tema 3 sad - vicentesanchez90 · a continuación accederemos a la pantalla principal de la interfaz...
TRANSCRIPT
![Page 1: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/1.jpg)
Tema 3 SAD
Vicente Sánchez Patón
I.E.S Gregorio Prieto
Tema 3 SAD
Servidores de autenticación
![Page 2: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/2.jpg)
En algunas de las prácticas tendremos que configurar un dispositivo
inalámbrico para validarse por Radius, explicare una vez como se hace, el
método es el siguiente:
La configuración del cliente raidus será la siguiente:
1. La configuración con Windows 7 es muy parecida a la de Windows XP,
por lo que voy a intentar ser breve. Lo primero que haremos es
acceder al Panel de control | Redes e Internet | Administrar
redes inalámbricas y pulsamos sobre el botón Agregar, tal y como se
muestra en la siguiente imagen.
2. En la ventana que se abre, crearemos un nuevo perfil de red de
forma manual. Para ello, pulsaremos en el área señalada en rojo de la
siguiente imagen:
3. Ahora, introduciremos el Nombre de la red inalámbrica (SSID del
punto de acceso), en nuestro caso FPINFORMATICA y en el Tipo de
seguridad seleccionaremos WPA2-Entreprise. Por último, en el Tipo
![Page 3: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/3.jpg)
de cifrado elegiremos el valor AES. El resto de opciones de la
ventana las dejaremos como están.
4. El siguiente paso, consiste en Cambiar la configuración de conexión,
para ello sólo tenemos que pulsar el correspondiente enlace, señalado
en rojo en la siguiente ventana.
5. Lo primero que hacemos, en la pestaña Seguridad de la ventana que
se nos abre, es pulsar en el botón Configuración. Después
desmarcamos la casilla Validad un certificado de servidor, y al igual
que en XP, pulsamos configurar y desmarcamos la opción de utilizar el
![Page 4: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/4.jpg)
usuario de Windows para validarnos. Aceptamos y Aceptamos, para
volver a la ventana inicial (izquierda de la imagen).
6. En el último paso, pulsaremos sobre el botón Configuración avanzada
y añadiremos las credenciales de nuestro usuario RADIUS, para que
conecte de forma automática a la red. Una vez que aceptemos, y
cerremos todas las ventanas abiertas, sólo nos queda conectarnos a la
red WiFi y listo.
a) REDES INALÁMBRICAS: WPA Personal y Empresarial.
1.-Configurar un router de acceso inalámbrico CISCO Linksys WRT54GL,
utilizando el simulador.
A continuación accederemos a la pantalla principal de la interfaz de
configuración:
![Page 5: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/5.jpg)
Lo primero será cambiarle el nombre de identificador de la WLAN y
desactivar el broadcast de SSID, para ello nos dirigimos a la pestaña
Wireless, y en la casilla correspondiente a SSID le ponemos el nombre que
queramos:
A continuación desactivamos el DHCP del router para que no de direcciones
ip, para ello nos dirigimos a la pestaña Setup y en la parte media aparece la
configuración de red (network setup) y deshabilitamos el DHCP.
![Page 6: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/6.jpg)
Para cambiar la contraseña y usuario del router nos dirigimos a la pestaña
Administration y en la parte de configuración de Local Router Access
cambiamos el usuario y contraseña:
A continuación le damos a la pestaña Save Settings, nos parecerá una
pantalla donde introducir la contraseña y usuario nuevos:
![Page 7: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/7.jpg)
Le damos a aceptar y con esto cambiamos la contraseña.
2.- Configurar router inalámbrico Linksys WRT54GL en modo seguro:
(Cambia el SSID por defecto y desactivar el broadcasting SSID, deshabilitar DHCP, cambiar nombre de usuario y contraseña, activar el filtrado de MAC, WPA2, cifrado TKIP+AES). - Configurar la tarjeta de red de un cliente inalámbrico con dichas medidas
de seguridad y comprobar la autenticación a dicho router inalámbrico.
- Realizar en grupos de alumnos.
Para acceder a la interfaz de configuración del router, una vez conectados
en router y el pc y configurada la tarjeta de red (en este caso por DHCP),
accedemos al navegar y nos dirigimos a la dirección 192.168.1.1, nos
parecerá una ventana donde nos pedirá usuario y contraseña (admin, admin).
