Meraki
Para usar la función RadSec en sus AP de Meraki, la versión de firmware MR 30.X o posterior es necesaria.
Los clientes han reportado retrasos entre la activación de la función RadSec en el Meraki Dashboard y su funcionamiento.
Preparar certificados
La plataforma Meraki no le permite generar certificados de cliente RadSec a partir de una CA de su elección. En su lugar, debe usar la Organization CA integrada de Meraki, que es única para su organización Meraki.
Descargue el certificado raíz de la CA que ha emitido su RADIUS Server Certificate activo, aquí. Más adelante deberá cargarlo en su consola de Meraki.
Configuración de Meraki
Los siguientes ajustes son necesarios para establecer una conexión RadSec funcional con nuestro servicio. Configure cualquier otro ajuste según su criterio.
Asegúrese de deshabilitar la comprobación de revocación OCSP del certificado de cliente RadSec como se describe en el paso 7 de esta guía.
Configure el servidor RADIUS en su SSID
Seleccione el SSID que desea configurar para autenticación RADIUS (o vaya a Wireless > Configure > SSIDs para crear primero un nuevo SSID).
En la sección de Seguridad de su SSID, seleccione Enterprise with y en el menú desplegable my RADIUS server:
En RADIUS, haga clic en Add server. Configure el Host IP or FQDN para que coincida con la dirección IP o el nombre DNS de su extremo de servicio RadSec, establezca el Port en 2083 y establezca el valor de Secret en "radsec" y active la casilla de verificación RadSec .
Configurar tiempos de espera de EAP
Configure los parámetros y tiempos de espera de EAP según esta guía de referencia yendo a Wireless > Radius > Advanced RADIUS settings. Una vez configurado, debería verse similar a la captura de pantalla siguiente. Haga clic en Save para aplicar los ajustes.
Agregar certificado de servidor RadSec
Para cargar y generar los certificados necesarios que hacen funcional la conexión RadSec, vaya a Organization > Certificates > RADSEC.
En la tabla superior, haga clic en Upload certificate y proporcione el certificado raíz de la CA que ha firmado su RADIUS Server Certificate, que ya debería haber descargado en este paso. Sus AP de Meraki ahora confían en su servidor RADIUS.
Crear CA de la organización
En Certificados AP RadSec, primero cree una Organization CA haciendo clic en Generate CA. Esta CA es única para su organización Meraki. La plataforma Meraki ahora generará automáticamente certificados de cliente RadSec para todos sus AP firmados por esta CA. La vida útil del certificado es muy larga (> 50 años), es decir, no tiene que preocuparse por renovarlos.
Descargue el certificado de la CA raíz de su Organization CA de su sistema Meraki haciendo clic en Download CA.
No podrá cargar certificados de cliente RadSec de otra CA con Meraki. En su lugar, la Organization CA, que es única para su organización, proporcionará a todos sus puntos de acceso certificados adecuados.
Confiar en la Organization CA en RADIUSaaS
Ahora, cargue el certificado de CA descargado en sus Trusted Certificates en su consola web de RADIUSaaS y seleccione RadSec en Use for.
Deshabilitar la comprobación de revocación para certificados RadSec
Por último, deshabilite la comprobación de revocación para los certificados de cliente RadSec en su instancia de RADIUSaaS (esto no afecta negativamente a la seguridad, ya que la Organization CA de Meraki no permite revocar certificados de cliente RadSec). Por lo tanto, vaya a su instancia de RADIUSaaS y luego a Settings > Server Settings y desactive la casilla de verificación Verification check for RadSec certificates.
Probar la configuración
Para comprobar que la configuración funciona, puede agregar un usuario en su Portal y usar la función de prueba de Meraki.
Referencias
Enlace a la documentación de Meraki para la configuración de RadSec: https://documentation.meraki.com/MR/Encryption_and_Authentication/MR_RADSec
Última actualización
¿Te fue útil?