Guia de tecnologias

Como configurar o WiKID Strong Authentication 4.0 usando a opção Quick-setup

7 min read Autenticação Atualizado 19 Oct 2025
Configurar WiKID 4.0 com Quick-setup
Configurar WiKID 4.0 com Quick-setup

Introdução

O lançamento 4.0 do WiKID Strong Authentication System traz duas novidades importantes: é gratuito para até 5 usuários e inclui um sistema de configuração rápida (quick-setup). Com um único ficheiro de texto contendo as informações da sua rede, você pode gerar um servidor completo de autenticação de dois fatores. Este guia mostra passo a passo como usar essa funcionalidade, boas práticas de segurança, verificações pós-instalação e alternativas.

Antes de começar

Requisitos e recomendações rápidas:

  • Conta root ou permissões sudo.
  • PostgreSQL (Pg) instalado e em execução para que o quick-setup possa criar a base de dados.
  • Acesso ao servidor via SSH para editar ficheiros e executar comandos.
  • Backup do ficheiro de configuração original antes de alterações.

Importante: retire segredos sensíveis do ficheiro de configuração ou mova-os para um cofre seguro (/etc/WiKID/security) após a configuração.

Passo a passo: criar e editar o ficheiro de configuração

Copie o ficheiro de exemplo para o seu diretório de trabalho. Suponho que você é root ou tem sudo:

# cp /opt/WiKID/conf/sample-quick-setup.properties wikid.conf

Edite o ficheiro com seu editor preferido:

# vim wikid.conf

Abaixo explico cada bloco do ficheiro e o que inserir. Note que linhas começadas por ponto-e-vírgula (;) são comentários.

; passphrase for protecting certs --------------------------------------  
passphrase=protectme  
; *NOTE*: YOU SHOULD REMOVE THIS SETTING AFTER CONFIGURATION FOR SECURITY
  • Esta passphrase protege os ficheiros de certificado do servidor (p12). NÃO A PERCA. Você precisará dela para iniciar o servidor ou ao instalar certificados permanentes. Depois da configuração, mova a passphrase para um ficheiro seguro (por exemplo, /etc/WiKID/security) e remova-a do ficheiro público.
; name to give the domain ----------------------------------------------  
domainname=mydomain 
  • Nome de domínio WiKID. Aparecerá nos tokens dos utilizadores. Use algo genérico se inicialmente proteger apenas um serviço (VPN, SSH, Google Apps). Ex.: “Empresa X Auth”.
; IP of the server -----------------------------------------------------  
domainip=127.0.0.1
  • Endereço IP público/externo onde o servidor WiKID ficará acessível. Os tokens comunicam com este IP.
; 0-Padded IP without dots ---------------------------------------------  
domaincode=127000000001
  • Código de domínio que os utilizadores inserem ao configurar cada token. É o IP sem pontos, preenchido com zeros. Não precisa ser secreto; a segurança baseia-se no processo de registo.
; full hostname of the server; can be same as cn value ----------------------  
hostname=localhost.localdomain 
  • Nome totalmente qualificado (FQDN) do servidor.
; information for setting up a RADIUS host  
radiushostip=10.1.2.3  
radiushostsecret=mysharedsecret  
; *NOTE*: YOU SHOULD REMOVE THIS SETTING AFTER CONFIGURATION FOR SECURITY
  • Define um cliente RADIUS para a rede no WiKID Server (por exemplo: NPS, FreeRADIUS, ou o serviço que usará o WiKID — VPN, webserver, SSH gateway). Após a configuração, remova o segredo do ficheiro ou mova-o para local seguro.
; optionally create an extra host cert for wauth; leave blank if not needed  
wauthhostip=
  • Se você vai criar um cliente que usa a API wAuth, informe aqui o IP do cliente. Caso não utilize, deixe em branco.
; cert properties ------------------------------------------------------  
; administrative email for this server  
[email protected]  
; hostname of server  
cn=localhost.localdomain  
; organization/company name  
o=myorganization  
; department or other OU  
ou=mydepartment  
; city  
l=mylocation  
; full name of state  
st=mystate  
; 2-letter country code  
c=us
  • Estes campos servem para gerar o certificado do servidor. Devem ser únicos e, preferencialmente, corretos para facilitar a conversão do certificado de avaliação para produção. Se usar dados inválidos, será preciso recriar o CSR via WiKIDAdmin.

