Vous êtes sur la page 1sur 39

Configuracion de un servidor Radius en Windows Server

2012 (1º parte)


Publicado el 07/25/2013 por jctalfa

Hola a todos, en esta ocasión y como la seguridad lo es todo…o eso creemos , os voy
a mostrar como se configura un servidor Radius para comunicaciones
inalámbricas en un entorno Microsoft Windows Server 2012, en esta primera parte
abarcaremos desde la creación del directorio activo (AD DS) hasta la instalación y
configuración de los servicios de Certificado del directorio activo (AD CS).

Ante todo, comprobaremos que nuestro servidor tiene una dirección ip estática.

A continuacion, y desde el Administrador del servidor, seleccionaremos agregar roles


y características…
Y a continuacion elegiremos la opción de instalación basada en rol o características

Y se nos mostrara una pantalla en la cual podremos elegir nuestro servidor o


cualquier otro que existiera, en este caso solo aparece nuestra maquina virtual…
Seleccionamos las características que nos interesan en esta caso como hemos
nombrado anteriormente seleccionaremos las características de Servicios de
Dominio de Active directory, tal y como se observa en la captura siguiente…

El sistema nos mostrara una pantalla de confirmación con las características que
hemos seleccionado junto a las funciones necesarias para su uso correcto…fijaos que
he marcado con una flecha la opción de promover este servidor a controlador de
dominio directamente pulsando en la misma, pues pulsamos…
Y acto seguido se ejecuta el wizard equivalente a DCpromo como se observa en la
siguiente captura…

En el cual seleccionaremos lo siguiente añadir un nuevo bosque, y nuestro nombre


de dominio en este caso HIGHSEC.ES, como se aprecia en la siguiente captura es
necesario que sea servidor de DNS (tanto para el dominio como para en el futuro
Radius)
Nos saltara a continuacion un fallo de delegación de zona en DNS, continuaremos…

Como siempre nos indicara el nombre de NetBIOS para nuestro servidor…(en esta

caso nos gusta )


Y nos dará la oportunidad de cambiar los directorios de la base de datos, el directorio
SYSVOL y el directorio de los Logs, hay que decir que es una practica correcta de
seguridad cambiar estos directorios a otra partición del sistema, en esta practica lo
dejaremos por defecto…

Ya hemos alcanzado el final de las opciones de configuración y el wizard nos muestra


el resumen de las opciones elegidas…
Con lo que instalaremos, será necesario un reinicio y nos logearemos como
administrador del dominio para continuar nuestra configuración del servidor…

Y nos mostrara el administrador del servidor con los dos roles instalados como se
observa en la siguiente captura…
Y comenzamos la instalación de los roles y características que son necesarios para la
configuración de nuestro servidor Radius, en este caso el servicio de Certificado de
Active Directory…
Seleccionaremos la opción Autoridad de Certificado, y pulsaremos siguiente…

E instalaremos el rol, a la finalización nos mostrara la opción de configurar el servicio


tal y como lo hizo con la promoción a DC del servidor …
Obviamente la pulsaremos, tendremos que introducir nuestra credencial de
administrador…

Seleccionaremos el rol a configurar en este caso Autoridad de Certificación…


Seleccionaremos el tipo de certificado en este caso seleccionaremos Enterprise
CA…

Seleccionamos el rol de nuestro servidor en este caso como no esta subordinado a


ningún otro servidor y alberga el mismo el certificado seleccionaremos la opción root
CA…

Creamos la nueva llave privada…


Seleccionamos las opciones criptográficas…

especificaremos el nombre del CA..(en este caso se encuentra todo por defecto)
Seleccionamos el periodo de validez del certificado, en este caso es 5 años…

Al igual que el wizard de promoción a DC, esta configuración nos permite elegir la
localización del certificado y del log…
Y finalmente el resumen de la configuración elegida…

Instalamos y nos muestra el éxito de la instalación …


Mostrándonos el rol finamente en el Administrador del servidor, tal y como se
aprecia en la captura siguiente…

Y hasta aquí esta primera entrega, la siguiente contendrá como configurar los
servicios NPS, el punto de acceso en este caso se realizara con un Zyxel p660 hw-d1
utilizado en modo bridge, así como la configuración de los usuarios, y mostraremos
el servidor activo…

Espero que os resultara interesante.

