Howto: Sme Server (PDC) + FreeRadius + Wireless AP + Autenticazione Windows XP sul dominio via wireless

Un cliente mi ha chiesto di portare la sua infrastruttura informatica da completamente cablata a wireless, non ho trovato guide on line su questo topic su una configurazione come descritta nell’oggetto, quindi ho deciso di scrivere questo howto in modo da raccogliere gli appunti e le informazioni sparse per la rete che mi hanno permesso di configurare il tutto, in realtà, ad oggi, mi manca ancora lo step finale, fare in modo che il client winXP attivi il wireless prima della schermata di login, sto studiando proprio ora n po’ di guide sparse su questo argomento per vedere di riuscire poi a riassumerle in questa guida (sembra che manchi solo la generazione da parte dello sme server con freeradius di dei certificati da installare nella macchina windowsXP, se qualche lettore, incappando in questo diario disgraziato, avesse già esperienza di un tale setup, sarei molto felice di conoscere il suo parere e ricevere consigli! ^_^)

Prerequisiti:

  • SME Server configurato come PDC
  • Utenti e gruppi per il pdc impostati a dovere
  • Un AP Wireless
  • Un computer con Win XP Pro

FreeRadius

SME Server viene già equipaggiato con FreeRadius per permettere l’uso della VPN, per prima cosa, attivo il flag VPN per tutti gli utenti del dominio (ho letto da qualche parte, non ricordo dove, che questo è un passo necessario, non ne sono sicuro, un giorno proverò a eliminarlo), a questo punto, l’unica cosa che manca è l’aggiunta del client, fra quelli conosciuti da FreeRadius, attraverso cui vengono inviate le informazioni di autenticazione degli user, in questo caso il client che fa da ponte fra il computer e il server è l’access point, per impostarlo bastano queste tre azioni:

  • andare nella sezione hostnames and addresses del server-manager dello SME server, aggiungerlo fra i nomi host conosciuti (zona Local)
  • lanciare da utente root dello sme server (accedendo magari via SSH alla macchina), i due comandi che riporto nel blocco successivo
db hosts setprop ap_hostname.domain RadiusKey An1mp0ssib7eT0Gu3ssP@ssw0rd
signal-event remoteaccess-update

Access Point

A questo punto bisogna configurare il vostro AP per collaborare con lo SME Server, per fare ciò, selezionare nella pagina in cui si gestisce la sicurezza dell’AP wireless, WPA o WPA2 come tipo di autenticazione, specificare WPA Enterprise, il che dovrebbe rendere editabile la parte in cui inserire le informazioni del vostro server radius, normalmente gli unici parametri da impostare sono: indirizzo ip dello SME Server (che fa da PDC e Radius server), porta (1812) e la chiave del client (nell’esempio: An1mp0ssib7eT0Gu3ssP@ssw0rd).

Client

A questo punto ho provato a collegarmi col mio portatile per testare la connessione, seleziono in NetworkManager l’SSID della rete wifi, mi viene presentato un dialogo in cui scelgo WPA Enterprise come tipo di tipo di autenticazione e inserisco come nome utente e password il mio utente impostato nello sme server come utente del dominio, gli altri parametri (ad esempio PEAP), li vedo già impostati automaticamente, il client linux si collega perfettamente, ok, l’AP e lo sme server dialogano! ^_^

Windows XP

Riesco a collegarmi con la macchina windows xp alla rete wireless, bene, mi rende molto felice, già che ci sono provo a impostare nei parametri di autenticazione un altro utente del dominio e senza problemi si collega, l’utente non aveva il flag VPN cliccato nell’interfaccia Utenti dello SME Server, inizio a pensare che quel flag non serva per collegarsi alla rete wifi una volta loggati nel client, ma piuttosto aiuti ad attivare la scheda di rete wifi prima della schermata di logon, magari fa in modo che vengano generati dei certificati che possono essere installati nella macchina winXP per autenticarla prima del login… vedremo.
Per ottenere questo risultato basta seguire questi passi:

  • Click destro su risorse di rete -> Proprietà
  • Click destro sulla connessione di rete che corrisponde alla scheda wifi -> Proprietà
  • Scegliere il tab Reti Wireless
  • Cliccare su Usa windows per configurare la mia rete wireless
  • In reti preferite, selezionare Aggiungi
  • Inserire l’SSID della rete wifi
  • Selezionare come Autenticazione Network: WPA
  • Selezionare come Data encryption: TKIP
  • Nel Tab Autenticazione, scegliere Protected EAP (PEAP)
  • Togliere la spunta da tutti i checkbox
  • Cliccare su Proprietà
  • Togliere il Valida il certificato del server
  • Togliere Abilita connessine Veloce
  • Selezionare nel box: Secured Password (EAP-MSCHAP v2)
  • Cliccare su Configura
  • Togliere la spunta sull’uso delle credenziali di logon di windows
  • A questo punto, la prima volta che ci si prova a collegare verrà presentato un balloon da cliccare che renderà visibile una interfaccia di inserimento dati, inserire il nome utente e la password che vengono usati per l’autenticazione sul dominio dell’utente

Ora viene la parte ancora un po’ nebulosa, devo riuscire a far attivare il wifi prima del login, in modo da poter staccare finalmente quei brutti cavi di rete! O_O

N.B. Sembra da questa guida che i certificati che mi servono siano presenti in /etc/rddb/certs e si chiamino root.der e root.p12, appena posso provarli, aggiorno questa guida, efettivamente nella mia installazione SME Server sono presenti (evidentemente auto generati dallo sme server per risultare preconfigurato per gli accessi VPN, grazie SME Server Team! ^_^).
N.B. (20081702) Ho provato i due certificati, sono scaduti e WinXP non me li usa, però ho scavato un po’ nel wiki di SME Server alla ricerca di contribs interessanti e ho trovato Certificate, con cui sono sicuro di non fare casini nella generazione di nuovi certificati (non so bene in sme se vengano già usati o meno quelli esistenti, vorrei evitare di mandare tutto a spendere! ^_^
N.B. (20081802) Guardando la documentazione per il contrib presentato nel precedente N.B., ho scoperto dove in realtà risiedono i certificati del server, in /home/e-smith sono presenti tre cartelle con il crt, la key e il pem… vedremo… intanto tutto tace nei riguardi della mia richiesta di aiuto alla comunità dello SME Server… ha avuto qualche risposta… nevvero si è trasformata in una amichevole chiacchierata un po’ OT, ma anche questo fa parte del gioco! ^_^

Annunci

Rispondi

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: