Quản lý RADIUS với chế độ mã hóa WPA-Enterprise bằng CIITIX và Linux

Quản trị mạng - CIITIX-Wi-Fi khi được ghép cặp với một trong các thành phần FreeRADIUS, daloRADIUS và OpenSSL sẽ cung cấp cho bạn một giải pháp xác thực Wi-Fi mạnh mẽ. Đây là một phân phối Linux dựa trên mã nguồn mở Debian, được phát hành dưới đăng ký GPLv2. Nó cho phép bạn nhanh chóng và dễ dàng thực thi chế độ Enterprise của mã hóa WPA hoặc WPA2 cho các mạng không dây bằng cách cung cấp khả năng xác thực 802.1X. Bạn cũng có thể sử dụng nó để xác thực các kết nối và các thành phần mạng khác.

CIITIX-Wi-Fi có giao diện đồ họa người dùng, vì vậy không yêu cầu bạn có các kiến thức như một chuyên gia CNTT hoặc chuyên gia về Linux. Thêm vào đó chương trình còn tự động tạo chứng chỉ SSL cần thiết cho máy chủ RADIUS hoặc bạn có thể tự cung cấp các chứng chỉ của chính mình.

CIITIX-Wi-Fi thậm chí còn có thể chạy trong chế độ LiveCD vì vậy không cần có một ổ cứng chuyên dụng. Mặc dù vậy để cài đặt nó bạn phải bỏ ra không dưới 400MB ổ cứng của mình.

Cài đặt vào ổ đĩa

CIITIX-Wi-Fi không yêu cầu bất cứ phần cứng đặc biệt nào và cũng không cần các thông số kỹ thuật cao. Rất nhiều máy tính cũ chỉ cần có CD, DVD-ROM và card mạng là có thể làm việc. Bạn cần có một màn hình và bàn phím để thao tác trong quá trình cài đặt, tuy nhiên bạn cũng có thể thực hiện trước và sau đó truy cập từ xa vào giao diện đồ họa trên mạng cục bộ của mình.

Nếu dự định sẽ là giải pháp quan trọng hỗ trợ nhiều người dùng, bạn có thể sử dụng phần cứng mới hoặc thiết lập trên một máy ảo hoàn chỉnh.

Để bắt đầu, hãy download file tải file CD image (ISO) của CIITIX-WiFi 1.1 và burn vào đĩa. Hướng dẫn này dựa trên phiên bản CIITIX-WiFi 1.1.

Trước khi tiếp tục, cần bảo đảm bạn đã kết nối mạng cho máy tính của mình thông qua cáp Ethernet.

Bật máy tính mà bạn muốn cài đặt, sau đó chèn đĩa mà bạn vừa ghi chương trình, khởi động lại máy tính. Lúc này máy tính sẽ tự động boot từ CD, bằng không bạn cần phải kích hoạt việc khởi động từ CD trong BIOS. Khi thấy màn hình khởi động, hãy chọn GUI Install.

Thực hiện theo những gì hướng dẫn để thiết lập các thiết lập vùng, phân vùng ổ đĩa và hoàn tất cài đặt. Cần gán một địa chỉ IP tĩnh cho máy trong suốt quá trình cấu hình mạng.

Bắt đầu

Khi bắt đầu cài đặt, bạn sẽ thấy màn hình đăng nhập. Hãy nhập vào username và password được tạo trong suốt quá trình cài đặt.

Trước khi thực hiện bất cứ công việc nào khác, bạn nên thay đổi mật khẩu mặc định cho giao diện sử dụng trên web.

  1. Kích JWM > Www Browser và đăng nhập vào giao diện quản trị bằng username "administrator" và password "radius".
  2. Kích Config.
  3. Kích List Operators.
  4. Chọn người điều hành là administrator.
  5. Nhập vào mật khẩu mới và nhấn Apply.

Kích hoạt quản trị từ xa

Nếu muốn quản trị từ xa máy tính CIITIX-Wi-Fi từ một PC khác trong mạng cục bộ, bạn cần kích hoạt chế độ truy cập từ xa vào giao diện quản trị web. Để thực hiện điều này bạn cần thực hiện một thay đổi trong file cấu hình của máy chủ web.

Bắt đầu bằng việc đăng xuất khỏi tài khoản người dùng thông thường và đăng nhập vào tài khoản root: kích JWM > Exit. Tại màn hình đăng nhập, nhập vào "root" cho username và password mà bạn đã tạo trong quá trình cài đặt.

Tiếp tục các bước sau đây:

  1. Triệu gọi bộ soạn thảo văn bản: kích JWM > Debian > Applications > Editors > GVIM
  2. Mở file tại /etc/apache2/apache2.conf.
  3. Nhấn phím Insert.
  4. Tìm đến dòng 290 và thay đổi nó thành Allow from all.
  5. Lưu file và thoát GVIM.

