Bem-vindo à Comunidade UBNT

Integrar AP AC LR com Active Directory

Pessoal, 
Tenho uma estrutura de rede cabeada com usuários autenticados em um domínio e os acessos filtrados pelo sonicwall da DELL.
Coloquei um Access Point AC LR para fornecer rede sem fio para um evento com 30 clientes.
O acesso é limitado devido a não autenticação dos usuários.
É possível integrar os aparelhos Ubiquiti com Active Directory?
Outra questão, o prédio tem 6 andares mais ou menos 150 pessoas, estou planejando colocar um aparelho por andar, é necessário mais algum aparelho além desse, ou posso colocar todos do mesmo modelo?

Comentários

  • UI-DiegoUI-Diego 208 Pontos

    Reposta do @R4V3Rhttps://forum-pt.ubnt.com/discussion/1109207/integracao-de-unifi-com-ad-implementacao


    Não há integração direta do UniFi com o active directory, mas pode-se conseguir o mesmo efeito indiretamente usando RADIUS. A forma mais fácil seria instalar o serviço NPS no windows server e gerenciar as conexões por lá. Nunca precisei mexer com isso, mas sei que há algumas pedras no meio do caminho.

    Nestes links há mais informaçõs referentes à configuração na parte do windows para as versões 2003, 2008 e 2012, respectivamente

    http://www.techrepublic.com/article/ultimate-wireless-security-guide-microsoft-ias-radius-for-wireless-authentication/

    http://danielmiessler.com/blog/wireless-wpa2-enterprise-integration-with-active-directory-2008/

    http://technet.microsoft.com/en-us/library/cc755248.aspx

  • R4V3RR4V3R 8420 Pontos
    Bom, de fato não há integração direta, apenas via servidor RADIUS, seja ele qual for. Se for VIA Microsoft NPS fica moleza, porque ele em si é totalmente integrado ao Active Directory. Eu já configurei dessa forma, e funciona bem, inclusive com VLAN dinâmica.
    A grande pergunta é:
    O que você quer fazer, ou qual efeito você espera ter ao "integrar" o equipamento com o active directory?
    Via WPA2-Enteprise, funciona perfeitamente como eu descrevi acima. Via captive portal, trata-se de uma função beta e eu nunca testei ela desta forma.
  • Desculpe pela demora.
    Precisamos da integração para controle de acesso à internet.
    O cenário será dessa forma:
    Rede Visitantes - Acesso restrito, apenas para sites da área de saúde, governamentais, Whats App, etc.
    Rede corporativa - Acesso controlado por filtro de conteúdos do sonicwall, os usuários ficam separados em grupos com as permissões definidas para cada grupo. Assim que o usuário autentica no sonicwall tem sua política aplicada e pode ter o mesmo acesso em qualquer dispositivo.
  • R4V3RR4V3R 8420 Pontos
    Certo, eu presumo que você queira autenticação dos usuários via AD apenas para a rede corporativa, certo?
    Sendo este o caso, como é feita esta autenticação via sonicwall? É um captive portal? Porque se for, tudo pode continuar exatamente como está, e não há necessidade de configurações adicionais no UniFi.
  • Obrigado, mas precisa alterar sim. Por exemplo, se eu conectar o celular a rede corporativa, ele precisaria solicitar usuário e senha do AD, assim como foi feito em testes com equipamentos Aruba.
    Outras questões, esse aparelho Access Point AC LR, não distribui IPs correto? Que equipamento precisaria adquirir? O UAP AC HD é um roteador mesmo?
    Segue link: https://www.lojamundi.com.br/uap-ac-hd-ubiquiti-roteador.html#.WnWxjq6nGUk


  • R4V3RR4V3R 8420 Pontos
    Se a autenticação que você quer é via 802.1x, utilizando WPA-Entreprise para autenticação via um servidor RADIUS, isso pode ser feito, apenas não de forma direta na base do active directory, diferentemente de como ocorre com a infra da Aruba.
    No caso da linha UniFi, a autenticação é feita via servidor RADIUS como eu comento, e este tem que ser integrado com a base do active directory, e isso fica por sua conta. Se for utilizar o NPS da Microsoft, isso é transparente e funciona muito bem.
    Já quanto á DHCP, todos os pontos de acesso da linha UniFi são unicamente pontos de acesso, não funcionam como roteadores, e portanto não tem servidor DHCP embutido.
    Para isso, tipicamente utiliza-se o gateway de sua rede, ou um servidor DHCP hospedado em um servidor local de sua infraestrutura. Se você já possui um sonicwall, ele pode tranquilamente fazer este serviço, ou se você usa infra Microsoft, isso pode também ser centralizado diretamente no servidor DHCP do windows server.
    Eu aqui uso a segunda opção, com um DHCP-Relay configurado em um edgerouter que é o gateway de todas as subredes que utilizo. Ele então encaminha as solicitações DHCP diretamente para nosso AD que também serve como servidor DHCP.
Entre ou Registre-se para fazer um comentário.