintime
        pap
}

authenticate {
        Auth-Type PAP {
                pap
        }
        Auth-Type CHAP {
                chap
        }
        Auth-Type MS-CHAP {
                mschap
        }
        mschap
        digest
        eap
}

preacct {
        preprocess
        acct_unique
        files
}

accounting {
        detail
        unix
        -sql
        exec
        attr_filter.accounting_response
}

session {
}

post-auth {
        update {
                &reply: += &session-state:
        }
        -sql
        -ldap
        exec
        remove_reply_message_if_eap
        Post-Auth-Type REJECT {
                -sql
                attr_filter.access_reject
                eap
                remove_reply_message_if_eap
        }
}

pre-proxy {
        update proxy-request {
            Operator-Name = "1sua-instituicao.edu.br"
            Eduroam-SP-Country = "BR"
        }


}

post-proxy {
        eap
}
}

/etc/freeradius/sites-enabled/radsec

listen {
    ipaddr = *
    port = 2083
    type = auth

    proto = tcp
    virtual_server = default

    clients = radsec
        limit {
              max_connections = 0
              lifetime = 0
              idle_timeout = 3600
              }
    tls {
        tls_min_version = "1.0"
        tls_max_version = "1.2"
        cipher_list = "DEFAULT@SECLEVEL=1"
        certdir = ${confdir}/certs/radsec
        cadir = ${confdir}/certs/radsec
        private_key_password = dXdHZF2GemkB
        private_key_file = ${certdir}/eduroam01.sua-instituicao.edu.br.key
        certificate_file = ${certdir}/eduroam01.sua-instituicao.edu.br.crt
        ca_file = ${cadir}/rnp-ca.crt
        dh_file = ${certdir}/dh
        random_file = ${certdir}/random
        fragment_size = 8192
        include_length = yes
        #cipher_list = "DEFAULT"
        cache {
              enable = yes
              lifetime = 24 # hours
              max_entries = 255
        }
        require_client_cert = yes
        verify {
        }
    }
}


listen {
    ipv6addr = ::
    port = 2083
    type = auth
    proto = tcp
    clients = radsec
    limit {
              max_connections = 0
              lifetime = 0
              idle_timeout = 600
        }
    tls {
        tls_min_version = "1.0"
        tls_max_version = "1.2"
        cipher_list = "DEFAULT@SECLEVEL=1"
        certdir = ${confdir}/certs/radsec
        cadir = ${confdir}/certs/radsec
        private_key_password = dXdHZF2GemkB
        private_key_file = ${certdir}/eduroam01.sua-instituicao.edu.br.key
        certificate_file = ${certdir}/eduroam01.sua-instituicao.edu.br.crt
        ca_file = ${cadir}/rnp-ca.crt
        dh_file = ${certdir}/dh
        random_file = ${certdir}/random
        fragment_size = 8192
        include_length = yes
        #cipher_list = "DEFAULT"
        cache {
              enable = yes
              max_entries = 255
        }
        require_client_cert = yes
        verify {
        }
    }
}

clients radsec {
    limit {
              max_connections = 0
              lifetime = 0
              idle_timeout = 3600
        }
    client 127.0.0.1 {
        ipaddr = 127.0.0.1
        proto = tls
        secret = l9ZoIpHZoBBX
    }
    client rps01 {
        ipaddr = rps01.eduroam.org.br
        proto = tls
        secret = rTfGaFM9vvJw
        limit {
              max_connections = 0
              lifetime = 0
              idle_timeout = 3600
        }
    }
    client rps02 {
        ipaddr = rps02.eduroam.org.br
        proto = tls
        secret = rTfGaFM9vvJw
        limit {
              max_connections = 0
              lifetime = 0
              idle_timeout = 3600
        }
    }
}


