Fala galera!
Dando sequência ao nosso tutorial de como autenticar dispositivos Mikrotik em seu Windows Server, agora vamos aprender como instalar o protocolo RADIUS em seu Active Directory.
Se você ainda não tem seu Windows Server com Active Directory instalado, confere este artigo [Mikrotik] #1 Autenticação centralizada com AD – Instalação do Active Directory, deixa tudo pronto e volta para acompahar a segunda parte!
1.1 Instalando o RADIUS
Com o Server Manager aberto, acesse o menu Manage e clique em Add Roles and Features.
Siga os primeiros passos e em Server Roles, marque a opção Nertwork Policy and Access Services para instalação.
Na tela a seguir, clique no botão Add Features.
Em seguida selecione a opção Network Policy Server. Clique em Next.
Em seguida clique em Install.
Agora é só aguardar a instalação.
2.1 Criando usuário para autenticação
Agora, vamos criar o usuário que irá se autenticar no equipamento Mikrotik.
Em seu AD abra o Active Directory Users and Computers, vá em Users, New, Users.
Agora vamos criar uma conta chamada: mikrotik
Insira as informações e clique em next.
2.2 Criando grupo para autenticação
Agora, vamos criar o grupo para nossos usuários.
Em seu AD abra o Active Directory Users and Computers, vá em Users, New, Group.
Vamos criar o grupo chamado: Mikrotik-RADIUS
Em seguida vamos adicionar o usuário que criamos neste grupo.
Pronto, com nosso uruário e grupo criado, já temos as credênciais para autenticação.
3.1 Registrando o RADIUS no AD
Em seu servidor RADIUS, abra o Network Policy Server.
Clique com o boatão direito em NPS (Local), em seguida selecione Register server in Active Directory.
Na tela de confirmação, clique no botão OK.
3.2 Criando o RADIUS Client
O RADIUS client são os dispositivos autorizados a requisitar autenticação no servidor RADIUS.
Clique em RADIUS Client e selecione a nova opção.
Você precisa definir as seguintes opções:
- Friendly name: Nome de seu dispositivo Mikrotik.
- Address: Endereçamento IP de seu dispositivo Mikrotik.
- Shared Secret: Senha para autorizar seu dispositivo Mikrotik em seu servidor RADIUS.
4.1 Criando as Políticas de Rede
Agora vamos criar nossas políticas de rede para permitir a autenticação.
Clique em Policies e em Network Policies.
Insira o nome para sua Policy e em seguida clique em next.
Clique em Add e adicione uma nova condition.
Neste caso, vamos permitir que os usuários do grupo Mikrotik-RADIUS se autenticarem.
Selecione Access granted. e clique em next.
Em Authentication Methods, marque as opções abaixo. Clique em next.
Caso seja apresentado este aviso, clique em No.
Selecione Called Station ID. clique em Next.
Selecione a opção Vendor Specific e clique em Add.
Em Vendor, selecione a opção Custom e em seguida Vendor-Specific. Em seguida clique em Add.
Clique em Add.
Em Enter Vendor Code: utilize 14988 e selecione a opção Yes. It conforms.
Clique em Configure Attribute e em seguida defina os seguintes valores:
- Vendor-assigned attribute number: 3
- Attribute format: String
- Attribute value: full
Clique em next.
Confira o resumo de todas as configurações.
Pronto, neste ponto já temos nosso usuário e grupo criados. Já registramos nosso server no AD e em seguida criamos os dispositovos que o RADIUS irá escutar e por nossas políticas de acesso.
5.1 Configurando o RADIUS no Mikrotik
Agora é necessário configurar nosso dispositivo Mikrotik para aceitar autenticações vindas de um servidor RADIUS.
Utilizando a interface gráfica, via Winbox. Vá no menu lateral e clique em RADIUS.
Em seguida clique no icone + e adicione as informações de nosso servidor RADIUS.
As opções são as seguintes:
- Service: login
- Address: IP de nosso servidor RADIUS.
- Protocol: udp
- Secret: Senha que criamos no RADIUS Client.
O restante podemos manter como padrão default.
Em seguida clique em OK.
5.2 Habilitando a autenticação via RADIUS no Mikrotik
Agora, é necessário habilitar no dispositivo Mikrotik que ele pode aceitar requisições de autenticação via RADIUS.
Utilizando a interface gráfica, via Winbox. Vá no menu lateral e clique em System e em seguida Users.
Clique no votão AAA e selecione a opção Use RADIUS, em seguida clique em OK.
Pronto, agora já é possível fazer o login em seu dispositivo Mikrotik, utilizando o usuário que criamos em nosso servidor AD/RADIUS.
Repare que estou logado com o usuário mikrotik que criamos em nosso AD/RADIUS.
Para verificar mais informações sobre o login, você pode utilizar a sessão de logs do Mikrotik.
Caso prefira fazer a configuração acima via terminal é só seguir os seguintes comandos:
/radius add service=login address=40.88.13.59 secret="senharadius" disabled=no
/user aaa set use-radius=yes
É isso galera, espero que gostem. No próximo artigo vamos fazer a integração de nosso Active Directory local com o Azure.
Grande Abraço