Bạn phải khởi động lại máy chủ web: kích JWM > Terminal. Đánh vào lệnh dưới đây và nhấn Enter:

/etc/init.d/apache2 restart

Lúc này bạn có thể đăng nhập từ xa vào giao diện quản trị web. Mở trình duyệt trên một PC khác, đánh vào địa chỉ IP của máy CIITIX-Wi-Fi và theo sau là ký tự “/” và “dalo”, sau đó nhấn Enter. Cho ví dụ, http://192.168.1.100/dalo. Sử dụng username "administrator" và password "radius" mặc định nếu bạn chưa thay đổi mật khẩu.

Tạo các tài khoản người dùng

Giờ đây bạn có thể tạo các tài khoản người dùng sẽ sử dụng khi đăng nhập vào mạng Wi-Fi của mình:

  1. Kích Management > Users.
  2. Kích New User.
  3. Nhập vào UsernamePassword.
  4. Chọn Cleartext-Password làm kiểu Password.
  5. Thêm vào hoặc chọn một Group.
  6. Kích Apply.

Nhập các chi tiết về điểm truy cập

Lúc này bạn có thể nhập vào các thông tin chi tiết cho điểm truy cập:

  1. Kích Management > NAS.
  2. Kích New NAS.
  3. Với NAS IP Host, nhập vào địa chỉ IP của router không dây hoặc AP.
  4. Tạo bí mật NAS Secret, đây là thứ bạn sẽ nhập vào AP sau.
  5. Tạo một tên mô tả NAS Shortname.
  6. Kích Apply.

Khởi động lại FreeRADIUS

Lúc này bạn cần khởi động lại FreeRADIUS trên máy tính CIITIX-Wi-Fi để các thay đổi có hiệu lực:

  1. Kích JWM > Terminal.
  2. Đánh lệnh su và nhấn Enter.
  3. Đánh vào mật khẩu của bạn và nhấn Enter.
  4. Đánh vào lệnh dưới đây và nhấn Enter: /etc/init.d/freeradius restart

Nếu bạn muốn điều khiển từ xa, hãy tải WinSCP, đăng nhập root và làm việc bằng Terminal.

Cấu hình các điểm truy cập

Bạn phải cấu hình các thiết lập xác thực và mã hóa cho router hoặc các điểm truy cập không dây. Đăng nhập vào giao diện quản lý của mỗi một thành phần và thiết lập mã hóa WPA hoặc WPA2 Enterprise. Với địa chỉ máy chủ RADIUS, nhập vào IP của máy CIITIX-Wi-Fi, sử dụng cổng 1812 mặc định. Sau đó nhập vào các bí mật chia sẻ NAS mà bạn đã tạo trước đó cho AP.

Cài đặt các chứng chỉ vào máy khách

Trước khi người dùng có thể kết nối, máy tính của họ cần phải được load chứng chỉ CA của máy chủ và được cấu hình trước các thiết lập xác thực thích hợp.

Để nhận các chứng chỉ, bạn có thể kết nối từ xa vào máy CIITIX-Wi-Fi từ một Windows PC trên mạng cục bộ. Download WinSCP vào máy tính Windows, mở ứng dụng và sau đó thực hiện theo các bước sau:

  1. Kết nối với các chi tiết sau:
    1. Host name = Địa chỉ IP của máy tính CIITIX-Wi-Fi
    2. User name = root
    3. Password = những gì bạn tạo trong quá trình cài đặt.
  2. Kích đúp thư mục client-certificates phía bên phải.
  3. Kéo file CA.der vào desktop Windows của bạn.

Để cài đặt trong Windows, kích đúp vào chứng chỉ và chọn cài đặt. Cần bảo đảm cài đặt chúng vào kho chứa Trusted Root Certification Authorities.

Cấu hình máy khách

Trong Windows, bạn cần phải cấu hình trước các thiết lập PEAP. Tạo một profile mạng trong Windows. Bảo đảm bạn kích hoạt sự thẩm định máy chủ và chọn chứng chỉ CA (CIITIX-WIFI Certificate Authority). Trong Secured Password (EAP-MSCHAP v2) settings, hủy chọn tùy chọn đăng nhập tự động.

Kết nối máy khách

Cuối cùng, người dùng có thể kết nối. Họ có thể triệu gọi danh sách các mạng không dây có sẵn và chọn một mạng nào đó. Khi đó sẽ có một nhắc nhở yêu cầu người dùng nhập vào các thông tin đăng nhập, đây chính là lúc họ phải nhập vào username và password mà bạn đã tạo với CIITIX-Wi-Fi.

Thứ Hai, 22/11/2010 22:23
52 👨 2.122
0 Bình luận
Sắp xếp theo
    ❖ Linux