# local test listener for debug (present by default)
listen {
       ipaddr = 127.0.0.1
       port = 4000
       type = auth
}

home_server rps01 {
    ipaddr = rps01.eduroam.org.br
    port = 2083
    type = auth
    secret = rTfGaFM9vvJw
    proto = tcp
    status_check = none
    tls {
        tls_min_version = "1.0"
        tls_max_version = "1.2"
        cipher_list = "DEFAULT@SECLEVEL=1"
        certdir = ${confdir}/certs/radsec
        cadir = ${confdir}/certs/radsec
        private_key_password = dXdHZF2GemkB
        private_key_file = ${certdir}/eduroam01.sua-instituicao.edu.br.key
        certificate_file = ${certdir}/eduroam01.sua-instituicao.edu.br.crt
        ca_file = ${cadir}/rnp-ca.crt
        dh_file = ${certdir}/dh
        random_file = ${certdir}/random
        fragment_size = 1500
        include_length = yes
        CA_path = ${cadir}
        #cipher_list = "DEFAULT"
    }
}

home_server rps02 {
    ipaddr = rps02.eduroam.org.br
    port = 2083
    type = auth
    secret = rTfGaFM9vvJw
    proto = tcp
    status_check = none
    tls {
        tls_min_version = "1.0"
        tls_max_version = "1.2"
        cipher_list = "DEFAULT@SECLEVEL=1"
        certdir = ${confdir}/certs/radsec
        cadir = ${confdir}/certs/radsec
        private_key_password = dXdHZF2GemkB
        private_key_file = ${certdir}/eduroam01.sua-instituicao.edu.br.key
        certificate_file = ${certdir}/eduroam01.sua-instituicao.edu.br.crt
        ca_file = ${cadir}/rnp-ca.crt
        dh_file = ${certdir}/dh
        random_file = ${certdir}/random
        fragment_size = 1500
        include_length = yes
        CA_path = ${cadir}
        #cipher_list = "DEFAULT"
    }
}
home_server_pool BR {
         type = fail-over
         home_server = rps01
         home_server = rps02
}


realm "~.+$" {
       auth_pool = BR
       nostrip
}

O eduroam (education roaming) reúne instituições de ensino e pesquisa brasileiras e internacionais. Através do eduroam, um usuário pode acessar a rede sem fio de sua instituição ou de outras instituições que fazem parte do serviço.

Mais de 100 países estão no eduroam, no Brasil, temos mais de 170 instituições e aproximadamente 3.000 mil pontos de acesso, disponível em universidades, institutos, centros de pesquisas, hospitais universitários e espaços públicos. Além disso, o eduroam é baseado nos mais seguros padrões de autenticação existentes atualmente.

Funcionamento

O eduroam permite que qualquer usuário de uma instituição participante tenha acesso à rede de qualquer outra instituição conectada no eduroam.

As credenciais dos usuários são fornecidas pela instituição de origem e ao se conectar em um ponto de acesso de uma outra instituição que esteja visitando, seus dados não são armazenados, sendo enviados a instituição de origem para verificação e validação do acesso.

O esquema abaixo mostra o fluxo de autenticação no serviço ao utilizar um ponto de acesso como visitante:

1, 2 - Solicitação da autenticação;

3, 4 - A solicitação é encaminhada para a instituição de origem do usuário;

5, 6 - As credenciais são validadas na base de usuários da instituição;

7, 8 - A validação dos dados são encaminhadas para a instituição visitada confirmando a validade das credenciais;

9, 10 - O acesso a rede eduroam é concedido ao usuário.

O serviço usa uma rede servidores administrada pelas instituições e pelas Redes Nacionais de Educação e Pesquisa (NRENs) participantes para encaminhar com segurança as solicitações de autenticação. E tudo isso acontece de forma integrada e transparente, graças ao eduroam!

Qual a sua dúvida?

Acesse o menu lateral e veja os guias do serviço, caso ainda precise de apoio, fale com o nosso Service Desk através do telefone/WhatsApp: 0800 722 0216 ou e-mail: atendimento@rnp.br.

Encontrou algum problema neste portal?

Não encontrou o que precisa? Gostaria de adicionar algo? Por favor, não deixe de nos informar.

Envie um e-mail para o atendimento@rnp.br sinalizando o erro, página ou conteúdo que precisa de alteração.

Sua colaboração é ESSENCIAL para evoluirmos cada vez.

Como mitigar o problema?

Existem três formas possíveis, recomendamos que sigam prioritariamente com a primeira opção, utilizando o aplicativo "geteduroam", pois possui melhor usabilidade e permite maior segurança.

1 - Configuração via aplicativo "geteduroam":

A instituição deve configurar o perfil no CAT eduroam e solicitar que o usuário baixe o aplicativo "geteduroam" da SURF Cooperative. Esta opção permite que o certificado da AC (Autoridade Certificadora) seja distribuído nos dispositivos dos usuários, sem que haja necessidade de instalações manuais.

Se a sua instituição ainda não tem acesso ao CAT eduroam, entre em contato com a nossa equipe de atendimento.

