Objetivo
Este procedimento, tem como objetivo, auxiliar o usuário, na importação do template de uma máquina virtual pré-configurada, para ser o IdP de uma instituição que irá aderir ao eduroam.
Pré-requisitos
Possuir um hypervisor que irá hospedar o host;
Um endereço IP válido na internet;
Um hostname configurado no DNS da instituição e com resolução de nomes para internet;
Configurar o DNS para o servidor eduroam, configurado de forma adequada para este hostname;
As instituições que utilizam o OpenLDAP como diretório de autenticação de seus usuários e precisam autenticar usuários que utilizam o sistema operacional Microsoft Windows devem observar as seguintes informações;
- O OpenLDAP não suporta nativamente a autenticação de clientes Microsoft Windows que utilizam o protocolo MS-CHAP (Microsoft Challenge-Handshake Authentication Protocol).
- Para suportar a autenticação de usuários que utilizam o sistemas operacional Microsoft Windows, é necessário no OpenLDAP adicionar o atributo SambaNTPassword disponível no schema samba.
Configurações de Firewall;
- Para que a comunicação entre os servidores funcionem é necessário liberar os IPs e portas abaixo.
- Liberar também o PING (ICMP);IPs;
rps01.eduroam.org.br (200.130.35.98)
rps02.eduroam.org.br (200.143.193.92)
Portas;
TCP 2083
Especificações do template;
Criado no formato OVF (Open Virtualization Format) (DESCONTINUADO)
Sistema Operacional Ubuntu 18.04.4 LTS;
Arquitetura de 64 bits;
8192 MB de memória RAM;
2 vCPU;
1 Disco rígido de 200 GBytes;
1 Adaptador de rede pré-configurado para usar ip fixo;
Para instalar baixe e execute o script abaixo:
https://svn.rnp.br/repos/eduroam/atualiza_configura_idp_eduroam.bash
Utilizar o usuário root sudo su - Criar o diretorio rnp dentro de /root mkdir /root/rnp Entrar no diretorio /root/rnp cd /root/rnp Copiar o arquivo contendo o certificado que enviamos ao seu email para dentro de seu novo servidor Eduroam localizado no diretorio /root/rnp Para copiar o arquivo você pode utilizar por exemplo a ferramenta WinSCP https://winscp.net/eng/download.php Descompatar o arquivo recebido do certificado (ex. eduroam.ufcorrea.gov.br.tar.gz): tar xzvf arquivo_recebido_em_seu_email.tar.gz Baixar o script para instalar o Eduroam wget https://svn.rnp.br/repos/eduroam/atualiza_configura_idp_eduroam.bash Mudar a permissão do arquivo para modo executável chmod +x atualiza_configura_idp_eduroam.bash Executar o scrippt ./atualiza_configura_idp_eduroam.bash
ATENÇÃO O PROCEDIMENTO ABAIXO DE IMPORTAR O NOSSO TEMPLATE FOI DESCONTINUADO,
Por que foi descontinuado?
Tivemos clientes que utilizavam as mais diversas plataformas de virtualização, e nós não temos como gerar templates para todos os gostos, desta forma cada cliente pode instalar o Ubuntu em sua plataforma de virtualização, ou até mesmo podem utilizar o ubuntu instalado fisicamente em uma máquina.
SIGAM OS NOVOS PASSOS :
(O nosso IDP Eduroam foi homologado com o Ubuntu 18.04 LTS, então vamos trabalhar com esta versão)
Novos Procedimentos mas considerando as "Especificações do template" mencionado acima:
Baixe o Ubuntu versão 18.04 LTS 64bits.
Você pode baixar do site oficial ou de um site mirror de sua preferência
http://releases.ubuntu.com/18.04.4/ubuntu-18.04.4-live-server-amd64.iso
Após instalado o Ubuntu com acesso à internet, entre na console da máquina (não utilize ssh)
(alguns comandos que iremos utilizar apresentam erros pelo ssh, por isso indicamos seguir com as instalações diretamente pelo console da máquina)
sudo echo "LC_ALL=en_US.UTF-8" >> /etc/environment
EDITAR O ARQUIVO /etc/default/locale DEIXANDO DA SEGUINTE FORMA:
vim /etc/default/locale
LANGUAGE=en_US.UTF-8
LANG=en_US.UTF-8
LC_ALL=en_US.UTF-8
Após estas alterações, feche a console da máquina e abra novamente, ou reinicie a máquina, pois precisamos ter certeza que a máquina está assumindo as variáveis definidas acima, senão teremos problemas com as instalações.
