Introdução
RADIUS (Remote Authentication Dial-In User Service) é um protocolo de autenticação, autorização e contabilização amplamente utilizado para controlar o acesso a redes. Operando em um modelo cliente-servidor, ele valida credenciais, define permissões e registra atividades dos usuários, garantindo segurança e gerenciamento eficiente. No nosso caso, utilizamos o RADIUS exclusivamente para gerenciar os ambientes de Wi-Fi da CoffeeBean, proporcionando um acesso seguro e controlado para usuários e dispositivos.
Arquitetura
A integração do Captive Portal e da plataforma da CoffeeBean é ilustrada no diagrama a seguir:
Assim que o usuário se conecta a uma rede Wi-Fi, o AP (Access Point) ou a controladora o redireciona para a página do Captive portal. O usuário pode fazer login usando uma rede social ou credenciais tradicionais, e o callback do login social envia as credenciais do usuário para o AP ou controladora. O AP ou controladora deve estar configurado para autenticar os usuários por meio da autenticação RADIUS.
Um servidor RADIUS e um secret do cliente são configurados e consultados quando uma solicitação de autenticação é recebida. O servidor RADIUS de login social autentica o usuário e responde ao AP/controladora, que libera o acesso à Internet e redireciona o usuário para uma página de boas-vindas ou portal. A partir desse momento, o usuário pode usufruir do acesso gratuito à Internet.
Parâmetros de configuração
Para configurar o captive portal na maioria dos fornecedores, você precisará dos seguintes parâmetros básicos:
- Host ou endereço IP do servidor RADIUS: o nome do host ou endereço IP do servidor RADIUS da CoffeeBean responsável por autenticar os usuários.
- Portas de autenticação e accounting do servidor RADIUS: a porta de autenticação do servidor RADIUS CoffeeBean, responsável por autenticar os usuários, e a porta de accounting do servidor RADIUS do CoffeeBean, responsável por coletar informações de uso.
- Secret do cliente RADIUS: a chave secreta compartilhada entre o cliente e o servidor RADIUS, fornecido pela equipe CoffeeBean.
- URL do captive portal: a URL da página de login externa para a qual os usuários serão redirecionados.
Servidor RADIUS
O servidor RADIUS pode ser configurado pelo nome do host ou endereço IP. Recomendamos usar o nome do host em vez do endereço IP, se possível.
Se a infraestrutura do cliente usar IPs estáticos, fornecemos os seguintes servidores por ambiente:
| Environment | Region | Type | Hostname | IP | Authentication port | Accounting port |
|---|---|---|---|---|---|---|
| production | sa-east | primary | radius.socialidnow.com | 54.94.140.247 | 1812 | 1813 |
| production | sa-east | secondary | radius2.socialidnow.com | 54.207.239.113 | 1812 | 1813 |
| production | eu-central | primary | radius.eu-central.socialidnow.com | 52.28.85.158 | 1812 | 1813 |
| staging | us-east | primary | radius-staging.socialidnow.com | 178.128.135.142 | 1812 |
1813 |
Para IPs dinâmicos, quando a rede do cliente não oferece suporte a IPs estáticos, fornecemos um servidor RADIUS que atua como um proxy:
| Environment | Region | Type | Hostname | IP | Authentication port | Accounting port |
|---|---|---|---|---|---|---|
| production | sa-east | primary | radius-proxy.socialidnow.com | 18.228.102.200 | custom | custom |
| production | sa-east | secondary | radius-proxy2.socialidnow.com | 18.229.36.64 | custom | custom |
| staging | us-east | primary | radius-staging.socialidnow.com | 178.128.135.142 | custom | custom |
Para esses casos, configuraremos portas personalizadas para autenticação e accounting, além de um secret único do cliente para cada cliente.
Nossos servidores RADIUS aceitam os seguintes protocolos de autenticação: PAP, CHAP, MS-CHAP, MS-CHAPv2 e tipos EAP.
RADIUS Client Secret e Captive Portal URL
Esses parâmetros são específicos para cada cliente. Entre em contato conosco para obter mais detalhes.