AGRUPAMENTO DE ESCOLAS DE

SARDOAL

CONFIGURAO DA REDE WIRELESS

PTE

Fase 0

Esta fase s se configura uma nica vez.

necessrio iniciar o servio de configurao automtica com fios para tal devem ser
realizados os seguintes passos:

No VISTA
Comear por carregar em Painel de controlo no menu Iniciar

De seguida clicar em Sistema e Manuteno

Agora clicar em Ferramentas Administrativas

Nesta zona clica-se em Servios

Se aparecer uma janela a pedir confirmao clicar em Continuar.

Dentro da Janela de Servios procurar pelo servio Configurao Automtica com Fios.

Clicar em cima com o boto direito e clicar em Propriedades

Na janela que vai aparecer necessrio realizar duas tarefas: em Tipo de arranque
seleccionar Automtico e em Estado de servio clicar em Iniciar

Misso concluda!!!

No XP com SP3 (se no tiver a actualizao SP3 no vai funcionar.

Caso no tenha, corra o Windows update para actualizar):
Comear por carregar em Painel de controlo no menu Iniciar

Agora clicar em Ferramentas Administrativas

Nesta zona clica-se em Servios

Dentro da Janela de Servios procurar pelo servio Configurao Automtica com Fios.

Clicar em cima com o boto direito e seleccionar Propriedades

Na janela que vai aparecer necessrio realizar duas tarefas: em Tipo de arranque
seleccionar Automtico e em Estado de servio clicar em Iniciar

J est concludo!

1 -Configurao do Computador para Windows

Exemplo de configurao de 802.1x com Certificados de Servidor para o Windows Vista.
Antes de iniciar os passos de configurao verifique se tem a placa Wireless ligada, se a placa Wireless
compatvel com a norma IEEE802.1x, se tem o(s) driver(s) da placa correctamente instalados (software da
placa) e se possui dados de autenticao vlidos (login/password).
Nota: Foi detectado que alguns antivrus (ex. Panda), firewalls e aplicativos de gesto Wireless
prejudicam o processo de autenticao 802.1x., pelo que aconselhamos a sua desactivao durante o
processo de configurao da rede.

1.1 -Configurao no Windows Vista

1.1.1 -Configurao da interface de rede
Para configurar um PC terminal com o sistema operativo Windows Vista, podem fazer-se os seguintes
passos:

Configurar uma ligao ou rede

No menu Iniciar, clique em Ligar a:

Na janela Ligar a uma rede clicar na ligao

que est em baixo: Configurar uma ligao ou
rede.

Nesta janela escolha a opo Ligar

manualmente a uma rede sem fios.

Informaes da rede
Defina o Nome de Rede (minedu). Seleccione a opo WPA2 - Enterprise no tipo de segurana, coloque
um visto em Iniciar automaticamente esta ligao e ligar mesmo que a rede no esteja a difundir.

Clique em OK.
Nota: Dever ajustar a configurao de Tipo de Segurana e Tipo de encriptao de forma a satisfazer os
requisitos da rede da escola. Para exemplo foram usados WPA2-Enterprise e AES.

Clique na opo Alterar as definies da ligao:

Propriedades da rede
Na janela seguinte seleccione o separador Segurana. Escolha o mtodo de autenticao EAP protegido
(PEAP).

Nota: Dever ajustar a configurao de Tipo de Segurana e Tipo de encriptao de forma a satisfazer os
requisitos da rede da escola. Para exemplo foram usados WPA2-Enterprise e AES.

Depois clique em Definies do mtodo de autenticao

Definies do mtodo de autenticao

Mtodo de autenticao sem validao do certificado
Desmarque a opo Validar certificado do servidor, de acordo com a figura.
Seleccionar o mtodo de autenticao EAPMSCHAPv2. Activar a opo de ligao rpida "Permitir
religao rpida".

Propriedade de EAP MSCHAPv2

Clique no boto "Configurar..." do mtodo de autenticao.

Verifique que est seleccionado o mtodo EAP-MSCHAPv2.
Nas propriedades do EAP-MSCHAPv2 tem de desactivar a
opo de usar automaticamente o login/password do
Windows.

