GUÍA DE CONFIGURACIÓN
El objetivo del siguiente manual es una descripción de la configuración necesaria en el equipamiento de Ubiquiti usando la plataforma UniFi Controller para la integración con Octopus Platform.
1- Requerimientos previos
Si en la instalación existe un firewall que bloquee el tráfico se deberá permitir el acceso libre a ciertos dominios e IPs para habilitar la autenticación de los usuarios.
Servidores Radius:
Primario: <IP_Radius_1> puertos 1812 y 1813 UDP
Secundario: <IP_Radius_2> puertos 1812 y 1813 UDP
Servidor Splash Portal:
Dominio <dominio_captive_portal> puertos 80 y 443 TCP
Para el funcionamiento de la configuración de los módulos Guest y Enterprise, previamente será necesario contratar las licencias de la plataforma Octopus con los respectivos módulos.
Info |
---|
Para esta configuración es necesaria el uso de una APP que hemos desarrollado. En los siguientes pasos se explicara su uso. En caso de error, la aplicación creará el archivo debug.log con información detallada del error. |
2- Configuración módulo Guest
2.1 Radius Server
En primer lugar, se crearán los servidores radius al que se enviarán las peticiones de autenticación y el accounting. Para ello dentro del interfaz web de Unifi Network Controller en el Site objeto de configuración seleccionar la opción Settings > Profiles y seleccionar CREATE NEW RADIUS PROFILE. Rellenar los siguientes datos:
Profile Name: Octopus Test
RADIUS Assigned VLAN Support
Wireless Networks: Marcar Enable
RADIUS Setting
Authentication Servers:
IP Address: <IP_Radius_1>
Port: 1812
Password/Shared Secret: <Secret>
Accounting: Marcar Enable
RADIUS Accounting Servers:
IP Address: <IP_Radius_1>
Port: 1813
Password/Shared Secret: <Secret>
Interim Update Interval: Marcar Enable / 600
2.2 Captive Portal
Para la configuración del Captive Portal utilizaremos la APP ConfiguradorPortal. Esta app se conecta a la api de UniFi y te permite configurar el portal, la configuración
Primero tendremos que logarlos en el UniFi:
URL: URL de UniFi Network Controller
User: <usuario del administrador>
Password: <contraseña>
Site: Site donde hemos creado Radius Server
Pincharemos en login y se mostrará la configuración que podemos editar.
La propia app configura internamente algunos de los parámetros necesarios para que funcione el portal cautivo, pero otros parámetros que son opcionales o pueden variar los configuraremos desde la app:
Radius: Seleccionaremos el servidor Radius que hemos creado previamente.
redirect_enable: Marcar si queremos que nos redirija a una web después de logarnos en el portal. Al marcar aparece una nueva opción donde hay que añadir la web a la que queremos que nos redirija, hay que poner la IP de la web y esta IP hay que añadirla también a allowed_subnet.
redirect_https: Marcar Enable
portal_portal_use_hostname: Marcar si se utiliza HTTPS para el portal (la siguiente opción), al marcar aparecerá una nueva opción donde tendrás que introducir el domino que vas a utilizar.
redirect_to_https: Marcar si se quieres usar el portal con HTTPS (si se utiliza realizar los pasos del apartado Opción configuración login seguro)
allowed_subnet: añadir los walled garden o dominios con acceso libre necesarios para el funcionamiento del portal cautivo (hay que poner la IP, con el dominio no funciona).
list_allowed_subnet: muestra la lista de los allowed_subnet que hemos añadido, si queremos eliminar alguno lo seleccionamos y pinchamos en delete.
Pincharemos en Apply y se aplicará la configuración al AP. En la parte de abajo aparecerá un mensaje indicando si se ha añadido correctamente la configuración.
2.3 Wireless Networks
Dentro del interfaz de usuario de Unifi Controller > Settings > Wifi, crear una nueva o editar la red en la cual queremos integrar el portal cautivo.
Name/SSID: Nombre de la red WiFi que radiarán los APs. Deberá coincidir con el configurado en Octopus Platform.
Broadcasting APs: All
Advanced: Seleccionar Manual
Hotspot Portal: Marcar Enable
WiFi Band: Marcar lo que queramos utilizar.
Band Steering: Marcar Enable
Client Device Isolation: Marcar Enable
BSS Transition: Marcar Enable
802.11 DTIM Period: Marcar Auto
Security Protocol: Open
2.4 Opción configuración login seguro
Se aconseja que todo el proceso de autenticación vaya cifrado y por lo tanto todas las interacciones con Unifi Controller se hagan mediante https. A continuación se muestran los diferentes pasos para implementarlo:
Lo primer será generar un certificado, teniendo en cuenta las siguientes consideraciones:
El certificado tiene que tener asociado un subdominio que lleve asociada una entrada DNS que resuelva a la IP de Unifi Network Controller. El certificado puede ser wildcard, pero el subdominio utilizado tiene que tener de la misma manera la resolución DNS.
Generar certificado con formato “pfx”, con alias “unifi” y password “aircontrolenterprise”. Ejemplo de generación con programa OpenSSL
Code Block sudo openssl pkcs12 -export -out certificate.pfx -inkey certificate.key -in certificate.crt -certfile certificate.ca.crt -name "unifi"
Subir e importar el certificado al servidor donde esté instalado Unifi Controller, fijándose en la ruta que se almacena.
Por comodidad en windows se aconseja almacenarlo en la ruta donde están los ejecutables de Java: <Unidad_OS>:\Program Files\Java\<java_version>\bin
Mediante CLI, dirigirse a la carpeta donde está el certificado (en caso de windows, donde también están archivos ejecutables de Java).
Introducir el comando:
Code Block keytool.exe -importkeystore -srckeystore certificate.pfx -srcstoretype pkcs12 -srcalias unifi -destkeystore "<ruta_keystore>" -deststoretype jks -destalias unifi -deststorepass aircontrolenterprise
<ruta_keystore> en Linux: /usr/lib/unifi/data/keystore
<ruta_keystore> en Windows: <Unidad_OS>:\Users\<usuario>\Ubiquiti UniFi\data\keystore
<ruta_keystore> en Cloud key: /var/lib/unifi/keystore
Si todo es correcto reiniciar Unifi Controller
Info |
---|
Se aconseja realizar una copia previa del archivo keystore, por si sale algo mal y es necesario restablecerlo. |
2.5 Listado MACs Autorizadas
Para identificar el site en Octopus Platform, es necesario añadir las direcciones MAC a la plataforma. Para obtener el listado de direcciones MAC, dentro de la configuración de Unifi Controller, dirigirse al apartado DEVICES.
3- Configuración módulo Enterprise
Para poder integrar las configuraciones de este módulo con la plataforma, es necesario contratar el Módulo Enterprise de Octopus Wifi
3.1 Configuración MAC Authentication
Para habilitar la autenticación por MAC dirigirse a Setting > WiFi, acceder o editar la Wlan que se quiera configurar y en el apartado Radius Mac Authentication:
RADIUS MAC Authentication: Marcar Enable
Radius Profile: Seleccionar Radius Profile que hemos creado anteriormente
MAC Address Format: aa:bb:cc:dd:ee:ff