Aruba Instant On 5 – Autenticar a los usuarios de AD mediante NPS de Windows Server (WIFI)

Tutoriales sobre Aruba Instant On


Hola chic@s, si han seguido los tutoriales de Aruba, en el post anterior montamos un servidor RADIUS en un NAS Synology. Esta vez toca hacer lo mismo pero con un servidor de Windows Server, esta configuración es mucho más extensa pero que será la más usada, ya que la mayoría de empresas usan Active Directory y no suelen usar un NAS para centralizar los usuarios.

Tecnologías que se han usado para este laboratorio

  • Windows Server con los roles de Active Directory, AD CS y NPS instalados.
  • Dos o más puntos de acceso Aruba Instant On.
  • Dispositivos clientes (iPhone, Mac, PC)

Explicación de todo el laboratorio

Este laboratorio consiste en montar un servidor RADIUS en Windows Server en la que clientes finales se conectarán de forma inalámbrica a la WIFI WPA2/3 Enterprise con sus credenciales de Active Directory.

Si vas a seguir el tutorial desde cero, haremos lo siguiente:

  • Instalar un Windows Server en el que configuraremos los roles de AD, AD CS y NPS.
  • Configurar una WIFI WPA2/3 Enterprise en Aruba Instant On. Cabe destacar que todas las antenas están unidas en una especie de Cluster y se comunican con una sola IP contra el servidor RADIUS.
  • Realizar conexiones desde un Mac y iPhone.

En el Active Directory se guardarán las credenciales de los empleados que usarán para conectarse a la WIFI.

El AD CS es necesario porque en el establecimiento de la conexión usaremos el protocolo de autenticación PEAP (Protocolo protegido de autenticación ampliable), y por el funcionamiento de este protocolo, el servidor RADIUS necesita tener un certificado, y AD CS nos ayudará en esto.

Más informacion: https://www.intel.es/content/www/es/es/support/articles/000006999/wireless/legacy-intel-wireless-products.html

EL NPS es el servidor RADIUS y es el encargado de autenticar a los usuarios, usando la BD de AD. Aquí mismo configuraremos:

  • El clientes/clientes RADIUS: El o los clientes RADIUS pueden ser diversos equipos de red como switches, Servidores VPN, puntos de acceso, este último se usará para este laboratorio.
  • Directiva de solicitud de conexión: Estas directivas establecen conjuntos de condiciones y configuraciones que especifican qué servidores RADIUS realizan la AAA de las solicitudes de conexión recibidas por el servidor NPS de los clientes RADIUS. Por ejemplo, en este laboratorio crearemos que la solicitud de conexión sea desde un punto de acceso inalámbrico, si lo recibiese de un Switch, esa solicitud sería denegada.
  • Directivas de red: son conjuntos de condiciones, restricciones y configuraciones que le permiten designar quién está autorizado para conectarse a la red y las circunstancias bajo las cuales pueden o no conectarse. Durante el proceso de autorización, NPS determina si el usuario o el ordenador pueden acceder a la red. Por ejemplo, en nuestro caso crearemos una directiva de grupo de usuarios, es decir, solo el grupo del AD añadido en esta directiva esta permitido para conectarse.

Instalación y configuración

En este apartado instalaremos y configuraremos todo lo relacionado con Windows Server, Aruba, etc.

Aruba Instant On, configuración Wi-Fi y cliente RADIUS

Aquí crearemos la Wifi de empresa y estableceremos la IP del clúster de las antenas. Si te fijas en la imagen, yo tengo 3 antenas, cada una tiene su IP pero se comunicarán o se presentarán contra el servidor RADIUS con la IP que configuraremos más abajo.

Vamos al portal de Aruba, luego clicamos en el Sitio a administrar y finalmente clicamos en el Panel de Redes, creamos una

  • Wifi de empresa WPA2/WPA3 Empresa/Enterprise: LabsMacWiFi-Empleados
  • Establecemos la IP del servidor NPS/RADIUS: 192.168.0.200
  • Secreto Compartido: 2022@LabsWifi3nterPr1Se
  • Clicamos en: Usar una sola IP (192.168.0.100), aquí es donde forzamos que todas las antenas se comuniquen contra el servidor NPS/RADIUS con una sola IP. Esta IP es una dirección que tu elijes, lo comprobarás que entra en funcionamiento al cabo de unos segundos y al hacerle un ping, te tiene que responder.

Una vez creado la WiFi y el cliente RADIUS, pasamos a configurar servidor de Windows.