OBS: Caso o app geteduroam não funcione no Android 11, o aplicativo CAT eduroam, pode ser usado como alternativa de conectividade.

2 - Utilizando um certificado válido:

Conforme informado, a falha de autenticação ocorre devido ao uso de certificado auto-assinado, que não é reconhecido por padrão pelos dispositivos. Nesta opção, a instituição poderá configurar um certificado válido no servidor Radius eduroam, podendo ser utilizado tanto certificado da ICPEdu, como qualquer outro certificado válido que a instituição tenha acesso.

3 - Configuração manual:

Essa opção exige mais dos usuários e deve ser utilizada somente se os procedimentos anteriores não tiverem sido efetivos.

Antes de começar, remova qualquer configuração atual do eduroam. Vá para Configurações e, em seguida, Wi-Fi . Pressione e segure eduroam . Se a opção Esquecer rede ou similar for exibida, selecione-a e continue.

1 - Baixe no seu dispositivo o certificado da CA (Autoridade certificadora);

Obs.: O certificado abaixo deve ser utilizado apenas se seu servidor foi configurado com o certificado auto-assinado fornecido pela RNP.

2 - Seu dispositivo perguntará se você deseja baixar o certificado. Escolha ' Baixar '.

3 - Na caixa de diálogo, escolha a opção "Abrir com instalador de certificado";

4 - Em seguida, você será solicitado a nomear o certificado e identificar como ele deve ser usado. No campo Nome do certificado , digite "RNP-CA" e escolha Wi-Fi na lista suspensa;

5 - Após instalar o certificado, acesse a rede eduroam completando as informações conforme abaixo:

Dispositivos Motorola

Para os casos de alguns dispositivos Motorola, solicite que o cliente utilize um certificado válido, e que o mesmo esteja apontado no arquivo EAP.

OBS: Alguns dispositivos ainda necessitam que o certificado seja instalado manualmente no aparelho. Exemplo de caminho para o certificado válido: mkdir /etc/freeradius/certs/icpedu Atualizar o caminho no arquivo EAP: vi /etc/freeradius/mods-enabled/eap tls-config tls-common { private_key_password = 'whatever' private_key_file = ${certdir}/icpedu/nome_server.key certificate_file = ${certdir}/icpedu/nome_serve.crt ca_file = ${cadir}/icpedu/certificado_raiz.crt ca_path = /etc/ssl/certs cipher_server_preference = no ecdh_curve = "prime256v1" cache { enable = no } verify { } ocsp { enable = no override_cert_url = yes url = "http://127.0.0.1/ocsp/" } }

A adesão ao eduroam está disponível para as organizações usuárias do Sistema RNP, caso ainda não seja, acesse a página da RNP abaixo e veja como fazer parte:

Requisitos:

• Organização precisa fazer parte do Sistema RNP;

• Finalizado adesão à CAFe;

• Possuir infraestrutura de rede sem fio pronta para ativação do eduroam.

Processo:

O processo de adesão é bastante simples! Conheça o passo a passo abaixo:

A adesão para provedores de sinal eduroam são para aquelas instituições que já possuem uma infraestrutura de rede sem fio, mas querem facilitar a conexão de visitantes (alunos, professores e pesquisadores) oriundos do meio acadêmico, usando o SSID e métodos de autenticação do eduroam.

Nessa modalidade, a instituição não precisa fazer parte do Sistema RNP.

Requisitos:

• Possuir infraestrutura de rede sem fio para ativação do sinal eduroam.

Benefícios:

• Proporciona facilidade e transparência na autenticação dos usuários;

• Serviço reconhecido pelas organizações de ensino e pesquisa do Brasil e internacionalmente;

• Padrão de autenticação seguro;

• Não há custo adicional com infraestrutura ou com a adesão.

O processo de ativação do sinal é bastante simples, veja o fluxo abaixo:

Funcionamento:

A ativação do eduroam não exige instalações ou custos adicionais, basta realizar ajustes de configuração na controladora ou ponto de acesso existente, apontando a autenticação para o servidor Radius, alocado na RNP, e este ficará responsável por encaminhar a autenticação através da infraestrutura do serviço.

