Wiedza Jak skonfigurować uwierzytelnianie RADIUS przy użyciu urządzenia QNAP NAS i routera

Szczegóły​

Serwer RADIUS (Remote Authentication Dial-In User Service) na urządzeniu QNAP NAS umożliwia scentralizowane uwierzytelnianie i autoryzację urządzeń łączących się z siecią. Zarządza on danymi uwierzytelniającymi użytkowników oraz politykami dostępu, zapewniając, że tylko zatwierdzeni użytkownicy mogą dołączyć do sieci. Urządzenie NAS obsługuje metody uwierzytelniania ograniczone do PAP, EAP-TLS/PAP i EAP-TTLS/PAP dla kont użytkowników systemowych. Aby korzystać z tej funkcji, router bezprzewodowy musi obsługiwać WPA-Enterprise lub WPA2-Enterprise wraz z uwierzytelnianiem 802.1X.

Architektura RADIUS w QNAP

1. Użytkownik próbuje połączyć się z siecią bezprzewodową i wprowadza swoje dane logowania.
2. Router bezprzewodowy odbiera żądanie i przekazuje dane uwierzytelniające do urządzenia QNAP NAS działającego jako serwer RADIUS.
3. Urządzenie NAS weryfikuje dane uwierzytelniające w swojej bazie danych uwierzytelniania i określa, czy użytkownik jest autoryzowany.
4. Urządzenie NAS odsyła wynik uwierzytelniania do routera bezprzewodowego.
5. Router bezprzewodowy zezwala na połączenie użytkownika lub je odrzuca na podstawie odpowiedzi z urządzenia NAS.

---

Procedura​

Spoiler: Konfigurowanie serwera RADIUS, klienta i ustawień użytkownika na urządzeniu QNAP NAS

1. Skonfiguruj ustawienia serwera RADIUS.
2. Zaloguj się do urządzenia NAS jako administrator.
3. Przejdź do Panel sterowania > Aplikacje > Serwer RADIUS > Ustawienia serwera.
   
   
4. Zaznacz Włącz serwer RADIUS.
5. Opcjonalnie: Włącz Przyznaj dostęp dial-in do kont użytkowników systemowych.
   
   uwaga
   Włączenie tej opcji umożliwia logowanie się do sieci na urządzeniu przy użyciu lokalnej nazwy użytkownika i hasła NAS za pośrednictwem serwera RADIUS.
   
6. Kliknij Zastosuj.
7. Skonfiguruj klienta RADIUS.
   1. Przejdź do Panel sterowania > Aplikacje > Serwer RADIUS > Klienci RADIUS.
   2. Kliknij Utwórz klienta.
      Zostanie wyświetlone okno Utwórz klienta.
      
      
   3. Podaj następujące informacje:
      • Nazwa używana do identyfikacji urządzenia klienckiego.
      • Adres IP przypisany do urządzenia klienckiego.
      • Długość prefiksu, która określa zakres alokacji i liczbę dostępnych adresów IP.
        

        Długość prefiksu	Adresy	Maska podsieci
        /30	4	255.255.255.252
        /29	8	255.255.255.248
        /28	16	255.255.255.240
        /27	32	255.255.255.224
        /26	64	255.255.255.192
        /25	128	255.255.255.128
        /24	256	255.255.255.0

        
        
        uwaga
        

        • Większy prefiks CIDR oznacza mniej adresów hostów, ponieważ więcej bitów jest zarezerwowanych dla sieci.
        • Każde zwiększenie prefiksu o jeden krok zmniejsza liczbę dostępnych adresów o połowę.
        • Maska podsieci zwiększa się o stałe wartości wraz z usuwaniem bitów hosta.
        • Blok /24 ma 256 adresów; /25 zmniejsza tę liczbę do 128, a /26 dalej do 64.
        • Aby dowiedzieć się więcej o CIDR, zapoznaj się z dokumentem RFC 4632.

        
        
      • Tajny klucz używany przez urządzenie NAS do uwierzytelniania żądań od urządzenia klienckiego.
      • Kliknij Zastosuj.
8. Utwórz użytkownika RADIUS.
   1. Przejdź do Panel sterowania > Aplikacje > Serwer RADIUS > Użytkownicy RADIUS.
   2. Kliknij Utwórz użytkownika.
      Zostanie wyświetlone okno Utwórz użytkownika RADIUS.
      
