Parte 7/7 – Configurando autenticação PEAP no Windows 2008 R2 Server

Publicado: 15 de outubro de 2012 em Windows, Wireless - WLC
Tags:, , , , , , , ,

Olá,

Enfim chegamos ao ultimo post dessa série, no qual iremos realizar as configurações nos clients WiFi (Windows e iOS) para se conectarem a WLAN.

Conectando-se a WLAN

  • Configurando a autenticação no Windows 7

Inicialmente irei mostrar o erro que acontece quando um client WiFi que não pertence ao domínio ou não possui o certificado da CA instalado tenta se conectar a WLAN e como resolver este problema.

  • Client WiFi não pertence ao domínio ou não possui o CA Certificate instalado

Clique em Connect.

Será solicitado inserir o usuário e senha do AD. Preencha tais campos e clique em OK.

Será exibida a tela de erro abaixo informando que não foi possível se conectar a WLAN.

Mas por que ocorre esse erro?

Simples. Na configuração padrão gerada pelo Windows é feita a validação do certificado do servidor (CA Certificate), no entanto, como nosso client não tem o certificado instalado e também não pertence ao domínio, ele não possui o CA Certificate, logo não é possível validá-lo.

Caso o client pertencesse ao domínio, ele iria receber o CA Certificate automaticamente.

Portanto, a solução para tal problema é dizer para o Windows não validar o certificado do servidor… Para isso, acesse o Network and Sharing Center.

Clique em Manage wireless networks.

Clique em Add.

Selecione Manually create a network profile.

Entre com o SSID, a forma de autenticação e o tipo de encriptação.

Neste laboratório criamos uma WLAN com o perfil WPA2-AES, Auth(802.1x).

Autenticação 802.1x é chamada de “Enterprise”, e autenticação PSK é chamada de “Personal”.

Clique em Next.

Clique em Change connections settings.

Na guia Connection, configure conforme ilustra a imagem abaixo.

Na guia Security, assegure-se de que a autenticação selecionada seja Microsoft: Protected EAP (PEAP) e clique em Settings.

Desmarque a opção Validade server certificate.

Em Authentication Method, selecione Secured password (EAP-MSCHAP v2) e clique em Configure.

Desmarque a opção para usar automaticamente as credenciais de logon do Windows e clique em OK.

Clique em OK.

Clique em OK, novamente.

Clique em Close.

Agora vamos tentar nos conectar novamente… Clique na WLAN e irá aparecer a tela referente a solicitação de credenciais. Entre com o usuário/senha e clique em OK.

Pronto! Estamos conectados, conforme exibe a imagem abaixo.

Aproveitando que estamos conectados, vamos acessar a url http://<nome_do_servidor>/Certsrv. Em nosso lab, http://win2k8r2/Certsrv.

Preencha com o usuário e senha e clique em OK.

Clique em Download CA certificate.

Observação: realize tal processo utilizando o Internet Explorer. Funciona melhor do que Chrome ou Firefox.

Salve o certificado em um local de sua escolha.

Clique com o botão direito do mouse sobre o certificado e selecione Install Certificate.

Na tela de Certificate Import Wizard, apenas clique Next, Next, Finish.

Next.

Finish.

Para começar uma conexão do zero novamente, vamos entrar no Network and Sharing Certer > Manage Wireless Networks e deletar o perfil criado anteriormente.

Agora vamos nos conectar a WLAN.

Coloque o usuário e senha.

Diferentemente da primeira vez, na qual não possuíamos o certificado, agora é exibido um alerta de risco informando que o certificado do servidor não pode ser validado. Apenas ignore e clique em Connect.

Pronto, estamos conectados!!!

É importante ressaltar que nós conseguimos acessar a URL http://win2k8r2/Certsrv previamente, pois tínhamos configurado a WLAN para não validar o certificado do servidor. O correto seria se conectar a rede cabeada e então acessar a URL em questão, baixar e instalar o certificado e então se conectar a WLAN.

A título de curiosidade, acessando Network and Sharing Center > Manage Wireless Networks, clicando na WLAN em questão e acessando suas propriedades,  podemos ver que a mesma está configurada para validar o certificado do servidor e agora o mesmo aparece em Connect to these servers, conforme exibe a figura abaixo.

  • Conectando a WLAN com iOS

Agora vamos conectar a WLAN Teste_DHCP utilizando um dispositivo Apple.

Para isso, acesse as Configurações > Wi-Fi e clique na WLAN.

Será solicitado o nome de usuário e senha, conforme exibe a tela abaixo.

Após preencher com o usuário/senha e clicar em Conectar, será exibido o certificado do servidor. Clique em Aceitar.

Pronto! Você estará conectado a WLAN, conforme exibem as imagens abaixo.

Bom, chegamos ao fim dessa série de posts… Acredito que isto será de grande utilidade para muita gente, pois quando eu precisei, não encontrei nenhum Configuration Guide realmente bom na Internet.

