Embed Size (px)
Citation preview
51
ANEXO 7.3
Interfaz de Control de Acceso y Monitoreo
JORGE CASTILLO D.
CARLOS MOLINA M.
JAIME BOLÍVAR C.
Universidad de La Frontera Noviembre de 2002
52
La interfaz implementada integra y personaliza herramientas de monitoreo y gestión de redes existentes tales como Netsaint e ICRadius.
1.- Netsaint Netsaint es una herramienta de monitoreo de redes que permite conocer el estado y funcionamiento de estas. El administrador accede a esta herramienta a través una interfaz web, la cual despliega en forma gráfica la red e información concerniente a ésta. Dentro de las funcionalidades que este software ofrece están: • Mantiene un registro temporal del estado de los equipos de la red, lo que permite tener
estadísticas de fiabilidad y uso de ella. • Tiene la capacidad de monitorear el estado de determinados servicios de los equipos
pertenecientes a la red. • Ante cualquier problema en la red, este software, envía avisos al administrador a través
de correo electrónico, respecto del equipo que presenta la falla. Estos mensajes son almacenados para su posterior análisis.
• Permite el despliegue de la información almacenada, de forma que el administrador pueda tener una idea clara del funcionamiento de su red, además de identificar los posibles problemas que esta pueda tener.
• Presenta una integración con MRTG, lo cual permite observar el tráfico que se genera en la red.
Para acceder a la interfaz de Netsaint, sólo se debe poseer un navegador web y acceder a la siguiente url: http://nombre-de-host/netsaint/, a través de la cual se visualizará una página, donde se debe presionar el botón llamado “Mapa de Estatus” del menú izquierdo; a continuación se solicitará el ingreso de un login y password con lo que se podrá visualizar una página que muestra el ordenamiento lógico de la red como se muestra en la siguiente figura:
53
Antes de abordar la configuración es necesario aclarar un concepto fundamental: El despliegue de la red de Netsaint, se estructura de acuerdo con jerarquías, esto queda más claro con un ejemplo: supongamos que debemos ingresar un host que depende de un router, este último será el padre, por lo que se debe ingresar este host como dependiente (hijo) del segundo, así generaremos un diagrama lógico de la red. Con esto es más fácil determinar donde se producen fallas y cuales son las consecuencias de ellas.
1.1 CONFIGURACIÓN
Si pincha cualquier línea de enlace podrá ver el gráfico de tráfico de ese enlace
Este botón permite accederal menú contextual de cadahost
En este punto se representa alequipo que ejecuta Netsaint, el quecorresponde al de mayor jerarquíade la red
54
Para acceder a esta interfaz debe pinchar el icono que aparece resaltado en la figura anterior. Los pasos a seguir para configurar el monitoreo de la red son:
1.2 CREAR O MODIFICAR LOS PERÍODOS DE TIEMPO PARA MONITOREAR SU RED
Se debe hacer clic en la pestaña de la interfaz de configuración, luego seleccionar “Timeperiod”. Esto abrirá el menú de configuración de períodos de tiempo. Es en esta, donde se debe seleccionar la creación de todos los objetos y sus atributos para que Netsaint los pueda monitorear.
Existe una tabla con periodos de tiempo definidos, lo que pueden ser llamados solo ingresando su nombre para su modificación, como se explicará posteriormente. Esta tabla es la siguiente:
55
Para crear nuevas definiciones de horarios, o bien modificar una ya existente, es necesario ingresar al formulario de periodos de tiempo “Timeperiod”.
1.3 CREAR LOS CONTACTOS Y GRUPOS DE CONTACTOS
Para la configuración de los contactos, es decir, las personas que recibirán advertencias o mensajes cuando ocurra algún problema en la red, se debe abrir el formulario de creación de contactos. En este encontrará lo siguiente
Estos dos campos (Timeperiod Namey Timeperiod Alias) permitenidentificar el periodo de tiempo.Recuerde que en este, como en todoslos formularios, el nombre es lo que severá en otras interfaces deladministrador por lo que esrecomendable que no sea muy extensoy no debe tener espacios vacíos.
En estos campos se puededefinir los horarios como seestime conveniente
56
También es necesario ordenar los contactos en grupos. Para esto se debe a acceder al formulario de creación de grupos de contactos “contact”, como lo muestra la siguiente figura. Esto permite definir perfiles de monitoreo, donde cada uno de estos pueden tener distintos atributos, como son: máquinas a monitorear, parámetros y personas de contacto.
