¿Desea aprender a configurar un servidor Apache para utilizar el protocolo Radius para autenticarse en el Active Directory? En este tutorial, vamos a mostrarle cómo autenticar a los usuarios de Apache en la base de datos de Active Directory mediante el servidor NPS de Microsoft.

• Ubuntu 18
• Ubuntu 19
• Ubuntu 20
• Apache 2.4.41
• Windows 2012 R2

Lista de equipos

En la siguiente sección se presenta la lista de equipos utilizados para crear este tutorial.

Como asociado de Amazon, gano con compras calificadas.

Tutorial - Instalación del servidor Radius en Windows

• IP - 192.168.15.10.
• Sistema Operacional - Windows 2012 R2
• Nombre de host - TECH-DC01
• Dominio de Active Directory: TECH.LOCAL

Abra la aplicación Administrador del servidor.

Acceda al menú Administrar y haga clic en Agregar roles y características.

Windows 2012 add role

Acceda a la pantalla Roles de servidor, seleccione la opción Directiva de red y Servicio de acceso.

Haga clic en el botón Siguiente.

Network Policy and Access Service

En la siguiente pantalla, haga clic en el botón Agregar características.

network policy features

En la pantalla Servicio de rol, haga clic en el botón Siguiente.

network policy server

En la siguiente pantalla, haga clic en el botón Instalar.

radius server installation on windows

Ha terminado la instalación del servidor Radius en Windows 2012.

Tutorial Radius Server - Integración de Active Directory

A continuación, necesitamos crear al menos 1 cuenta en el Active Directory.

La cuenta ADMIN se utilizará para iniciar sesión en el servidor Apache.

En el controlador de dominio, abra la aplicación denominada: Usuarios y equipos de Active Directory

Cree una nueva cuenta dentro del contenedor Usuarios.

Zabbix active directory account

Crear una nueva cuenta denominada: admin

Contraseña configurada para el usuario ADMIN: 123qwe..

Esta cuenta se utilizará para autenticarse en la interfaz web de Apache.

active directory admin account
zabbix active directory admin properties

Enhorabuena, ha creado las cuentas de Active Directory necesarias.

A continuación, necesitamos crear al menos 1 grupo en el Active Directory.

En el controlador de dominio, abra la aplicación denominada: Usuarios y equipos de Active Directory

Cree un nuevo grupo dentro del contenedor Usuarios.

Radius Active directory group

Cree un nuevo grupo denominado: APACHE-USERS.

Los miembros de este grupo podrán acceder al directorio protegido del servidor Apache.

Apache Active directory authentication group

¡Importante! Agregue el usuario administrador como miembro del grupo Apache-Users.

Apache Active directory user authentication

Enhorabuena, ha creado el grupo de Active Directory necesario.

Tutorial Radius Server - Agregar dispositivos cliente

En el servidor Radius, abra la aplicación denominada: Network Policy Server

Usted necesita autorizar al servidor del Radius en la base de datos del Active Directory.

Haga clic con el botón derecho en NPS(LOCAL) y seleccione la opción Registrar servidor en Active Directory.

authorize radius server on windows

En la pantalla de confirmación, haga clic en el botón Aceptar.

A continuación, debe configurar a los clientes radius.

Los clientes radius son dispositivos que podrán solicitar la autenticación del servidor Radius.

¡Importante! No confunda a los clientes radius con los usuarios del Radius.

Haga clic con el botón derecho en la carpeta Clientes de radius y seleccione la opción Nuevo.

Apache radius client NPS

A continuación se muestra un ejemplo de un cliente configurado para permitir que un servidor Apache se conecte al servidor Radius.

Debe establecer la siguiente configuración:

• Nombre descriptivo al dispositivo: agregue una descripción a su servidor Apache.
• Dirección IP del dispositivo: dirección IP de su servidor Apache.
• Dispositivo secreto compartido - kamisama123

El secreto compartido se utilizará para autorizar al dispositivo a utilizar el servidor de RADIUS.

