Si desidera informazioni su come configurare un server Apache per l’utilizzo del protocollo Radius per l’autenticazione in Active Directory? In questa esercitazione verrà illustrato come autenticare gli utenti Apache nel database di Active Directory utilizzando il server Microsoft NPS.

• Ubuntu 18
• Ubuntu 19
• Ubuntu 20
• Apache 2.4.41
• Windows 2012 R2

Elenco attrezzature

Nella sezione seguente viene presentato l’elenco delle attrezzature utilizzate per creare questa esercitazione.

Come Amazon Associate, guadagno dagli acquisti idonei.

Esercitazione – Radius Server Installation in Windows

IP – 192.168.15.10.
• Sistema operativo – Windows 2012 R2
• Hostname – TECH-DC01
• Dominio di Active Directory: TECH.LOCAL

Aprire l’applicazione Server Manager.

Accedere al menu Gestisci e fare clic su Aggiungi ruoli e funzionalità.

Windows 2012 add role

Accedere alla schermata Ruoli server, selezionare l’opzione Servizio di accesso e criteri di rete.

Fare clic sul pulsante Avanti.

Network Policy and Access Service

Nella schermata seguente, fare clic sul pulsante Aggiungi funzionalità.

network policy features

On the Role service screen, click on the Next Button.

network policy server

Nella schermata successiva, fare clic sul pulsante Installa.

radius server installation on windows

L’installazione del server Radius in Windows 2012 è stata completata.

Server Radius tutorial – Integrazione con Active Directory

Successivamente, è necessario creare almeno 1 account in Active Directory.

L’account ADMIN verrà utilizzato per accedere al server Apache.

Nel controller di dominio aprire l’applicazione denominata: Utenti e computer di Active Directory

Creare un nuovo account all’interno del contenitore Users.

Creare un nuovo account denominato: admin

Password configurata per l’utente ADMIN: 123qwe..

Questo account verrà utilizzato per l’autenticazione nell’interfaccia Web Apache.

active directory admin account

Congratulazioni, sono stati creati gli account di Active Directory necessari.

Successivamente, è necessario creare almeno 1 gruppo in Active Directory.

Nel controller di dominio aprire l’applicazione denominata: Utenti e computer di Active Directory

Creare un nuovo gruppo all’interno del contenitore Users.Create a new group inside the Users container.

Radius Active directory group

Creare un nuovo gruppo denominato: APACHE-USERS.

I membri di questo gruppo saranno in grado di accedere alla directory protetta del server Apache.

Apache Active directory authentication group

Importante! Aggiungere l’utente amministratore come membro del gruppo Apache-Users.

Apache Active directory user authentication

Congratulazioni, è stato creato il gruppo di Active Directory richiesto.

Tutorial Radius Server – Add Client Devices

Sul server Radius, aprire l’applicazione denominata: Server dei criteri di rete

È necessario autorizzare il server Radius nel database di Active Directory.

Fare clic con il pulsante destro del mouse su Server dei criteri di rete (LOCAL) e selezionare l’opzione Registra server in Active Directory.

authorize radius server on windows

Nella schermata di conferma, fare clic sul pulsante OK.

Successivamente, è necessario configurare i client Radius.

I client Radius sono dispositivi a cui sarà consentito richiedere l’autenticazione dal server Radius.

Importante! Non confondere i client Radius con gli utenti Radius.

Fare clic con il pulsante destro del mouse sulla cartella Radius Clients e selezionare l’opzione Nuovo.

Apache radius client NPS

Di seguito è riportato un esempio di client configurato per consentire a un server Apache di connettersi al server Radius.

È necessario impostare la seguente configurazione:

Nome descrittivo al dispositivo – Aggiungere una descrizione al server Apache.
– Indirizzo IP del server Apache.
– Dispositivo Segreto condiviso – kamisama123

Il segreto condiviso verrà utilizzato per autorizzare il dispositivo a utilizzare il server Radius.

La configurazione del client Radius è stata completata.