Nombre del contacto
Algún alias para este contacto
Estas dos pestañas permiten definir elperiodo de tiempo en que el contacto estádisponible para solucionar posiblesproblemas de servicios como host
Este grupo de opciones permite definir anteque tipo de problemas se debe notificar a estecontacto específico
Estos dos campos definen de queforma se le puede notificar al contactoante problemas, esto puede sermediante correo electrónico o un buscapersonas
Este campo es para ingresar la dirección a la cualenviar las notificaciones
Aquí se debe seleccionar todos loscontactos que van a pertenecer algrupo
Estos campos funcionan de la mismamanera que en los demás formularios
57
1.4 CREACIÓN DE HOST
Al ingresar equipos para ser monitoreados por el Netsaint, se debe tener la precaución de agregar en primer lugar los equipos más cercanos a la máquina donde se está ejecutando el Netsaint, esto para facilitar la tarea de configuración. De lo contrario se tendrán que editar, posteriormente, los host que dependen de un equipo intermedio para jerarquizarlos como hijos del mismo. El menú de creación de host es el siguiente: 1.4.1 Creación del primer host
1.4.2 Creación de los otros equipos A diferencia del primer caso, antes mencionado, todos los campos son iguales excepto el que hace referencia al “Padre” (Parent Host), ya que se debe tener el debido conocimiento
En este campo se puedeingresar un nombre más largoy descriptivo del equipo
Dirección IP delequipo
Esto indica el periodo de tiempoen que el administrador recibiránotificaciones de los parámetros deadvertencia
Parámetros de advertencia
“Host Name”, este campo esfundamental para lainteroperabilidad con MRTG, elque no debe ser mayor de 8caracteres y no debe tenerespacios en blanco
Esto define el comando a travésdel cual se encuesta el estado delhost
Espacio para otras opciones
El primer host no posee “Padre”, por loque el campo llamado “Parent Host”,queda en blanco (None).
58
de dependencia de los siguientes equipos a ingresar. Un ejemplo de esto se muestra en la siguiente figura:
1.5 CREACIÓN DE LOS GRUPOS DE HOST SEGÚN LOS CRITERIOS QUE SE ESTIMEN
CONVENIENTES Los grupos de host permiten organizar los equipos por función o tipo, por ejemplo los routers de una red, o los servidores web, etc. El siguiente es el menú de creación de un grupo
1.6 CREACIÓN DE SERVICIOS
Un requisito indispensable para que cualquier host pueda ser monitoreado, es que tenga configurado, al menos un servicio. Los servicios que se deben monitorear en cada una de las máquinas pueden ser http, pop, smtp, snmp, radius, dns, printer, etc. También es posible agregar otros servicios descargando nuevos plugins o creándolos. Para acceder a este menú usted debe seguir los mismos pasos que en el caso de un “timeperiod”, seleccione servicio en la pestaña de la página principal
Se especifica el grupo de contactos que esresponsable de este grupo de host
Aquí se deben seleccionar todos loshost que van a pertenecer al grupo
Equipos previamente ingresados yposiblemente padre del nuevo host
59
Existen distintos comandos para poder monitorear el servicio, estos son: check-host-alive, check-printer-alive, check-router-alive, check-switch-alive, check_disk, check_dns, check_ftp, check_hpjd, check_http, check_http2, check_load, check_mrtg, check_nntp, check_ping, check_pop, check_procs, check_radius, check_snmp, check_tcp, check_telnet, check_udp, check_users, host-notify-by-mail, host-notify-by-epager, notify-by-email, notify-by-epager, service-notify-by-email, traffic-average. Para conocer el funcionamiento de estos es necesarios remitirse a la información de ayuda. Una vez realizadas todas estas configuraciones es posible modificarlas, los formularios para realizar esta tarea son los mismos que para la creación, y sólo deben ser accedidos pinchando sobre los enlaces que acompañan los nombres.
Aquí se debe seleccionar el equipo para elcual se va a configurar un servicio amonitorear. Este host debe estar creadocon anterioridad.