Caso tenham dúvidas, sugestões ou dicas, me enviem um comentário ou e-mail que serei grato em ajudar.

Abraços,

Bartulihe

Anúncios
comentários
  1. Jorge Augusto disse:

    Boa Noite!

    Utilizei seu ótimo tutorial: Configurando autenticação PEAP no Windows 2008 R2 Server.

    Mas estou com uma dificuldade que é navegação de aparelhos com sistema Android, li em alguns Posts e consegui instalar o certificado, mas mesmo assim não funcionou. Você pode me ajudar com alguma dica?

    Jorge Augusto

    • bartulihe disse:

      Olá Jorge, bom dia!
      Que bom que você gostou do post! =)

      Você está configurando autenticação PEAP mesmo?
      O Android chegou a se autenticar na rede Wireless? Você pode verificar tal informação em MONITOR > Clients no WLC.

      Se precisar de ajuda, podemos usar o teamviewer, por exemplo, para compartilhar tela.

      Abs.,
      Bartulihe

      • Jorge Augusto disse:

        O Post é excelente me ajudou muito para implementar com facilidade.

        Então respondendo sua pergunta, sim o estou usando PEAP e o Android chegou a se conectar, pegou IP e tudo, mas para navegar sem chance não está navegando.

        O estranho é que ele não instala o certificado automaticamente e li em outros posts como instar o certificado nele, mas mesmo assim não funcionou.

        Agora no IOS e nas estações no domínio e fora do domínio navegam sem problemas.

        Então eu não tenho nem ideia do que possa estar ocorrendo.

      • bartulihe disse:

        E ai Jorge,

        Acabei de testar com um celular Android no meu lab e funcionou direitinho… Se autenticou e navegou normalmente!
        Primeiramente eu criei um usuário no AD. Neste exemplo eu criei o android@home.com e o coloquei no grupo Network Users, que eu havia criado anteriormente.
        Optei por não instalar nenhum certificado da CA no celular. Preferi o configurar de maneira similar ao Windows, falando para não validar o CA Certificate.

        As configurações foram:
        Acessei Configurações > Redes sem fio e outras > Configurações de Wi-Fi > Adicionar rede Wi-Fi

        SSID da Rede: Preenchi com o meu SSID, exatamente igual, respeitando os caracteres maiúsculos e minúsculos. O SSID é case sensitive.
        Segurança: 802.1x Enterprise
        Metodo EAP: PEAP
        Autenticação de fase 2: MSCHAPV2
        Certificado de CA: deixei em branco
        Certificado do Cliente: deixei em branco
        Identidade: android@home.com
        Identidade anônima: deixei em branco
        Senha da rede sem fio: Coloquei a senha do usuário android@home.com

        O celular se conectou e consegui navegar normalmente. Simples assim! rs

        Se você ainda não estiver conseguindo navegar, verifica se não há algum programa, tipo APN Brasil, configurado para desligar o 3G e Wi-Fi.
        Esses programas são utilizados as vezes para aumentar a duração da bateria, desligando as conexões do aparelho.

        Depois que resolver isso ae, me fala o que era, pra eu não ficar na curiosidade! hahaha

        Abs,
        Bartulihe

  2. Bruno Ribeiro disse:

    Boa noite. Realmente esse é o melhor post que vi na internet até agora. Muito bom…. está de parabéns!

    Amigo, eu estou com o mesmo problema do Jorge Augusto: Android não navega! Todos os outros sistemas navegam normalmente.

    Mas esse “navega” na verdade é que o Android está ignorando o DNS.
    Eu fiz a mesma configuração num IPAD e android. Possuo o meu AD (que chamei de “servidor” e IP 192.168.1.10). Quando digito “http://192.168.1.10” os dispositivos abrem a página o IIS normalmente, mas quando eu coloco “http://servidor” Somente no IPAD ele abre.

    Será que poderia dar uma ajuda quanto a isso? desde já agradeço.

    • Bartulihe disse:

      Olá Bruno, muito obrigado, fico bem feliz com os elogios! É bem gratificante, obrigado mesmo!
      Muito estranho esse problema do Android não navegar e todos os outros sistemas navegarem. Nos testes que eu fiz para fazer este tutorial, tudo funcionou normalmente, com um android na versão 3.1.
      Ainda, todos os outros sistemas funcionarem, exceto o Android, indica que o problema não está na rede e sim no Endpoint. Qual a versão do Android? Foi feito o root?
      Abs

      • Bruno Ribeiro disse:

        Opa… feliz fiquei eu ao me deparar com teu site. rs
        Realmente estava difícil chegar em algo perto desse tutorial. Então, meus parabéns mais uma vez; o site como um todo está muito bom.

        Bem, mas vamos ao que interessa rs:

        Estou com um smartphone Sony na versão 2.3. Não, não me aventurei no sistema a ponto de liberar o root nele. rs

        Agora uma curiosidade, quando uso WPA2-PSK (que é o padrão de minha residencia) funciona normal, mas quando mudo a segurança para 802.1x, não resolve nome por nada.

