Utilizzare IronWifi come RADIUS Server per utenti di Azure Active Directory
IronWifi è una soluzione cloud-based che espone servizi di RADIUS Server e di Captive Portal.
Ho scoperto questa soluzione avendo l’esigenza di autenticare delle utenze di Azure Active Directory ad una rete Wifi utilizzando l’autenticazione RADIUS (Remote Authentication Dial-In User Service).
Un RADIUS Server, in base a determinate condizioni, permette agli utenti l’autenticazione e l’autorizzazione ai sistemi o ai servizi richiesti.
Di seguito vedremo alcuni passaggi per integrare IronWifi con un tenant di Azure Active Directory.
Configurazione di Azure Active Directory
In Azure Active Directory, è necessario registrare una nuova app per permettere la sincronizzazione delle identità con IronWifi.
Sul portale Azure, andando in App Registrations effettuate una nuova registrazione scegliendo la voce New application registration
Figura 1: registrazione app IronWifi
Nella finestra di registrazione, indicate il nome ed il sign-on url: https://www.ironwifi.com.
Figura 2: Creazione app IronWifi
Figura 3: Registered App IronWifi
Successivamente configurate il Reply URL https://console.ironwifi.com/api/oauth2callback andando nelle impostazioni dell’app iron-wifi creata in precedenza.
Figura 4: Configurazione “Reply URL” in app registration iron-wifi
In Required permissions, selezionando l’API “Microsoft Graph” , assegnate i permessi di “Read Directory Data” per le Application Permission e Delegated Permission.
.
Figura 5: configurazione permission su registered app iron-wifi
Infine, create una key, che sarà necessaria per la comunicazione del servizio IronWifi con Azure Active Directory.
Una volta generata la chiave cliccando su Save, provvedete a salvarla perché non sarà più visibile. È comunque possibile generare più chiavi per la stessa app quindi non preoccupatevi.
Figura 6: creazione della key su registered app iron-wifi
Per la configurazione di IronWifi, oltre alla key ed all’application ID, avrete bisogno del GUID del vostro tenant di Azure Active Directory visualizzabile nella scheda proprietà.
Figura 7: GUID Tenant Azure AD
Configurazione console IronWifi
Per usufruire dei servizi di IronWifi, create il vostro account alla pagina: https://console.ironwifi.com/login .
I dati richiesti sono:
- Indirizzo E-mail;
- il vendor dell’apparato o appliance che farà da RADIUS Client. I vendor supportati li trovate alla pagina: https://www.ironwifi.com/list-of-supported-vendors-devices/ ;
- il “Goal” è la piattaforma dove sono presenti le vostre identità. In questo caso selezionate: Authenticate users using Azure AD.
Figura 8: selezionione del Vendor su IronWifi
Completata la registrazione, accedete in console e selezionate la region di pertinenza. Nel mio caso ho selezionato “us-west1” perché la mia location di Azure AD non è presente tra quelle disponibili in IronWifi.
In Users -> Connectors creiamo il connettore per importare le identità interessate.
Figura 9: creazione connettore per Azure AD
Inserite i dati annotati in precedenza nel form di creazione del connettore:
Figura 10: creazione connettore per Azure AD
Cliccando su Continue verrete reindirizzati verso il tenant di Azure per accettare la richiesta di IronWifi ed i relativi permessi:
Figura 11: autorizzazione IronWifi su tenant Azure
Recandovi di nuovo sul portale di IronWifi, specificate il gruppo “All Users” per importare tutte le identità di Azure AD. Una volta completato il processo di sincronizzazione, troverete tutti gli utenti nel tab “Users”.
Lo step successivo è quello di esporre il servizio di RADIUS Server creando una “New Network”.
Figura 12: Creazione di una “New Network”
Di seguito, troverete i parametri IP, porta e password da configurare sul RADIUS Client:
Figura 13: Parametri RADIUS Server su IronWifi
Per testare l’autenticazione, vi consiglio di utilizzare NTRadPing che farà da “RADIUS Client”.
Figura 14: Test di autenticazione al RADIUS Server tramite NTRadPing su IronWifi
Configurazione Captive Portal
Per usufruire anche del servizio di Captive Portal per autenticare le utenze tramite pagina web, sono necessari pochi step.
In “Networks” -> “Captive Portal” selezionate “New Captive Portal”.
Figura 15: Creazione Captive Portal
Una volta inseriti i dati richiesti, IronWifi crea il captive portal il quale sarà facilmente personalizzabile in base alle vostre esigenze.
Nel mio caso, ho cambiato il metodo di autenticazione in localaccount per gli utenti sincronizzati in precedenza ed il logo nella pagina web.
Figura 16: Parametri Captive Portal
In Portal Pages tramite l’editor html visuale ho modificato l’immagine di riferimento della splash page e della success page.
Figura 17: Editor HTML captive portal page
Una volta terminate le modifiche, testate le vostre pagine e l’autenticazione cliccando sull’Url della splash page.
Figura 18: Captive Portal Logon Page
Figura 19: Captive Portal Success Page
Conclusioni
IronWifi si integra con diverse piattaforme e supporta molti vendor. Come abbiamo visto offre una soluzione completa e facile da implementare. Per un’implementazione sicura in un’infrastruttura on-premises vi consiglio di seguire la guida Implementare reti wireless sicure con 802.1x ed EAP-TLS con Windows Server 2016.
Per approfondimenti sulla soluzione IronWifi visitate il sito www.ironwifi.com .