En este campo puede dar un alias para esteservicio, por ejemplo “ping”
Dejar en blanco Estos 3 campos controlan la sensibilidad a las fallas que va a tener el monitoreo
Este campo especifica a quegrupo de operadores se lesnotificará en caso de falla
Estos campos funcionan de la mismamanera que en la creación de un nuevohost
Comando de monitoreo del servicioespecífico
60
1.7 ASIGNACIÓN DE ICONOS
Para asignar íconos a los equipos de la red, es necesario editar el archivo “/usr/local/netsaint/etc/nscgi.cfg” y agregar una línea de código por cada host, este procedimiento se describe a continuación:
hostextinfo[wireless]=http://wireless.ufro.cl;redhat.gif;;redhat.gd2;RedHat 7.0 Importante: el texto entre corchetes debe ser el nombre que se le asignó al equipo en la configuración anterior. Como se puede observar, es posible agregar una dirección web relacionada con este host, la que puede ser accedida desde la página de detalles de estado de esta máquina. En el siguiente campo se debe especificar un archivo en formato .gif que contenga el icono que se quiere asignar al host, a continuación viene un campo para agregar un ícono vrml para la interfaz 3D de este software, pero que no abordamos en este documento, después se debe especificar un archivo con la misma imagen pero en formato .gd2 (Una imagen con formato GD2 es usada por el CGI llamado statusmap o estado de la red, para representar el host. Las imágenes PNG pueden ser convertidas a GD2 usando el utilitario llamado “pngtogd2”, su utilización es: “pngtogd2 nombre-archivo.png nombre-archivo.gd2”), por último se ingresa una brevísima descripción del host de no más de 10 caracteres. Nota: Esto no es imprescindible pero ayuda a comprender mejor el diagrama de la red que este software genera, ya que se puede discriminar si una máquina está con Linux, Windows, o bien describir que tipo de equipo es, ya sea Access Point, Switch, Router, etc.
Este enlacé permite acceder alformulario de modificación delobjeto que lo acompaña Este menú permite ver las máquinas que
son hijos de este objeto padre. En estecaso serían los equipo que estánasociados a este grupo de host perotambién pueden ser los serviciosasociados a un equipo.
Esta opción permite borrar un objeto.Para esto se debe seleccionar la opción yluego pinchar el botón “Delete” que loacompaña, es importante tener laprecaución de borrar primero los objetos hijos, de lo contrario será necesario editar el archivo de configuración para eliminarlos objetos huérfanos
Este botón permite aplicar laconfiguración recién hecha
61
Para que la nueva configuración tenga efecto es necesario reiniciar Netsaint, esto se hace presionando el botón “Verify Config/Restart Netsaint” del menú principal de la herramienta de configuración de Netsaint. A continuación se puede ver un esquema de la estructura de directorios de Netsaint /usr/local/netsaint/ |-- bin Aquí esta el archivo ejecutable de Netsaint |-- etc Archivos de configuración |-- libexec Directorio de plugins |-- neat4 interfaz de configuración |-- sbin páginas cgi |-- share páginas html | |-- docs | | |-- developer | | | `-- images | | `-- images | |-- images | | |-- logos iconos de los equipos | | `-- resp | |-- media | `-- stylesheets `-- var archivos de trabajo y logs de Netsaint |-- archives | `-- rw `-- rw
1.8 INTEROPERABILIDAD CON MRTG
En cuanto la interacción con MRTG, las únicas consideraciones que es necesario tener a la hora de configurar la medición de tráfico de la interfaz asociada un equipo, son: • Se debe especificar como directorio de trabajo de MRTG “/var/www/html/mrtg/”.
En el archivo llamado nscgi.cfg , que se encuentra en /usr/local/netsaint/etc/ • Se debe especificar como “target” de la configuración de MRTG el nombre del host al
que se desea monitorear su tráfico Nota: para mas información sobre la configuración de MRTG diríjase a la documentación del mismo en http://www.mrtg.org Para mas detalles acerca de Netsaint o de la creación de nuevos comandos de monitoreo para nuevos servicios, puede acceder a la página http://www.netsaint.org
62
2.- ICRadius
2.1 DINÁMICA DE FUNCIONAMIENTO DEL ICRADIUS
El ICRadius tiene el mismo funcionamiento que todos los servidores RADIUS tradicionales, es decir; cuando un usuario de la red inalámbrica solicita una conexión, el punto de acceso (NAS) envía un pedido de autorización de acceso al servidor ICRadius. A través de su Base de Datos, los pedidos son aceptados o no. Podemos comprender mejor esta dinámica describiendo las fases y paquetes enviados en su operación. Dentro de su funcionamiento existen principalmente dos casos, lo que se explicarán a continuación.
