{"id":192,"date":"2012-01-13T07:47:51","date_gmt":"2012-01-13T09:47:51","guid":{"rendered":"http:\/\/linuxrs.com.br\/?p=192"},"modified":"2012-01-13T07:47:51","modified_gmt":"2012-01-13T09:47:51","slug":"freeradius-servidor-radius-eficiente-e-completo","status":"publish","type":"post","link":"https:\/\/blog.clusterweb.com.br\/?p=192","title":{"rendered":"Freeradius – servidor radius eficiente e completo"},"content":{"rendered":"\n\n\n
\n\n\n\n\n
\n

Aviso<\/h1>\n

Este artigo pode ser distribu\u00eddo, publicado, impresso e copiado de todas as formas e meios poss\u00edveis, desde que se mantenha o nome, a p\u00e1gina web e o e-mail do autor no cabe\u00e7alho, em local vis\u00edvel, abaixo do t\u00edtulo e com a letra maior ou igual a usada no texto.<\/p>\n

Meu primeiro contato com o servi\u00e7o radius foi com uma solu\u00e7\u00e3o comercial chamada Steel-Belted Radius<\/em> (http:\/\/www.funk.com\/radius\/<\/a>), na \u00e9poca ele atendia minhas necessidades. O \u00fanico problema era que eu n\u00e3o podia compartilhar a base de dados com outras aplica\u00e7\u00f5es e isso estava ficando chato: a senha do e-mail era uma, a senha de acesso outra, n\u00e3o dava pra criar formul\u00e1rios de mudan\u00e7a de senha on-line e fazer uma migra\u00e7\u00e3o de base de dados e mantendo o software era invi\u00e1vel.<\/p>\n

Quando decidi migrar para uma solu\u00e7\u00e3o livre, comecei analisar tecnicamente os produtos do mercado, gostei de dois: freeradius<\/em> e openradius<\/em>, por\u00e9m o freeradius ganhou favoritismo, por que? Voc\u00ea vai saber nesse artigo!<\/p>\n

As configura\u00e7\u00f5es de hardware n\u00e3o s\u00e3o muito relevantes, um servidor radius n\u00e3o \u00e9 pesado nem exigente. Seu velho 486 daria pro gasto!<\/p>\n

SOFTWARES USADOS NO ARTIGO<\/p>\n

Instala\u00e7\u00e3o e comandos<\/strong><\/p>\n\n\n\n\n
Quando eu escrevia este artigo, o link usado para download da vers\u00e3o atualizada do Freeradius<\/em> era:<\/p>\n

ftp:\/\/ftp.freeradius.org\/pub\/radius\/freeradius-1.0.1.tar.gz<\/a><\/p>\n

Caso este link esteja quebrado hoje, tente procurar no site www.freeradius.org<\/a> a vers\u00e3o atual para download ou entre no endere\u00e7o ftp:\/\/ftp.freeradius.org\/pub<\/a> e procure pelo pacote diretamente.<\/p>\n

# cd \/usr\/local\/src
\n# wget ftp:\/\/ftp.freeradius.org\/pub\/radius\/freeradius-1.0.1.tar.gz
\n# tar -xvzf freeradius-1.0.1.tar.gz
\n# cd freeradius-1.0.1\/
\n# .\/configure
\n# make
\n# make install<\/strong><\/p>\n

Como voc\u00ea pode ver, na instala\u00e7\u00e3o n\u00e3o h\u00e1 segredos, se voc\u00ea se deparar com algum problema na hora de compilar, consulte o comando:<\/p>\n

# .\/configure –help<\/strong><\/p>\n

para ver op\u00e7\u00f5es que possam burlar os erros.<\/p>\n

Por exemplo, se ele reclamar a aus\u00eancia do modulo kerberos, voc\u00ea pode usar a op\u00e7\u00e3o –without-krb5 no .\/configure para resolver, digo isso pois uma vez encarei esse problema na distribui\u00e7\u00e3o Fedora<\/em>.<\/p>\n

