Autenticação de cliente 802.1x WPA utilizando EAP-TTLS FreeRADIUS + Samba + LDAP

cesarprescher

Este tutorial tem como objetivo demonstrar a instalação dos serviços necessários para se obter uma internet WIFI 802.1x com segurança e autenticada em uma base LDAP.

[ Hits: 33.044 ]

Por: Cesar Henrique Prescher em 19/04/2010

1 0

Denuncie Favoritos Indicar Impressora

LDAP

Este tutorial é de autoria de Cesar H. Prescher e Ederson Torresini.

Servidor LDAP

Pacotes a serem instalados.

Execute os comandos para instalação:

# apt-get install slapd
# apt-get install phpldapadmin
# apt-get install ldap-utils
# apt-get install samba-doc

Arquivos adicionais necessários.

Para que Samba e LDAP funcionem juntos, é necessário criar o schema do Samba no LDAP, para isso faça:

# cd /usr/share/doc/samba-doc/examples/LDAP/
# gunzip samba.schema.gz
# cp samba.schema /etc/ldap/schema/

Informe ao servidor LDAP (slapd) sobre o novo esquema instalado adicionando esta linha ao arquivo /etc/ldap/slapd.conf, após todas as outras que iniciam por include:

include /etc/ldap/schema/samba.schema

ATENÇÃO: A ordem é importante, uma vez que a leitura dos esquemas se dá de forma acumulativa.

Configuração dos arquivos.

Primeiramente gere uma senha para o LDAP:

# slappasswd

Aparecerá a solicitação de nova senha:

New password: senha_desejada
Re-enter new password: senha_desejada

E será gerado algo nesse estilo:

{SSHA}hLLfSLt73/YwNYEJU/T7PAcLd0A0B0je

Obs.: Copie essa senha para inserir no arquivo slapd.conf.

Arquivo /etc/ldap/slapd.conf:

...
include         /etc/ldap/schema/samba.schema
...
suffix          "dc=nome_do_domínio,dc=com,dc=br"
rootdn        "cn=admin,dc=nome_do_domínio,dc=com,dc=br"
rootpw       (senha gerada pelo slappasswd - {SSHA}....)
...
access to attrs=userPassword,sambaNTPassword,sambaLMPassword,shadowLastChange
     by dn="cn=admin,dc=nome_do_domínio,dc=com,dc=br" write
     by dn="cn=integrador,dc=nome_do_domínio,dc=com,dc=br" read
     by anonymous auth
     by self write
     by * none

access to *
     by dn="cn=admin,dc=nome_do_domínio,dc=com,dc=br" write
     by * read

access to dn.base="" by * read

No arquivo ldap.conf, altere as linhas:

...
BASE dc=nome_do_domínio,dc=com,dc=br
URI ldap://127.0.0.1
...

É interessante, para fins de compatibilidade, criar um link para outro arquivo, o /etc/ldap.conf:

# ln -s /etc/ldap/ldap.conf /etc/ldap.conf

E no arquivo /etc/phpldapadmin/config.php:

...
$ldapservers->SetValue($i,'server','base',array('dc=nome_do_domínio,dc=com,dc=br'));
...
$ldapservers->SetValue($i,'login','dn','cn=admin,dc=nome_do_domínio,dc=com,dc=br');
...
$queries[$q]['base'] = 'dc=nome_do_domínio,dc=com,dc=br';
...

Próxima página

Páginas do artigo

   1. LDAP
   2. Servidor Samba e Winbind
   3. FreeRADIUS

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Configurando o proftpd com autenticação de usuário pelo passwd

Passo a passo: Fedora autenticando usuários no Active Directory

Instalando e configurando um sistema RAID 1 no Debian Lenny

Debian NetInstall: instalação personalizada

Apache + Virtual Host + DNS no Debian Lenny

Comentários

[1] Comentário enviado por manoserpa em 19/04/2010 - 17:46h

Muito bom!

Já brinquei uma vez com FreeRADIUS para um seminário do faculdade.

Parabéns!

0 0

[2] Comentário enviado por m4sk4r4 em 19/04/2010 - 21:36h

Muito bom o artigo.

Parabéns!!!

0 0

[3] Comentário enviado por removido em 20/04/2010 - 11:28h

Que distribuição você usou ?

0 0

[4] Comentário enviado por cesarprescher em 21/04/2010 - 11:26h

na época usei o Mandriva 2009 e Ubuntu 9.04 (esse foi o que mais efetuei testes pois a Instituição que eu estava fazendo o projeto usaria Ubuntu server para aplicar o sistema para uso de todos)

0 0

[5] Comentário enviado por grandmaster em 03/05/2010 - 18:08h

Bem util para aumentar a segurança.

Renato de Castro Henriques
ITILv3 Foundation Certified
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

0 0