Usted ha terminado la configuración del cliente del Radius.

Tutorial Radius Server - Configurar una directiva de red

Ahora, usted necesita crear un Polity de la red para permitir la autenticación.

Haga clic con el botón derecho en la carpeta Directivas de red y seleccione la opción Nuevo.

Ingrese un nombre a la directiva de red y haga clic en el botón Siguiente.

nps - network policy name

Haga clic en el botón Agregar condición.

Vamos a permitir que los miembros del grupo APACHE-USERS se autentiquen.

Apache Active directory authentication group

Seleccione la opción Grupo de usuarios y haga clic en el botón Agregar.

nps - user group condition

Haga clic en el botón Agregar grupos y localice el grupo APACHE-USERS.

APC UPS - Active directory group

Seleccione la opción Acceso concedido y haga clic en el botón Siguiente.

Esto permitirá que los miembros del grupo APACHE-USERS se autentiquen en el servidor radius.

NPS Access granted

En la pantalla Métodos de autenticación, seleccione la opción Autenticación sin cifrar (PAP, SPAP).

Radius server authentication method

Si se presenta la siguiente advertencia, haga clic en el botón No.

NPS Warning message

Haga clic en el botón Siguiente hasta que aparezca la pantalla de resumen.

Verifique el resumen de la configuración del servidor del Radius y haga clic en el botón finish (Finalizar).

pfsense active directory authentication summary

¡Felicitaciones! Usted ha terminado la configuración del servidor Radius.

Apache - Prueba de autenticación Radius

Instale el paquete necesario.

Copy to Clipboard

Pruebe la autenticación de radio en Active Directory mediante los siguientes comandos:

Copy to Clipboard

Aquí está la salida del comando:

Copy to Clipboard

En nuestro ejemplo, la cuenta Admin pudo autenticar con éxito en el servidor del radio.

Apache - Autenticación de radio en el Active Directory

• IP - 192.168.15.11
• Sistema operativo - Ubuntu 19.10
• Nombre de host - APACHE

Instale el servidor Apache y el módulo Radius.

Copy to Clipboard

Habilite el módulo Apache2 Radius.

Copy to Clipboard

En nuestro ejemplo, vamos a solicitar la autenticación a los usuarios que intentan acceder a un directorio denominado Test.

Cree un directorio denominado Test y conceda al usuario el permiso www-data sobre este directorio.

Copy to Clipboard

Configure el servidor Apache para solicitar la autenticación Radius a los usuarios que intentan acceder al directorio Test.

Edite el archivo de configuración Apache 000-default.conf.

Copy to Clipboard

Aquí está el archivo 000-default.conf antes de nuestra configuración.

Copy to Clipboard

Aquí está el archivo 000-default.conf después de nuestra configuración.

Copy to Clipboard

El servidor Apache se configuró para solicitar la autenticación de contraseña al directorio /var/www/html/test.

El servidor web Apache se configuró para autenticar cuentas de usuario mediante el servidor Radius 192.168.15.10.

Reinicie el servicio Apache.

Copy to Clipboard

¡Felicitaciones! Ha configurado correctamente la autenticación Apache.

Apache - Prueba de autenticación Radius

Abra su navegador e introduzca la dirección IP de su servidor web Apache.

En nuestro ejemplo, se introdujo la siguiente URL en el navegador:

• http://192.168.15.11

Se mostrará la página predeterminada de Apache.

Apache default page

Abra su navegador e introduzca la dirección IP de su servidor web más /test.

En nuestro ejemplo, se introdujo la siguiente URL en el navegador:

• http://192.168.15.11/test

En la pantalla de inicio de sesión, introduzca un nombre de usuario Radius y su contraseña.

• Username: admin
• Contraseña: 123qwe..

Apache login form

Después de un inicio de sesión correcto, se le autorizará a acceder al directorio denominado Test.

Apache Radius Authentication test

¡Felicitaciones! Ha configurado la autenticación Radius en un servidor Apache.