O simples .\/configure far\u00e1 com que todos os m\u00f3dulos do freeradius que se comunicam com outras tecnologias como MySQL, LDAP, etc sejam instalados, alguns poder\u00e3o pedir bibliotecas, mas no Slackware 10 isso n\u00e3o acontece.<\/p>\n

Ao usar simplesmente .\/configure antes de compilar, ele ir\u00e1 programar o freeradius para ser instalado em \/usr\/local nas subpastas de sistema, tipo:<\/p>\n

Arquivos de configura\u00e7\u00e3o detalhados<\/strong><\/p>\n\n\n\n\n\n\n\n
Configurar o freeradius<\/em> \u00e9 f\u00e1cil. Vou descrever cada detalhe do radiusd.conf<\/em> (\/usr\/loca\/etc\/raddb\/radiusd.conf), que \u00e9 necess\u00e1rio para voc\u00ea entender melhor e n\u00e3o perder tempo procurando ajuda em f\u00f3runs! A descri\u00e7\u00e3o precede os par\u00e2metros, n\u00e3o comentei todos para n\u00e3o fugir do assunto.<\/p>\n

1 – radiusd.conf<\/h1>\n

Arquivo de configura\u00e7\u00e3o principal respons\u00e1vel pelo daemon do radius e fazer inclus\u00f5es dos demais arquivos de configura\u00e7\u00e3o.<\/td>\n<\/tr>\n

# inicio radiusd.conf<\/span><\/p>\n

prefix = \/usr\/local\/src
\nexec_prefix = ${prefix}
\nsysconfdir = ${prefix}\/etc
\nlocalstatedir = ${prefix}\/var
\nsbindir = ${exec_prefix}\/sbin
\nlogdir = ${localstatedir}\/log\/radius
\nraddbdir = ${sysconfdir}\/raddb
\nradacctdir = ${logdir}\/radacct
\nconfdir = ${raddbdir}
\nrun_dir = ${localstatedir}\/run\/radiusd
\n# vari\u00e1veis definidas na instala\u00e7\u00e3o, essas op\u00e7\u00f5es
\n# foram disponibilizadas para que voc\u00ea n\u00e3o precise
\n# recompilar para mudar os arquivos de lugar
\n# voc\u00ea pode usar essas vari\u00e1veis quando definir o
\n# valor de algum par\u00e2metro ao longo desse arquivo.<\/span><\/p>\n

log_file = ${logdir}\/radius.log
\n# arquivo de log principal, nesse arquivo ficar\u00e3o
\n# todas as mensagem de erro, tentativas de
\n# conex\u00e3o, etc…<\/span><\/p>\n

libdir = ${exec_prefix}\/lib
\n# pasta de bibliotecas, se elas
\n# se encontrarem em varias pastas,
\n# separe as localiza\u00e7\u00f5es
\n# por : , tipo: libdir = \/usr\/lib:\/usr\/local\/lib<\/span><\/p>\n

pidfile = ${run_dir}\/radiusd.pid
\n# arquivo onde ser\u00e1 armazenado o id
\n# do processo principal do freeradius<\/span><\/p>\n

user = nobody
\ngroup = nobody
\n# defini\u00e7\u00e3o do usu\u00e1rio e grupo dos processos filhos do radiusd
\n# se voc\u00ea n\u00e3o especificar, o usu\u00e1rio que deu partida
\n# ser\u00e1 usado (root), se
\n# voc\u00ea usar o arquivo \/etc\/shadow para autentica\u00e7\u00e3o,
\n# defina o grupo como shadow, vale lembrar
\n# que o usu\u00e1rio que executa o radiusd deve ter permiss\u00e3o
\n# de escrita no diret\u00f3rio de log<\/span><\/p>\n

