Pernahkan anda dibuat pusing dengan masalah printing pada windows 7. Tiba-tiba saja ketika anda ingin mencetak dokumen anda, printer tidak mau beroperasi.Saya pernah mengalami masalah ini ketika komputer yang digunakan oleh salah satu jajaran pimpinan Fakultas, tiba-tiba saja tidak mau mencetak, padahal secara fisik tidak ada kerusakan baik dari segi printer maupun kabel data USB-nya.Misal dokument yang diolah menggunakan Microsoft Word ingin dicetak dan  klik print, tidak ada reaksi apapun  dari aplikasi tersebut.Masalah tersebut terjadi karena services print spooler  dari windows 7 selalu berhenti (stop), setiap kali di start dalam jangka waktu kurang dari 1 menit akan stop sendiri.Kalaupun bica mencetak, paling hanya dapat 1 lembar, setelah itu printer akan berhenti, dikarenakan service print spoolernya langsung berhenti sendiri. Berberapa referensi di internet termasuk dari support microsoft sudah saya coba, tetapi tetap saja masalah tersebut tidak teratasi. Setelah hampir 2 hari akhirnya masalah tersebut berhasil juga ditemukan solusinya.Padahal saya sudah siapkan jurus pamungkas(install ulang windows 7 heee…heee ) kalau saja masalah tersebut tidak terpecahkan. Melalui blog ini saya berusaha untuk mendokumentasikannya secara lebih detil sehingga suatu saat bisa dibaca kembali/mungkin saja berguna bagi yang membutuhkannya.

Langkah-langkah untuk mengatasi masalah print spooler yang tidak mau berjalan pada Sistem Operasi Windows 7 adalah sebagai berikut:

1. Pastikan secara fisik/hardware tidak ada kerusakan pada peralatan printer maupun kabel penghubungnya(USB/Pararel).
2. Melalui windows explorer hapuslah seluruh isi file dari folder 3, secara lengkap path-nya adalah di C:\windows\System32\spool\drivers\w32x86\3
3. Masuklah ke registry windows 7., Ketik  regedit,  melalui search program and files, milik windows 7.
4. Masuk ke  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows NT x86\Drivers\Version-3
5. Hapus semua nilai yang ada pada direktori Version-3
6. Hidupkan kembali  untuk  service print spooler, melalui Control Panel, Administrative Tools, Services, cari bagian print spooler dan klik start.
7. Langkah terakhir lakukan instalasi ulang untuk driver printer tersebut.

Pada kasus yang saya hadapi semua langkah-langkah dari langkah 1 sampai ke-7, alhamdulilah berhasil mengatasi permasalahan diatas.

Semoga rangkuman trouble shooter diatas dapat bermanfaat bagi yang membacanya.

 

Kebutuhan Hardware dan Software

Peralatan yang digunakan untuk mengimplementasikan sistem ini adalah:

1. Satu buah PC sebagai radius server. Sistem Operasi Ubuntu Server 10.04
2. Wireless Access Point WRT54G2 dengan firmwire DD-WRT untuk mensupport WPA-Enterprise.
3. Freeradius versi 2.17
4. Server Radius utama (tinggal menggunakan, koordinasi dengan admin PPTIK UGM)

Implementasi di sisi Radius Server

Dalam hal ini penulis beranggapan Sistem Operasi Ubuntu Server 10.04 dan Freeradius server 2.17 telah terinstall dengan baik pada komputer serta support SSl dan EAP-TLS. Server Radius Pusat disini sudah dalam kondisi siap, dalam hal ini Server  Radius Utama tersebut adalah milik Pusat Pelayanan Teknologi Informasi dan Komunikasi (PPTIK UGM). Server Radius MIPA sebagai client dari Server Radius Utama PPTIK dan berkomunikasi menggunakan metode realm.

