Comment configurer l'authentification basée sur MAC sur le contrôleur Omada

Contenu

Objectif

Exigences

Introduction

Configuration avec un serveur Radius externe

Configuration avec RADIUS intégré du contrôleur Omada

Vérification

Conclusion

FAQ

 

Objectif

Cet article présente comment configurer l'authentification basée sur MAC pour les clients sans fil à l'aide d'un serveur RADIUS externe ou du RADIUS intégré du contrôleur Omada, garantissant que seuls les clients disposant d'adresses MAC autorisées bénéficient d'un accès au réseau.

Exigences

• Omada AP
• Contrôleur Omada (contrôleur logiciel / contrôleur matériel / contrôleur basé sur Could)
• Serveur Radius externe

Introduction

L'authentification basée sur MAC est conçue pour contrôler l'accès au réseau en fonction du port et de l'adresse MAC d'un périphérique. Pour réussir cette authentification, l'adresse MAC d'un client doit être enregistrée au préalable sur le serveur Radius, sans qu'aucun logiciel côté client supplémentaire ne soit requis. Le processus d'authentification est transparent pour les utilisateurs, car ils n'ont pas besoin de saisir manuellement le nom d'utilisateur et le mot de passe, ce qui améliore considérablement l'expérience d'accès au réseau sans fil. Grâce à cette fonction, vous pouvez contrôler les clients qui peuvent accéder au réseau sans fil, réduisant ainsi le risque d'intrusion dans le réseau et de vol de données.

Dans le contrôleur Omada, cette fonctionnalité s'applique uniquement aux clients sans fil. Elle peut donc être considérée comme une authentification MAC sans fil. Lorsqu'un client tente de se connecter à un SSID configuré avec l'authentification MAC, le point d'accès (AP), en tant que client RADIUS, convertit l'adresse MAC du client dans un format spécifié, puis l'envoie comme nom d'utilisateur et mot de passe au serveur RADIUS. Si le serveur reconnaît l'adresse MAC comme autorisée, il en informe le point d'accès et le client se voit accorder l'accès aux ressources réseau.

Vous pouvez utiliser soit le serveur RADIUS intégré du contrôleur Omada, soit un serveur RADIUS externe en fonction de vos besoins. Ce guide utilisera EAP660 HD v1 et Omada Software Controller v5.14.30.7 pour montrer comment configurer l'authentification basée sur MAC à l'aide des deux méthodes. Pour la configuration via le serveur RADIUS externe, FreeRADIUS installé sur le système CentOS sera utilisé comme exemple.

• Version CentOS : centos-release-7-5.1804.el7.centos.×86_64
• Version de FreeRADIUS : FreeRADIUS Version 3.0.13

Note:

• Lors de la configuration de l'authentification basée sur MAC avec un serveur Radius externe sélectionné sur Omada Software Controller v5.14 et versions ultérieures, vous pouvez ajouter jusqu'à 4 serveurs RADIUS pour augmenter la tolérance aux pannes. Lorsqu'un serveur devient indisponible, le système peut basculer automatiquement vers un autre serveur pour terminer l'authentification. Assurez-vous que cette fonction est prise en charge sur le point d'accès que vous utilisez. Pour le vérifier, reportez-vous à la note de publication sur la mise à jour du micrologiciel de l'appareil sur le site Web officiel de TP-Link.
• Le contrôleur basé sur le cloud Omada (CBC) ne prend pas en charge le serveur RADIUS intégré. Le serveur RADIUS intégré sera supprimé du modèle OC200 v5.15, mais restera disponible sur le contrôleur logiciel Omada et d'autres contrôleurs matériels.
• Because the MAC addresses of authorized clients must be registered in the RADIUS server, MAC-Based Authentication is a bit complex to manage. When the administrator wants to add/replace/remove a client, the authentication list must be updated, which reduces network flexibility. Thus, you can combine MAC-Based Authentication with other methods, such as WPA/WPA2/WPA3 and portal authentication for all-round network security.