Concluir a configurao
Confirme as configuraes efectuadas clicando em OK em todas as janelas abertas usadas para a
configurao da rede. Activar antivrus e firewalls. Este passo necessrio caso tenha desactivado algum
software que estivesse a bloquear o processo de autenticao.

Iniciar a ligao
O Windows pesquisa a rede configurada e ao detect-la
pede os dados de autenticao. Clique na mensagem
que pede as credenciais.

Os dados necessrios so apenas o nome de utilizador

e a palavra-chave disponibilizados pelos Servios
Administrativos. Ateno: NO se deve preencher o
campo domnio. A figura serve apenas de exemplo.

Introduzir credenciais

Introduza o seu username e password. Clique OK.

1.2 -Configurao do WindowsXP-SP3

Este captulo um exemplo da configurao de 802.1x para o Windows XP com Service Pack 3.

1.2.1 -Configurao da interface de rede

No menu iniciar, clique em Painel de controlo e depois em ligaes de rede e internet. Clique em
Ligaes de rede

Clique em propriedades, depois de carregar em cima

com o boto do lado direito do rato.

Propriedades da Ligao de rede

Na lista, clique em Internet Protocol(TCP/IP) e depois
em Propriedades.

Confirme que as caractersticas da ligao esto de

forma a obter um endereo IP de forma automtica
(por DHCP):

Clique no separador redes sem fios(Wireless

Networks). Marque a opo Use Windows to
configure my wireless network settings Clique em
Add... para adicionar uma nova rede Wireless lista
de redes pr definidas.

Configurar rede sem fios

No separador associao defina o SSID da rede para minedu. Escolha a
autenticao de dados usada na rede e a encriptao de dados (WPA2 e AES). Mude
para o separador de autenticao.
Nota: Dever ajustar a configurao de Autenticao de Rede e Encriptao de
dados de forma a satisfazer os requisitos da rede da escola. Na nossa escola foram
usados WPA2 e AES. A figura serve apenas de
exemplo.

Active a autenticao IEEE802.1X. Mude o tipo de

EAP para EAP protegido(PEAP). Garanta que as
duas opes em baixo esto desmarcadas como
demonstra a figura. Clique em propriedades.

Definies do mtodo de autenticao

Mtodo de autenticao sem validao do certificado
Desmarque a opo Validar certificado do servidor, de
acordo com a figura ao lado. Activar a opo de ligao
rpida "Enable Fast Reconnect".

Propriedade de EAP MSCHAPv2

Clique no boto "Configurar..." do mtodo de
autenticao. Verifique que est seleccionado o mtodo
EAP-MSCHAPv2.
Nas propriedades do EAP-MSCHAPv2 tem de
desactivar a opo de usar automaticamente o login/password do Windows.

Concluir a configurao
Confirme as configuraes efectuadas clicando em OK em
todas as janelas abertas usadas para a configurao da
rede.

Iniciar a ligao
O Windows pesquisa a rede configurada e ao detecta-la
pede os dados de autenticao. Clique na
mensagem que pede as credenciais.

Os dados necessrios so apenas o nome de utilizador e a palavra-chave.

Ateno: NO dever preencher o campo domnio. A figura serve apenas de exemplo.

Introduzir credenciais
Introduza o seu username e password. Clique OK.

3.3 -Limpeza de Cache do Windows

No Windows XP por vezes existe a necessidade de limpar a cache de credenciais dos utilizadores. Para tal
necessrio aceder ao registry e apagar a seguinte entrada:
HKEY_CURRENT_USER\Software\Microsoft\EAPOL\UserEapInfo

4 -Configurao dos clientes para Linux

4.1 -Requisitos dos clientes para Linux
Nota: As operaes aqui descritas devem ser executadas com permisses de root.