Konfigurasi penting pada Radius Server (/usr/local/radius/etc/raddb):

• Bagian client.conf, pada bagian ini kita mendifinisikan IP  Address dan Secret dari authenticator/access-point yang kita miliki agar bisa terkoneksi dengan dengan authentication server radius kita.

client 10.6.1.1 {

secret = UuhHeE

shortname = access-point-auditorium-mipa

}

client 10.6.1.2 {

secret = KLIA

shortname = access-point-gedung-c

}

• Bagian eap.conf, pada bagian ini konfigurasi eap diletakkan.

eap {

default_eap_type = ttls

timer_expire     = 6000

ignore_unknown_eap_types = no

cisco_accounting_username_bug = no

max_sessions = 2048

gtc {

auth_type = PAP

}

tls {

certdir = ${confdir}/certs

cadir = ${confdir}/certs

private_key_password = MerpatiPUTIH747

private_key_file = ${certdir}/server.pem

certificate_file = ${certdir}/server.pem

CA_file = ${cadir}/ca.pem

dh_file = ${certdir}/dh

random_file = ${certdir}/random

cipher_list = “DEFAULT”

make_cert_command = “${certdir}/bootstrap”

cache {

Allow-Session-Resumption = no

enable =  no

lifetime = 2 # hours

max_entries = 255

}

}

ttls {

default_eap_type = md5

copy_request_to_tunnel = no

use_tunneled_reply = no

virtual_server = “inner-tunnel”

include_length = yes

}

• Bagian proxy.conf, konfigurasi pada bagian inilah yang digunakan untuk berkomunikasi dengan Server radius utama di PPTIK UGM

#  Proxy server configuration

#######################################################################

proxy server {

default_fallback = no

}

######################################################################

#  Configuration for the proxy realms.

######################################################################

home_server localhost {

type = auth

ipaddr = 127.0.0.1

port = 1812

secret = testing123

require_message_authenticator = no

response_window = 20

zombie_period = 40

revive_interval = 120

status_check = status-server

check_interval = 30

num_answers_to_alive = 3

coa {

# Initial retransmit interval: 1..5

irt = 2

# Maximum Retransmit Timeout: 1..30 (0 == no maximum)

mrt = 16

# Maximum Retransmit Count: 1..20 (0 == retransmit forever)

mrc = 5

# Maximum Retransmit Duration: 5..60

mrd = 30

}

}

# Sample virtual home server.

home_server virtual.example.com {

virtual_server = virtual.example.com

}

######################################################################

home_server_pool my_auth_failover {

type = fail-over

home_server = localhost

}

######################################################################

realm mipa.net {

auth_pool = my_auth_failover

}

realm LOCAL {

}

realm ugm.ac.id {

authhost        = 10.13.253.3:1812

secret          = HoreHore

nostrip

}

realm mail.ugm.ac.id {

authhost        = 10.13.253.3:1812

secret          = HoreHore

nostrip

}

• Bagian inner-tunnel.conf

server inner-tunnel {

authorize {

mschap

update control {

Proxy-To-Realm := LOCAL

}

eap {

ok = return

}

expiration

logintime

pap

}

authenticate {

Auth-Type PAP {

pap

}

Auth-Type MS-CHAP {

mschap

}

eap

}

session {

}

post-auth {

Post-Auth-Type REJECT {

attr_filter.access_reject

}

}

pre-proxy {

}

post-proxy {

eap

}

• Bagian default.conf, pada freeradius versi 2, bagian ini merupakan bagian utama dari freeradius

authorize {

preprocess

auth_log

suffix

eap {

ok = return

}

pap

}

authenticate {

Auth-Type PAP {

pap

}

Auth-Type CHAP {

chap

}

Auth-Type MS-CHAP {

mschap

}

}

preacct {

preprocess

acct_unique

}

accounting {

}

session {

}

post-auth {

}

Membuat root certificate

pada freeradius versi 2, sudah tersedia scripts yang digunakan untuk membuat certificate yaitu tersedia pada direktori certs di /usr/local/radius/etc/raddb

untuk membuat root certificate ini, kita terlebih dahulu harus menyesuaikan konfigurasi yang akan kita gunakan untuk mengenerate root sertificate. Ubah file ca.cnf terutama pada bagian:

[ req ]

prompt = no

distinguished_name = certificate_authority

default_bits = 2048

input_password = MerpatiPUTIH747

output_password = MerpatiPUTIH747

x509_extensions = v3_ca

[certificate_authority]

countryName = ID

stateOrProvinceName = D.I.Yogyakarta

localityName = Tim IT FMIPA

organizationName = FMIPA Universitas Gadjah Mada

emailAddress = endro@ugm.ac.id

commonName = “FMIPA  UGM Certificate Authority”

Selanjutnya untuk membuat certificate lakukan perintah: #make ca.pem dan #make ca.der, File ca.der inilah yang nanti harus diinstalkan ke masing-masing supplicant.

Membuat server sertificate

untuk membuat server certificate ini, kita terlebih dahulu harus menyesuaikan konfigurasi yang akan kita gunakan untuk mengenerate server sertificate. Ubah file server.cnf, bagian yang diubah sama dengan konfigurasi di server.cnf

Selanjutnya untuk membuat server certificate lakukan perintah: #make server.pem dan #make server.csr

Membuat client sertificate

untuk membuat client certificate ini, kita terlebih dahulu harus menyesuaikan konfigurasi yang akan kita gunakan untuk mengenerate client sertificate. Ubah file client.cnf, bagian yang diubah sama dengan konfigurasi di ca.cnf

Selanjutnya untuk membuat client certificate lakukan perintah: #make client.pem , hasil dari perintah make tersebut akan menghasilkan beberapa file dengan awalan client, file client.pem dan client.p12 harus dinstallkan ke komputer supplicant. Ketika menginstall file tersebut akan ditanyakan input password dan output password. Isikan password tersebut sama dengan input dan output password root certificate dan server certificate.

Implementasi di sisi Authenticator (Access-Point)

Masuk ke Web Administration untuk Access Point WRT54G2 versi DDWRT, alamat default http://192.168.1.1

Setting IP address

Setting nama SSID

Setting Wireless Security

Nah untuk setting dari sisi server dan access-point saya rasa sudah cukup, tinggal nanti  setting dari sisi supplicant. Untuk tiap sistem operasi mempunyai perbedaan untuk setting.

Tulisan diatas sudah penulis coba menggunakan Windows 7, dan berjalan baik.

Untuk tutorial instalasi setting di sisi supplicant, bisa di lihat di http://oit.ugm.ac.id/tutorial

Semoga tulisan ini bermanfaat. Wassalam

Referensi:

• http://oit.ugm.ac.id
• http://wiki.freeradius.org
• http://id.wikipedia.org

Latar Belakang Masalah

Untuk mewujudkan infrastruktur jaringan dan keamanan wireless di lingkungan FMIPA UGM, perlu dikembangkan koneksi wireless yang lebih aman dengan authentikasi terpusat. Banyak sekali alasan mengapa keamanan wajib diterapkan di jaringan wireless. Alasan utamanya adalah bahwa jaringan wireless merupakan jaringan yang paling tidak aman. Hal tersebut karena arsitekturnya yang harus terus-menerus membroadcast paket bila akan melakukan pertukaran data. Oleh karena itu, perlu dikembangkan berbagai macam mekanisme keamanan jaringan yang secara spesifik digunakan pada jaringan wireless.

Mengadopsi dari sistem yang telah dikembangkan oleh Information Systems Integration Team Universitas Gadjah Mada, di FMIPA UGM juga dikembangkan sistem yang mendukung authentikasi terpusat tersebut. Untuk menyederhanakan penamaan SSID di lingkungan FMIPA UGM, secara perlahan-lahan hanya ada 2 nama SSID yang nantinya berjalan, yaitu:

• UGM-Hotspot, untuk bisa terkoneksi ke SSID ini cukup menggunakan account email ugm(domain ugm.ac.id atau mail.ugm.ac.id).(Tutorial implementasi sudah pernah dibahas. Untuk menyegarkan kembali pembahasan tersebut klik disini)
• UGM-Secure, untuk bisa terkoneksi ke SSID ini selain harus mempunyai account email ugm (domain ugm.ac.id atau mail.ugm.ac.id), juga harus menyertakan sertifikat agar bisa terkoneksi.