max_request_time = 30
\n# define o tempo que o processo filho segura o pedido,
\n# caso o tempo limite seja atingido, o servidor retorna
\n# acesso negado. Por exemplo: se voc\u00ea define 2 segundos
\n# e usa um banco de dados mysql sobrecarregado que demora
\n# 5 segundos para concluir uma pesquisa, seu servidor nunca
\n# vai dar acesso a ningu\u00e9m!<\/span><\/p>\n

delete_blocked_requests = no
\n# se no par\u00e2metro max_request_time voc\u00ea
\n# definiu o valor 30 segundos, e o cliente
\n# perdeu a paci\u00eancia e enviou outra solicita\u00e7\u00e3o sem
\n# ter conclu\u00eddo a primeira,
\n# o freeradius n\u00e3o ficara fazendo trabalho
\n# repetitivo simultaneamente. Se voc\u00ea definir
\n# esse par\u00e2metro como yes, ao chegar a segunda
\n# requisi\u00e7\u00e3o do mesmo cliente com a mesma
\n# “pergunta”, ele desistir\u00e1 da primeira para
\n# atender a nova solicita\u00e7\u00e3o.<\/span><\/p>\n

cleanup_delay = 5
\n# esse valor funciona da seguinte maneira:
\n# se o NAS ou RAS enviou uma pergunta e
\n# a resposta foi perdida na rede, o NAS tornar\u00e1
\n# fazer a pergunta, todo o processo de autentica\u00e7\u00e3o
\n# ser\u00e1 realizado novamente. Para evitar isso o freeradius
\n# manter a resposta no cache pelo tempo definido aqui
\n# (em segundos), assim, se o pacote resposta for perdido
\n# e a pergunta for repetida, a resposta ser\u00e1 imediata,
\n# usando assim o m\u00ednimo de processamento.<\/span><\/p>\n

max_requests = 1024
\n# define o n\u00famero m\u00e1ximo de
\n# requisi\u00e7\u00f5es que o freeradius pode atender
\n# simultaneamente, somando todas as requisi\u00e7\u00f5es
\n# atendidas pelos processos filhos, assim,
\n# se voc\u00ea tem 4 processo filhos, cada um
\n# poder\u00e1 atender 256 perguntas simultaneamente
\n# ATEN\u00c7\u00c3O: as respostas cacheadas pela op\u00e7\u00e3o
\n# cleanup_delay s\u00e3o contabilizadas. Se voc\u00ea colocou
\n# cleanup_delay com um valor alto, seu radius
\n# ficar\u00e1 exposto a um DOS<\/span><\/p>\n

bind_address = *
\n# isso far\u00e1 o freeradius escutar em
\n# um endere\u00e7o especifico, * inclui todos
\n# os endere\u00e7os ip do host, voc\u00ea pode
\n# usar um FQDN, mas antes tenha certeza
\n# de que a resolu\u00e7\u00e3o de dns estar\u00e1 dispon\u00edvel
\n# no momento em que o servidor radius inicia<\/span><\/p>\n

port = 0
\n# porta de escuta. Equipamentos antigos tem a porta
\n# 1645 como padr\u00e3o de autentica\u00e7\u00e3o e 1646 como
\n# contabilidade. A RFC 2138 mudou essa porta para
\n# 1812 autentica\u00e7\u00e3o e 1813 contabilidade. Equipamentos
\n# novos provavelmente ter\u00e1 essa porta como padr\u00e3o.
\n# 0 (zero) far\u00e1 com que a porta seja pesquisada
\n# em \/etc\/services, esse par\u00e2metro pode ser
\n# sobreposto pela op\u00e7\u00e3o -p do comando radiusd<\/p>\n

#listen {
\n# ipaddr = *
\n# endere\u00e7o ip ou FQDN, mesmos crit\u00e9rios
\n# usados em bind_address
\n# port = 0
\n# porta de escuta, mesmos crit\u00e9rios
\n# usados em port<\/p>\n

