Cómo configurar la autenticación basada en MAC en el controlador Omada

Guía de configuración
Actualizado11-13-2024 10:38:39 AM 3457
Este artículo se aplica a: 

Contenido

Objetivo

Requisitos

Introducción

Configuración con servidor Radius externo

Configuración con RADIUS incorporado del controlador Omada

Verificación

Conclusión

Preguntas más frecuentes

 

Objetivo

Este artículo presenta cómo configurar la autenticación basada en MAC para clientes inalámbricos que utilizan un servidor RADIUS externo o el RADIUS incorporado del controlador Omada, lo que garantiza que solo los clientes con direcciones MAC autorizadas tengan acceso a la red.

Requisitos

  • Omada AP
  • Controlador Omada (Controlador de software / Controlador de hardware / Controlador basado en podría)
  • Servidor Radius Externo

Introducción

La autenticación basada en MAC está diseñada para controlar el acceso a la red en función del puerto y la dirección MAC de un dispositivo. Para pasar esta autenticación, la dirección MAC de un cliente debe estar registrada en el servidor Radius de antemano, sin necesidad de software adicional del lado del cliente. El proceso de autenticación es perfecto para los usuarios, ya que no necesitan ingresar manualmente el nombre de usuario y la contraseña, lo que mejora en gran medida la experiencia de acceso a la red inalámbrica. Con esta función, puede controlar qué clientes pueden acceder a la red inalámbrica, lo que reduce el riesgo de intrusión en la red y robo de datos.

En el controlador Omada, la función solo es aplicable a los clientes inalámbricos, por lo que puede considerarse como autenticación inalámbrica basada en MAC. Cuando un cliente intenta conectarse a un SSID configurado con autenticación basada en MAC, el punto de acceso (AP), como cliente RADIUS, convierte la dirección MAC del cliente en un formato especificado y, a continuación, la envía como nombre de usuario y contraseña al servidor RADIUS. Si el servidor reconoce la dirección MAC como autorizada, informará al AP y el cliente tendrá acceso a los recursos de la red.

Puede utilizar el servidor RADIUS incorporado del controlador Omada o un servidor RADIUS externo según sus necesidades. Esta guía utilizará EAP660 HD v1 y Omada Software Controller v5.14.30.7 para demostrar cómo configurar la autenticación basada en MAC utilizando ambos métodos. Para la configuración a través del servidor RADIUS externo, se utilizará como ejemplo FreeRADIUS instalado en el sistema CentOS.

  • Versión de CentOS: centos-release-7-5.1804.el7.centos.×86_64
  • Versión de FreeRADIUS: FreeRADIUS Versión 3.0.13

Nota:

  • Al configurar la autenticación basada en MAC con un servidor RADIUS externo seleccionado en Omada Software Controller v5.14 y superior, puede agregar hasta 4 servidores RADIUS para aumentar la tolerancia a fallas. Cuando un servidor deja de estar disponible, el sistema puede cambiar automáticamente a otro servidor para completar la autenticación. Asegúrese de que esta función sea compatible con el AP que está utilizando. Para verificar esto, consulte la nota de la versión sobre la actualización del firmware del dispositivo en el sitio web oficial de TP-Link.
  • El controlador basado en la nube (CBC) de Omada no es compatible con el servidor RADIUS incorporado. El RADIUS incorporado se eliminará del modelo OC200 v5.15, pero seguirá estando disponible en el controlador de software Omada y otros controladores de hardware.
  • Debido a que las direcciones MAC de los clientes autorizados deben estar registradas en el servidor RADIUS, la autenticación basada en MAC es un poco compleja de administrar. Cuando el administrador desea agregar/reemplazar/eliminar un cliente, se debe actualizar la lista de autenticación, lo que reduce la flexibilidad de la red. Por lo tanto, puede combinar la autenticación basada en MAC con otros métodos, como WPA/WPA2/WPA3 y la autenticación del portal para una seguridad de red completa.

Configuración con servidor Radius externo

Paso 1. Agregue varios clientes autorizados en FreeRADIUS.

Abra el sistema CentOS con FreeRADIUS instalado y vaya a la Interfaz de línea de comandos (CLI), edite y guarde el archivo de usuarios para agregar las direcciones MAC de los clientes autorizados como se muestra en la siguiente figura. Puede agregar clientes con dos métodos, a través del atributo Cleartext-Password y el atributo Auth-Type. Sin embargo, no mezcle las dos configuraciones.

  • A través del atributo Cleartext-Password: El formato es dirección MAC Cleartext-Password := "Dirección MAC"

Configure la MAC de su dispositivo en el atributo Cleartext-Password.

 

  • A través del atributo Auth-Type: El formato es dirección MAC Auth-Type := Accept

Configure el tipo de autenticación de su dirección MAC como Aceptar.