Jadi untuk EAP-TLS  diimplementasikan khusus untuk SSID UGM-Secure, harapannya agar koneksi wifi bisa lebih aman dan membatasi akses dari pihak-pihak yang bukan dari kalangan civitas akademika UGM.

Daftar Istilah  Teori

• WPA   (Wifi Protected Access), merupakan suatu standar mekanisme authentikasi, dengan teknik enkripsinya adalah TKIP. Metoda pengamanan dengan WPA ini diciptakan untuk melengkapi dari sistem yamg sebelumnya, yaitu WEP. WPA didesain dan digunakan dengan alat tambahan lainnya, yaitu sebuah Radius Server.
• TKIP (Temporary Key Integrity Protocol),  merupakan protokol yang didefinisikan oleh IEEE 802.11i yang mengkhususkan untuk jaringan nirkabel untuk menggantikan WEP. TKIP didesain untuk menggantikan WEP tanpa mengubah / mengganti perangkat keras.
• Secret/Shared Secret : kunci yang akan dibagikan ke komputer dan juga kepada client secara transparant.
• EAP (Exstensible Authentikasi Protocol): universal authentikasi framework yang banyak digunakan pada jaringan wireless dan koneksi point-to-point.
• EAP-TLS :sebuah IETF standar terbuka, dan didukung dengan baik di antara vendor nirkabel. EAP-TLS menawarkan banyak keamanan, karena TLS dianggap sebagai penerus standar SSL.
• Radius : Remote Authentication Dial-In User Service (RADIUS) pada awalnya digunakan oleh ISP untuk authentifikasi denganusername/password sebelum dapat berkoneksi dengan jaringan ISP, dan biasanya adalah untuk user dial-up.RADIUS digunakan untuk back-end authentication server.
• Supplicant Computer: Komputer client yang akan terkoneksi ke suatu Access Point.
• Authenticator : Alat yang digunakan untuk mengeksekusi, apakah suatu supplicant dapat mengakses jaringan wifi atau tidak.
• Authentication Server : Server yang bertugas untuk memvalidasi apakah supplicant valid atau tidak.

Prinsip Kerja

1. Ketika sebuah supplicant ingin mengakses jaringan melalui access-point UGM-Secure, maka Access Point yang juga berfungsi sebagai Authenticator akan meminta Identitas Supplicant, dalam hal ini adalah Certificate. Jadi agar suatu supplicant bisa terkoneksi..maka harus menginstall terlebih dahulu Certificate root, client, dan server.Jadi yang dilewatkan ketika proses identifikasi ini berlangsung hanyalah traffik Exstensible  Authentication Protocol (EAP) saja.
2. Authenticator dalam hal ini adalah Access-Point UGM Secure berfungsi untuk me-relay paket identifikasi yang dikirim oleh supplicant ke Authentication Server (dalam hal ini Radius Server).Nah..agar Authenticator dan Authentication Server ini bisa saling berkomunikasi maka, shared-secret pada authenticator terlebih dahulu harus didefinisikan pada authentication server. Jadi Shared-Secret/secretnya harus sama. Untuk setiap authenticator boleh mempunyai shared secret yang berbeda-beda, yang penting pada authentication server telah didefinisikan secret untuk setiap authenticator.
3. Jika Authentification server, menyatakan bahwa certificate yang dikirim oleh supplicat valid, maka proses selanjutnya adalah proses login. Supplicant akan diminta untuk memasukkan username dan password mengunakan account email ugm. Jika valid maka pada status koneksi di supplicant adalah connected, artinya supplicant bisa mengakses internet melalui UGM-Secure.