2.2 FASES DE OPERACIÓN DEL RADIUS
Fase I – Autenticación El Servidor de Acceso Remoto envía un pedido de acceso al Servidor Radius y espera: Aceptado: Continua con la fase II. Rechazo: Permite nuevo intento o cancela la tentativa de acceso.
63
Desafío: Envía mensaje, en la cual el usuario deberá enviar una respuesta esperada. El servidor si valida esta respuesta envía un “Aceptado”. Fase II – Contabilidad El Servidor de Acceso Remoto envía “pedido de contabilizar”, luego de la autenticación, y otro inmediatamente después de la desconexión, señalando el fin de la contabilización.
2.3 PAQUETES UTILIZADOS POR EL RADIUS
Los paquetes referentes a la autenticación, citados en el ítem anterior, son los siguientes: “Access-Request” – Pedido de Acceso. Este paquete es enviado toda vez que hay una tentativa de conexión de algún usuario para el Servicio de Acceso a la Red (NAS). Además de la información del usuario, el Servidor de Acceso a la Red informa el número de puerta al cual el usuario está conectado, además de otras características dependientes de la configuración de la puerta. Esta información es insertada en forma de atributos. “Access-Accept” – Acceso Aceptado. Este paquete es enviado por el Servidor RADIUS al NAS aceptando el “Access-Request” anteriormente enviado. Además de la aceptación propiamente dicho, son incluidos atributos que indican como una puerta por la cual el acceso fue hecho debe ser configurada, de acuerdo con los servicios autorizados para el usuario. “Access-Reject” – Rechazo de Acceso. Este paquete es enviado por el Servidor Radius al NAS rechazando el “Access-Request” anteriormente enviado. En este caso la conexión del usuario es desestimada (después de un cierto número de tentativas). Los paquetes referentes a la contabilización. “Accounting-request”: Pedido de Contabilización. Paquetes enviados por el NAS conteniendo información referente a la contabilidad, tales como: inicio/fin de contabilización, número de octetos recibidos/enviados, número de paquetes recibidos/enviados, tiempo de conexión, causa de cancelación. Este paquete es enviado básicamente en dos momentos: tan pronto ocurre la autenticación y en la cancelación de una sesión. “Accounting-Reply”: Respuesta al pedido de contabilización. Es apenas una confirmación de haber recibido un “Accounting-request”.
2.4 FUNCIONES “AAA”
64
Radius realiza tres funciones relacionadas con la seguridad de los accesos remotos, agrupadas bajo el acrónimo inglés “AAA” (“Authentication, Authorization and Accounting”): Autenticación: posibilidad de que los usuarios remotos se identifiquen mediante un identificador y una clave de acceso. Autorización: asignación de parámetros a cada acceso basándose en perfiles de usuario predefinidos y políticas de seguridad. Contabilidad (“Accounting”): creación de registros de uso para permitir estadísticas de los accesos remotos. A continuación se describen en más detalle las tres funciones que forman la “AAA”. 2.4.1 Autentificación Durante el proceso de autentificación, se produce el intercambio del identificador del usuario y su clave entre el usuario, el NAS y el servidor Radius. El identificador y la clave son enviados por el usuario al servidor de acceso a la red (NAS). El servidor de acceso a la red (NAS), inicia una transacción Radius con el servidor Radius y envía el identificador y la clave del usuario (cifrada con una clave secreta que comparten el cliente y el servidor). El servidor utilizará la clave para verificar la identidad del usuario, y si se comprueba que es quien dice ser, se pasa a la siguiente fase; en caso contrario, se rechaza el intento de conexión. 2.4.2 Autorización Después de la autenticación, la siguiente fase en las transacciones AAA es la autorización. Junto con la información de autenticación que el cliente incluye en la solicitud de acceso Radius, también se incluye información sobre el tipo de conexión que el usuario trata de establecer. El servidor Radius emplea estos datos para autorizar el acceso del usuario y emitir un mensaje de respuesta de aceptación, o denegar el acceso y emitir un rechazo. La autorización está controlada por el perfil del usuario, que reside en un archivo de datos asociada al servidor Radius. 2.4.2 Contabilidad La función de contabilidad de Radius realiza un seguimiento de las transacciones desde su inicio hasta su fin. Para ello captura estadísticas y medidas de uso de cada sesión, que permiten al servidor Radius mantener: • Un registro histórico de todas las sesiones, con la hora de inicio y fin y estadísticas de
uso.