A continuación accederemos a la pantalla principal de la interfaz de
configuración:
![Page 8: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/8.jpg)
Lo primero será cambiarle el nombre de identificador de la WLAN y
desactivar el broadcast de SSID, para ello nos dirigimos a la pestaña
Wireless, y en la casilla correspondiente a SSID le ponemos el nombre que
queramos:
A continuación desactivamos el DHCP del router para que no de direcciones
ip, para ello nos dirigimos a la pestaña Setup y en la parte media aparece la
configuración de red (network setup) y deshabilitamos el DHCP.
![Page 9: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/9.jpg)
Para cambiar la contraseña y usuario del router nos dirigimos a la pestaña
Administration y en las partes de configuración de Local Router Access
cambiamos el usuario y contraseña:
A continuación le damos a la pestaña Save Settings, nos parecerá una
pantalla donde introducir la contraseña y usuario nuevos:
![Page 10: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/10.jpg)
Le damos a aceptar y con esto cambiamos la contraseña.
Ahora empezamos con el filtrado de MAC, d esta manera solo podrán
conectarse a la wiki aquellos equipos con las MAC que configuremos, para
ello nos dirigimos a la pestaña Wireless > Wireless MAC filter, aparece la
siguiente ventana le damos activar (enable), nos aparecerán dos nuevas
líneas, seleccionamos la segunda (permit only).
A continuación le damos al botón Edit MAC Filter List, nos parecerá una
nueva ventana donde introduciremos las direcciones MAC que queremos
permitir.
![Page 11: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/11.jpg)
Ahora configuramos la contraseña de la wifi, para ello nos dirigimos a la
pestaña Wireless > Wireless Security, en la cual elegimos el modo de
seguridad (WPA2), algoritmos de encriptación (TKIP-AES), y la contraseña:
Con esto acabamos la configuración básica del router.
Ahora comprobamos si funciona, si intentamos entrar con un usuario cuya
MAC no se encuentre en la lista de filtrado no podemos conectarnos a la
red, pero si lo intentamos con un usuario cuya MAC este en nuestra lista si
conectara, como nuestro router tiene deshabilitado el broadcast de la wifi,
tanto de SSID como de IP, el equipo tendrá que configurar la conexión de
![Page 12: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/12.jpg)
forma manual y la tarjeta de red dentro de la red donde se encuentre el
router.
La siguiente pantalla pertenece a la configuración manual de la wifi.
Una vez conectados a la red, hacemos un ping a la dirección del router y
comprobamos que hay conexión:
b) SERVIDOR RADIUS:
1.- Simulación de un entorno de red con servidor RADIUS CISCO en el
simulador Packet Tracer.
El escenario es el siguiente.
![Page 13: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/13.jpg)
Configuramos el servidor WWW_DNS con sus servicios respectivos.
Configuración de la interfaz del servidor.
Configuración del protocolo HTTP.
![Page 14: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/14.jpg)
Configuración de DNS.
Y ahora configuramos el servidor RADIUS con los clientes RADIUS, y los
usuarios que deben autenticarse en el servidor RADIUS.
Configuramos el cliente RADIUS.
![Page 15: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/15.jpg)
Configuración del router para comunicarse con raidus.
Y en los clientes del router inalámbrico, configuramos el acceso al mismo de
forma inalámbrica, PC Wireless.
![Page 16: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/16.jpg)
![Page 17: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/17.jpg)
![Page 18: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/18.jpg)
En la siguiente ventana es Donde indicamos los datos de autenticación que
figuran en el servidor RADIUS.
![Page 19: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/19.jpg)
Configuración de los otros equipos.
![Page 20: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/20.jpg)
Comprobar que tenemos acceso a los servidores.
![Page 21: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/21.jpg)
2.- CISCO CCNA Security 1.1. Laboratorio Lab-3-A; Acceso administrativo
seguro utilizando AAA y RADIUS (WinRadius en Windows XP)
- Realizar en el laboratorio físico por grupos de alumnos.
