+ Responder ao Tópico



  1. #1

    Padrão Integrando o Hotspot MK ao AD 2012

    Recentemente estive executando serviço em uma instituição que possui aproximadamente 600 computadores em sua rede.

    Dentre as várias mudanças que fizemos para aumentar o controle e segurança da rede, podemos citar a instalação do AD (Active Directory) e do Hotspot, "mas não se limitando a apenas esses serviços".

    Para manter um banco de dados se usuarios/senha unico, resolvemos integrar o Hotspot MK ao AD do windows Server 2012.
    Busquei alguns tutoriais na internet, mas todos que eu achava citava apenas o windows server 2003.

    Depois de algumas tentativas, conseguimos integra-los.
    Através desse Tutorial, tentarei demonstrar os passos para Integrar o Hotspot MK ao AD do Windows Server 2012.

    Para fazer essa integração, vamos fazer uso do Radius do Windows Server.

    No antigo Windows Server 2003, esse serviço se chamava "Internet Authentication Service (IAS)".
    A partir do windows 2008, foi substituído pelo "Network Policy Server (NPS)".

    Não entrarei em detalhes em como instalar o Hotspot, nem memso o AD ou mesmo o NPS, partirei do principio que esses serviços já estão instalados. Apenas mostrarei como integra-los.

    Então vamos as configurações...:

    Configurando o Windows Server 2012
    1 - No "Gerenciador do Servidor", clique em "Ferramentas" e depois em "Serviço de Politica de Rede";
    Clique na imagem para uma versão maior

Nome:	         1.jpg
Visualizações:	177
Tamanho: 	174,5 KB
ID:      	60203

    2 - Em "Serviço de Politica de Rede", expanda "Clientes e Servidores Radius" e clique com o botão direito em "Clientes Radius", selecione "NOVO".
    Clique na imagem para uma versão maior

Nome:	         2.jpg
Visualizações:	122
Tamanho: 	60,7 KB
ID:      	60204

    3 - Em "Novo Cliente Radius", em "Nome amigavel" coloque um nome para identifica-lo, em "Endereço (IP ou DNS)" coloque o IP do seu servidor Hotspot, em "Segredo Compartilhado" coloque uma senha para comunicação entre os servidores (Salve essa senha, iremos usa-la mais a frente). Clique em OK.
    Clique na imagem para uma versão maior

Nome:	         3.jpg
Visualizações:	208
Tamanho: 	82,9 KB
ID:      	60205

    Agora vamos criar as politicas de consulta, quem pode consultar, horário, qual grupo é permitido fazer login, e como será tratado as consultas.
    4 - Expanda "Politicas", clique com o botão direito em "Politicas de Solicitação de Consulta", clique em "NOVO".
    Clique na imagem para uma versão maior

Nome:	         4.jpg
Visualizações:	130
Tamanho: 	81,9 KB
ID:      	60206

    5 - Em "Nome da Politica" Coloque qualquer nome para identifica-lo, e clique em avançar.
    Clique na imagem para uma versão maior

Nome:	         5.jpg
Visualizações:	180
Tamanho: 	83,9 KB
ID:      	60207

    6 - Na janela "Especificar Condições", clique em adicionar.
    - Você pode selecionar "Restrições de Dia e horário" para configurar os horários que as consultas serão permitidas.
    - Você pode selecionar "Endereço IPV4 do NAS" para configurar o Servidor que pode efetuar as consultas.
    Após ter adicionado todas as condições que deseja, clique em avançar.
    Clique na imagem para uma versão maior

Nome:	         6.jpg
Visualizações:	135
Tamanho: 	69,2 KB
ID:      	60208

    7 - Na janela seguinte ("Especificar Encaminhamento de Solicitações de Conexões"), veja se "Autenticar solicitações nesse servidor" está marcada, e Clique em avançar.
    Clique na imagem para uma versão maior

Nome:	         7.jpg
Visualizações:	125
Tamanho: 	95,8 KB
ID:      	60209

    8 - Na janela seguinte ("Especificar Métodos de Autenticação"), apenas clique em avançar.
    Clique na imagem para uma versão maior

Nome:	         8.jpg
Visualizações:	107
Tamanho: 	104,0 KB
ID:      	60210

    9 - Na janela seguinte ("Definir Configurações"), apenas clique em avançar.
    Clique na imagem para uma versão maior

Nome:	         9.jpg
Visualizações:	113
Tamanho: 	96,5 KB
ID:      	60211

    10 - Veja o que foi configurado e clique em concluir.
    Clique na imagem para uma versão maior

Nome:	         10.jpg
Visualizações:	111
Tamanho: 	84,3 KB
ID:      	60212
    Última edição por AndrioPJ; 13-07-2015 às 16:11.

  2. #2

    Padrão Re: Integrando o Hotspot MK ao AD 2012

    11 - Expanda "Politicas", clique com o botão direito em "Politicas de rede", e clique em "NOVO".
    Clique na imagem para uma versão maior

Nome:	         11.jpg
Visualizações:	97
Tamanho: 	134,5 KB
ID:      	60218

    12 -
    Em "Nome da Politica" Coloque qualquer nome para identifica-lo, e clique em avançar.
    Clique na imagem para uma versão maior

Nome:	         12.jpg
Visualizações:	97
Tamanho: 	80,2 KB
ID:      	60219

    13 - Na janela "Especificar Condições", clique em adicionar.
    - Você pode selecionar "Grupos de Usuários" para configurar quem poderá autenticar pelo Hotspot, dessa forma, somente quem fizer parte desse grupo poderá autenticar.
    - Você pode selecionar "Restrições de Dia e horário" para configurar os horários que as consultas serão permitidas.
    - Você pode selecionar "Endereço IPV4 do NAS" para configurar o Servidor que pode efetuar as consultas.
    Após ter adicionado todas as condições que deseja, clique em avançar.
    Clique na imagem para uma versão maior