A figura abaixo demonstra a arquitetura de autenticação eduroam para provedores de sinal do eduroam (provedor de serviço):

• No passo inicial, o usuário acessa a rede eduroam, fornecida pelo provedor de sinal, com o mesmo usuário e senha utilizado para acessar o eduroam na sua própria instituição e em outros pontos de acesso;

• A autenticação é encaminhada para o servidor Radius (radius-rnp.br), que tem a função de intermediário e encaminhar a autenticação para o servidor de nível superior;

• O servidor de nível superior (Proxy) recebe a solicitação, identifica o endereço de origem (@ufrj.br) e envia para o destino/ instituição para checagem dos dados de acesso;

• Os dados de acesso são verificados a partir do Radius das instituições, que checam na base de usuários interna se os dados estão corretos;

• O fluxo de autenticação então retorna pelo mesmo caminho com o aceite ou rejeição da autenticação para uso da rede.

Para maiores informações sobre o Aviso de privacidade do serviço eduroam em conformidade com a Lei nº 13.709/18 (Lei Geral de Proteção de Dados ou “LGPD”), Lei nº 12.965/14 (“Marco Civil da Internet”) e demais leis aplicáveis, segue abaixo o seguinte documento:

A adesão ao eduroam pode ser realizada de duas formas:

• A primeira forma, para as organizações que queiram disponibilizar ao seus usuários o uso de toda a rede eduroam. Modalidade disponível apenas para clientes da RNP;

• A segunda forma, para organizações que recebam visitantes oriundos de instituições de ensino e pesquisa e queiram ser um provedor de sinal do eduroam. Modalidade disponível para organizações que não são clientes da RNP.

O CAT eduroam é um assistente de configuração que apoia os usuários com configurações de acesso e também garante que a conexão está sendo realizada de forma segura, em uma rede eduroam genuína.

1 - Acesse o site do CAT (https://cat.eduroam.org/) e clique no campo "Clique aqui para descarregar o seu instalador eduroam.

2 - Clique no campo em branco e insira o nome da sua instituição:

3 - Após selecionar a sua instituição, você será redirecionado para uma outra pagina que contém o nome da sua instituição, clique no campo azul "Faça download do seu instalador eduroam MS Windows 10".

4 - Após clicar, você será redirecionado para um outra pagina e um pop-up vai surgir para fazer download, só clicar em salvar arquivo.

5 - Após clicar no instalador ele será aberto. Clique no botão "Seguinte" para continuar a instalação.

6 - Na janela de aviso, clique "OK".

7 - Preencha com seu usuário e sua senha conforme abaixo, nos campos solicitados, e clique em OK:

8 - Clique em concluído.

9 - Clique na aba inferior do seu desktop e abra o ícone de redes como descrito abaixo. Após isso, clique na Rede sem fio Eduroam exibida como "eduroam".

10 - A sua conexão já está pronta.

O CAT eduroam é um assistente de configuração que apoia os usuários com configurações de acesso e também garante que a conexão está sendo realizada de forma segura, em uma rede eduroam genuína.

1 - Acesse o site do CAT (https://cat.eduroam.org/) e clique no campo "Clique aqui para descarregar o seu instalador eduroam.

2 - Clique no campo em branco e insira o nome da sua instituição:

3 - Caso esteja correto o nome do sistema operacional do dispositivo que você esta acessando só clicar no nome, caso seja diferente, clique em baixo "Escolha outro instalado para descarregar".

Selecione o sistema operacional e a versão do seu dispositivo e faça download, neste caso o macOS.

4 - Abra o instalador, será exibida uma janela solicitando a instalação do perfil de configuração. Clique no botão "Continuar" para prosseguir com a instalação.

5 - Será solicitado que você digite seu usuário e senha de acesso a Rede sem fio eduroam.

6 - Caso seja necessário, será exibida uma janela solicitando permissão para realizar as alterações. Neste caso, você deve digitar o usuário e senha da conta de seu computador Mac para efetuar as alterações. Clique no botão OK para prosseguir.

7 - Pronto! Após estes passos, o perfil foi corretamente instalado em seu computador.

Para conectar-se, selecione a Rede sem fio eduroam exibida como "eduroam" na relação de redes sem fio que será apresentada em seu computador.

O CAT eduroam é um assistente de configuração que apoia os usuários com configurações de acesso e também garante que a conexão está sendo realizada de forma segura, em uma rede eduroam genuína.

1 - Acesse o site do CAT (https://cat.eduroam.org/) e clique no campo "Clique aqui para descarregar o seu instalador eduroam.