Un Saludo

Configuracion de un Servidor Radius en Windows Server


2012 (parte 2ª)
Publicado el 07/30/2013 por jctalfa

Hola a todos!

Continuamos con la instalación, en el punto donde nos quedamos en la primera parte,


habíamos finalizado la instalación del Servidor de Certificados de Active Directory…una
vez hecho esto deberemos crear las plantillas para usuarios y equipos para ello desde el
administrador del servidor seleccionaremos herramientas y en el desplegable Autoridad de
Certificación…

Y se nos mostrara la consola de administración del servidor de certificación y a


continuacion pulsaremos en la plantillas de certificados haremos click con el botón derecho
y en el desplegable seleccionaremos administrar…
Se nos mostrara la consola de plantillas de certificado y en ella seleccionaremos en este
caso la plantilla computer y haremos click derecho en la misma y la duplicaremos …

Nos aparecerá a continuacion las propiedades de la nueva plantilla donde seleccionaremos


las opciones de compatibilidad en este caso seleccionaremos Windows Server 2012 para la
autoridad de certificación y Windows 7/ server 2008 R2 para los receptores del
certificado…
A continuacion en la pestaña general seleccionaremos el nombre de nuestra plantilla, junto
con el periodo de validez y el periodo de renovación para la misma…
Y en este caso introduciré como opción de seguridad en la plantilla que se pueda exportar la
clave privada, para poder hacer una copia de seguridad del Certificado y de la clave privada…
Y por ultimo asignaremos al grupo de computadores del dominio los permisos de Enroll y
autoenroll, medida esta obligatoria para que tengan acceso al certificado automáticamente…
Una vez realizado esto pulsaremos en ok y nos mostrara la pantalla de activación de las
plantillas de certificado…
Lo mismo que hemos realizado con la plantilla de los equipos, lo realizaremos en la plantilla
de los usuarios, salvo que editaremos la plantilla existente, seleccionamos el nombre nuevo,
y que se publique en active directory…

Seleccionamos los permisos que deseamos que tengan lo usuarios…


y activamos la plantilla de la misma manera que la de los equipos…

bien llegados a este punto hemos de abrir la consola de directivas de grupo, y crear las
directivas para que los equipos y usuarios obtengan los certificados automáticamente…
una vez abierta la consola en nuestro dominio en este caso highsec haremos click derecho y
seleccionaremos la primera opción “crear una directiva de grupo en este dominio y crear el
link”…

en la ventana que se nos mostrara a continuacion introduciremos el nombre de la directiva…

y una vez creada pulsaremos botón derecho sobre ella y la editaremos, y en el editor nos
dirigiremos a Computer Configuration / Policies / Windows Settings / Security Settings /
Public Key Policies, botón derecho sobre “Certificate Services Client – Auto-Enrollment”,
propiedades como se observa a continuacion…

La configuraremos, la activaremos y seleccionaremos las opciones de renovar los


certificados caducados y la siguiente actualizar lo certificados que usan la plantillas…
Y aquí muestro la directiva en su lugar una vez configurada…

de la misma manera que con los equipos procederíamos con los usuarios excepto que
crearemos una GPO diferente de la usada anteriormente y para realizar la configuración será
en la parte de usuario, no de la máquina (User Configuration / Policies / Windows Settings
/ Security Settings / Public Key Policies, botón derecho sobre Certificate Services Client –
Auto-Enrollment según se observa a continuacion…

Y con esto finalizamos la segunda parte de la configuración del servidor radius en Windows
Server 2012, en la siguiente entrega, configuraremos el servicio NPS y configuraremos el
router Zyxel P660 hw-d1…

Espero que os resultase interesante….

Un saludo

Configuración de un Servidor RADIUS en Windows


Server 2012 Parte 3
Publicado el 09/17/2013 por jctalfa

Hola a todos!