Primero creamos la base de datos para ello vamos al programa le damos a
Settings Database y le damos a configure ODBC auto:
Ahora vamos a crear un usuario en cual utilizara el cliente radius para
validarse y su contraseña, para ello nos dirigimos a “operation” le damos a
“add user”:
![Page 22: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/22.jpg)
Ahora le damos a Settings->System y le cambiamos la IP al servidor
RADIUS y la clave secreta, esta contraseña es la que comparte son el
router:
Ahora vamos al radiustest.exe para comprobar que funciona:
![Page 23: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/23.jpg)
Bien ahora vamos al router Linksys y configuramos la seguridad inalámbrica,
le indicamos seguridad WPA2 Enterprise y le ponemos la dirección IP del
servidor RADIUS y la clave secreta, algoritmo AES:
Ahora configuramos el cliente inalámbrico con los protocolos adecuados,
pero al intentar logear vemos el siguiente error, sucede porque el sistema
operativo del cliente, en este caso Windows 7, no soporta el método de
autenticación utilizado por winradius:
![Page 24: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/24.jpg)
Este error es debido a que en versiones posteriores a Windows Vista viene
desactivado este método de autenticación, por lo demás estos serian todos
los pasos necesarios.
3.- Instalación de un servidor RADIUS bajo GNU/LINUX (freeradius) ,
para autenticar conexiones que provienen de un punto de acceso CISCO
AIRONET 1130AG.
a.- Autenticación de usuarios en texto plano, prueba realiza en grupo.
Primero nos conectamos al dispositivo mediante un clavel de consola, y
configuramos la interface fa0 y la BVI1.
En nuestro caso fue necesaria la configuración de ambos interfaces porque
si no se bajaban solo y no podíamos acceder al router por web para
configurarlo gráficamente, ahora vemos que los dos interfaces están
subidos.
![Page 25: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/25.jpg)
Ahora nos situamos en el navegador web ponemos la ip que le hemos
configurado a la interface BVI1 y nos pedirá usuario y contraseña, Cisco.
Aparecerá la interfaz grafica del Aironet 1130AG, recomiendo utilizar el
navegar internet explorer.
![Page 26: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/26.jpg)
A continuación nos dirigimos a configurar la WLAN del dispositivo, para ello
nos dirigimos a:
En la siguiente ventana seleccionamos el botón radio de “enable”, para
activar la WLAN y seleccionamos el botón radio de “Access point”, el resto
lo dejamos por defecto.
![Page 27: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/27.jpg)
A continuación nos dirigimos a la pestaña “express security”, para
configurar el nombre de la WLAN, SSID, y la seguridad WPA, donde
pondremos al dirección IP del servidor radius y la contraseña compartida
con el mismo.
![Page 28: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/28.jpg)
Si dejamos esta configuración el router se configura por defecto con el
protocolo de encriptación TKIP, para configurarlo en AES nos dirigimos a:
Ahora en el servidor RADIUS en este caso hemos usado un zentyal,
editamos el clients.conf y añadimos la configuración del cliente radius es
decir el router, IP, clave compartida y el SSID:
![Page 29: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/29.jpg)
Ahora añadimos los usuarios, modificando el fichero
/etc/freeradisu/usuers, los cuales utilizara el dispositivo radius para
validarse en la red, en este caso el usuario vicente:
Ahora reiniciamos el servidor radius y procedemos a configurar el cliente
para que autentique a través del punto de acceso:
Una vez configurado el cliente radius inalámbrico con los puertos por
defecto no nos va, tenemos que cambiar el puerto 1812 por el 1645 y el
puerto 1813 por el 1646, para ello tenemos que modificarlos en los ficheros:
![Page 30: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/30.jpg)
Cuando nos conectemos con un cliente radius, podemos ver en el fichero
/var/log/freeeradius/radius.log, que el usuario se ha autenticado
correctamente por el puerto 1645.
![Page 31: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/31.jpg)
4.- Instalación de un servidor RADIUS bajo GNU/LINUX (freeradius) ,
para autenticar conexiones que provienen de un router de acceso CISCO
Linksys WRT54GL.
a.- Autenticación de usuarios en texto plano, prueba realizada en grupo.
Aquí se muestra la configuración del router, se muestra la Ip y la gateway
de la interfaz del router hacia el exterior, configuración de la red externa,
(Internet Setup) y en el apartado Network Setup la configuración de la red
interna.
Y activamos DHCP para dar direcciones a equipos de la red interna.
![Page 32: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/32.jpg)
Y aquí se muestra la seguridad que hemos puesto a la red wifi, seguridad
WPA2 Enterprise AES, por el puerto 1812, con clave “clave” para la
comunicación entre router y servidor, esta configuración es la necesaria
para que el router utilice radius como método de autentificación.
