Integrated Mikrotik Hotspot with Windows Server Active Directory 2003
Huwalaa, hore semuanya kakak chang kembali lagi dengan pesona yang tiada tandinganya, OPOOOO KOWE NGOMONG OPOO??? biasa wae gene –-. Mengawali tulisan pada malam ini kakak chang akan sedikit mengulas bagaimana menjodohkan Mikrotik Hotspot dengan Windows Server Active Directory sehingga tumbuhlah benih benih cinta diantara mereka berdua #eaaakkkk. Lha Koe Kapan? — suram
Pada kali ini kakak menggunakan Windows Server 2003 dan untuk mikrotiknya menggunakan RB 951 2n (untuk keperluan ngelab tidak untuk implementasi) dan Cisco Catalyst 3560. Karena keterbatasan resource, jadi bikin seminim mungkin mulai dari Windows server dan End User pakai Vmware itupun pake 2 laptop :[ kismin banget kayaknya . Woles gpp yang penting tujuan goalnya kan tercapai :p ahh sirik aja lu.
Berikut network topologi pada Lab kali ini.
Topologi nyusul ya
Topologi nyusul ya
Awal konfigurasi kita dari kepala (mikrotik) turun ke kaki (ip user dan windows server) dari kaki naik ke tangan (konfigurasi active direktory) dari tangan sampai ke tangan, dari tangan ke semuanya lalalala lalalala -_-
Here is the configuration, Kakak chang tidak membahas dari basic yaa, langsung ke topik topik yang menurut kakak perlu dibahas saja. Disini mikrotik punya kakak internet bersumber dari wifi setempat (gratisan) pada intinya internet dari wifi, bisa disesuaikan dengan keadaan masing-masing. Kemudian eth2 assign menjadi interface menuju ke switch, jadi di eth2 bisa dianggap sebagai trunk karena membawa 2 buah vlan yaitu vlan 10 dan vlan 20. By design, vlan 10 saya arahkan untuk server dan vlan 20 saya arahkan untuk hotspot jadi user-user yang ada nanti akan masuk ke vlan 20.
Konfigurasi Dasar seperti biasa ya adek adek
Kemudian masuk ke active directory, install active directory seperti biasanya. Gak bisa install active directory? MAKANYA BUKA GOOGLE! iya kak ampun ampun. Konfigurasi untuk bagian ini agak lama, biasanya kesalahan karena kurang teliti dari apa yang kakak tulis disini. Perlu diketahui untuk windows server dibawah 2008 masih menggunakan IAS RADIUS sedangkan mulai dari 2008 keatas sudah berubah menggunakan NPAS (Network Policy Access Service) namun pada intinya dalemanya sama juga.
Step #1 Konfigurasi IAS RADIUS pada Active Directory Services
Daftarkan IAS RADIUS agar terdaftar untuk bisa menghandle Active Directory. Cara buka IAS di Start->Control Panel-Administrative Tools->Internet Authentication Service (perlu instal dulu ya)
Klik kanan pada IAS kemudian pilih properties, atur seperti berikut.
Kemudian kita create user profile baru untuk radius, nah profile baru ini nanti untuk menghubungkan dengan perangkat Mikrotik hotspot. Set client vendor ke RADIUS Standard dan masukan unique password untuk IAS sesuai tampilan berikut.
Daftarkan IAS RADIUS agar terdaftar untuk bisa menghandle Active Directory. Cara buka IAS di Start->Control Panel-Administrative Tools->Internet Authentication Service (perlu instal dulu ya)
Klik kanan pada IAS kemudian pilih properties, atur seperti berikut.
Kemudian kita create user profile baru untuk radius, nah profile baru ini nanti untuk menghubungkan dengan perangkat Mikrotik hotspot. Set client vendor ke RADIUS Standard dan masukan unique password untuk IAS sesuai tampilan berikut.
Enable Remote Access Logging
Create Remote Access Policies untuk hotspot profile dimana kita disini akan menambahkan Windows Group yang sesuai dengan list user yang akan kita aktifkan hotspot. Enable Grant remote access permission.