#\u00a0\u00a0Type of packets to listen for.
\n#\u00a0\u00a0Allowed values are:
\n#\u00a0\u00a0\u00a0\u00a0auth\u00a0\u00a0\u00a0\u00a0listen for authentication packets
\n#\u00a0\u00a0\u00a0\u00a0acct\u00a0\u00a0\u00a0\u00a0listen for accounting packets
\n#
\n# type = auth
\n# tipo de escuta:
\n# auth -> autentica\u00e7\u00e3o
\n# acct -> contabilidade
\n#}
\n# Se voc\u00ea quiser que o freeradius escute
\n# a porta de autentica\u00e7\u00e3o em um ip, e
\n# a porta de contabilidade em outro, ou
\n# em postas distantes no mesmo ip, o
\n# modelo acima de listagem ser\u00e1 \u00fatil
\n# Esse recurso apareceu a partir da vers\u00e3o
\n# 1.0 e resolve o problema se voc\u00ea
\n# tem equipamentos novos e antigos
\n# servidos pelo mesmo radius<\/span><\/p>\n

hostname_lookups = no
\n# define se o nome DNS dos clientes
\n# ser\u00e1 pesquisado a partir do ip. Se definir como yes,
\n# toda vez que uma requisi\u00e7\u00e3o chegar de
\n# um endere\u00e7o ip, o freeradius ir\u00e1 consultar
\n# o dns para usar o nome no log de atividades.
\n# o valor no \u00e9 a melhor op\u00e7\u00e3o, n\u00e3o sobrecarrega
\n# o servidor DNS<\/span><\/p>\n

allow_core_dumps = no
\n# ative essa op\u00e7\u00e3o para depurar erros no
\n# servidor, caso contrario deixe como est\u00e1<\/span><\/p>\n

regular_expressions = yes
\nextended_expressions = yes
\n# ativa ou desativa express\u00f5es regulares
\n# nos par\u00e2metros dos pacotes, desativar
\n# \u00e9 uma boa id\u00e9ia embora o padr\u00e3o seja
\n# yes<\/span><\/p>\n

log_stripped_names = no
\n# registra nos logs os dados completos do
\n# campo User-Name do pacote de autentica\u00e7\u00e3o,
\n# se definido como yes, do jeito que chegar,
\n# ser\u00e1 usado.<\/span><\/p>\n

log_auth = no
\n# deseja logar atividades de autentica\u00e7\u00e3o?
\n# se voc\u00ea tem milhares de clientes logando
\n# simultaneamente, significa
\n# que seu log vai crescer muito com essa
\n# op\u00e7\u00e3o ativa. Eu sempre coloco yes pois
\n# fica f\u00e1cil e r\u00e1pido descobrir por que
\n# certo cliente (leigo) n\u00e3o consegue autenticar<\/span><\/p>\n

log_auth_badpass = no
\n# Logar senhas quando a autentica\u00e7\u00e3o falhar?
\n# embora seja \u00fatil para dar suporte – usu\u00e1rio
\n# digitando senha incorretamente (branco, mai\u00fasculas, etc…),
\n# a privacidade do usu\u00e1rio fica reduzida e uma brecha de seguran\u00e7a,
\n# todas as senhas ser\u00e3o registradas no log<\/span><\/p>\n

log_auth_goodpass = no
\n# id\u00eantica a op\u00e7\u00e3o acima, por\u00e9m se
\n# aplica para autentica\u00e7\u00f5es bem sucedidas.<\/span><\/p>\n