4.1.1 -Software
O sistema operativo utilizado como referncia a distribuio Ubuntu , verso feisty.
Openssl Este software necessrio para uma correcta instalao do cliente 802.1.x. Deve ser
instalada antes do cliente 802.1x.
Xsupplicant Este software um suplicante 802.1x e permite a autenticao 802.1x, e pode ser
usado em ligaes sem fios e tambm em ligaes com fios.
wpa_supplicant Este software tambm um suplicante 802.1x e permite a autenticao 802.1x
e normalmente usado para estabelecer ligaes sem fios com autenticao 802.1x.

Instalao do software
O software pode ser instalado usando uma ferramenta de gesto de pacotes como dpkg, aptitude, apt,
synaptic, ou ento descarregando o cdigo fonte e compilando-o localmente.

Certificados
De modo a poder validar o certificado do servidor de Autenticao deve importar um certificado emitido pela
entidade de certificao usada para gerar o certificado desse mesmo servidor. O processo de importao e
instalao de um certificado requer alguns passos:
1
Obter o certificado junto da sua escola. Na maioria das situaes o certificado ter uma extenso
.pem ou .der.
2
No caso dos certificados terem a extenso .der ser necessrio converter esses certificados para a
extenso .pem, pelo qual deve ser executado o seguinte comando:
openssl x509 outform PEM out <nome_do_certificado>.pem inform DER in <nome_do_certificado>.der

3. Aps obter o certificado, este deve ser copiado para uma pasta onde possa ser acedido pelo cliente
suplicante (por exemplo /etc/certs/cacert.pem) A localizao e o nome desse ficheiro devem ser
reflectidos no ficheiro de configurao do cliente suplicante.

4.2 -Configurao do Cliente Xsupplicant

De forma a poder ser utilizado este suplicante 802.1x deve ser criado um ficheiro de configurao onde so
definidos os diversos parmetros necessrios para uma correcta autenticao. Por omisso este ficheiro
existe em /etc/xsupplicant/xsupplicant.conf.

Caso altere a localizao ou o nome do ficheiro, deve ter em ateno que ao executar
o comando para iniciar o xsuplicant deve ser indicada esse local/nome, usando para
isso a flag c.

4.2.1 -Ficheiro de configurao para PEAP

Protected Extensible Authentication Protocol Protocolo de autenticao, desenvolvido pela Microsoft,
Cisco e RSA Security, para autenticao de clientes em redes sem fios da norma IEEE 802.11.
# Ficheiro de configurao para xsuplicant autenticao PEAP default_netname = NOME DA REDE
first_auth_command = echo "Fim da autenticao PEAP " reauth_command = iwconfig wlan0 essid NOME_DA_REDE
network_list = NOME DA REDE
NOME DA REDE {
allow_types = eap-peap type = wireless wireless_control = yes
identity = utilizador@dominio_escola
eap-peap { root_cert = /etc/certs/cacert.pem random_file = /dev/urandom session_resume = yes
eap-mschapv2 { username = utilizador@dominio_escola password = password_do_utilizador
}}}
NOTA: Caso no queira validar o certificado do Servidor deve substituir a linha root_cert = /etc/certs/cacert.pem por
root_cert = NONE.

4.2.2 -Ficheiro de configurao TTLS

O modo de autenticao TTLS foi desenvolvido para ultrapassar a dificuldade de autenticao de clientes
atravs de certificados. Tem um modo de funcionamento de duas fases, na primeira estabelecido um tnel
de comunicaes seguro e na segunda ento autenticado o cliente.
# Autenticao TTLS
default_netname = NOME DA REDE first_auth_command = echo "Fim da autenticao TTLS " reauth_command =
iwconfig wlan0 essid NOME_DA_REDE
network_list = NOME DA REDE
NOME DA REDE {
allow_types = eap-ttls type = wireless wireless_control = yes
identity = utilizador@dominio_escola

eap-ttls { root_cert = /etc/certs/cacert.pem random_file = /dev/urandom

session_resume = yes
pap { username = utilizador@dominio_escola password =
password_do_utilizador
}}}

4.3 -Configurao do Cliente wpa_supplicant

De forma a poder ser utilizado este suplicante 802.1x deve ser criado um ficheiro de configurao onde so
definidos os diversos parmetros necessrios para uma correcta autenticao. Pode criar um ficheiro de
configurao por exemplo em /etc/wpa_supplicant/wpa_supplicant.conf.
Caso altere a localizao ou o nome do ficheiro, deve ter em ateno que ao executar o comando para
iniciar o wpa_suplicant deve ser indicada esse local/nome, usando para isso a flag c.