Oh iya cara diatas tidak akan bisa kalau kalian belum membuat Group Policy Object, yang dimana saya tidak membahasnya disini mungkin next time akan saya bahas :))
Edit Profile lebih lanjut aktifkan authentifikasi untuk “MS-CHAP v2, MS-CHAP, CHAP and PAP” method. Sebagai catatan HotSpot only uses PAP method.
Pastikan pada bagian Encryption mengaktifkan semua fitur yang ada.
Pada advanced tab pastikan tidak ada atribut apapun.
Step #2 Konfigurasi Radius pada MikrotikTambahkan RADIUS server profile dan enable service untuk ‘hotspot’. Masukan IP address dari IAS RADIUS server, masukan password yang sama ketika pembuatan RADIUS secret. Gunakan port 1812 untuk Authentication dan 1813 untuk Accounting dengan Timeout at 300ms.
Kemudian kita bikin hotspot profile seperti biasanya, biar cepet pake command IP -> Hotspot Setup untuk interface hotspot diarahkan ke vlan20. Nanti akan tercreate secara sendirinya tinggal kita custom deh didalamnya. Perlu diketahui kita tidak bikin user dari mikrotik melainkan dari active direktorinya nanti. Pada “Hotspot Server Profiles” kita atur Login dengan check “HTTP PAP”.
Pastikan pada bagian Encryption mengaktifkan semua fitur yang ada.
Pada advanced tab pastikan tidak ada atribut apapun.
Step #2 Konfigurasi Radius pada MikrotikTambahkan RADIUS server profile dan enable service untuk ‘hotspot’. Masukan IP address dari IAS RADIUS server, masukan password yang sama ketika pembuatan RADIUS secret. Gunakan port 1812 untuk Authentication dan 1813 untuk Accounting dengan Timeout at 300ms.
Kemudian kita bikin hotspot profile seperti biasanya, biar cepet pake command IP -> Hotspot Setup untuk interface hotspot diarahkan ke vlan20. Nanti akan tercreate secara sendirinya tinggal kita custom deh didalamnya. Perlu diketahui kita tidak bikin user dari mikrotik melainkan dari active direktorinya nanti. Pada “Hotspot Server Profiles” kita atur Login dengan check “HTTP PAP”.
Login Method
Pada bagian RADIUS check pada RADIUS dan Accounting. NAS Port Type biarkan keadaan default (19 wireless-802.11)atau bisa juga rubah ke 15 (Ethernet) mode.
Pada tahap ini RADIUS sudah berkomunikasi dari windows server dan mikrotik device, kalaupun ingin mengetes RADIUS dari PC bisa pakai aplikasi NTRadPing Test Utility.
Step #3 Activating Domain Users for IAS RADIUS
Nah pada bagian ini adalah sesuatu yang sangat vital, perlu diperhatikan lebih seksama lagi pada bagian ini. Pastikan masing-masing user masuk ke “anggota” dari user group yang udah di daftarkan pada step sebelumnya.
Kemudian agar masing-masing user bisa untuk login pada hotspot, kita perlu set pada Dial-in tab dan enable Allow access for Remote Access Permission. Disini saya masih belum menemukan solusi supaya bisa enable Remote Access Permission agar tidak perlu merubah ke masing-masing user. Bayangkan kalau ada 100 users -_-” kalau ada perubahan akan saya post di postingan berikutnya.
Kemudian agar masing-masing user bisa untuk login pada hotspot, kita perlu set pada Dial-in tab dan enable Allow access for Remote Access Permission. Disini saya masih belum menemukan solusi supaya bisa enable Remote Access Permission agar tidak perlu merubah ke masing-masing user. Bayangkan kalau ada 100 users -_-” kalau ada perubahan akan saya post di postingan berikutnya.
Important things setelah melakukan konfigurasi seperti diatas, agar konfigurasi berjalan lancar perlu memasukan command berikut “gpudate”.
Noted: Untuk Windows server 2012 Server Active Directory password perlu menggunakan reversible encryption. Buka Global Policy Manager dan dibawah Configuration – Policies – Windows Settings – Security Settings – Account Policies – Password Policy – Set “Store Passwords using reversible encryption” ke enabled.
Testing, jrennggg berhasil
Salam CIBICIBICIBI hahaha
Tidak ada komentar:
Posting Komentar