Lo siguiente que vamos a hacer es instalar el paquete freeradius en el
servidor.
Ahora nos metemos en /etc/freeradius y modificamos el fichero users y
introducimos los usuarios y las contraseñas para poder acceder a la red wifi
mediante radius, estos son los usuarios radius.
![Page 33: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/33.jpg)
Ahora desde el mismo directorio modificamos el archivo clients.conf y
ponemos la Ip del router la contraseña que comparten y el nombre del SSID
de la red.
Esta es la configuración de validación por usuarios a una red wifi mediante
radius en texto plano.
Solo queda configurar el cliente inalámbrico raius para que acceda a la red,
la configuración esta al inicio de este documento.
b.- Autenticación de usuarios basado en bases de datos
(MySQL,SQL Server,etc.)
Para poder realizar freeradius con mysql tendremos que instalar en el
sistema operativo ubuntu server 10.04 lo siguiente:
- php5
- MySqlServer
- phpMyAdmin
- Apache2
![Page 34: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/34.jpg)
Una vez instalado lo anterior procedemos a la instalación del paquete
freeradius y freeradius con mysql.
Podemos ver que está instalado.
Ahora editamos el fichero /etc/freeradius/users. Creamos un usuario
llamado "usu1" con contraseña inves y descomentamos algunas líneas.
Ahora entramos en modo debug con el siguiente comando:
![Page 35: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/35.jpg)
Lo comprobamos con un comando y nos tiene que salir Acces-accept.
Ahora nos vamos al fichero radius.conf y des comentamos la línea que viene
"$Include sql.conf".
![Page 36: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/36.jpg)
Después accedemos a mysql y creamos una base de datos y un usuario con
contraseña "inves" con todos los privilegios.
Utilizando el usuario radius, o el que se haya designado para utilizar la base
de datos recién creada, inserta en la base de datos que acaba de crear con
los esquemas incluidos con freeradius, insertamos las tablas
correspondientes a la base de datos radius, estas tablas están ubicadas en
forma de fichero ".sql" en el directorio /etc/freeradius/sql/mysql.
![Page 37: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/37.jpg)
Para ver las tablas creadas entramos en la base de datos.
Ahora editamos el archivo sql.conf y configuramos los setting para la
conexión con el servidor de mysql
![Page 38: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/38.jpg)
Y des comentamos la línea readclient=yes.
Luego editamos el archivo: /etc/freeradius/sites-available/default y des
comentamos la variable "sql" en las secciones de: authorize{}, accounting{},
session{} y posth-auth{} esto para traer los datos desde las tablas en la
base de datos "radius" para ello:
nano /etc/freeradius/sites-available/default.
![Page 39: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/39.jpg)
Ahora creamos los usuarios en la base de datos radius de mysql, más en
concreto en la tabla radcheck, estos usuarios serán con los que nos
tendremos que autentificar para tener acceso a la red wifi.
Para comprobar que se han creado los usuarios ejecutamos el siguiente
comando:
![Page 40: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/40.jpg)
Para comprobar que los usuarios son validos para el funcionamiento
ejecutamos el siguiente comando:
En el fichero clients.conf, ubicado en el directorio /etc/freeradius,
añadimos al final la siguiente línea, en la cual indicaremos la ip del router,
que validara usuarios radius para la wifi, la contraseña compartida por el
router, el servidor mysql y el SSID de la red.
![Page 41: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/41.jpg)
A continuación nos dirigimos al fichero inner_tunnel, ubicado en el
directorio /tec/freeradius/sites-availables, descomentamos la línea que
pone "sql" en la parte de authorize{} y post-auth{}.
Con esta configuración tendremos accesos a nuestra red wifi
autenticándonos como usuarios radius dado de altas en una base de datos
mysql.
Solo quedaría configurar el cliente inalámbrico radius par que pueda
acceder a la red, la configuración se encuentra al comienzo de este
documento.
5.- Instalación de un servidor RADIUS en Zentyal para autenticar
conexiones que provienen de un router de acceso Linksys WRT54GL.
![Page 42: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/42.jpg)
Comprobación en un escenario real, prueba realizada en grupo.