Executar o quick-setup e iniciar o servidor

Grave o ficheiro e execute:

# wikidctl quick-setup configfile=wikid.conf

Durante a execução verá saída semelhante a:

----------------------------------------------  
= Checking for valid args ...  
= Make sure Pg is running ...  
= Checking if DB exists ...NO!  
== Setting up new DB ...  
log4j:WARN No appenders could be found for logger (com.mchange.v2.log.MLog).  
log4j:WARN Please initialize the log4j system properly.  
== Got Pg connection ...  
= Setting up intermediate CA cert ...  
= Submitting intermediate CA CSR ...  
= Creating Tomcat cert ...  
= Installing intermediate CA cert ...  
== Intermediate cert installation completed!  
= Setting up cert for localhost ...  
== Setting up localhost settings ...  
== RADIUS host does not exist!  
== Setting up wAuth client ...  
= Setting up cert for 10.100.0.112 ...  
== Setting up non-localhost settings ...  
== Domain exists! 1  
== Adding keys ...

Depois, inicie o servidor:

# wikidctl start

Acesse o interface WiKIDAdmin em https://yourserver.com/WiKIDAdmin/ para verificar se o domínio foi criado, se o cliente RADIUS foi configurado e se os certificados foram instalados. Agora instale tokens WiKID e registre utilizadores.

Verificações pós-instalação (mini metodologia de validação)

Siga estes passos para validar a instalação antes de colocar em produção:

  1. Validar serviços: confirme que PostgreSQL e WiKID estão em execução.
  2. Conferir certificados: veja se os certificados emitidos aparecem no Keystore e são válidos (datas e CN).
  3. Teste RADIUS: execute um teste de autenticação RADIUS a partir do cliente (VPN/SSH) apontando para o servidor WiKID.
  4. Registrar token: crie um token de teste, confirme o processo de registo e valide o OTP.
  5. Logs: verifique os logs do WiKID e do sistema para erros durante a inicialização.

Checklist do administrador (rápido)

  • Copiar sample-quick-setup.properties para wikid.conf
  • Editar passphrase e mover para local seguro após configuração
  • Configurar domainip, domaincode e hostname corretamente
  • Inserir radiushostip e radiushostsecret (remover depois)
  • Verificar campos de certificado (CN, O, OU, L, ST, C)
  • Executar wikidctl quick-setup e wikidctl start
  • Acessar WiKIDAdmin e testar registo de tokens
  • Aplicar endurecimento e backups regulares

Segurança e endurecimento

  • Nunca deixe segredos no ficheiro de configuração em texto plano. Após a configuração, mova passphrase e segredos de RADIUS para um ficheiro com permissões restritas (por ex.: chmod 600 /etc/WiKID/security) ou para um cofre de segredos.
  • Rotacione segredos e certificados periodicamente. O certificado de avaliação deve ser atualizado com a licença gratuita de 5 utilizadores em até 30 dias.
  • Limite acesso à interface WiKIDAdmin via firewall (IP whitelisting) e, se possível, use uma VPN de gestão.
  • Habilite logs de auditoria e monitorização para detectar tentativas de uso indevido.

Privacidade e conformidade

O ficheiro de certificado contém informações organizacionais. Insira apenas dados essenciais e administrativos. Não partilhe estes dados sem necessidade. Se sua organização está sujeita a GDPR ou leis locais de proteção de dados, trate listas de utilizadores e atributos pessoais com consentimento e retenção mínima.