2 - Clique no campo em branco e insira o nome da sua instituição:

3 - Caso esteja correto o nome do sistema operacional do dispositivo que você esta acessando só clicar no nome, caso seja diferente, clique em baixo "Escolha outro instalado para descarregar".

4 - Selecione o sistema operacional e a versão do seu dispositivo e faça download, neste caso o Linux.

5 - Entre no terminal e digite, na ordem, os seguintes comandos (Pode variar de acordo com as versões do Linux):

Acione o root:

sudo su
Em seguida insira a senha

6 - Com o comando "cd" , vá até o diretório da "Área de trabalho" (Se o seu Linux for em inglês, o diretório se chamará "Desktop") onde está guardado seu arquivo eduroam:

Se você não sabe como chegar lá, vá até o diretório "/home" usando o seguinte comando:

cd /home

Lá você deve encontrar o diretório que tem o nome do seu usuário. Após encontrar seu usuário, continue o comando até que ele fique assim:

cd /home/seuusuario/Área\de\Trabalho/    (Se o seu linux for em português)
cd /home/seuusuario/Desktop              (Se o seu linux for em inglês)

7 - Após isso, digite o seguinte comando:

sh eduroam-linux-RNP-GlobalSign.py

8 - Uma tela de instalação será aberta e digite "OK".

9 - Selecione a opção "YES".

10 - Digite seu usuário e clique em "OK".

11 - Repita sua senha e clique em "OK".

12 - A instalação será concluída com sucesso, clique em "OK".

13 - Após isso, clique em "Network Manager" e selecione eduroam para conectar-se.

Escolha o sistema operacional (SO) do seu dispositivo:

1 - Baixe o aplicativo CATeduroam no Google Play Store:

> Google Play

2 - Após baixar, acesse o aplicativo e na tela inicial escolha a sua instituição:

2 - Após selecionar a instituição, clique em "Instalar".

3 - Na tela a seguir, insira o seu usuário e senha e clique em "Instalar".

4 - Nesse momento, você será automaticamente conectado ao eduroam.

Onde acessar? Baixe gratuitamente o aplicativo eduroam Companion para saber o local mais próximo com acesso Rede sem fio eduroam.

1 - Baixe o aplicativo no Google Play ou APP Store, conforme S.O. do seu dispositivo:

> Google Play

> APP Store

2 - Após baixar, acesse o aplicativo e na tela inicial escolha a sua instituição:

3 - Insira seu o usuário e senha e clique na opção "Connect To Network":

4 - Na tela seguinte, clique em "Permitir uma vez":

5 - Na tela seguinte, clique em "Ok". A partir de agora, seu dispositivo já estará conectado no eduroam e nas próximas conexões não será mais necessário inserir suas credenciais de acesso.

1 - Ative a conexão via wi-fi de seu dispositivo, e selecione a rede eduroam.

2 - Após selecionar a rede, preencha conforme o exemplo abaixo e clique em "conectar".

• Método EAP: PEAP

• Autenticação da Fase 2: Nenhuma

• Certificado CA: Não validar

• Identidade: Insira seu e-mail completo

• Identidade anônima: Não preencher

• Senha: Insira sua senha da rede (CAFe)

Para instalar um novo perfil, o anterior deve ser removido ao seu celular.

Entre em Ajustes;

Selecione a opção Geral;

Selecione a opção Gerenciamento de VPN e Dispositivo;

Escolha o perfil a ser removido (Rede_Sem_Fio_eduroam);

Clique em Remover;

Pronto! O perfil foi removido.

1 - Ative a conexão via wi-fi de seu dispositivo, e selecione a rede eduroam

2 - Após selecionar a rede, preencha o formulário com o seu e-mail completo e senha de rede (CAFe) e clique em "conectar".

3 - Caso peça para validar o certificado, basta clicar em "Confiar".

O CAT eduroam (Configuration Assistant Tool) permite que as instituições criem instaladores personalizados que auxilia o usuário na autenticação, trazendo maior usabilidade e possibilitando maior segurança no processo de autenticação.

O administrador do CAT pode gerar um instalador do serviço e disponibilizar para os seus usuários, com o CAT o usuário tem a certeza de que ele está acessando uma rede genuína, sem a necessidade de incluir login e senha ao se conectar.

Se a sua instituição não está listada, entre em contato com o administrador do eduroam local.

Configurando um instalador personalizado:

Solicite ao atendimento da RNP o acesso CAT eduroam, em seguida você receberá um e-mail/ convite, conforme abaixo:

Na tela a seguir selecione a sua instituição.