El primer paso es instalar el servidor radius en Zentyal para ello:
#apt-get install freeradius
A continuación editaremos el fichero /etc/freeradius/clients.conf y
añadiremos la línea con la dirección del router, la clave compartida y el
SSID;
Bien, ahora añadiremos los usuarios para autenticar, en este caso
añadiremos el usuario adrian en el fichero /etc/freeradius/users.
Bien a continuación iremos al router Linksys y en las opciones de seguridad
inalámbrica añadiremos la dirección ip del servidor radius, la clave
compartida y los protocolos de autenticación:
Configuramos el cliente radius y lograremos la conexión.
![Page 43: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/43.jpg)
6.- Busca información sobre EDUROAM y elabora un breve informe sobre
dicha infraestructura.
¿Qué es eduroam?
Eduroam (contracción de education roaming) es el servicio mundial de
movilidad segura desarrollado para la comunidad académica y de
investigación. Eduroam persigue el lema "abre tu portátil y estás conectado".
El servicio permite que estudiantes, investigadores y personal de las
instituciones participantes tengan conectividad Internet a través de su
propio campus y cuando visitan otras instituciones participantes.
Sobre eduroam ES
Eduroam ES es una iniciativa englobada en el proyecto RedIRIS que se
encarga de coordinar a nivel nacional los esfuerzos de instituciones
académicas con el fin de conseguir un espacio único de movilidad. En este
espacio de movilidad participa un amplio grupo de organizaciones que en
base a una política de uso y una serie de requerimientos tecnológicos y
funcionales, permiten que sus usuarios puedan desplazarse entre ellas
disponiendo en todo momento de conectividad.
Por otro lado, eduroam ES forma parte de la iniciativa eduroam a nivel
internacional, financiada a través de GEANT 3, y operada por varias redes
académicas europeas y TERENA. Esta iniciativa amplía el espacio de
movilidad al ámbito académico europeo, a través de eduroam Europa, y
tiende puentes con eduroam Canadá, eduroam US, y eduroam APAN (Asia y
Pacífico).
Eduroam Europa
El servicio eduroam en Europa es un servicio confederado, siempre con la
colaboración de 37 federaciones a nivel nacional. Estos incluyen a cientos de
instituciones, la mayoría de los cuales poseen y opera la infraestructura del
servicio. Coordinación nacional e internacional de esta infraestructura está
a cargo de los operadores de itinerantica nacional y un centro operacional
del equipo eduroam que es financiado por el GÉANT (GN3) Equipo Operativo
proyecto. El lleva a cabo día a día las operaciones, con participantes de
Srce, SURFnet, UNI-C y TERENA.
![Page 44: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/44.jpg)
La actividad de servicio eduroam de la GÉANT (GN3) ha proporcionado
herramientas para supervisar el servicio y apoyar a los usuarios finales.
Eduroam continúa desarrollándose y evolucionando gracias al apoyo de la
Actividad Investigadora GÉANT financiado conjunta (JRA3).
Financiación previa ha producido:
Los esfuerzos para estandarizar RadSec dentro de la IETF
Integración de la Infraestructura RadSec en eduroam
RadSecProxy
Infraestructura inicial para apoyar RadSec en FreeRADIUS
La actividad futura seguirá en los esfuerzos anteriores e incluyen:
Nuevos Protocolos de autenticación extensible
Apoyo a la Internacionalización de nombres de usuario eduroam
Privacidad preservar identificación para el análisis estadístico y la
amenaza
Eduroam Cobertura del servicio
El siguiente mapa muestra los países europeos que han conectado sus
nacionales de primer nivel servidores RADIUS al servidor RADIUS Europeo
de nivel superior (ETLR).
Los datos están siendo recogidos por el Equipo Operativo eduroam para
producir un mapa que representa la cobertura de eduroam en cada uno de
los países.
El ETLR son operados por las organizaciones de redes nacionales de
investigación y educación en los Países Bajos - SURFnet - y en Dinamarca -
UNI-C-con fondos de la GÉANT (GN3) del proyecto.
![Page 45: Tema 3 SAD - vicentesanchez90 · A continuación accederemos a la pantalla principal de la interfaz de configuración: Lo primero será cambiarle el nombre de identificador de la](https://reader031.vdocuments.pub/reader031/viewer/2022022606/5b7e168a7f8b9ac7298ba2f8/html5/thumbnails/45.jpg)