Hướng dẫn cấu hình về xác thực EAP-TLS cho WPA-Enterprise (với FreeRADIUS)

Môi Trường Ứng Dụng Người Dùng

Giao thức xác thực mở rộng (EAP) là một khung xác thực thường được sử dụng trong các kết nối mạng và Internet. Các tiêu chuẩn WPA-Enterprise đã áp dụng IEEE 802.1X (với nhiều loại EAP khác nhau) làm cơ chế xác thực chính. Có nhiều phương thức EAP được xác định bởi IETF RFC, chẳng hạn như EAP-MD5, EAP-POTP, EAP-GTC, EAP-TLS, EAP-IKEv2, v.v. Trong bài viết này, chúng tôi sẽ triển khai RADIUS (Quay số xác thực từ xa trong dịch vụ người dùng ) để đạt được xác thực WPA-Enterprise bằng phương pháp EAP-TLS.

Lưu ý:

Hướng dẫn này là dành cho mục đích xác minh và thử nghiệm. Nếu bạn muốn sử dụng dịch vụ RADIUS cho các tình huống doanh nghiệp hoặc thương mại, vui lòng tham khảo ý kiến của các tổ chức chuyên nghiệp.

FreeRADIUS là một máy chủ RADIUS mã nguồn mở theo giấy phép GPLv2. trang web dự án: github.com.

 

Cấu hình

 

Bước 1. Cài đặt FreeRADIUS trên Linux

Để biết hướng dẫn cài đặt gói của FreeRADIUS, vui lòng tham khảo FreeRADIUS Packages | NetworkRADIUS. Bạn cũng có thể xây dựng nó từ mã nguồn bằng cách sau: github.com. Hãy chắc chắn rằng bạn cài đặt nó một cách chính xác. Ví dụ: nếu bạn thấy dịch vụ RADIUS của mình gặp lỗi trong các quy trình sau, không thể khởi động hoặc xử lý bất kỳ yêu cầu nào, hãy kiểm tra xem bạn đã cài đặt đúng chưa.

Môi trường của Hướng dẫn này: Ubuntu 22.04 LTS với FreeRADIUS 3.2 (được cài đặt apt)

 

Bước 2. Chỉnh sửa cấu hình máy khách FreeRADIUS

Theo mặc định, FreeRADIUS 3.2 được cài đặt trong /etc/freeradius/.

Đầu tiên, thêm AP của bạn vào tập tin cấu hình để FreeRADIUS xử lý yêu cầu xác thực được gửi từ AP. Mở terminal và chạy lệnh sau:

$ sudo nano /etc/freeradius/clients.conf

Thêm các nội dung sau vào tập tin:

máy khách AP1 { #'AP1' là bí danh của điểm truy cập của bạn

ipaddr = 192.168.0.100/24 #The IP address of AP1

secret = testing123

#'Bí mật' sẽ là 'Mật mã xác thực'

#in Cài đặt cấu hình RADIUS của Omada Controller

}

Lưu ý: Đối với mã hóa WPA-Enterprise, bản thân các EAP chứ không phải Controller sẽ là ứng dụng khách của RADIUS, vì vậy vui lòng đảm bảo rằng IP của tất cả các EAP được đính kèm trong tập tin client.conf.

Sau đó nhấn Ctrl + X và lưu tập tin.

 

Bước 3. Chỉnh sửa cấu hình FreeRADIUS EAP để bật TLS

Chỉnh sửa cấu hình EAP:

$ sudo nano /etc/freeradius/mods-enabled/eap

Tìm trường eap, Thay đổi default_eap_type thành tls. Như:

eap{

default_eap_type = tls

…

…

…

Sau đó nhấn Ctrl + X và lưu tập tin.

 

Bước 4. Tạo chứng chỉ

FreeRADIUS tạo chứng chỉ bằng cách sử dụng OpenSSL. Các tập tin cấu hình và CA được đặt tại /etc/freeradius/certs. Đầu tiên, chuyển sang thư mục đó:

$ sudo -s

$ cd /etc/freeradius/certs

Lưu ý rằng bạn cần làm sạch tất cả các CA mỗi lần trước khi tạo lại chúng, nếu không openssl sẽ xuất ra thông báo 'Không có gì để làm' và nó sẽ không tạo lại các CA mới. Xóa các tập tin hiện có bằng lệnh sau:

$ rm -f *csr *key *p12 *pem *crl *crt *der *mk *txt *attr *old serial dh

Bạn có thể chỉnh sửa các tập tin *.cnf đó để đáp ứng yêu cầu của mình. Ở đây chúng tôi chỉ để tất cả chúng ở chế độ mặc định cho mục đích thử nghiệm. Sau khi dọn sạch các CA, hãy chạy lệnh tạo để tạo các CA mới.

