Unifi: Autenticação na Rede WiFi via Servidor Radius Local

Integrar um sistema UniFi com o FreeRADIUS para autenticação Wi-Fi é uma excelente maneira de garantir segurança e controle de acesso. Com essa configuração, você pode autenticar os usuários que acessam a rede Wi-Fi corporativa por meio de um servidor RADIUS, que valida as credenciais antes de permitir o acesso à rede.

Neste guia, vamos mostrar como configurar o UniFi Controller para autenticar Wi-Fi com o FreeRADIUS.

Pré-Requisitos

• FreeRADIUS instalado e configurado com usuário já autenticando. Temos um post que mostramos Como instalar e configurar Freeradius com autenticação de base local.
• UniFi Controller configurado e com os pontos de acesso UniFi funcionando corretamente.

Passo 1: Ajustes no Servidor Freeradius

No Freeradius, precisamos configurar os APs como se fossem clientes para autenticação. Ou seja, são os APs que irão perguntar se no freeradius existe os usuários, dessa forma configure:

No servidor Freeradius edite o arquivo /etc/freeradius/3.0/clients.conf

Insira um bloco de configuração como abaixo:

client ap-unifi {
   ipaddr = 192.168.0.20
   secret = senha-unifi
}

Altere os seguintes campos acima conforme seu ambiente:

• ap-unifi: este é um nome para o client, pode ser qualquer nome de sua escolha.
• 192.168.0.20: troque esse IP pelo o IP ou range da sua rede de APs
• senha-unifi: troque esse valor caso necessário, ele será usado futuramente.

Opcionalmente, você pode também ativar os logs de login sucesso e falha nas configurações.

Se desejar isso, edite o arquivo /etc/freeradius/3.0/radiusd.conf

Altere o valor de auth para yes como mostrado na imagem abaixo (perceba que esse auth fica dentro de log):

Reinicie o serviço do freeradius executando o seguinte:

systemctl restart freeradius

Passo 2: Configurar o UniFi Controller para Autenticação RADIUS

Agora que o FreeRADIUS está pronto, é hora de configurar o UniFi Controller para usar o FreeRADIUS como servidor de autenticação.

2.1 Criando Profile RADIUS

Acesse o UniFi Controller: Abra o UniFi Controller no navegador e faça login.

Clique no ícone de Configurações, depois em Profile, RADIUS, em seguida em Create New Profile como mostra a imagem abaixo:

Defina os campos abaixo:

• Name: define apenas o nome desse profile (não precisa ser nada especifico)
• Authentication Servers: insira aqui o IP do servidor Radius com a porta 1812(que geralmente é a padrão), ao lado da porta a secret que definimos no client. No passo 1, eu defini essa secret como sendo “senha-unifi”
• Ativo a caixa de seleção para Accounting
• RADIUS Accounting Servers: repita o IP do servidor radius e na porta use a 1813, a secret é a mesa do servidor de autenticação, no meu caso “senha-unifi”

Depois disso, que sobre o botão Add como mostrado abaixo para adicionar cada servidor:

Perceba que o servidor foi adicionado:

Agora clique no botão Apply Changes para aplicar as mudanças e salvar o Profile:

Agora configuramos esse Profile no SSID que queremos ter a autenticação FreeRADIUS.

2.2 Criando SSID Wi-FI

Clique no ícone de Configurações, depois em WiFi, clique em Create New ou edite uma existente:

Defina um nome para a rede e em seguida clique sobre Manual como mostrado:

Troque em Security Protocol para a opção WPA-2 Enterprise. Além disso troque o RADIUS Profile para o que criamos no passo anterior. Em seguida clique Add WiFi Network:

Finalizamos a configuração! Com isso todos os APs receberam o nome SSID, e tentar conectar nessa nova rede que foi criada será solicitado um usuário e senha que são os validados pelo Freeradius.

Lembrando que dependendo de device que estiver usando para conectar como um celular, pode ser que ao tentar conectar ele pergunte também sobre certificado. Marque para Não validar certificado, ou algo do tipo, exemplo no android:

Passo 3: Acompanhe os logs de autenticação

Execute o comando abaixo para verificar os logs de autenticação no FreeRadius;

sudo tail -f /var/log/freeradius/radius.log

No meu exemplo abaixo temos um usuário joao tentando conectar dando autenticação falha (porque o joão não existe no meu freeradius). Temos também o usuário ana dando login com sucesso.

Conclusão

Com essa configuração, o UniFi Controller agora está usando o FreeRADIUS para autenticar os dispositivos na rede Wi-Fi. Esse método aumenta a segurança da rede, permitindo que apenas usuários autenticados acessem o Wi-Fi. Além disso, o FreeRADIUS oferece flexibilidade para gerenciar usuários e controlar o acesso à rede com políticas personalizadas.

Esse post também foi baseado no vídeo do canal da Ubiquiti Brasil.