Configuration with External Radius Server

Step 1. Add multiple authorized clients in FreeRADIUS.

Open the CentOS system with FreeRADIUS installed and go to the Command Line Interface (CLI), edit and save the users file to add the MAC addresses of the authorized clients as shown in the following figure. You can add clients with two methods, via the Cleartext-Password attribute and the Auth-Type attribute. However, do not mix the two configurations.

• Via the Cleartext-Password attribute: The format is MAC address Cleartext-Password := “MAC address”

 

• Via the Auth-Type attribute: The format is MAC address Auth-Type := Accept

 

Note: When adding clients via the Cleartext-Password attribute, do not enable Empty Password in Step 7. If you do so, clients will not pass the authentication.

Step 2. Restart FreeRADIUS

After editing and saving the user file, run the following two commands on the CLI to restart FreeRADIUS and ensure that the configuration takes effect:

service radiusd stop

radius –X

 

Note: The specific CLI commands you need to enter in this step vary based on your Linux system. The preceding two commands apply only to the environment in this article.

Step 3. Log in to the Controller, go to Settings > Wireless Network > WLAN, and click Create New Wireless Network.

Step 4. Set parameters or options such as Network Name (SSID) / Band / Security. You may click on Advanced Settings to adjust more advanced configuration items according to your needs, and then click on Apply button.

 

Step 5. Go to Settings > Profiles > RADIUS Profile to click Create New RADIUS Profile.

Step 6. Enter Name, Authentication Server IP/URL, Authentication Port and Authentication Password. Meanwhile, if your AP supports multiple Radius Servers, you can click Add New Authentication Server to complete the settings of the several other Radius Servers, then click Save. The relevant parameters are described as follows:

• Authentication Server IP/URL: The IP address or the URL of your Radius Server for authentication.
• Authentication Port: The UDP destination port on the Radius Server for authentication requests.
• Authentication Password: The password configured in clients.conf file of FreeRADIUS that will be used to validate the communication between Omada APs and the Radius Server.

Step 7. Go to Settings > Authentication > MAC-Based Authentication to tick MAC-Based Authentication and select the target SSID and the RADIUS Profile created in the above steps. Set the other configurations (NAS ID / MAC-Based Authentication Fallback / Empty Password) and choose the MAC Address Format based on your needs, but it must be consistent with the MAC address format that you entered in the Radius Server.

Note:

• NAS ID: Configure a Network Access Server Identifier (NAS ID) for authentication. Authentication request packets from the AP to the RADIUS server carry the NAS ID. The Radius server can classify users into different groups based on the NAS ID. Then choose different policies for different groups. When it’s empty, NAS ID is TP-Link_AP’s Model_AP’s MAC_NAS by default, such as TP-Link_EAP660 HD_xx-xx-xx-xx-xx-xx_NAS.
• MAC-Based Authentication Fallback: For wireless networks configured with both MAC-Based Authentication and Portal, if you enable this feature, a wireless client needs to pass only one authentication. The client tries MAC-Based Authentication first, and is allowed to try Portal authentication if it failed the MAC-Based Authentication. If you disable this feature as default, a wireless client needs to pass both the MAC-Based Authentication and portal authentication for internet access, and will be denied if it fails either of the authentications.
• Empty Password: With this option enabled, the password used for authentication will be blank. Otherwise, the password will be the same as the username which is the client’s MAC address.

Configuration with Built-in RADIUS of Omada Controller

Step 1. Go to Global View’s Settings > Sever Settings to enable Built-in RADIUS and set the Server Address Type, Secret and Authentication Port properly according to your own needs. Then you will see that Status changes from Disabled to Running.

• Server Address Type: When the Controller is on a computer with multiple network adapters, and the type is configured as Auto, the server address will be sent to the device according to the ports connected to the device; when the type is configured as Manually, the user needs to manually configure the server's IP address, which should be the address the device can communicate with.
• Secret: RADIUS server key.
• Authentication Port: RADIUS server authentication port.

