# UniFi

{% hint style="info" %}
RADIUS sur TLS (RADSEC) a été ajouté à **UniFi Network 8.4** et aux versions plus récentes. Veuillez vous assurer que votre contrôleur et vos périphériques réseau sont **à jour** avant de suivre ce guide.
{% endhint %}

{% hint style="warning" %}
Des clients ont signalé **des retards** entre l’activation de la fonctionnalité RadSec sur le tableau de bord Unify et sa mise en fonctionnement.
{% endhint %}

## Préparer les certificats

Pour établir une connexion RadSec valide, vos points d’accès doivent faire confiance au **certificat de serveur RADIUS** et votre serveur RADIUS doit faire confiance à votre **certificat client RadSec**. Pour y parvenir,

1. Téléchargez le certificat racine de l’AC qui a émis votre **certificat de serveur RADIUS** comme décrit [ici](https://docs.radiusaas.com/fr/portail-dadministration/settings/settings-server#download).\
   Dans cet exemple, SCEPman est utilisé comme CA racine et a émis le certificat serveur RADIUS. Nous téléchargeons donc le certificat de l’AC racine depuis le portail SCEPman :\
   \
   ![](https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fqcje6zykfUaJtZ2Mpn2J%2Fimage.png?alt=media\&token=2d4e54d1-79fa-40ff-8886-a3f23fa93eec)\
   Ensuite, veuillez convertir votre certificat au format Base64. Cela peut facilement être fait via l’Assistant d’exportation de certificat Windows, OpenSSL ou d’autres outils :<br>

   <figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FPsfLYTHWwhFMHRC5e9v0%2Fimage.png?alt=media&#x26;token=9699aa03-c995-4dd6-9023-83ea4bcedc62" alt=""><figcaption></figcaption></figure>
2. Créez un **certificat client RadSec** pour vos points d’accès. Si vous utilisez **SCEPman Certificate Master**, le processus est décrit [ici](https://docs.scepman.com/certificate-deployment/certificate-master/client-certificate-pkcs-12).\
   Dans cet exemple, nous générons un certificat au format « PEM ». Veuillez noter le mot de passe, car nous en aurons besoin plus tard.<br>

   <figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FiiknhsyBtg1OMx5zokB4%2Fimage.png?alt=media&#x26;token=008eea9c-a5a8-4ad6-9b0c-d43eda7501f6" alt=""><figcaption></figcaption></figure>
3. Séparez le certificat généré en la clé privée (nommée « priv.key » dans cet exemple) et le certificat (nommé « clientcert.cer »). Cela peut facilement être fait à l’aide d’un éditeur de texte :<br>

   <figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2Fy4RgXqj46pwMDFObuQT0%2FScreenshot%202024-09-24%20101150.png?alt=media&#x26;token=e40c8932-f818-481e-af8c-ff8980dffea0" alt=""><figcaption></figcaption></figure>
4. Ajoutez le certificat racine de l’AC qui a émis le **certificat client RadSec** à votre instance RADIUS comme décrit [ici](https://docs.radiusaas.com/fr/portail-dadministration/settings/trusted-roots#add) et sélectionnez **RadSec** sous **Utiliser pour**.\
   Au cas où le **certificat client RadSec** a été émis par SCEPman (dans cet exemple) et que vous faites déjà confiance à la CA racine SCEPman pour l’authentification client, modifiez simplement le certificat CA racine SCEPman approuvé et sélectionnez **Les deux** sous **Utiliser pour**:\ <br>

   <figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FRC0VFYe5IAzWPOK6ZWrg%2Fimage.png?alt=media&#x26;token=7ea810cd-aa2e-49a0-a5c2-0508bc1f818f" alt=""><figcaption></figcaption></figure>

## Configuration UniFi

{% hint style="info" %}
Les paramètres ci-dessous sont nécessaires pour établir une connexion RadSec fonctionnelle avec notre service. Configurez tous les autres paramètres à votre discrétion.
{% endhint %}

1. Accédez à votre contrôleur Unifi Network et ouvrez **Paramètres** **> Profils > RADIUS**.
2. Créez un nouveau profil ou mettez-en à jour un existant :<br>

   <figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F3ZiX4U8lG2ODqepWi9TR%2Fimage.png?alt=media&#x26;token=3f8e33a3-87a1-4628-9051-8f5c9f79f5c3" alt=""><figcaption></figcaption></figure>
3. Renseignez les informations requises :
   1. **Prise en charge du VLAN attribué par RADIUS**: facultatif / si nécessaire
   2. **Paramètres RADIUS**:
      1. **TLS**: cochez la case.
      2. **Serveurs d’authentification**:\
         \- **Adresse IP du ou des serveurs**: indiquez l’adresse IP de votre [point de terminaison du service RadSec](https://docs.radiusaas.com/fr/portail-dadministration/settings/settings-server#properties).\
         \- **Port**: 2083.\
         \- **Secret partagé**: `radsec`.
      3. **Client Certificate**: téléchargez le **certificat client RadSec** (obtenu à l’étape 3 [ici](#prepare-certificates)).
      4. **clé privée**: téléchargez la clé privée de votre **certificat client RadSec** (obtenu à l’étape 3 [ici](#prepare-certificates)).
      5. **Mot de passe de la clé privée**: comme noté.
      6. **Certificat CA**: téléchargez le certificat racine de l’AC qui a émis votre **certificat de serveur RADIUS** (obtenu à l’étape 1 [ici](#prepare-certificates)).
      7. **Comptabilisation**: cochez la case.
      8. **Serveur de comptabilisation RADIUS**:\
         \- **Adresse IP du ou des serveurs**: indiquez l’adresse IP de votre [point de terminaison du service RadSec](https://docs.radiusaas.com/fr/portail-dadministration/settings/settings-server#properties).\
         \- **Port**: 2083\
         \- **Secret partagé**: `radsec`
      9. **Intervalle de mise à jour intermédiaire**: facultatif / si nécessaire<br>

         <figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2F7bVZwLVu65fJAw2ip9yW%2Fimage.png?alt=media&#x26;token=f4f95e73-62aa-493d-ad3a-b2aae7e7282d" alt=""><figcaption></figcaption></figure>
4. Attribuez ce profil au profil Wi‑Fi souhaité :<br>

   <figure><img src="https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FIYtSOpXKancg5DOguLnp%2Fimage.png?alt=media&#x26;token=9d545eb1-1f53-483d-b0bb-b96dce504ec3" alt=""><figcaption></figcaption></figure>
5. Laissez à vos points d’accès le temps d’appliquer la nouvelle configuration :\
   \
   ![](https://1168716614-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FSWU1DQ4UGkqER7uGNUOm%2Fuploads%2FgLOTqgYBnWr21PwSxqwx%2Fimage.png?alt=media\&token=6db006ec-38eb-4b04-be4e-cabe263426ea)

### Référence : Centre d’aide UniFi

[UniFi Gateway - Configuration d’un serveur RADIUS](https://help.ui.com/hc/en-us/articles/360015268353-UniFi-Gateway-Configuring-a-RADIUS-Server)