 

Nota: Al agregar clientes a través del atributo Cleartext-Password, no habilite la contraseña vacía en el paso 7. Si lo hace, los clientes no pasarán la autenticación.

Paso 2. Reiniciar FreeRADIUS

Después de editar y guardar el archivo de usuario, ejecute los dos comandos siguientes en la CLI para reiniciar FreeRADIUS y asegurarse de que la configuración surta efecto:

service radiusd stop

radius –X

Reinicie FreeRADIUS para asegurarse de que la configuración surta efecto.

 

Nota: Los comandos específicos de la CLI que debe introducir en este paso varían en función de su sistema Linux. Los dos comandos anteriores solo se aplican al entorno de este artículo.

Paso 3. Inicie sesión en el controlador, vaya a Configuración > red inalámbrica > WLAN y haga clic en Crear nueva red inalámbrica.

La posición para crear una nueva red inalámbrica en el controlador.

Paso 4. Establezca parámetros u opciones como Nombre de red (SSID) / Banda / Seguridad. Puede hacer clic en Configuración avanzada para ajustar elementos de configuración más avanzados de acuerdo con sus necesidades y luego hacer clic en el botón Aplicar.

Configuraciones de la red inalámbrica, incluidos SSID/Seguridad/Configuración avanzada.

 

Paso 5. Vaya a Configuración > Perfiles > Perfil RADIUS para hacer clic en Crear nuevo perfil RADIUS.

La posición para crear un nuevo perfil de radio en el controlador.

Paso 6. Introduzca el nombre, la IP/URL del servidor de autenticación, el puerto de autenticación y la contraseña de autenticación. Mientras tanto, si su AP admite varios servidores Radius, puede hacer clic en Agregar nuevo servidor de autenticación para completar la configuración de los otros servidores Radius, luego haga clic en Guardar. Los parámetros relevantes se describen a continuación:

  • IP/URL del servidor de autenticación: la dirección IP o la URL de su servidor Radius para la autenticación.
  • Puerto de autenticación: El puerto de destino UDP en el servidor Radius para las solicitudes de autenticación.
  • Contraseña de autenticación: La contraseña configurada en el archivo clients.conf de FreeRADIUS que se utilizará para validar la comunicación entre los AP Omada y el servidor Radius.

Configuraciones del perfil radius, incluido el nombre/IP o URL del servidor de autenticación.

Paso 7. Vaya a Configuración > Autenticación > Autenticación basada en MAC para marcar Autenticación basada en MAC y seleccione el SSID de destino y el perfil RADIUS creado en los pasos anteriores. Establezca las otras configuraciones (ID de NAS / Respaldo de autenticación basada en MAC / Contraseña vacía) y elija el formato de dirección MAC según sus necesidades, pero debe ser coherente con el formato de dirección MAC que ingresó en el servidor Radius.

Nota:

  • ID de NAS: configure un identificador de servidor de acceso a la red (ID de NAS) para la autenticación. Los paquetes de solicitud de autenticación del AP al servidor RADIUS llevan el ID del NAS. El servidor Radius puede clasificar a los usuarios en diferentes grupos en función del ID del NAS. A continuación, elija diferentes políticas para diferentes grupos. Cuando está vacío, el ID de NAS es el MAC_NAS del Model_AP de TP-Link_AP de forma predeterminada, como TP-Link_EAP660 HD_xx-xx-xx-xx-xx-xx-xx_NAS.
  • Reserva de autenticación basada en MAC: para las redes inalámbricas configuradas con autenticación basada en MAC y Portal, si habilita esta función, un cliente inalámbrico solo debe pasar una autenticación. El cliente prueba primero la autenticación basada en MAC y puede probar la autenticación del portal si se produjo un error en la autenticación basada en MAC. Si deshabilita esta función de forma predeterminada, un cliente inalámbrico debe pasar tanto la autenticación basada en MAC como la autenticación del portal para el acceso a Internet, y se denegará si falla alguna de las autenticaciones.
  • Contraseña vacía: Con esta opción habilitada, la contraseña utilizada para la autenticación estará en blanco. De lo contrario, la contraseña será la misma que el nombre de usuario, que es la dirección MAC del cliente.

Habilite la autenticación basada en MAC y elija su perfil SSID/Radius.

Configuración con RADIUS incorporado del controlador Omada

Paso 1. Vaya a la Configuración de la vista global > a la Configuración del servidor para habilitar el RADIUS integrado y establecer el tipo de dirección del servidor, el secreto y el puerto de autenticación correctamente de acuerdo con sus propias necesidades. A continuación, verá que el estado cambia de Deshabilitado a En ejecución.

  • Tipo de dirección del servidor: Cuando el controlador está en una computadora con varios adaptadores de red y el tipo está configurado como Automático, la dirección del servidor se enviará al dispositivo de acuerdo con los puertos conectados al dispositivo; cuando el tipo se configura como Manualmente, el usuario debe configurar manualmente la dirección IP del servidor, que debe ser la dirección con la que el dispositivo puede comunicarse.
  • Secreto: Clave de servidor RADIUS.
  • Puerto de autenticación: puerto de autenticación del servidor RADIUS.