Finalize o login inserindo os seus dados de acesso federado (CAFe).

Após finalizar o login, selecione a sua instituição.

Na tela a seguir selecione "Adicionar uma nova opção"

Em seguida, preencha o formulário com as informações disponíveis para a sua instituição.

Insira a localização da sua instituição

Caso a sua instituição possua propriedades de mídia, você pode inseri-las no próximo passo.

Adicione as informações de suporte da sua instituição.

O sistema vai checar as informações inseridas, caso esteja tudo certo, basta "continuar para as definições do perfil RADIUS/EAP".

Nas propriedades gerais do perfil, insira as informações de acordo com a sua instituição.

Selecione os tipos EAP suportados, clicando e arrastando-os para o quadrado verde.

Insira os arquivos dos certificados CA da sua instituição e as informações de CN e URL.

Obs: A URL do Certificado CA não é obrigatória.

Se tiver mais de um certificado CA, insira todos, como na figura abaixo.

O certificado CA a ser inserido é o rnp-ca.crt, caso a instituição esteja utilizando o certificado auto-assinado disponibilizado durante a adesão. Caso a instituição utilize um certificado de outra certificadora, como ICPEdu, GlobalSing, CertSing ou Let's Encrypt, por exemplo, será necessário a adição do certificado raiz destas emissoras e seus intermediários caso possuam

Obs²: Não recomendamos a utilização de um certificado wildcard, pois algumas versões do IOS, Windows 8 e 8.1 podem não reconhecer o certificado como confiável.

Clique em “Guardar informação” na página de verificação, se estiver tudo “OK”, clique em “Avançar para Dashboard”.

A página principal deve estar como nas duas imagens abaixo, após todas as configurações.

Para verificar como instalar o CAT nos dispositivos, verifique a página abaixo.

Para acessar a rede do eduroam no Windows 10, siga os passos abaixo.

1 - Clique com o botão esquerdo no botão de redes que fica próximo ao relógio, e em seguida clique na conexão Eduroam.

2 - Clique em conectar-se automaticamente e em seguida Conectar.

3 - Insira suas credenciais (acesso federado) e clique em "OK".

Escolha o sistema operacional (SO) do seu dispositivo:

Para realizar o login na rede do eduroam via Linux, siga os passos abaixo.

Vá ao Menu “Sistema -> Preferências -> Conexões de Redes”.

Vá até a aba “Sem fio” e na sequência clique em “Adicionar”.

Preencha as informações da conexão como na figura abaixo:

Vá até a aba “Segurança Sem Fio” e configure a conexão como demonstrado na figura abaixo. Em seguida clique em “Aplicar” e na sequência em “Fechar”. Utilize usuário e senha de acordo com sua instituição.

Escolha a rede eduroam para estabelecer a conexão de rede sem fio no menu do UBUNTU. Aparecerá uma mensagem como mostrada na figura abaixo. Clique em “Ignorar”.

Introdução

Este procedimento tem por objetivo exemplificar como realizar configuração nas controladoras Zone Director da Ruckus.

Pré-requisitos

• Acesso administrativo a console web da controladora Zone Director;

• Acesso as chaves configuradas no servidor Radius habilitando acesso a controladora. Cada controladora possui sua própria chave de acesso.

Procedimento

1. Acessar a interface administrativa da controladora ruckus;

2. Acesse o menu Configure e selecione a aba "AAA Servers";

3. Adicione um novo servidor RADIUS com um clique no botão "Create New";

4. Preencha os campos conforme figura abaixo. É necessário ter em mãos a chave de acesso do cliente que está sendo configurado;

5. Dê um clique com o botão "OK" para salvar as configurações.

8. Expanda a opção "Advanced Options";

9. Em "Accounting Server" selecione "eduroam-accounting";

10. Deixe a opção "Send Interim-Update every" com o padrão de 10 minutos;

11. Confirme a alteração com um clique no botão "OK";

1. Acesse a ferramenta de marcação de pontos Marker eduroam com as credenciais fornecidas pelo Service Desk; Obs.: No primeiro acesso será solicitado a alteração de senha.

2. Em seguida, acesse a opção "marcadores".

3. Em "Novo Marcador", preencha os dados do ponto de acesso que deseja inserir e clique no botão "criar".

Após criado, a RNP avaliará o cadastro em até 48h. Caso algum dado esteja incorreto ou não compreendido, você receberá uma notificação da recusa do cadastro com as orientações de correção.