        Montei um pequeno laboratório aqui em casa contendo:

        1 roteador wifi GTS network
        1 roteador wifi D-Link
        1 access point picoStation M2

        Em todos os tres obtive os mesmos resultados: Notebook pela wifi navega, smartphone não. Creio que possa ser algo na versão do android com o 802.1x (ou EAP ou AES).

        Infelizmente estou sem outros dispositivos android para fazer um teste mais a fundo. Mas estou aqui a procura do motivo…rs

  3. Hatus Codeiro Martins disse:

    Bom dia amigo! Parabéns pelo blog muito bom!!!
    A minha situação e a seguinte: Fiz todas as configurações tanto nos servidores quanto na WLC e está funcionando perfeito… Mas está funcionando perfeito quando a condição do 802.1x é: Apenas usuários do domínio podem se autenticar, quando eu habilito a outra condição que seria apenas maquinas do domínio, estou com problemas.
    Eu preciso que apenas usuários do domínio e apenas máquinas do domínio possam se autenticar na rede, preciso dessas 2 condições.

    Conseguiu entender?

  4. João Vitor disse:

    Boa noite, entendo que esse tutorial já não é novo, entretanto agora é a primeira vez que enfrento essa situação de configurar uma rede Windows server usando roteador wireless e não estou conseguindo! Segui o seu tutorial, ótimo e detalhado por sinal, em uma rede com um servidor instalado o Windows server 2008R2 standard, nove máquinas sendo duas com Windows 8 seis com Windows 7 e uma com Windows xp, uma impressora (também wireless) e um roteador tp link WR4300; mas não consigo autenticar as máquinas…será que o problema é no modelo de roteador ou será o técnico aqui que não vai. No aguardo desde já, muito obrigado.

    • Bartulihe disse:

      Olá amigo, boa noite!
      Embora o tutorial nao seja novo, o processo nao mudou, entao acredito que você esteja esquecendo de alguma coisa.
      Tenta ir fazendo os testes aos poucos: testa o DHCP, depois o DNS, tudo funcionou? Ai vai para CA e por ultimo a autenticação.
      Abs,
      Bartulihe

  5. Marcio Oliveira disse:

    Olá Boa Tarde, gostaria de saber se tem como eu fazer essa ideia : Tipo o Usuário loga com identificação do AD como admin e cai em uma sub-rede de admin outro loga como convidado e cai na sub-rede convidado e assim por diante. Teria como eu implementar isso autenticar no Ad e cair na sub-rede específica ?

    • Bartulihe disse:

      Olá Marcio,
      Excelente pergunta!
      Sim, é possível fazer isso. A solução da Cisco é chamada de Cisco ISE (Identity Services Engine), que pode ser um hardware ou VM. Entre outras coisas é possivel implementar o que voce falou.
      Abraços,
      Marco Bartulihe

      • Márcio Oliveira disse:

        Obrigado pela resposta ! por acaso teria outra forma de fazer essa configuração sem ser pelo ISA pois como aqui e orgão público seria demorado licitar licença do mesmo. Tenho uma WLC Cisco 2504 e estou tentando configurar autenticação pelo AD 2008 se seguir esse seu tutorial vai servir nela ?

      • Bartulihe disse:

        Sim, seguindo esse tutorial vai funcionar direitinho!
        Mas o melhor mesmo é o ISE, principalmente na parte de logs e troubleshooting.

        Abs!
        Bartu

      • Marcio Olieira disse:

        Olá, consegui fazer funcionar a autenticação da rede pelo Ad fazendo SSO. mais estou tendo um problema, queria ver se você poderia me ajudar. Tipo tenho 7 LAP mais tem algumas maquinas que estão em baixo do LAP da sala mais se conecta no LAP de outra sala ficando com sinal baixo. o que pode estar acontecendo ?

  6. Marcio Oliveira disse:

    Olá, Estou tentando seguir seu tutorial tenho o seguinte ambiente:
    WLC 2504 v 7.4.121.0
    Ap Cisco 1041N
    AD 2008
    Firewall PfSense
    Tenho algumas dúvidas, tipo tenho que ter o IIS no meu AD pra funcionar ?
    Meu firewall esta entre o WLC e o AD fiz uma rota de um para o outro mais vendo o log no NPS aparece o Firewall tentado autenticar como Cliente Radius. Você teria uma dica de o que pode ser ?

  7. Henrique Santos disse:

    Olá amigo, tudo bem?

    é o Seguinte.. estou tentando fazer a autenticação, porém apenas para o meu AP (TL-WA901ND), segui todo o tutorial, mas quando chego na parte para conectar, mesmo em uma máquina do domínio, eu coloco o usuário e senha que está no grupo mas ele nao aparece nenhum erro, simplesmente pede novamente o usuário e senha… você pode me ajudar?

  8. Bruno Alves disse:

    Cara. esse Post eh show!!!

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s