4.3.1 -Ficheiro de configurao para PEAP

# Ficheiro de configurao para wpa_suplicant autenticao PEAP
ctrl_interface=/var/run/wpa_supplicant ctrl_interface_group=0 eapol_version=1 ap_scan=1 #se a placa n
suportar testar com ap_scan=0 e ap_scan=2 fast_reauth=1
network={ ssid="NOME DA REDE" scan_ssid=1 # only needed if your access point uses a hidden ssid
key_mgmt=IEEE8021X eap=PEAP identity="utilizador@dominio_escola"
password="password_do_utilizador" ca_cert="/etc/certs/cacert.pem" phase2="auth=MSCHAPV2"
}
NOTA: Caso no queira validar o certificado do Servidor deve remover a linha ca_cert =
/etc/certs/cacert.pem.

4.3.2 -Ficheiro de configurao TTLS

# Ficheiro de configurao para wpa_suplicant autenticao TTLS
ctrl_interface=/var/run/wpa_supplicant ctrl_interface_group=0 eapol_version=1 ap_scan=1 #se a placa n
suportar testar com ap_scan=0 e ap_scan=2 fast_reauth=1

network={ ssid="NOME DA REDE" scan_ssid=1 # only needed if your access point

uses a hidden ssid key_mgmt=IEEE8021X eap=TTLS
identity="utilizador@dominio_escola" password="password_do_utilizador"
ca_cert="/etc/certs/cacert.pem" phase2="auth=PAP"
}

5 -Configurao dos Clientes em Mac OS X

Leopard
Este captulo destina-se s configuraes 802.1x em clientes Mac OS X, na verso 10.5 Leopard.

5.1 -Configurao 802.1x com Fios

Aceder ao Painel de Controlo

Acede doca e escolher o cone System Preferences

Escolher o painel Network Seleccionar o cone

Network para aceder ao painel Network

Aceder
ao
Advanced

Painel

Escolher a interface Ethernet e

clicar no boto Advanced.

Aceder ao Painel 802.1x

Adicionar um novo perfil

Clicar no boto (+) e adicionar

um novo perfil de utilizador.

Nomear o perfil
Dever nomear o perfil com um
nome sugestivo. No caso de
um Aluno sugere-se por ex:
Aluno.
De seguida dever colocar as
credenciais correctas: nome de
utilizador e password.
Dever tambm ter apenas
escolhida a opo PEAP na
lista de opes de
autenticao.
No final seleccione OK.

Autenticar e efectuar ligao

Com o cabo ethernet correctamente ligado
bastar apenas efectuar a ligao. Para tal
necessrio seleccionar o boto de
Connect.

Concluir Ligao
Aps ter autenticado com sucesso o
estado do painel anterior ficar este
aspecto.
Todos os detalhes do estado da ligao e
definies de rede encontram-se no
painel.

5.2 -Configurao 802.1x sem Fios -Wireless

Aceder ao menu da Airport

Seleccione o cone da placa de rede sem fios,
conhecida como Airport no Mac OS X.

Escolher a rede Wireless em questo

Na lista de redes disponveis escolher a rede
pretentida. Neste caso ptedu.

Credenciais de Utilizador
Em seguida aparecer um dilogo para
introduzir as credenciais necessrias
autenticao. Dever introduzir o nome de
utilizador e a password fornecidas.
Escolha 802.1x Automatic e ignore o campo
TLS Certificate. Se pretender seleccione o
campo Remember this network se pretender
memorizar as credenciais para autenticao
automtica.

Concluir e verificar ligao

Para terminar, basta verificar que a ligao se executou com sucesso em System Preferences / Network. O
painel dever ter o seguinte aspecto: