Unleashed Admin GUI login via Radius (NPS)

kennislevel 1 kennislevel 1 kennislevel 2 Technisch niveau Waddinxveen, 04 oktober 2017 Waddinxveen, 5 mei 2021 Security Security

De Unleashed Administrator Web GUI valt normaliter te gebruiken met het door U ingestelde lokale Administrator gebruikersnaam en wachtwoord, er is echter ook een mogelijkheid om logins tot de Administrator pagina te regelen via RADIUS/Active Directory. In dit tech artikel leggen we uit hoe u met Windows Active Directory, Windows NPS en Ruckus Unleashed Administrator logins centraal kan regelen.

aan de slag

Windows Active Directory configuratie
Maak een security groep aan in uw Active Directory. Voeg aan deze groep de gebruikers toe die via de admin pagina moeten kunnen inloggen. In dit geval RG-GG-WLAN-AdminGUI
Unleased-via-radius LET OP! Alle gebruikers die gebruik gaan maken van de Unleashed web login moeten hun wachtwoord met “Reversible encryption” opgeslagen hebben. Dit is helaas een limitatie van Ruckus Unleashed waar het gebruik van MS-CHAP over RADIUS niet mogelijk is voor de Administrator pagina. Als Reversible encryption niet centraal aanstaat op uw Active Directory group policy of als u dit niet voor alle gebruikers aan wilt zetten wegens veiligheidsredenen, kunt U dit per gebruiker als volgt instellen: Pas alle gebruikers aan die lid zijn van vorig aangemaakte groep en zet onderstaande vink aan en sla de wijzigingen op. Na het opslaan van de configuratie, reset het wachtwoord van deze gebruiker. Unleased-via-radius Windows NPS configuratie
Als uw access points nog niet als RADIUS client nog niet zijn aangemaakt, maak een nieuwe Radius Client aan:
Unleased-via-radius Vul het IP adres in en de Shared secret. In dit onderstaand voorbeeld zitten alle Unleashed access point in het 10.41.0.0/24 subnet, met CIDR notatie kunt u 1 Shared Secret voor alle Access Points opgeven. Als de access points het subnet delen met andere systemen, moet u voor elk Access point een RADIUS client maken. Zorg er voor dat de Client Friendly name en de Shared secret onthoud, deze heeft u later nodig. Unleased-via-radius Unleased-via-radius Ga naar Policies en maak een nieuwe Policy aan: Unleased-via-radius Op de Overview pagina, vul de policy naam in: Unleased-via-radius Onder Conditions, vul de Client Friendly Name in en voeg ook de net aangemaakte Windows Groep (RG-GG-WLAN-AdminGUI) toe. Notitie: Client Friendly name kunt U aanvullen met een *. Als u dus RADIUS clients “ap001” en “ap022” aangemaakt hebt, kunt u de Client Friendly name configureren als “ap*”. Unleased-via-radius Onder Authentication Method, zet alleen CHAP aan Unleased-via-radius Onder settings, stel de Framed-Protocol op PPP en Service-Type op Framed. Unleased-via-radius Onder Vendor Specific, Voeg een attribuut toe: Unleased-via-radius Voeg een nieuw Attribuut toe, Stel Vendor Code 25053 in, Geef aan dat de Attribute conformeert en stel Configure Attribute in. Stel Attribuut nummer 1 in met de naam van de windows groep (RG-GG-WLAN-AdminGUI). Unleased-via-radius Sla alles op. Als u een Tweede (Backup) Windows NPS server hebt, Stel de bovenstaande configuratie daar ook in of importeer de configuratie van de NPS server die U zojuist geconfigureerd hebt.

Unleashed Configuratie
Login op Unleashed Web GUI, ga naar Configuration -> System -> Roles en Klik op “Create”
Unleased-via-radius Stel de Naam van de Windows groep (RG-GG-WLAN-AdminGUI) in onder zowel Name als Group Attributes. Onder Policy, selecteer “Specify WLAN access” en deselecteer alle WLAN netwerken. Onder Administration, Selecteer Allow Unleashed Administration met de desbetreffende rechten voor deze groep: Unleased-via-radius Uiteindelijk horen de Roles als volgt uit te zien: Unleased-via-radius Als de RADIUS server nog niet gebruikt wordt door Ruckus Unleashed:
Ga naar Configuration -> Services -> AAA Servers -> Authentication Servers -> Create
Unleased-via-radius Voeg hier uw NPS Servers in. Voer hie rook de Shared Secret in die u op de Windows NPS server hebt geconfigureerd. Onderstaand is geconfigureerd met Backup RADIUS support, dit is niet verplicht als u maar 1 Windows NPS server hebt.

LET OP: zorg er voor dat de Auth method op CHAP staat.
Unleased-via-radius Ga naar Configuration -> Administration -> Preferences en selecteer “Authenticate with Auth Server” en selecteer hier uw RADIUS (Windows NPS) server(s). Het is verstandig om een lokale admin account ingeschakeld te laten voor het geval dat de RADIUS server onbeschikbaar is: Unleased-via-radius Als u nu de configuratie opslaat, kunt u met uw Active Directory en wachtwoord inloggen op de Unleashed Web GUI Admin pagina:

LET OP: gebruikersnaam zonder domein invullen, dus gebruikersnaam “SOLIDBE\mschouten” wordt dus “mschouten”.
Unleased-via-radius heeft u naar aanleiding van deze pagina nog vragen kunt altijd contact met ons opnemen. SolidBE helpt u graag bij de inrichting van een veilige netwerkomgeving!

Wilt u hulp van een gecertificeerd Ruckus Wireless expert?

Contact

SolidBE B.V.
Maarten Schoutenstraat 19
2741 SV Waddinxveen

KVK 51248794
NL 82 3170 846 B01
NL07 RABO 0157 5353 98