usercollide = no<\/p>\n

lower_user = no
\nlower_pass = no
\n# essas duas op\u00e7\u00f5es s\u00e3o muito importantes:
\n# se o usu\u00e1rio deixar o CapsLock ligado,
\n# significa que n\u00e3o conseguir\u00e1 se autenticar
\n# e isso significa uma insatisfa\u00e7\u00e3o ou uma
\n# chamada desnecess\u00e1ria no suporte.
\n# Temos 3 op\u00e7\u00f5es: after, before e no
\n# suponhamos que eu informe meu login: PatrickBrandao
\n# “after” far\u00e1 com que a autentica\u00e7\u00e3o
\n# seja primeiro testada com o valor
\n# informado, se falhar, aplica um lowercase
\n# nos valores e tenta novamente. Sendo a primeira
\n# tentativa com “PatrickBrandao” e a segunda com “patrickbrandao”
\n# “before” far\u00e1 com que um lowercase seja
\n# aplicado antes de pesquisar a base de
\n# dados, que receber\u00e1 “patrickbrandao”
\n# “no” desativa esse efeito passando para
\n# a base de dados o mesmo valor recebido: “PatrickBrandao”<\/span><\/p>\n

nospace_user = no
\nnospace_pass = no
\n# as duas op\u00e7\u00f5es acima
\n# servem para retirar espa\u00e7os de nome
\n# de usu\u00e1rio e senha. Os seus clientes
\n# podem, sem perceber, colocar
\n# um espa\u00e7o no final ou no come\u00e7o
\n# das credenciais, o que gera uma
\n# chamada desnecess\u00e1ria no suporte t\u00e9cnico
\n# tr\u00eas valores poder\u00e3o ser escolhidos:
\n# after, before e no<\/span><\/p>\n

checkrad = ${sbindir}\/checkrad
\n# comando ao usar para checar conex\u00f5es simult\u00e2neas<\/p>\n

# sess\u00e3o de seguran\u00e7a —————————-<\/span>
\nsecurity {
\nmax_attributes = 200
\n# define o n\u00famero m\u00e1ximo de atributos
\n# num pacote enviado para o servidor.
\n# um n\u00famero muito baixo faria o servidor
\n# negar pacotes, n\u00famero muito alto deixar\u00e1
\n# o servidor vulner\u00e1vel. O atacante pode emitir
\n# um pedido com um n\u00famero exagerado
\n# de par\u00e2metros e esgotar os recursos de mem\u00f3ria<\/span><\/p>\n

reject_delay = 1
\n# define o tempo de espera antes de enviar
\n# uma resposta de acesso negado.
\n# essa op\u00e7\u00e3o proteje seu servidor
\n# contra ataques de for\u00e7a bruta
\n# Escolha de 0 a 5, 0 (zero) far\u00e1 com que
\n# a resposta seja enviada imediatamente<\/span><\/p>\n

status_server = no
\n# permite ou nega o envio de pacotes
\n# de status do usu\u00e1rio. N\u00e3o \u00e9 muito importante
\n# mas alguns NAS’s com keep-alive podem
\n# precisar desse recurso para checar o
\n# status de uma sess\u00e3o.<\/span>
\n}<\/p>\n

# sess\u00e3o de proxy ——————————<\/span>
\nproxy_requests = yes
\n$INCLUDE ${confdir}\/proxy.conf<\/p>\n

# configura\u00e7\u00e3o de clientes NAS —————<\/span><\/p>\n

$INCLUDE ${confdir}\/clients.conf
\n# quando falo de clientes NAS n\u00e3o
\n# estou me referindo a seus clientes de
\n# conex\u00e3o discada, mas sim aos dispositivos
\n# em contato com eles que se encarregam de
\n# procurar o radius para validar o usu\u00e1rio,
\n# esses equipamentos podem ser RAS como
\n# cyclades, cisco, etc… ou mesmo servi\u00e7os
\n# em qualquer servidor que se baseia numa
\n# autentica\u00e7\u00e3o com radius<\/p>\n

# sess\u00e3o de snmp —————————-<\/span><\/p>\n

snmp = no
\n$INCLUDE ${confdir}\/snmp.conf
\n# ativa o suporte a monitoramento por snmp
\n# no freeradius<\/p>\n