La posición para habilitar el radio incorporado en la página web del controlador.

Paso 2. Inicie sesión en Controller, vaya a Configuración > red inalámbrica > WLAN para hacer clic en Crear nueva red inalámbrica.

La posición para crear una nueva red inalámbrica en el controlador.

Paso 3. Establezca parámetros u opciones como Nombre de red (SSID) / Banda / Seguridad. Puede hacer clic en Configuración avanzada para ajustar los elementos de configuración más avanzados de acuerdo con sus necesidades. A continuación, haga clic en Aplicar.

Configuraciones de la red inalámbrica, incluidos SSID/Seguridad/Configuración avanzada.

Paso 4. Vaya a Configuración > Profiles > Perfil RADIUS para editar el perfil de radio incorporado.

La posición para crear un nuevo perfil de radio en el controlador.

Paso 5. Haga clic en Agregar nuevo usuario RADIUS, seleccione Tipo de autenticación como Autenticación MAC, escriba la dirección MAC del cliente en un formato adecuado y, a continuación, haga clic en Aplicar.

Configure el tipo de autenticación y la dirección MAC en la ventana emergente.

Paso 6. Vaya a Configuración > Autenticación del sitio > Autenticación basada en MAC para marcar Autenticación basada en MAC y seleccione el SSID de destino. Elija Perfil RADIUS incorporado como Perfil RADIUS. Establezca las otras configuraciones (ID de NAS / Respaldo de autenticación basada en MAC / Contraseña vacía) y elija el formato de dirección MAC según sus necesidades, pero tenga en cuenta que debe ser coherente con el formato de dirección MAC que ingresó en el perfil RADIUS incorporado.

Nota:

  • ID de NAS: configure un identificador de servidor de acceso a la red (ID de NAS) para la autenticación. Los paquetes de solicitud de autenticación del AP al servidor RADIUS llevan el ID del NAS. El servidor Radius puede clasificar a los usuarios en diferentes grupos en función del ID del NAS y, a continuación, elegir diferentes políticas para diferentes grupos. Cuando está vacío, el ID de NAS es el MAC_NAS del Model_AP de TP-Link_AP de forma predeterminada, como TP-Link_EAP660 HD_xx-xx-xx-xx-xx-xx-xx_NAS.
  • Reserva de autenticación basada en MAC: para la red inalámbrica configurada con autenticación basada en MAC y Portal, si habilita esta función, un cliente inalámbrico solo debe pasar una autenticación. El cliente prueba primero la autenticación basada en MAC y puede probar la autenticación del portal si se produjo un error en la autenticación basada en MAC. Si deshabilita esta función de forma predeterminada, un cliente inalámbrico debe pasar tanto la autenticación basada en MAC como la autenticación del portal para el acceso a Internet, y se denegará si falla alguna de las autenticaciones.
  • Contraseña vacía: Con esta opción habilitada, la contraseña utilizada para la autenticación estará en blanco. De lo contrario, la contraseña será la misma que el nombre de usuario, que es la dirección MAC del cliente.

Texto alternativo: Habilite la autenticación basada en MAC y elija su perfil SSID/Radius.

Verificación

Para verificar la configuración, conecte los dos clientes cuyas direcciones MAC se registraron en el servidor RADIUS al SSID correspondiente. Si los dos clientes pueden conectarse al SSID y acceder a Internet, mientras que otros no, esto indica una configuración correcta.

 

Compruebe el estado de la conexión del cliente en la página web del cliente.

Conclusión

Ahora ha aprendido a configurar y verificar la autenticación basada en MAC. Seleccione un servidor RADIUS apropiado de acuerdo con su situación real. Puede utilizar otros métodos de autenticación, como WPA/WPA2/WPA3 y la autenticación del portal para una seguridad de red completa.

Conozca más detalles de cada función y configuración, vaya al Centro de descargas para descargar el manual de su producto.

Preguntas más frecuentes

1. ¿Cuál es la prioridad de autenticación cuando WPA, la autenticación basada en MAC y la autenticación del portal están habilitadas?

Autenticación MAC > autenticación WPA > autenticación del portal.

 

2. ¿Cuál es la prioridad de autenticación entre la autenticación basada en MAC y el filtro MAC?

El filtro MAC tiene una prioridad más alta que la autenticación basada en MAC. Es decir, si la dirección MAC de un cliente está en la lista de denegación del filtro MAC, no podrá conectarse al SSID incluso si está registrado para la autenticación basada en MAC.

Preguntas Frecuentes Relacionadas

¿Es útil este artículo?

Tus comentarios nos ayudan a mejorar esta web.

Productos recomendados

De United States?

Obtener productos, eventos y servicios para su región.