O mapa eduroam reconhece a alteração em até 24h após a alteração, acompanhe através dos seguintes endereços:

• Site: https://monitor.eduroam.org/map_service_loc.php

• Aplicativo: https://www.eduroam.org/eduroam-companion-app/

Os marcadores após cadastrados, poderão ser visualizados na aba "Lista de Marcadores", no qual poderão ser alterados ou removidos em caso de necessidade.

Os pontos de acesso eduroam estão disponíveis em diversas localidades, no Brasil, estão em universidades, institutos tecnológicos, agências de pesquisa e inovação, hospitais, espaços públicos e aeroporto.

Através do mapa global do eduroam, é possível visualizar os pontos de acesso espalhados no Brasil e nos mais de 100 países que também fazem parte dessa rede colaborativa.

Site: https://monitor.eduroam.org/map_service_loc.php

Acesse o mapa também via aplicativo, disponível para Android e IOS:

Aplicativo: https://www.eduroam.org/eduroam-companion-app/

Como incluir, alterar ou remover pontos de acesso no Mapa?

Acesse https://marker-eduroam.rnp.br/index.php/ e siga o procedimento de marcação abaixo:

Abaixo você encontra algumas perguntas frequentes sobre o serviço de eduroam, mas caso ainda tenha algum problema ou dúvida, fale com o nosso Service Desk.

Telefone/WhatsApp: 0800 722 0216 E-mail: atendimento@rnp.br

1 - O que é o eduroam?

O eduroam (education roaming) é uma iniciativa da Terena (Trans-European Research and Education Networking Association), hoje GÉANT, para oferecer serviço de acesso a rede sem fio, de forma segura, para a comunidade internacional de educação e pesquisa. O eduroam está disponível em mais de 100 países, sendo a RNP (Rede Nacional de Ensino e Pesquisa) licenciada a operar o serviço no Brasil.

2 - Como conecto minha instituição no eduroam?

A instituição deve entrar em contato com o atendimento da RNP solicitando a adesão. É indispensável que a instituição já tenha realizado adesão a CAFe e também possua uma infraestrutura de rede sem fio pronta, conforme política, pelo menos 60% dos pontos de acesso das instituições participantes devem ser disponibilizados para uso da comunidade através da rede eduroam.

3 - Como faço meu cadastro (usuário) para utilizar o eduroam?

A base de usuários do serviço eduroam é gerenciada pelas próprias instituições participantes do serviço. Desta forma, o usuário deve entrar em contato com a própria instituição e solicitar acesso a rede sem fio eduroam.

4 - Onde encontro os pontos de acessos eduroam disponível no Brasil e no mundo?

O mapa dos pontos de acesso podem ser acessados através do APP "eduroam Companion", disponível para Android e IOS.

• Verão Android: https://play.google.com/store/apps/details?id=net.ja.android.eduroamcompanion&hl=en_GB

• Versão IOS: https://apps.apple.com/gb/app/eduroam-companion/id480611749

O eduroam está disponível em mais de 100 países, veja o mapa em https://eduroam.org/where/

5 - Meu acesso a rede eduroam não funciona, quem devo acionar?

Primeiramente verifique se não houve alterações nos seus dados de acesso (login e senha), normalmente as credenciais são as mesmas utilizadas em outros sistemas internos das instituições. Caso as credenciais estejam corretas, acione o suporte da rede eduroam visitada.

6 - Desejo ativar o eduroam em outros campi, como fazer?

A adesão ao eduroam é realizada por instituição, não havendo necessidade de nova adesão. Neste caso, basta incluir os pontos de acessos ou controladoras dos campi no servidor radius eduroam já instalado na instituição, conforme processo de instalação.

Caso haja necessidade de instalar novos servidores, por exemplo, de contingência, basta entrar em contato conosco, através da equipe de atendimento.

7 - Posso utilizar um portal web para autenticação?

Não, o eduroam não utiliza mecanismos de autenticações através de portais web ou Captive portal. O método não é seguro para o modelo de arquitetura utilizada no eduroam, mesmo que esteja protegido por conexão segura (HTTPS).

8 - Posso utilizar um SSID diferente de "eduroam"?

Não, o roaming transparente que fornece facilidade e melhor usabilidade para os usuários, exige uma padronização do SSID, devendo ser escrito *eduroam* com todas as letras minúsculas.