Active Directory

Usaremos Active Directory de base de datos de los usuarios que se autenticarán contra el servidor RADIUS (NPS), por eso necesitamos este rol.

Instalación del rol

No vamos a explicar cómo instalar el Rol de AD, porque es algo muy básico, solo tendrás que crear un grupo y cuatro usuarios para realizar las pruebas

Creación de grupo y usuarios

  • GrupoWi-fi, compuesto por los usuarios: ashtreelane, labsmac y rodolfo
  • El cuarto usuario, showdown no pertenece al grupo, nos ayudará para hacer los intentos de conexión cuando no tenemos permisos de acceso a la Wi-Fi

AD CS

Al desplegar un WiFi de empresa (WPA2-Enterprise) usando el protocolo de autenticación PEAP, es necesario instalar un certificado en el servidor RADIUS (NPS), para esto nos apoyaremos en rol de AD CS e instalaremos un certificado autofirmado.

Piensa que este tipo de protocolo es como el que se usa las páginas Web, el servidor web es el que se encarga de instalar el certificado para que te salga el «candadito verde» y si usamos un certificado autofirmado, en los clientes saldrá una alerta. Si usásemos un certificado por una entidad autorizada válida, no tendríamos ese problema.

Instalación de AD CS

Este rol no me ha tocado nunca instalarlo, por este motivo si realizaré una instalación con capturas por si lo necesito recordar en un futuro. Si ya sabes esto, puede saltártelo.

Para su instalación nos vamos al Administrador del servidor > Administrar > Agregar roles y características.

Seleccionamos Instalación basada en características o en roles

Seleccionamos el servidor de destino, en mi caso solo hay uno, el 192.168.0.200

Seleccionamos el rol, en este caso: Servicios de certificados de Active Directory

Dentro de AD CS, podemos instalar varios mini roles, por ejemplo: una CA, inscripción web de entidad de certificación, etc. En nuestro caso solo instalaremos Entidad de certificación.

Seguimos con la instalación, todo a siguiente.

Configuración de AD CS

Continuamos con la configuración del rol instalado. Clicamos en el triangulo con signo de exclamación.

Ingresamos el usuario con el que vamos a instalar la entidad de certificación (CA)

Seleccionamos Entidad de certificación

Elegimos CA empresarial.

Clicamos en CA Raíz, porque es la primera de todas.

Crearemos una clave privada nueva.

Seleccionamos el tipo de HASH 256 y longitud de clave 2048 bits.

Especificamos el nombre para la CA.

Ahora elegimos los años que estará vigente el certificado de la CA

En las siguientes ventanas continuamos y finalizamos la configuración, reiniciamos el servidor.

NPS (Servidor RADIUS)

Instalación del Rol

No realizaremos la instalación de NPS porque es muy sencilla, no tiene perdida.

Registrar servidor NPS en Active Directory

Una vez instalado, vamos a registrar el servidor NPS en Active Directory.

Clicamos en Aceptar para autorizar que NPS pueda leer las propiedades de marcado de los usuarios del dominio.

Lo de propiedades de marcado, se refiere al permiso de acceso a redes del usuario. Si vas a las propiedades de un usuario y clicas en la pestaña de Marcado, verás a lo que me refiero.

Otra vez clicamos en Aceptar

Configuración de un cliente RADIUS y sus directivas mediante el asistente

Este apartado es muy importante de entenderlo a la perfección. Lo que hacemos aquí, es configurar el/los cliente RADIUS y sus directivas (solicitud de conexión y de red) que lo hemos explicado en el apartado «Explicación del laboratorio»

En este punto vamos utilizar el asistente de NPS para agregar el cliente RADIUS y sus directivas.

Dentro de Servidor de directivas de redes, vamos a NPS, clicamos en Servidor RADIUS para conexiones cableadas o inalámbricas 802.1X y finalmente en Configurar 802.1X

Clicamos en Conexiones inalámbricas, y elegimos un nombre, luego clicamos en Siguiente

Creación del cliente RADIUS

Se abrirá una ventana para añadir los clientes RADIUS. En otros casos tendríamos que agregar un cliente por cada punto de acceso pero gracias Aruba Instant ON, solo agregamos un cliente por que trabajan en forma de Clúster. Con otras marcas como Unifi, tendrías que configurar cada punto de acceso.

Establecemos un nombre descriptivo, dirección IP, 192.168.0.100 (la del clúster de APs que se configuró en el portal de Aruba) y el secreto compartido. Luego clicamos en Aceptar y finalmente en Siguiente.

