Meraki
Para usar a funcionalidade RadSec nos seus APs Meraki, a versão do firmware MR 30.X ou posterior é necessária.
Os clientes relataram atrasos entre a ativação da funcionalidade RadSec no Meraki Dashboard e o momento em que ela se torna funcional.
Preparar certificados
A plataforma Meraki não permite gerar certificados de cliente RadSec a partir de uma CA à sua escolha. Em vez disso, deve usar a Organização CA integrada da Meraki, que é exclusiva da sua Organização Meraki.
Descarregue o certificado raiz da CA que emitiu o seu Certificado do Servidor RADIUS ativo, conforme descrito aqui. Mais tarde, terá de o carregar na sua consola Meraki.
Configuração Meraki
As definições abaixo são as necessárias para estabelecer uma ligação RadSec funcional com o nosso serviço. Configure quaisquer outras definições a seu critério.
Certifique-se de desativar a verificação de revogação OCSP do certificado de cliente RadSec conforme descrito no passo 7 deste guia.
Configure o servidor RADIUS no seu SSID
Selecione o SSID que pretende configurar para autenticação RADIUS (ou navegue até Wireless > Configure > SSIDs para criar primeiro um novo SSID).
Na secção de Segurança do seu SSID, selecione Enterprise with e, na lista pendente my RADIUS server:
Em RADIUS, clique em Add server. Configure o Host IP or FQDN para corresponder ao endereço IP ou ao nome DNS do seu ponto final do serviço RadSec, defina a Porta para 2083 e defina o Segredo com o valor "radsec" e ative a caixa de verificação RadSec .
Configurar timeouts EAP
Configure os parâmetros EAP e os timeouts de acordo com este guia de referência, indo a Wireless > Radius > Advanced RADIUS settings. Depois de configurado, deverá parecer semelhante à captura de ecrã abaixo. Clique em Save para aplicar as definições.
Adicionar certificado do servidor RadSec
Para carregar e gerar os certificados necessários que tornam a ligação RadSec funcional, navegue até Organization > Certificates > RADSEC.
Na tabela superior, clique em Upload certificate e forneça o certificado raiz da CA que assinou o seu Certificado do Servidor RADIUS, que já deverá ter descarregado nesta etapa. Os seus APs Meraki passam agora a confiar no seu servidor RADIUS.
Criar Organização CA
Em Certificados RadSec AP, primeiro crie uma Organização CA clicando em Generate CA. Esta CA é exclusiva da sua Organização Meraki. A plataforma Meraki irá agora gerar automaticamente certificados de cliente RadSec para todos os seus APs assinados por esta CA. A vida útil do certificado é muito longa (> 50 anos), ou seja, não tem de se preocupar em renová-los.
Descarregue o certificado raiz da CA da sua Organização CA do seu sistema Meraki clicando em Download CA.
Não poderá carregar certificados de cliente RadSec de outra CA com a Meraki. Em vez disso, a Organização CA, que é exclusiva da sua organização, fornecerá a todos os seus pontos de acesso certificados adequados.
Confiar na Organização CA no RADIUSaaS
Agora, carregue o certificado CA descarregado para os seus Trusted Certificates na sua consola web RADIUSaaS e selecione RadSec em Use for.
Desativar a verificação de revogação para certificados RadSec
Por fim, desative a verificação de revogação para os certificados de cliente RadSec na sua instância RADIUSaaS (isto não afeta negativamente a segurança, uma vez que a Meraki Organization CA não permite revogar certificados de cliente RadSec). Portanto, navegue até à sua instância RADIUSaaS e depois Settings > Server Settings e desative a caixa de verificação Verification check for RadSec certificates.
Testar configuração
Para testar se a configuração funciona, pode adicionar um utilizador no seu Portal e utilizar a função de teste da Meraki.
Referências
Ligação para a documentação da Meraki sobre a configuração RadSec: https://documentation.meraki.com/MR/Encryption_and_Authentication/MR_RADSec
Última atualização
Isto foi útil?