$ make

 

Bước 5. Khởi động máy chủ FreeRADIUS

Bạn có thể chạy máy chủ FreeRADIUS ở chế độ gỡ lỗi bằng nhật ký bằng cách sử dụng lệnh sau:

$ sudo freeradius -X

Đầu ra phải như sau. Khi có thông báo 'Sẵn sàng xử lý yêu cầu' nghĩa là máy chủ FreeRADIUS đã khởi động chính xác.

 

Bước 6. Cấu hình cài đặt xác thực mạng không dây

Trong bước này, bạn sẽ cấu hình bảo mật mạng không dây thành WPA-Enterprise và thiết lập cấu hình RADIUS. Mật  mã xác thực của máy chủ RADIUS là 'testing123', như chúng ta vừa đặt trong /etc/freeradius/clients.conf. IP máy chủ xác thực là IP máy chủ RADIUS của bạn. Cổng xác thực là 1812 theo mặc định cho các dịch vụ RADIUS.

Nếu bạn đang sử dụn Omada Controller, hãy tham khảo Hướng dẫn sử dụng Omada SDN Controller | TP-Link Chương 4.4.1--> WPA-Enterprise.

Nếu bạn đang sử dụng chế độ độc lập của EAP, hãy tham khảo configuring_eap_standalone_eap (tp-link.com) Chương 2.2 Config SSIDs--> WPA-Enterprise.

 

Bước 7. Cài đặt chứng chỉ trên Máy khách và xác minh xác thực

Sao chép tập tin ca.der và client.p12 đã tạo (ở Bước 4.) vào Máy khách, chẳng hạn như máy tính xách tay hoặc máy tính để bàn có bộ chuyển đổi không dây. Lưu ý rằng một số điện thoại thông minh có khả năng tương thích kém và có thể xảy ra lỗi khi cài đặt CA. Bạn phải sử dụng PC Windows để thực hiện bài kiểm tra sau.

Để cài đặt CA trên Windows 10/11, chỉ cần nhấp đúp vào chúng và làm theo các bước. Nếu bạn đang sử dụng Windows7, bạn có thể không cài đặt được CA do các vấn đề về tính tương thích.

Cài đặt ca.der:

 

Sau đó, cài đặt client.p12. Lưu ý rằng mật mã của khóa riêng tư là 'bất cứ thứ gì' theo mặc định (nếu bạn chưa thay đổi cấu hình bằng cách chỉnh sửa /etc/freeradius/certs/*.cnf).

 

Bước 8. Kết nối với SSID bằng chứng chỉ

Đối với Windows11:

Vào Cài đặt WLAN --> Tìm SSID --> Nhấp Kết nối --> Kết nối bằng chứng chỉ. Sau đó, bạn sẽ kết nối với mạng không dây bằng phương pháp EAP-TLS. Bạn có thể kiểm tra đầu ra của thiết bị đầu cuối trên máy chủ RADIUS để xem nhật ký.

 

Đối với Windows10:

Vào Control Panel-->Network and Internet-->Network and Sharing Center-->Set up a new connection or network

Chọn Manually connect to a wireless network, và nhấp Next.

Điền tên mạng (Network name) (SSID), chọn loại bảo mật thành WPA2-Enterprise, và nhấp Next.

Nhấp vào Thay đổi cài đặt kết nối.

Trong Nhãn bảo mật --> Chọn phương thức xác thực mạng, chọn Microsoft: Thẻ thông minh hoặc chứng chỉ khác, sau đó nhấp vào cài đặt.

Bỏ chọn hộp 'Xác minh danh tính của máy chủ bằng cách xác thực chứng chỉ' và nhấp vào OK trên tất cả các cửa sổ bật lên.

Bây giờ, trong Cài đặt mạng WLAN, bạn có thể kết nối SSID bằng chứng chỉ.

 

Để biết thêm chi tiết về từng tính năng và cấu hình, vui lòng truy cập Trung tâm tải xuống để tải xuống hướng dẫn sử dụng sản phẩm của bạn.