Autenticação de cliente 802.1x WPA utilizando EAP-TTLS FreeRADIUS + Samba + LDAP

Este tutorial tem como objetivo demonstrar a instalação dos serviços necessários para se obter uma internet WIFI 802.1x com segurança e autenticada em uma base LDAP.

[ Hits: 30.743 ]

Por: Cesar Henrique Prescher em 19/04/2010


Servidor Samba e Winbind



Pacotes a serem instalados.

Instale através dos comandos:

# apt-get install samba
# apt-get install winbind
# apt-get install smbldap-tools


Agora faça:

# smbpasswd -w senha_do_LDAP
ou
# smbpasswd -W

E depois informe a senha - para que não fique armazenado no histórico.

Configuração dos arquivos.

O arquivo /etc/samba/smb.conf deve ficar assim:

[global]
workgroup = nome_do_grupo
netbios name = SERVIDOR
server string = %h
dns proxy = no

security = user
os level = 255
local master = yes
domain master = yes
preferred master = yes
domain logons = yes
admin users = joao

##parte referente a conexão com LDAP
passdb backend = ldapsam:ldap://127.0.0.1
ldap admin dn = cn=admin,dc=nome_do_domínio,dc=com,dc=br
ldap suffix = dc=nome_do_domínio,dc=com,dc=br
ldap user suffix = ou=Usuarios
ldap group suffix = ou=Grupos
ldap machine suffix = ou=Computadores
ldap passwd sync = yes
unix password sync = no

##parte referente ao winbind
winbind separator = +
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind trusted domains only = yes

syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000

Agora faça:

# net getlocalsid

E seu SID aparecerá, ele será necessário para a confiança entre Samba e LDAP.

Para criar os usuários, aparecerá algo assim:

SID for domain YOURWORKGROUP is: S-1-5-21-1803520230-1543781662-649387223

Este SID é o número de identificação do domínio na rede Windows.

Ele servirá de base para compor a identificação dos usuários e computadores pertencentes ao domínio em questão.

Abra seu browser e digite:

http://localhost/phpldapadmin

Aí você deve criar seus grupos, domínio Samba e usuários.

Os usuários, uma vez criados e associados aos seus grupos, podem ser referenciados pelo Samba. Assim, podemos utilizar um usuário para administrar a rede Windows - diferente do super-usuário root. Basta adicionar a linha:

admin users = joao

na seção global do smb.conf para que o usuário joao tenha poderes de administrador da rede Windows - após reiniciar o serviço.

Com isso, poderemos fazer a segunda integração de serviços, agora entre Samba e Winbind, este último que servirá como interface para autenticar usuários Radius no Samba - e consequentemente LDAP. As ligações todas ficam assim:

[AP] -> [RADIUS] -> [Winbind] -> [Samba] -> [LDAP]

Com o comando:

# net join -U joao

Onde assumimos que o usuário joao é administrador da rede Windows, integramos o serviço Winbind com Samba.

Obs.: IMPORTANTE! Quando o Winbind é iniciado ele gera a pasta /var/cache/samba/winbindd_privileged/, mas a permissão dessa pasta deve ser mudada para que o RADIUS possa efetuar a consulta nele.

Página anterior     Próxima página

Páginas do artigo
   1. LDAP
   2. Servidor Samba e Winbind
   3. FreeRADIUS
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Configurando JAVA no Firefox para acessar página de bancos

Instalação e configuração do Apache2 com SSL e MOD_JK no Solaris

Permissão de Execução a Arquivo (script ou binário) no GNU/Linux - Abordagem Sistemática

Colorindo seu terminal.

Tutorial Apache + PHP + MySQL no OPENBSD 3.5

  
Comentários
[1] Comentário enviado por manoserpa em 19/04/2010 - 17:46h

Muito bom!

Já brinquei uma vez com FreeRADIUS para um seminário do faculdade.

Parabéns!

[2] Comentário enviado por m4sk4r4 em 19/04/2010 - 21:36h

Muito bom o artigo.

Parabéns!!!



[3] Comentário enviado por removido em 20/04/2010 - 11:28h

Que distribuição você usou ?

[4] Comentário enviado por cesarprescher em 21/04/2010 - 11:26h

na época usei o Mandriva 2009 e Ubuntu 9.04 (esse foi o que mais efetuei testes pois a Instituição que eu estava fazendo o projeto usaria Ubuntu server para aplicar o sistema para uso de todos)

[5] Comentário enviado por grandmaster em 03/05/2010 - 18:08h

Bem util para aumentar a segurança.

Renato de Castro Henriques
ITILv3 Foundation Certified
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br


Contribuir com comentário