Nome:	         13.jpg
Visualizações:	113
Tamanho: 	83,7 KB
ID:      	60220

    14 -
    Na janela seguinte ("Especificar permissões de acesso"), veja se "Acesso concebido" está marcado e clique em avançar.
    Clique na imagem para uma versão maior

Nome:	         14.jpg
Visualizações:	95
Tamanho: 	73,1 KB
ID:      	60221

    15
    - Na janela seguinte ("Configurar métodos de autenticação") desmarque "Autenticação criptografada da Microsoft versão 2 (MS-CHAP-v2)" e "Autenticação criptografada da Microsoft", E marque "Autenticação criptografada CHAP" e "Autenticação sem criptografia (PAP, SPAP)"
    Clique na imagem para uma versão maior

Nome:	         15.jpg
Visualizações:	96
Tamanho: 	105,0 KB
ID:      	60222

    16 - Na janela seguinte ("Configurar Restrições") clique em avançar
    Clique na imagem para uma versão maior

Nome:	         16.jpg
Visualizações:	90
Tamanho: 	94,2 KB
ID:      	60223

    17 - Na janela seguinte ("Definir Configurações") clique em avançar
    Clique na imagem para uma versão maior

Nome:	         17.jpg
Visualizações:	87
Tamanho: 	111,2 KB
ID:      	60224

    18 - Na janela seguinte ("Concluindo Nova Politica de Rede") veja o que foi configurado e clique em concluir.
    Clique na imagem para uma versão maior

Nome:	         18.jpg
Visualizações:	108
Tamanho: 	95,0 KB
ID:      	60225
    Última edição por AndrioPJ; 13-07-2015 às 15:57.



  3. #3

    Padrão Re: Integrando o Hotspot MK ao AD 2012

    Configurando o Radius no Hotspot

    1 - Abra o winbox, no menu esquerdo clique em "Radius"
    2 - Clique no sinal de "+" (mais), para adicionar
    3 - Na janela que se abriu "New Radius Server", Em "Service" selecione hotspot, Em "Address" coloque o IP do servidor AD, Em "Secret" coloque a senha configurado no passo 3, Em "Src-address" coloque o IP do seu Hotspot.
    4 - Clique em OK
    Clique na imagem para uma versão maior

Nome:	         19.jpg
Visualizações:	158
Tamanho: 	122,3 KB
ID:      	60226

    5 - No menu esquerdo clique em "IP", depois em "Hotspot"
    6 - Na janela que se abriu "Hotspot", Vá na aba "Server Profile"
    7 - Clique 2x em cima do profile que deseja configurar, uma nova janela será aberta
    8 - Na janela que se abriu, clique na aba "RADIUS"
    9 - Marque "Use Radius", em "NAS Port Type" altere para "15 ethernet"
    Clique na imagem para uma versão maior

Nome:	         20.jpg
Visualizações:	135
Tamanho: 	109,6 KB
ID:      	60227
    Última edição por AndrioPJ; 13-07-2015 às 16:09.

  4. #4

    Padrão Re: Integrando o Hotspot MK ao AD 2012

    Próximo tutorial:
    Integração do Samba com o AD do Windows Server 2012



  5. #5

    Padrão Re: Integrando o Hotspot MK ao AD 2012

    Excelente, o que vc pode ver de bom neste senário autenticado por windows?
    Conte sua experiencia boas e negativas.
    Obrigado por compartilhar.

  6. #6

    Padrão Re: Integrando o Hotspot MK ao AD 2012

    Citação Postado originalmente por deson00 Ver Post
    Excelente, o que vc pode ver de bom neste senário autenticado por windows?
    Citação Postado originalmente por deson00 Ver Post
    Conte sua experiencia boas e negativas.
    Obrigado por compartilhar.


    Banco de dados de usuários centralizado.

    Após realizar a integração dos sistemas, apenas Através do AD, eu consigo configurar qual usuario (grupo) tem permissão para autenticar no hotspot, qual tem permissão para acessar o samba, qual tem permissão para acessar o sistema de Helpdesk.

    Através do AD, eu posso criar politicas de senhas: prazo para expirar as senhas, quantidade de caracteres mínimos para a senha, a quantidade de senhas que são memorizadas no histórico afim de que o usuário não as repita, complexidade das senhas.... desabilitar automaticamente um usuário que não é usado a X dias.... e por ai vai.
    Algumas dessas funções não existem no Hotspot ou no samba...

    sem contar que o usuario pode modificar sua senha através de qualquer computador que esteja no domínio (mais praticidade e menos trabalho para o administrador).



  7. #7

    Padrão Re: Integrando o Hotspot MK ao AD 2012

    Bacana, tenho uma duvida em relação a ip, no AD tem algo neste sentido que especifica o ip para o usuário logar e caso ele mude de maquina como fica isso, como hotspot poderia ser integrado o pppoe e neste caso como seria a definição de ip conforme demais servidores RADIUS é similar ?

  8. #8

    Padrão Re: Integrando o Hotspot MK ao AD 2012

    Boa noite existe um sistema de cadastro que faz tudo isso e que é integrado ao banco de dados com ele vc cadastra o cliente no banco de dados cadastra no mikrotik libera a quantidade de banda tempo de uso tipo inicia as 8:00 e termina as 18 e só libera na manhã seguinte para os funcionários e a chefia pode ficar online com velocidade full ou controlada já uso este sistema a 4 anos e nunca me deu problema a empresa que desenvolveu da todo o suporte e faz toda a adaptação conforme a necessidade do cliente

    Enviado via SM-E700M usando UnderLinux App