65
• Una lista de usuarios actualmente conectados, actualizable en tiempo real.
2.5 ESTRUCTURA DE DIRECTORIOS CREADA POR EL ICRADIUS
La Estructura creada al instalar el ICRadius es como se describe a continuación, y es muy simple, ya que para instalar este servidor se debe descomprimir el paquete en la ubicación señalada a continuación: /usr/local/src/ Directorio donde se debe descomprimir el paquete del ICRadius /etc/raddb/ Directorio donde se almacena el archivo de configuración del ICRadius. /usr/local/sbin/ Directorio donde se copia el ejecutable radiusd. /etc/rc.d/init.d/ En este directorio se debe copiar el archivo ejecutable del servidor ICRadius, llamado radiusd. /usr/local/src/icradius-0.18/ Este directorio es creado al momento de descomprimir el paquete del ICRadius. En él se encuentran todos los archivos y sub-directorios, para realizar su compilación e instalación. /usr/local/src/icradius-0.18/debian/ En este directorio se encuentran algunos archivos ocupados por el servidor ICRadius, los cuales no es necesario modificar. /usr/local/src/icradius-0.18/doc/ En este directorio se encuentran los archivos de ayuda del ICRadius, para su compilación e instalación, así como también las diferencias que existentes entre distintas versiones. /usr/local/src/icradius-0.18/raddb/ En este directorio se encuentran los archivos de diccionario, utilizados al momento de traspasar estos valores a la base de datos de MySQL. Además se encuentra el archivo de configuración de este servidor. /usr/local/src/icradius-0.18/redhat/ Desde este directorio se extrae el archivo ejecutable que dará inicio al servidor ICRadius, este procedimiento es explicado en su manual de instalación. /usr/local/src/icradius-0.18/scripts/ Aquí se encuentran algunos script utilizados durante la compilación del ICRadius. Además se encuentra el archivo que posee la estructura de la base de datos.
66
/usr/local/src/icradius-0.18/scripts/images/ En este directorio se encuentran algunas imágenes, las que no son utilizadas por este servidor, ni ningún scritp. /usr/local/src/icradius-0.18/src/ Directorio donde se encuentran los archivos fuente de este servidor. Además de los archivos “Make” necesarios para la compilación. /usr/local/src/icradius-0.18/src/sql_modules/ Directorio donde se encuentran los módulos necesarios para que este servidor interactúe con el servidor de Base de Datos MySQL. /usr/sbin/ Directorio donde se encuentra el archivo ejecutable “radiusd”. /var/www/html/ICRadius/ Directorio donde se almacena la interfaz web creada por el proyecto, para el servidor ICRadius.
2.6 ARCHIVOS IMPORTANTES DEL ICRADIUS
Dentro de la estructura de directorios creada al momento de descomprimir e instalar el ICRadius, se generan o bien, hay algunos archivos importantes, que es necesario conocer. Estos se listan a continuación, con su ruta de ubicación. /etc/raddb/ radius.conf Este archivo de mucha importancia, ya que en él se configuran los atributos necesarios para la correcta operación y funcionamiento de ICRadius con el servidor de Base de Datos de MySQL. /usr/local/sbin/ radiusd Archivo ejecutable del ICRadius. /etc/rc.d/init.d/ radiusd Este archivo es el ejecutable del servidor radius, posee tres opciones, estas son: start Esta opción inicia el servidor. stop Esta opción detiene el servicio. reload Esta reinicia el servidor. /usr/local/src/icradius-0.18/raddb/
67
radius.conf archivo de configuración original, luego de efectuar las propias modificaciones es enviado a la ruta mencionada anteriormente. dictionary (distintas variaciones) archivo de diccionario, donde se encuentran los atributos con su respectivos valores, todos estos son traspasados a la base de datos de radius, con la ayuda de un script. /usr/local/src/icradius-0.18/redhat/ rc.radiusd-redhat archivo ejecutable con su nombre original, una vez hechas las modificaciones pertinentes, es renombrado como radiusd. /usr/local/src/icradius-0.18/scripts/ radius.db archivo que contiene la estructura de la base de datos radius Existen además, dentro del directorio, otros archivos utilizados durante la compilación. /usr/local/src/icradius-0.18/src/ Lugar donde se encuentran los archivos Make necesarios para la compilación, existen archivos opcionales para distintos sistemas operativos. /var/www/ICRadius/ connect.inc En este archivo se encuentran la identificación (login y password), para que la interfaz web tenga comunicación con la Base de Datos de MySQL. loginOptions.inc Aquí se ingresa la información de la base de datos y las tablas utilizadas por la interfaz web. /usr/share/php/ master.cfg En este archivo se encuentran la identificación (login y password), para que la interfaz web tenga comunicación con la Base de Datos de MySQL.
