De Unleashed Administrator Web GUI valt normaliter te gebruiken met het door U ingestelde lokale Administrator gebruikersnaam en wachtwoord, er is echter ook een mogelijkheid om logins tot de Administrator pagina te regelen via RADIUS/Active Directory. In dit tech artikel leggen we uit hoe u met Windows Active Directory, Windows NPS en Ruckus Unleashed Administrator logins centraal kan regelen.

Aan de slag

Windows Active Directory configuratie
Maak een security groep aan in uw Active Directory. Voeg aan deze groep de gebruikers toe die via de admin pagina moeten kunnen inloggen. In dit geval RG-GG-WLAN-AdminGUI

LET OP! Alle gebruikers die gebruik gaan maken van de Unleashed web login moeten hun wachtwoord met “Reversible encryption” opgeslagen hebben. Dit is helaas een limitatie van Ruckus Unleashed waar het gebruik van MS-CHAP over RADIUS niet mogelijk is voor de Administrator pagina. Als Reversible encryption niet centraal aanstaat op uw Active Directory group policy of als u dit niet voor alle gebruikers aan wilt zetten wegens veiligheidsredenen, kunt U dit per gebruiker als volgt instellen: Pas alle gebruikers aan die lid zijn van vorig aangemaakte groep en zet onderstaande vink aan en sla de wijzigingen op. Na het opslaan van de configuratie, reset het wachtwoord van deze gebruiker.

Windows NPS configuratie
Als uw access points nog niet als RADIUS client nog niet zijn aangemaakt, maak een nieuwe Radius Client aan:

Vul het IP adres in en de Shared secret. In dit onderstaand voorbeeld zitten alle Unleashed access point in het 10.41.0.0/24 subnet, met CIDR notatie kunt u 1 Shared Secret voor alle Access Points opgeven. Als de access points het subnet delen met andere systemen, moet u voor elk Access point een RADIUS client maken. Zorg er voor dat de Client Friendly name en de Shared secret onthoud, deze heeft u later nodig.

Ga naar Policies en maak een nieuwe Policy aan:

Op de Overview pagina, vul de policy naam in:

Onder Conditions, vul de Client Friendly Name in en voeg ook de net aangemaakte Windows Groep (RG-GG-WLAN-AdminGUI) toe. Notitie: Client Friendly name kunt U aanvullen met een *. Als u dus RADIUS clients “ap001” en “ap022” aangemaakt hebt, kunt u de Client Friendly name configureren als “ap*”.

Onder Authentication Method, zet alleen CHAP aan

Onder settings, stel de Framed-Protocol op PPP en Service-Type op Framed.

Onder Vendor Specific, Voeg een attribuut toe:

Voeg een nieuw Attribuut toe, Stel Vendor Code 25053 in, Geef aan dat de Attribute conformeert en stel Configure Attribute in. Stel Attribuut nummer 1 in met de naam van de windows groep (RG-GG-WLAN-AdminGUI).

Sla alles op. Als u een Tweede (Backup) Windows NPS server hebt, Stel de bovenstaande configuratie daar ook in of importeer de configuratie van de NPS server die U zojuist geconfigureerd hebt.

Unleashed Configuratie
Login op Unleashed Web GUI, ga naar Configuration -> System -> Roles en Klik op “Create”

Stel de Naam van de Windows groep (RG-GG-WLAN-AdminGUI) in onder zowel Name als Group Attributes. Onder Policy, selecteer “Specify WLAN access” en deselecteer alle WLAN netwerken. Onder Administration, Selecteer Allow Unleashed Administration met de desbetreffende rechten voor deze groep:

Uiteindelijk horen de Roles als volgt uit te zien:

Als de RADIUS server nog niet gebruikt wordt door Ruckus Unleashed:
Ga naar Configuration -> Services -> AAA Servers -> Authentication Servers -> Create

Voeg hier uw NPS Servers in. Voer hie rook de Shared Secret in die u op de Windows NPS server hebt geconfigureerd. Onderstaand is geconfigureerd met Backup RADIUS support, dit is niet verplicht als u maar 1 Windows NPS server hebt.

LET OP: zorg er voor dat de Auth method op CHAP staat.

Ga naar Configuration -> Administration -> Preferences en selecteer “Authenticate with Auth Server” en selecteer hier uw RADIUS (Windows NPS) server(s). Het is verstandig om een lokale admin account ingeschakeld te laten voor het geval dat de RADIUS server onbeschikbaar is:

Als u nu de configuratie opslaat, kunt u met uw Active Directory en wachtwoord inloggen op de Unleashed Web GUI Admin pagina:

LET OP: gebruikersnaam zonder domein invullen, dus gebruikersnaam “SOLIDBE\mschouten” wordt dus “mschouten”.

heeft u naar aanleiding van deze pagina nog vragen kunt altijd contact met ons opnemen. SolidBE helpt u graag bij de inrichting van een veilige netwerkomgeving!

 

 

ook interessant