Step 2. Log in Controller, go to Settings > Wireless Network > WLAN to click Create New Wireless Network.

Step 3. Set parameters or options such as Network Name (SSID) / Band / Security. You may click on Advanced Settings to adjust more advanced configuration items according to your needs. Then click Apply.

Step 4. Go to Settings > Profiles > RADIUS Profile to edit Built-in Radius Profile.

Step 5. Click Add New RADIUS User, select Authentication Type as MAC Authentication, enter the client’s MAC address in a proper format, and then click Apply.

Step 6. Go to site’s Settings > Authentication > MAC-Based Authentication to tick MAC-Based Authentication and select the target SSID. Choose Built-in RADIUS Profile as the RADIUS Profile. Set the other configurations (NAS ID / MAC-Based Authentication Fallback / Empty Password) and choose the MAC Address Format based on your needs, but note that it must be consistent with the MAC address format that you entered in the Built-in RADIUS Profile.

Note:

• ID NAS : configurez un identifiant de serveur d'accès réseau (ID NAS) pour l'authentification. Les paquets de demande d'authentification du point d'accès au serveur RADIUS contiennent l'ID NAS. Le serveur Radius peut classer les utilisateurs dans différents groupes en fonction de l'ID NAS, puis choisir différentes politiques pour différents groupes. Lorsqu'il est vide, l'ID NAS est par défaut le MAC_NAS du modèle_AP de TP-Link_AP , par exemple TP-Link_EAP660 HD_xx-xx-xx-xx-xx-xx_NAS .
• Authentification de secours basée sur MAC : pour le réseau sans fil configuré avec l'authentification basée sur MAC et le portail, si vous activez cette fonctionnalité, un client sans fil ne doit réussir qu'une seule authentification. Le client essaie d'abord l'authentification basée sur MAC et est autorisé à essayer l'authentification du portail s'il a échoué à l'authentification basée sur MAC. Si vous désactivez cette fonctionnalité par défaut, un client sans fil doit réussir à la fois l'authentification basée sur MAC et l'authentification du portail pour accéder à Internet, et se verra refuser l'accès s'il échoue à l'une des deux authentifications.
• Mot de passe vide : si cette option est activée, le mot de passe utilisé pour l'authentification sera vide. Sinon, le mot de passe sera le même que le nom d'utilisateur qui correspond à l'adresse MAC du client.

Vérification

Pour vérifier la configuration, connectez les deux clients dont les adresses MAC ont été enregistrées sur le serveur RADIUS au SSID correspondant. Si les deux clients peuvent se connecter au SSID et accéder à Internet, alors que d'autres ne le peuvent pas, cela indique une configuration réussie.

 

Conclusion

Vous savez maintenant comment configurer et vérifier l'authentification basée sur MAC. Veuillez sélectionner un serveur RADIUS approprié en fonction de votre situation actuelle. Vous pouvez utiliser d'autres méthodes d'authentification telles que WPA/WPA2/WPA3 et l'authentification par portail pour une sécurité réseau complète.

Pour en savoir plus sur chaque fonction et configuration, rendez-vous sur le Centre de téléchargement pour télécharger le manuel de votre produit.

FAQ

1. Quelle est la priorité d’authentification lorsque WPA, l’authentification basée sur MAC et l’authentification du portail sont toutes activées ?

Ré. Authentification MAC > Authentification WPA > Authentification du portail.

 

2. Quelle est la priorité d’authentification entre l’authentification basée sur MAC et le filtre MAC ?

En ce qui concerne le filtre MAC, sa priorité est supérieure à celle de l'authentification basée sur MAC. Autrement dit, si l'adresse MAC d'un client figure dans la liste de refus du filtre MAC, il ne pourra pas se connecter au SSID même s'il est enregistré pour l'authentification basée sur MAC.