2.7 REQUERIMIENTOS DEL SISTEMA PARA INSTALAR EL SERVIDOR ICRADIUS
Para poder instalar esta versión del Radius, se debe instalar algunos módulos que se encuentran a libre disposición en la red Internet para la plataforma Linux. Se debe instalar sobre una máquina con Sistema Operativo Linux RedHat 7.2 Esta máquina con RedHat debe contar con: Servidor de Base de Datos MySQL
68
Servidor Web Apache Y se debe poseer el Disco de Instalación generado por el proyecto, el cual instalará todos los módulos necesarios para el correcto funcionamiento del ICRadius, dejándolo operativo.
2.8 CONFIGURACIÓN DE LOS PUNTOS DE ACCESO
Para que el control de acceso sobre la red sea realizada por el ICRadius, se debe configurar esta propiedad en el punto de acceso respectivo.
Para poder conocer mas sobre el AP Manager y sus potencialidades explicaremos en forma detallada su funcionamiento, con respecto al control de acceso a la red inalámbrica. En la figura presentada anteriormente se puede visualizar la pantalla principal del AP Manager, en donde, para poder editar la configuración de este punto de acceso, en este caso específico está descrito como “XXX.XXX.XXX.XXX” llamado “Nodo Prat”, que corresponde al número IP asignado a este punto de acceso AP-1000, se debe hacer clic en
69
el botón “Edit”, con lo cual aparecerá una nueva ventana, la que se muestra en la siguiente figura.
En esta nueva ventana aparecen siete opciones principales, cada una de estas con distintas funciones. La opción que analizaremos es la correspondiente a “Access Control” (Control de Acceso), ya que está relacionada con los objetivos que se desean alcanzar con este Trabajo de Título. Como se puede observar en la Figura 18, aparecen dos opciones representadas por una breve descripción seguida de un botón “Edit...”. Al presionar el botón de “Edit...” de la opción de “Setup RADIUS server name and secret” aparecerá una ventana como la siguiente:
70
En resumen, se debe realizar lo siguiente: • Activar la opción RADIUS Access Control. • Luego, desde el menú desplegable, se le indica al AP, cada cuanto tiempo debe
preguntar o validarse a través del ICRadius. • A continuación, se le debe indicar la dirección IP de la máquina donde esta instalado el
ICRadius. • Una vez hecho lo anterior se le indica el puerto de comunicación, por la cual realizará la
autentificación, esta viene por defecto y es la 1812. • Opcionalmente se pueden tener dos servidores RADIUS, en caso que el primero deje
de operar, el AP interroga al segundo. Una vez hecho lo anterior, se deben ingresar los valores correspondientes a la Base de Datos del RADIUS. Estos valores deben ser los atributos de los clientes o usuarios inalámbricos y de los Puntos de Acceso.
71
Lo anterior es posible de hacer a través de la interfaz Web creada por el proyecto.
Al ingresar a través del navegador al sitio web de administración del ICRadius, aparecerá una página como la que se muestra en la figura. Deberás ingresar el nombre de usuario y clave de acceso correspondiente al Administrador, (Nombre Usuario: Admin, Clave Acceso: Admin2003). Y presionar el botón “Entrar”.