      
   3. Podaj nazwę użytkownika.
   4. Podaj hasło użytkownika.
   5. Wprowadź ponownie hasło użytkownika.
   6. Kliknij Zastosuj.

Spoiler: Konfigurowanie klienta RADIUS przy użyciu routera

Po skonfigurowaniu serwera RADIUS należy skonfigurować klienta RADIUS na routerze, aby router mógł komunikować się z serwerem i przekazywać żądania uwierzytelniania. Konfiguracja klienta określa, dokąd router wysyła dane uwierzytelniające użytkowników, w jaki sposób identyfikuje się względem serwera oraz który wspólny klucz jest używany do zabezpieczenia wymiany danych.

uwaga
Klienta RADIUS można skonfigurować przy użyciu zarządzanego routera. Poniższy przykład wykorzystuje router ASUS RT-AC66U, jednak dokładne kroki mogą się różnić w zależności od środowiska sieciowego. Zapoznaj się z dokumentacją routera, aby potwierdzić proces konfiguracji klienta RADIUS dla konkretnego modelu.

1. Wprowadź adres IP sieci LAN routera lub http://www.asusrouter.com.
2. Wprowadź nazwę użytkownika i hasło.
3. Przejdź do Zaawansowane > Sieć bezprzewodowa > Ogólne.
4. Wybierz WPA2-Enterprise jako metodę uwierzytelniania.
   
   
5. Kliknij Zastosuj.
6. Przejdź do Zaawansowane > Sieć bezprzewodowa > Ustawienia RADIUS.
   
   
7. Wprowadź adres IP urządzenia QNAP NAS jako adres IP serwera.
8. Określ numer portu jako 1812.
9. Wprowadź ten sam wspólny klucz tajny na routerze, aby zabezpieczyć komunikację z serwerem RADIUS.
10. Kliknij Zastosuj.
    Po skonfigurowaniu klienta RADIUS na routerze i ustawieniu urządzenia NAS jako serwera RADIUS, urządzenie NAS będzie uwierzytelniać próby dostępu podczas łączenia się z siecią Wi-Fi.

Spoiler: Łączenie się z siecią Wi-Fi przy użyciu uwierzytelniania RADIUS

Po ukończeniu konfiguracji serwera RADIUS i klienta można połączyć się z zabezpieczoną siecią Wi-Fi z dowolnego obsługiwanego urządzenia. Poniższe sekcje opisują, jak dołączyć do sieci przy użyciu metody uwierzytelniania wymuszonej przez urządzenie NAS.

Spoiler: Łączenie się z siecią Wi-Fi przy użyciu urządzenia z systemem Windows

uwaga
Kroki opisane w tej sekcji dotyczą konfigurowania połączenia RADIUS na urządzeniu z systemem Windows 10.

1. Kliknij menu Start systemu Windows.
2. Przejdź do Ustawień > Sieć i Internet.
3. Wybierz Połączenia telefoniczne.
4. Kliknij Skonfiguruj nowe połączenie
   Pojawi się okno Konfigurowanie połączenia lub sieci.
5. Wybierz Ręczne łączenie z siecią bezprzewodową.
   
   
6. Kliknij Dalej.
7. Skonfiguruj następujące szczegóły:
   Nazwa sieci: Wprowadź nazwę routera, na którym skonfigurowano klienta RADIUS (na przykład ASUS-AC66U-2.4G).
   Typ zabezpieczeń: Wybierz WPA2-Enterprise.
   
   
8. Kliknij Dalej.
9. Kliknij Zmień ustawienia połączenia.
   Pojawi się okno Właściwości sieci bezprzewodowej.
10. Kliknij Zabezpieczenia.
11. Wybierz Microsoft: Protected EAP (PEAP) jako metodę uwierzytelniania.
12. Kliknij Ustawienia.
    
    
    
    Pojawi się okno Właściwości protokołu Protected EAP.
13. Wyłącz opcję Zweryfikuj tożsamość serwera, sprawdzając poprawność certyfikatu.
    