Vocé é obrigado a colocar o nome do host dentro do /etc/hosts senão o teste do Freeradius não funciona
sudo echo "IP-PUBLICO-da-sua-maquina NOME-DA-MAQUINA-EM-SEU-DNS.EDU.BR NOME-DA-MAQUINA" >> /etc/hosts
INSTALAR O EAPOL_TEST:
Agora vamos instalar o eapol_test para realizarmos os testes de autenticação do Freeradius.
mkdir /root/eapol_test
cd /root/eapol_test
apt-get -y install build-essential openssl libnl-utils libssl-dev libnl-3-dev libdbus-glib-1-dev libnl-genl-3-dev
wget http://w1.fi/releases/wpa_supplicant-2.9.tar.gz
tar xzvf wpa_supplicant-2.9.tar.gz
cd wpa_supplicant-2.9/wpa_supplicant
cp defconfig .config
sed -i 's/#CONFIG_EAPOL_TEST=y/CONFIG_EAPOL_TEST=y/' .config
make eapol_test
cp eapol_test /usr/bin
Instalando o Freeradius:
sudo echo "deb http://packages.networkradius.com/releases/ubuntu-bionic bionic main" >> /etc/apt/sources.list
apt-key adv --keyserver keys.gnupg.net --recv-key 0x41382202
apt-get update
apt-cache showpkg freeradius
apt-cache show freeradius
apt list --upgradable
apt-get upgrade
apt-get --with-new-pkgs upgrade
apt-get autoremove
apt full-upgrade
apt-get install freeradius freeradius-utils freeradius-config freeradius-common freeradius-ldap freeradius-mysql freeradius-krb5 snmp glibc-doc libclone-perl libmldbm-perl libnet-daemon-perl libsql-statement-perl make-doc libfreeradius3 libpython2.7 libpython2.7-minimal libpython2.7-stdlib libtalloc2 libwbclient0 libclone-perl libmldbm-perl libnet-daemon-perl libsql-statement-perl make ssl-cert make-doc libmysqlclient20 libpq5 mysql-common nmap dialog cryptsetup lynx snmp ldap-utils ntpdate
/etc/init.d/freeradius status (deve estar com o status de active (running)
descomentar o bob e a senha no arquivo /etc/freeradius/users
vim /etc/freeradius/users
bob Cleartext-Password := "hello"
Reply-Message = "Bem vindo, %{User-Name}"
Salve o arquivo acima
Reinicie o Freeradius
/etc/init.d/freeradius restart
Realize os testes de autenticação com o usuário bob
radtest bob hello 127.0.0.1 0 testing123
radtest -t mschap bob hello 127.0.0.1 0 testing123
radtest -t pap bob hello 127.0.0.1 0 testing123
radtest -t eap-md5 bob hello 127.0.0.1 0 testing123
Verificando os logs do Freeradius
tail -f /var/log/freeradius/radius.log
Instalando demais pacotes necessários para o script de instalação
apt-get install -y traceroute lynx whois nmap dialog cryptsetup ldap-utils
mkdir /root/rnp
cd /root/rnp
copie para este diretório os arquivos que você recebeu em seu email.
(os arquivos devem estar descompactados)
wget https://svn.rnp.br/repos/eduroam/atualiza_configura_idp_eduroam.bash
chmod +x atualiza_configura_idp_eduroam.bash
./atualiza_configura_idp_eduroam.bash
Agora será apresentado a tela para instalação de seu IDP.
Abaixo a imagem que foi descontinuada
Procedimento de importação
Clique abaixo para fazer download do template da máquina virtual:
Importe o arquivo transferido para seu Hypervisor;
Ligue o servidor virtual recém importado;
Informações de Login na VM;
Credenciais de Acesso:
Usuário: eduroam
Senha: eduroam
Para virar root digite o comando: sudo su -
Em caso de dúvidas, favor entrar em contato com o service desk clique aqui.
Artigos relacionados
1 Comment
Anonymous
A indicação no "README greeting" inicial no script firstboot faz referencia a "rps01.eduroam.gov.br" e "rps02.eduroam.gov.br". Acredito que estes endereços estejam incorretamente indicados.
Add Comment