72
Si la Clave de Acceso y Nombre de Usuario son correctas, se podrá visualizar un menú con algunas opciones para el administrador, inicialmente se debe configurar los Puntos de Acceso o NAS (Network Access Server), para esto se debe hacer clic en “Agregar”, del ítem “Hardware NAS”.
En “NAS Name” se debe ingresar el nombre asociado a este NAS (ej: www.nas.cl), a continuación se debe agregar un Alias para este NAS (ej: OFICINA), este nombre es arbitrario y depende de cada administrador. Luego se debe ingresar la dirección IP de este AP-1000, el tipo de hardware que por defecto viene como Livingston, el cual no cumple ninguna función específica. A continuación se ingresa el número de puerto, el que no está operativo, por el que su valor es irrelevante. El valor que se debe ingresar a continuación es la contraseña de acceso que utilizará este NAS. Si se tiene alguna comunidad SNMP, se debe ingresar el nombre correspondiente de ella y si está activa se debe marcar el casillero situado bajo la palabra “SNMP”. Finalmente se debe presionar el botón Agregar. Esto se repite tantas veces como AP-1000 desees controlar.
73
Al presionar el link llamado “Listar Todos” del menú de administración, aparecerá una nueva pantalla, como lo muestra esta figura, con toda la información de los puntos de acceso, otorgando la posibilidad de modificar y/o eliminar las configuraciones actuales.
Al presionar el botón de “Modificar”, en la pantalla de los NAS actualmente configurados, aparecerá una nueva con toda la información del NAS seleccionado, donde se pueden modificar todos los campos existentes ahí mostrados, pero se debe tener certeza y conocimiento apropiado de qué modificar, ya que algún cambio erróneo puede perjudicar el funcionamiento de la red inalámbrica. Al efectuar algún cambio de la configuración actual del NAS se debe reiniciar el servidor ICRadius, lo que no toma más de 5 segundos. No se requiere hacer lo mismo con el punto de acceso, por lo que los usuarios no perderán ni verán afectada su conectividad a la comunidad inalámbrica.
Al presionar el botón de “Eliminar” del menú de “NAS Actualmente Configurados”, aparecerá un mensaje de confirmación. Este notificará cual es el NAS que se dispone a
74
eliminar, si se está seguro de esta eliminación se debe presionar el botón “Si”, para completar esta operación.
Para agregar un nuevo usuario inalámbrico, se debe ingresar la dirección MAC de la tarjeta inalámbrica que posee este usuario. A continuación se debe ingresar un atributo adecuado, en este caso es el llamado “Password”, luego se ingresa el valor de este atributo, es decir, el valor que toma el atributo password, si este valor no es igual al existente en el punto de acceso, este usuario no tendrá conectividad a través de él. Por último se debe ingresar un Alias a esta dirección MAC. El motivo de este último es para efectos de búsqueda, desde la interfaz web, ya que es más fácil recordar el Alias que la dirección MAC de una tarjeta. Y para terminar el procedimiento de agregar un nuevo usuario, se debe presionar el botón “X” que aparece inmediatamente abajo de la palabra Agregar.
Para poder buscar un usuario de la red inalámbrica se debe ingresar el nombre Alias y presionar el botón “Buscar Usuario”. Luego se podrá observar al usuario y sus características de configuración sobre la red inalámbrica, siendo posible modificarlas, o bien, eliminarlo.
75
A través de esta página se pueden observar los clientes existentes en la red inalámbrica, en ella se puede eliminar a un usuario determinado o bien modificar algún valor; ya sea su password o alias asociado a esa tarjeta inalámbrica.
Aquí se pueden modificar los valores mostrados, ya sea de Atributo, Valor, Alias, para realizar la modificación se debe presionar el botón “X”, bajo la palabra Modificar.
76
Mensaje de confirmación de eliminación de un cliente inalámbrico.
77
Con esta página se puede revisar el historial de lo realizado a través de la interfaz de administración. Mostrando el día, mes, año, hora en que ha efectuado alguna operación, desde dónde se ha realizado y la acción efectuada.
Al presionar en el link llamado “Reporte del Radius Log”, existente en el menú principal, se podrá observar lo acontecido en el servidor ICRadius durante el tiempo que se encuentra en funcionamiento; cualquier desperfecto o anomalía se podrá observar en esta página.