Tutorial Radius Server – Configure a Network Policy

A questo punto, è necessario creare un Polity di rete per consentire l’autenticazione.

Fare clic con il pulsante destro del mouse sulla cartella Criteri di rete e selezionare l’opzione Nuovo.

Immettere un nome per il criterio di rete e fare clic sul pulsante Avanti.

nps - network policy name

Fare clic sul pulsante Aggiungi condizione.

Consentiremo ai membri del gruppo APACHE-USERS di autenticarsi.

Apache Active directory authentication group

Selezionare l’opzione Gruppo di utenti e fare clic sul pulsante Aggiungi.

nps - user group condition

Fare clic sul pulsante Aggiungi gruppi e individuare il gruppo APACHE-USERS.

APC UPS - Active directory group

Selezionare l’opzione Accesso concesso e fare clic sul pulsante Avanti.

Ciò consentirà ai membri del gruppo APACHE-USERS di eseguire l’autenticazione sul server Radius.

NPS Access granted

Nella schermata Metodi di autenticazione selezionare l’opzione Autenticazione non crittografata (PAP, SPAP).

Radius server authentication method

Se viene visualizzato il seguente avviso, fare clic sul pulsante No.

NPS Warning message

Fare clic sul pulsante Avanti fino a visualizzare la schermata di riepilogo.

Verificare il riepilogo della configurazione del server Radius e fare clic sul pulsante Fine.

pfsense active directory authentication summary

Congratulazioni! La configurazione del server Radius è stata completata.

Apache – Test di autenticazione Radius

Installare il pacchetto richiesto.

Copy to Clipboard

Testare l’autenticazione Radius in Active Directory utilizzando i seguenti comandi:

Copy to Clipboard

Ecco l’output del comando:

Copy to Clipboard

Nel nostro esempio, l’account Admin è stato in grado di eseguire correttamente l’autenticazione sul server Radius.

Apache – Autenticazione Radius in Active Directory

• IP – 192.168.15.11
Sistema Operativo – Ubuntu 19.10
• Hostname – APACHE

Installare il server Apache e il modulo Radius.

Copy to Clipboard

Attivare il modulo Apache2 Radius.

Copy to Clipboard

Nel nostro esempio, ci accingiamo a richiedere l’autenticazione agli utenti che tentano di accedere a una directory denominata Test.

Creare una directory denominata Test e concedere all’utente denominato www-data l’autorizzazione su questa directory.

Copy to Clipboard

Configurare il server Apache per richiedere l’autenticazione Radius agli utenti che tentano di accedere alla directory Test.

Modificare il file di configurazione Apache 000-default.conf.

Copy to Clipboard

Ecco il file 000-default.conf prima della nostra configurazione.

Copy to Clipboard

Ecco il file 000-default.conf dopo la nostra configurazione.

Copy to Clipboard

Il server Apache è stato configurato per richiedere l’autenticazione della password alla directory /var/www/html/test.

Il server Web Apache è stato configurato per autenticare gli account utente utilizzando il server Radius 192.168.15.10.

Riavviare il servizio Apache.

Copy to Clipboard

Congratulazioni! L’autenticazione Apache è stata configurata correttamente.

Apache – Test di autenticazione Radius

Aprire il browser e immettere l’indirizzo IP del server Web Apache.

Nel nostro esempio, il seguente URL è stato immesso nel browser:

• http://192.168.15.11

Verrà visualizzata la pagina predefinita Apache.

Apache default page

Aprire il browser e immettere l’indirizzo IP del server Web più /test.

Nel nostro esempio, il seguente URL è stato immesso nel browser:

• http://192.168.15.11/test

Nella schermata di accesso, immettere un nome utente Radius e la relativa password.

• Username: admin
Password: 123qwe..

Apache login form

Dopo un accesso riuscito, si sarà autorizzati ad accedere alla directory denominata Test.

Apache Radius Authentication test

Congratulazioni! L’autenticazione Radius è stata configurata su un server Apache.