    
14. Wybierz Hasło zabezpieczone (EAP-MSCHAP v2) jako metodę uwierzytelniania.
15. Kliknij Konfiguruj.
    Pojawi się okno Właściwości protokołu EAP MSCHAPv2.
16. Wyłącz opcję Automatycznie użyj nazwy logowania i hasła systemu Windows (i domeny, jeśli istnieje).
    
    
17. Kliknij OK.
    Okno Właściwości protokołu EAP MSCHAPv2 zostanie zamknięte.
18. Kliknij OK na stronie Właściwości protokołu Protected EAP.
19. Kliknij OK na stronie Właściwości sieci bezprzewodowej.
20. Przejdź do Ustawień > Ustawień > Sieć i Internet > Wi-Fi.
21. Wybierz router, na którym skonfigurowano klienta RADIUS.
22. Wprowadź skonfigurowaną nazwę użytkownika i hasło RADIUS.
    
    
    
    Jeśli opcja Przyznaj dostęp telefoniczny do kont użytkowników systemu jest włączona, możesz również użyć poświadczeń lokalnego użytkownika NAS.
23. Urządzenie łączy się z siecią Wi-Fi przy użyciu uwierzytelniania RADIUS.

Spoiler: Łączenie z siecią Wi-Fi przy użyciu urządzenia z systemem macOS

• Otwórz menu Wi-Fi na pasku menu.
• Kliknij Dołącz do innej sieci..., aby ręcznie dołączyć do sieci.
• Wprowadź dane sieci:
  
  
  
  
  • Nazwa sieci: Wprowadź nazwę routera, na którym skonfigurowano klienta RADIUS (na przykład ASUS-AC66U-2.4G).
  • Zabezpieczenia: Wybierz WPA2/WPA3 Enterprise lub WPA2 Enterprise, w zależności od wersji systemu macOS.
  • Nazwa użytkownika: Wprowadź nazwę użytkownika RADIUS.
  • Hasło: Wprowadź hasło użytkownika RADIUS.
    Jeśli opcja Przyznaj dostęp telefoniczny do kont użytkowników systemu jest włączona, możesz również użyć poświadczeń lokalnego użytkownika NAS.
• Kliknij OK, aby dołączyć do sieci.
• Urządzenie łączy się z siecią Wi-Fi przy użyciu uwierzytelniania RADIUS.

Spoiler: Łączenie z siecią Wi-Fi przy użyciu urządzenia z systemem iOS

1. Otwórz Ustawienia.
2. Stuknij Wi-Fi.
3. Stuknij przełącznik Wi-Fi, jeśli jest wyłączony.
   System iOS włącza Wi-Fi na urządzeniu.
4. Wybierz router, na którym skonfigurowano klienta RADIUS.
   
   
5. Wprowadź nazwę użytkownika i hasło użytkownika RADIUS skonfigurowane w ustawieniach urządzenia QNAP NAS.
   
   
   
   Jeśli opcja Przyznaj dostęp telefoniczny do kont użytkowników systemu jest włączona, możesz również zalogować się przy użyciu poświadczeń lokalnego użytkownika NAS.
6. Stuknij Dołącz.
   Pojawi się strona certyfikatu.
7. Stuknij Zaufaj.
   
   
   
   Po pomyślnym zalogowaniu możesz teraz połączyć się z siecią Wi-Fi.

Spoiler: Łączenie z siecią Wi-Fi przy użyciu urządzenia z systemem Android

1. Włącz Wi-Fi na urządzeniu z systemem Android.
2. Wybierz router, na którym skonfigurowano klienta RADIUS.
3. Wprowadź nazwę użytkownika RADIUS.
4. Wprowadź hasło użytkownika RADIUS.
   
   
   
   Jeśli opcja Przyznaj dostęp telefoniczny do kont użytkowników systemu jest włączona, możesz również zalogować się przy użyciu poświadczeń lokalnego użytkownika NAS.
5. Stuknij Połącz.
   Urządzenie łączy się z siecią Wi-Fi przy użyciu uwierzytelniania RADIUS.

---

Dodatkowe materiały​

• Jak połączyć się z serwerem RADIUS NAS z komputera z systemem Windows 11?
• Konfiguracja serwera RADIUS — Podręcznik użytkownika QTS 5.2.x
• Konfiguracja serwera RADIUS — Podręcznik użytkownika QuTS hero h5.2.x