78
2.9 MENSAJES QUE SE PUEDEN RESCATAR DESDE EL ARCHIVO LOG DEL RADIUS
Durante el funcionamiento del RADIUS, es posible que ocurran errores, o bien, se detenga el servidor, lo que se deja almacenado en un archivo LOG, su correcta interpretación es esencial para resolver estos posibles problemas. “Wed May 29 13:34:01 2002: Info: Starting - reading configuration files ... Wed May 29 13:34:01 2002: Info: SQL: Attempting to connect to root@localhost:RADIUS Wed May 29 13:34:03 2002: Info: Ready to process requests.” Este mensaje aparecerá cada vez que se inicie el servidor ICRadius. Si no aparece al momento de iniciarlo, indica que algo está funcionando mal, ya sea la configuración o que la instalación no ha sido la correcta, o bien, se ha perdido o eliminado algún paquete mencionado como prerrequisito para la instalación y funcionamiento apropiado de este servidor. En este mensaje se aprecia el día de la semana, mes, día y hora que ha sido iniciado, y además menciona quien efectuó esta operación, en el caso mostrado en el ejemplo, se aprecia que el usuario “ROOT” fue quien efectuó este procedimiento de iniciación de este servidor. “Wed May 29 13:34:37 2002: Info: MASTER: exit.” Este mensaje se podrá visualizar cada vez que se detenga el servidor ICRadius; mencionado además la fecha y hora de este suceso. “Tue May 21 09:00:46 2002: Error: Dropping duplicate authentication packet from client NAS1-ID:142” Este mensaje aparecerá cada vez que se pierda un paquete de información o bien no llegue a destino, es normal su aparición esporádica, pero si es visualizado con frecuencia, es señal de que algo funciona mal con la red, ya sea inalámbrica o la parte correspondiente a la red alambrada. En el mensaje se menciona la fecha y además el NAS donde se produjo este error (NAS1). “Fri May 3 16:59:57 2002:Auth:Login OK:[00022d-XXXXXX](from nas NAS2/S0)socket 0 (0 sec)” Este mensaje se muestra cada vez que algún cliente inalámbrico, sea validado en el servidor. Como se puede apreciar, la validación ha sido exitosa: “Auth: Login OK”, por lo que el cliente “00022d-XXXXXX” tendrá conectividad inalámbrica a través del punto de acceso llamado NAS2, pudiéndose apreciar la fecha y hora de esta validación. En resumen este cliente inalámbrico se encuentra registrado en la base de datos llamada RADIUS, que es donde se produce la validación.
79
“Mon May 20 22:17:20 2002: Auth: Invalid user: [003065-XXXXXX] (from nas NAS1/S0)” Este mensaje es el caso contrario al del párrafo anterior, es decir, aparece cuando un cliente inalámbrico no se encuentra registrado en la base de datos o bien su contraseña de acceso es distinta a la ingresada en el hardware NAS correspondiente a su celda de conexión. Al interpretar el mensaje existente en el log del servidor se deduce lo siguiente: que el cliente “003065-XXXXXX” intenta realizar una conexión a través del NAS1, y el resultado de esta operación fue: “Usuario Desconocido” (“Auth: Invalid user”) en la fecha mostrada. “Fri May 3 16:59:57 2002: Error: unknown value” Ahora bien cuando se ingrese algún atributo desconocido, o bien el valor ingresado a ese atributo no corresponda, o no exista en su diccionario de datos. Para corregirlo, se debe revisar la tabla llamada “Dictionary” de la base de datos y verificar la existencia de este atributo ingresado a algún usuario. Si no existe, corresponde eliminar el atributo asignado al usuario, y si existe, de debe ingresar un valor valido de ese atributo. Nota: Existen además algunos parámetros de control adicionales, que tienes distintas características, los que son configurables en cada cliente. Por ejemplo, si se desea que un cliente tenga conexión sólo de lunes a viernes, existe un atributo para ello. Para poder manipularlos es necesario leer los RFC 2865 (http://www.freeradius.org/rfc/rfc2865.html) y 2866 (http://www.freeradius.org/rfc/rfc2866.html), ya que se requiere un conocimiento avanzado para ello. Para objetivos del proyecto, el atributo necesario para efectuar el control es el llamado “Password”. Estos atributos son almacenados en la tabla dictionary de la base de datos del RADIUS.