Testes e critérios de aceitação

  • Teste 1: O serviço WiKID responde via HTTPS na URL de administração. Resultado esperado: página de login disponível.
  • Teste 2: Um token de teste gera OTPs válidos e o login RADIUS é aceito. Resultado esperado: autenticação bem-sucedida.
  • Teste 3: Registo de eventos aparece nos logs. Resultado esperado: eventos de criação/validação de token registrados.

Problemas comuns e soluções rápidas

  • Erro: “DB exists … NO!” — Solução: verifique se o PostgreSQL está em execução e que o usuário tem permissões para criar bases de dados.
  • Erro: certificados inválidos após quick-setup — Solução: confirme os campos CN/O/OU e, se necessário, gere um CSR novo via WiKIDAdmin.
  • Problema: tokens não se conectam — Solução: confirme domainip e domaincode, verifique regras de firewall e se o serviço WiKID está aceitando conexões externas.

Quando não usar quick-setup (contraexemplos)

  • Cenários com requisitos de segurança que proíbem automações ou a escrita temporária de segredos em ficheiros. Nestes casos prefira a configuração manual passo a passo.
  • Ambientes com integração complexa de PKI corporativa onde os certificados devem ser emitidos por uma CA interna com processos específicos.

Alternativas e integração manual

Se preferir não usar quick-setup, você pode:

  • Configurar o servidor passo a passo via GUI WiKIDAdmin: cria certificado, configura RADIUS e registra domínios manualmente.
  • Automatizar via scripts de configuração já adaptados ao seu processo de CI/CD, usando apenas os comandos seguros e recuperando segredos de um cofre.

Template rápido / Cheat sheet

Comandos essenciais:

# cp /opt/WiKID/conf/sample-quick-setup.properties wikid.conf
# vim wikid.conf
# wikidctl quick-setup configfile=wikid.conf
# wikidctl start

Locais importantes:

  • Ficheiro de configuração: wikid.conf (cópia de sample-quick-setup.properties)
  • Local seguro recomendado: /etc/WiKID/security
  • Interface administrativa: https://yourserver.com/WiKIDAdmin/

Fato rápido

  • A versão 4.0 oferece licença gratuita para até 5 utilizadores, útil para pequenos negócios, ambientes de teste ou uso doméstico.

Papel e responsabilidades

  • Administrador: preparar ficheiro, executar quick-setup, endurecer segredos, monitorar logs.
  • Operador RADIUS: validar integração e realizar testes de autenticação.
  • Utilizador final: instalar token, inserir domaincode uma única vez e completar registo.

Resumo final

O quick-setup acelera a criação de um servidor WiKID funcional. Realize as verificações pós-instalação, remova segredos do ficheiro de configuração e aplique as medidas de segurança descritas. Teste autenticações RADIUS e o registo de tokens antes de mover o sistema para produção.

Notas importantes:

  • Remova segredos e passphrases do ficheiro público imediatamente após concluir a configuração.
  • Atualize o certificado de avaliação para a licença de 5 utilizadores dentro de 30 dias para evitar interrupções.

Anúncio curto (para uso interno):

WiKID 4.0 já disponível: nova opção quick-setup e licença gratuita para até 5 utilizadores. Use o quick-setup para implementar rapidamente um servidor de autenticação de dois fatores; assegure a rotação de segredos e verifique integrações RADIUS antes de produção.

Compartilhar: X/Twitter Facebook LinkedIn Telegram
Autor
Edição

Materiais semelhantes

Instalar e usar Podman no Debian 11
Containers

Instalar e usar Podman no Debian 11

Apt‑pinning no Debian: guia prático
Administração de sistemas

Apt‑pinning no Debian: guia prático

Injete FSR 4 com OptiScaler em qualquer jogo
Tecnologia

Injete FSR 4 com OptiScaler em qualquer jogo

DansGuardian e Squid com NTLM no Debian Etch
Infraestrutura

DansGuardian e Squid com NTLM no Debian Etch

Corrigir erro de instalação no Android
Android

Corrigir erro de instalação no Android

KNetAttach: Pastas de Rede remota no KDE
KDE

KNetAttach: Pastas de Rede remota no KDE