#  > Geral >  > Tutoriais >  >  Integrando o Hotspot MK ao AD 2012

## AndrioPJ

Recentemente estive executando serviço em uma instituição que possui aproximadamente 600 computadores em sua rede.

Dentre as várias mudanças que fizemos para aumentar o controle e segurança da rede, podemos citar a instalação do AD (Active Directory) e do Hotspot, "mas não se limitando a apenas esses serviços".

Para manter um banco de dados se usuarios/senha unico, resolvemos integrar o Hotspot MK ao AD do windows Server 2012.
Busquei alguns tutoriais na internet, mas todos que eu achava citava apenas o windows server 2003.

Depois de algumas tentativas, conseguimos integra-los.
Através desse Tutorial, tentarei demonstrar os passos para Integrar o Hotspot MK ao AD do Windows Server 2012.

Para fazer essa integração, vamos fazer uso do Radius do Windows Server.

No antigo Windows Server 2003, esse serviço se chamava "Internet Authentication Service (IAS)".
A partir do windows 2008, foi substituído pelo "Network Policy Server (NPS)".

Não entrarei em detalhes em como instalar o Hotspot, nem memso o AD ou mesmo o NPS, partirei do principio que esses serviços já estão instalados. Apenas mostrarei como integra-los.

Então vamos as configurações...:

*Configurando o Windows Server 2012*
1 - No "Gerenciador do Servidor", clique em "Ferramentas" e depois em "Serviço de Politica de Rede";


2 - Em "Serviço de Politica de Rede", expanda "Clientes e Servidores Radius" e clique com o botão direito em "Clientes Radius", selecione "NOVO".


3 - Em "Novo Cliente Radius", em "Nome amigavel" coloque um nome para identifica-lo, em "Endereço (IP ou DNS)" coloque o IP do seu servidor Hotspot, em "Segredo Compartilhado" coloque uma senha para comunicação entre os servidores (*Salve essa senha, iremos usa-la mais a frente*). Clique em OK.


Agora vamos criar as politicas de consulta, quem pode consultar, horário, qual grupo é permitido fazer login, e como será tratado as consultas.
4 - Expanda "Politicas", clique com o botão direito em "Politicas de Solicitação de Consulta", clique em "NOVO".


5 - Em "Nome da Politica" Coloque qualquer nome para identifica-lo, e clique em avançar.


6 - Na janela "Especificar Condições", clique em adicionar.
- Você pode selecionar "Restrições de Dia e horário" para configurar os horários que as consultas serão permitidas.
- Você pode selecionar "Endereço IPV4 do NAS" para configurar o Servidor que pode efetuar as consultas.
Após ter adicionado todas as condições que deseja, clique em avançar.


7 - Na janela seguinte ("Especificar Encaminhamento de Solicitações de Conexões"), veja se "Autenticar solicitações nesse servidor" está marcada, e Clique em avançar.


8 - Na janela seguinte ("Especificar Métodos de Autenticação"), apenas clique em avançar.


9 - Na janela seguinte ("Definir Configurações"), apenas clique em avançar.


10 - Veja o que foi configurado e clique em concluir.

----------


## AndrioPJ

11 - Expanda "Politicas", clique com o botão direito em "Politicas de rede", e clique em "NOVO".


12 - Em "Nome da Politica" Coloque qualquer nome para identifica-lo, e clique em avançar.


13 - Na janela "Especificar Condições", clique em adicionar.
- Você pode selecionar "Grupos de Usuários" para configurar quem poderá autenticar pelo Hotspot, dessa forma, somente quem fizer parte desse grupo poderá autenticar.
- Você pode selecionar "Restrições de Dia e horário" para configurar os horários que as consultas serão permitidas.
- Você pode selecionar "Endereço IPV4 do NAS" para configurar o Servidor que pode efetuar as consultas.
Após ter adicionado todas as condições que deseja, clique em avançar.


14 - Na janela seguinte ("Especificar permissões de acesso"), veja se "Acesso concebido" está marcado e clique em avançar.


15 - Na janela seguinte ("Configurar métodos de autenticação") desmarque "Autenticação criptografada da Microsoft versão 2 (MS-CHAP-v2)" e "Autenticação criptografada da Microsoft", E marque "Autenticação criptografada CHAP" e "Autenticação sem criptografia (PAP, SPAP)"


16 - Na janela seguinte ("Configurar Restrições") clique em avançar


17 - Na janela seguinte ("Definir Configurações") clique em avançar


18 - Na janela seguinte ("Concluindo Nova Politica de Rede") veja o que foi configurado e clique em concluir.

----------


## AndrioPJ

*Configurando o Radius no Hotspot*

1 - Abra o winbox, no menu esquerdo clique em "Radius"
2 - Clique no sinal de "+" (mais), para adicionar
3 - Na janela que se abriu "New Radius Server", Em "Service" selecione hotspot, Em "Address" coloque o IP do servidor AD, Em "Secret" coloque a senha configurado no passo 3, Em "Src-address" coloque o IP do seu Hotspot.
4 - Clique em OK


5 - No menu esquerdo clique em "IP", depois em "Hotspot"
6 - Na janela que se abriu "Hotspot", Vá na aba "Server Profile"
7 - Clique 2x em cima do profile que deseja configurar, uma nova janela será aberta
8 - Na janela que se abriu, clique na aba "RADIUS"
9 - Marque "Use Radius", em "NAS Port Type" altere para "15 ethernet"

----------


## AndrioPJ

Próximo tutorial:
Integração do Samba com o AD do Windows Server 2012

----------


## deson00

Excelente, o que vc pode ver de bom neste senário autenticado por windows?
Conte sua experiencia boas e negativas.
Obrigado por compartilhar.

----------


## AndrioPJ

> Excelente, o que vc pode ver de bom neste senário autenticado por windows?





> Conte sua experiencia boas e negativas.
> Obrigado por compartilhar.




Banco de dados de usuários centralizado.

Após realizar a integração dos sistemas, apenas Através do AD, eu consigo configurar qual usuario (grupo) tem permissão para autenticar no hotspot, qual tem permissão para acessar o samba, qual tem permissão para acessar o sistema de Helpdesk.

Através do AD, eu posso criar politicas de senhas: prazo para expirar as senhas, quantidade de caracteres mínimos para a senha, a quantidade de senhas que são memorizadas no histórico afim de que o usuário não as repita, complexidade das senhas.... desabilitar automaticamente um usuário que não é usado a X dias.... e por ai vai.
Algumas dessas funções não existem no Hotspot ou no samba...

sem contar que o usuario pode modificar sua senha através de qualquer computador que esteja no domínio (mais praticidade e menos trabalho para o administrador).

----------


## deson00

Bacana, tenho uma duvida em relação a ip, no AD tem algo neste sentido que especifica o ip para o usuário logar e caso ele mude de maquina como fica isso, como hotspot poderia ser integrado o pppoe e neste caso como seria a definição de ip conforme demais servidores RADIUS é similar ?

----------


## hugomatosk

Boa noite existe um sistema de cadastro que faz tudo isso e que é integrado ao banco de dados com ele vc cadastra o cliente no banco de dados cadastra no mikrotik libera a quantidade de banda tempo de uso tipo inicia as 8:00 e termina as 18 e só libera na manhã seguinte para os funcionários e a chefia pode ficar online com velocidade full ou controlada já uso este sistema a 4 anos e nunca me deu problema a empresa que desenvolveu da todo o suporte e faz toda a adaptação conforme a necessidade do cliente 

Enviado via SM-E700M usando UnderLinux App

----------