Configuración de protocolo de autenticación, Microsoft EAP Protegido (PEAP)

Como hemos explicado al inicio del post, nosotros usaremos el protocolo de autenticación PEAP y este tipo de protocolo necesita tener configurado un certificado para el servidor.

Elegir el certificado del servidor NPS

Elegimos el certificado que creamos para el servidor, luego aceptamos.

Agregar el grupo que solo acede a la Wi-Fi de empresa

Aquí es donde se agrega una directiva de red, la de grupo que comentamos al inicio, es decir, solo dicho grupo de todo el AD podrá acceder a la WiFi.

Clicamos en Agregar… luego buscamos nuestro grupo que creamos al inicio, aceptamos y finalmente clicamos en Siguiente.

Resumen de la configuración, clicamos en Finalizar.

Captura del cliente RADIUS que se ha creado con el asistente.

Captura de la directiva de solicitud de conexión que se ha creado con el asistente.

Captura de la directiva de red que se ha creado con el asistente.

Con esto damos por finalizada toda la configuración que debemos hacer el servidor de Windows. Si se ha hecho todo al pie de la letra todo debería funciona, vamos a realizar las pruebas de conexión desde los equipos finales.

Si tienes algún problema de configuración vete al apartado de Troubleshooting de este tutorial.

Conexión y prueba desde los clientes

Realizaremos la conexión desde un iPhone y Mac. Al solo disponer de un certificado autofirmado (el que usamos para el servidor RADIUS/NPS), en los clientes nos saltará la alerta de que debemos confiar en dicho certificado. Si tuviésemos un certificado verificado por una entidad autorizada, no tendríamos este «problema».

iPhone

Vamos a realizar la conexión con el usuario labsmac desde un iPhone, nos avisará de que no confía del certificado por ser uno autofirmado. Confiamos en el y ya estamos dentro!

Mac

Conexión desde un Mac con MacOS Monterey a la Wi-Fi de empresa, usando las credenciales.

Acceso denegado al usuario shodwown

Aquí hemos intentando conectarnos con el usuario showdown (usuario que no pertenece al grupo que agegamos en la directiva de red) y no nos ha dejado, si nos vamos a los logs, vemos que NPS nos deniega el acceso.

Troubleshooting

Si hay algo que todo administrador de sistemas debe saber, es que siempre hay que mirar los logs.

Mirar los logs: Error 13

Durante este tutorial, cometí un error al agregar la dirección IP del cliente RADIUS (por eso ves que taché la dirección IP del cliente RADIUS en las imágenes de antes), gracias al log pude averiguar porque no funcionaba la conexión.

Buscamos en Google lo que puede significar el código 13: Error 13 NPS

Mirar los logs: Error 18

Aquí he cambiado el secreto compartido entre el cliente y servidor RADIUS para ver que ocurre y ver que nos avisa el Visor de eventos. Nos genera errores con el código 18.

Fuente Internet sobre el código 18: Make sure that the remote RADIUS server configuration, including the IP address of the RADIUS client/proxy server and the shared secret configured on the server running NPS and on the RADIUS client, is accurate.

Evento 6273

Aquí podemos ver que un usuario al que no le esta permitido acceder a la Wi-Fi, se le deniega el acceso y este evento queda registrado.

Si usas Windows Server 2019 o 2016 y no te funciona, esto te puede interesar

Si has seguido el tutorial al pie de la letra y sigue sin funcionarte, puede que el error este en Windows… con este problema estuve un día entero hasta que encontré esto: Enlace solucionar problema NPS WServer 2016/2019

Es un problema con el SID del servicios IAS, este servicio es el que usa NPS. Para solucionar este problema ejecutamos en el CMD como administrador, el siguiente comando:

sc sidtype IAS unrestricted

Luego de esto reiniciamos el servidor y si teníamos un fallo por este error, se debería corregir el problema

Conclusiones finales

Este laboratorio es largo pero bastante útil y necesario para implantar en las empresas para aplicar una capa extra de seguridad. Se podría mejorar la seguridad aún más, cambiando de protocolo de autenticación, en el que cada usuario del AD, necesitaría un certificado para conectarse a la Wi-Fi.

También se podría haber complementado con la tercera A del AAA, Accounting pero eso lo dejaremos para un post especifico de NPS.

Espero que el post te sea útil, sin duda a mi me ha servido para fortalecer mis conocimientos, la vida del informático es así, siempre hay que ir aprendiendo cosas nuevas!! Nos vemos el siguiente post!!

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.