Perdonad por la tardanza! Vamos a continuar con la serie instalar un servidor RADIUS en
Windows server 2012, recordemos que hemos configurado el directorio activo, los servicios
de certificados de directorio activo, con el rol de autoridad de certificado, hemos
configurado todo (si te has perdido algo, te recomiendo que leas, los dos post anteriores 1 y
2) y vamos a continuar donde lo dejamos, instalaremos las políticas de red y servicios de
acceso (NPS) y configuraremos el router ZYXEL P660 HW-D1…
Bien para ello nos dirigiremos al manager del servidor para agregar roles en el servidor y
seleccionaremos la opción las políticas de red y servicios de acceso, tal y como se ve en la
captura…

Continuamos el proceso de instalación….

Se nos indica como se observa en la captura que podremos desplegar NPS como Remote
Authentication Dial-in Service (RADIUS) server y como proxy así como NAP protección
de acceso de red, explicándonos que consiste en que nos aseguramos utilizando NAP en
que los equipos que conectemos a la red así como los clientes cumplen las políticas de la
empresa…continuamos sin más…

Cuando se nos solicita que introduzcamos los servicios de rol que deseamos marcaremos la
opción de servidor de políticas de red (Network Policy Server) y continuamos…
Confirmamos las opciones que deseamos instalar y configurar y marcamos la opción de
reiniciar el servidor automáticamente si es necesario y comienza la instalación…
Nos saltamos la parte de la instalación y os muestro la consola de NPS iniciada y lista para
ser configurada…

Una vez aquí, en la parte central de la consola cambiaremos la elección y en lugar de NAP
seleccionaremos 802.1X y pulsaremos añadir…
y nos cargara la siguiente ventana, en la cual introduciremos como se observa el nombre de
nuestro dispositivo y la dirección ip del mismo también configuraremos el “secreto
compartido” de forma manual como se observa en la captura…
Una vez pulsado aplicar como observareis continuamos con el configurador en el cual
seleccionamos la opción de conexión inalámbrica segura y la dejamos el nombre por
defecto…
Y seleccionamos en el siguiente paso del configurador el tipo de EAP para esta política en
esta ocasión seleccionamos la opción PEAP, (Protected EAP)…
Y se nos informa que se ha creado con éxito las conexiones cableadas e inalámbricas EEEI
802.1X y los clientes RADIUS.
Bien llegados a este punto comprobaremos los detalles de la configuración pulsando en
configuration details que se encuentra en la parte inferior derecha de la ventana superior…
Vemos un pequeño resumen con las configuraciones…

Y pasamos a la configuración del punto de acceso, se ha realizado en un router wifi de la


marca ZYXEL modelo P660 HW-D1, se ha configurado en modo bridge para no utilizar las
capacidades de enrutamiento ya que no proporciona conexión con Internet, hecho este
apunte observemos cual ha sido la configuración realizada sobre el mismo…
Como observamos en la pestaña de configuración avanzada en la pestaña de Wireless LAN
hemos marcado que estén activos el servidor de autenticacion y el servidor de cuentas
hemos introducido sus respectivas direcciones ip que en este caso son la misma puesto que
ambos roles se encuentran instalados en el mismo servidor así como los puertos siendo el
1812 para el servidor de autenticacion y el 1813 el servidor de cuentas así como en ambos
hemos configurado el secreto compartido que es highsec…
Y en esta siguiente captura de la configuración avanzada de wireless lan observamos como
hemos configurado que la autenticacion es requerida, con los tiempos por defecto, que el
protocolo de gestión de claves es 802.1X y el intercambio de llaves wep esta desconectado,
también especificamos que la base de datos de autenticacion es RADIUS ONLY no siendo
ninguna de las formas híbridas de autenticacion guardamos los cambios y saldremos de la
interfaz de configuración del router y en la consola NPS pulsamos en Radius Clientes
veremos como aparece nuestro punto de acceso activado con su dirección ip de esta
forma…
Y este es el final de la serie de momento en la siguiente entrada crearemos usuarios de
prueba, configuraremos los clientes… y si todo va bien configuraremos algún BYOD, para
una demostración cercana de la implementación de este servidor…

Disculpad de nuevo la tardanza y espero que os resultara útil.

Hasta pronto