# configura\u00e7\u00e3o de processos filhos ————————<\/span>
\nthread pool {
\nstart_servers = 5
\n# n\u00famero de processos filhos a serem criados quando
\n# o servi\u00e7o for iniciado<\/span><\/p>\n

max_servers = 32
\n# n\u00famero m\u00e1ximo de processos filhos
\n# atendendo solicita\u00e7\u00f5es<\/span><\/p>\n

min_spare_servers = 3
\nmax_spare_servers = 10
\n# regula o n\u00famero de processos para manter
\n# um bom desempenho<\/span><\/p>\n

max_requests_per_server = 0
\n# n\u00famero m\u00e1ximo de solicita\u00e7\u00f5es feitas
\n# a um processo filho antes de ser destru\u00eddo
\n# 0 (zero) para infinito, mas n\u00e3o recomend\u00e1vel
\n# pois um processo filho pode consumir recursos
\n# que nunca ir\u00e1 liberar, 250 \u00e9 um bom valor.<\/span>
\n}<\/p>\n

# sess\u00e3o de defini\u00e7\u00e3o de m\u00f3dulos ———————–<\/span>
\nmodules {
\n# formato:<\/span>
\n#\u00a0\u00a0\u00a0\u00a0name [ instance ] {<\/span>
\n#\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0config_item = value<\/span>
\n#\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0…<\/span>
\n#\u00a0\u00a0\u00a0\u00a0}<\/span>
\n# name -> se refere ao nome do<\/span>
\n# modulo rlm_?????, muitos m\u00f3dulos<\/span>
\n# s\u00e3o fornecidos com o freeradius, esse<\/span>
\n# recurso permite que voc\u00ea crie seus pr\u00f3prios<\/span>
\n# m\u00f3dulos.<\/span><\/p>\n

pap {
\nencryption_scheme = crypt
\n}
\n# define o tipo de<\/span>
\n# criptografia usada na autentica\u00e7\u00e3o PAP<\/span>
\n# valores dispon\u00edveis:<\/span>
\n#\u00a0\u00a0clear: sem criptografia, texto plano<\/span>
\n#\u00a0\u00a0crypt: criptografia do unix<\/span>
\n#\u00a0\u00a0md5: criptografia MD5<\/span>
\n#\u00a0\u00a0sha1: criptografia SHA1<\/span>
\n# padr\u00e3o: crypt<\/span><\/p>\n

chap {
\nauthtype = CHAP
\n}
\n# adiciona suporte a autentica\u00e7\u00f5es<\/span>
\n# usando CHAP<\/span><\/p>\n

pam {
\npam_auth = radiusd
\n}
\n# suporte PAM dos sistemas unix, configura<\/span>
\n# o pamd em \/etc\/pam.d\/ para usar esse tipo<\/span>
\n# de autentica\u00e7\u00e3o<\/span><\/p>\n

# autentica\u00e7\u00e3o baseada nas credenciais do sistema<\/span>
\n# \/etc\/passwd e \/etc\/shadow<\/span>
\nunix {
\ncache = no
\n# criar caches de dados de login?<\/span>
\n# habilitar essa op\u00e7\u00e3o pode melhorar<\/span>
\n# o desempenho se voc\u00ea tem muitos<\/span>
\n# usu\u00e1rios de sistema<\/span><\/p>\n

cache_reload = 600
\n# tempo em segundos para recarregar<\/span>
\n# o cache de logins do sistema<\/span><\/p>\n

# define a localiza\u00e7\u00e3o dos seus<\/span>
\n# arquivos de autentica\u00e7\u00e3o de sistema<\/span>
\n# encontra-se comentado, usando o<\/span>
\n# valor padr\u00e3o<\/span>
\n#<\/span>
\n#\u00a0\u00a0\u00a0\u00a0passwd = \/etc\/passwd<\/span>
\n#\u00a0\u00a0\u00a0\u00a0shadow = \/etc\/shadow<\/span>
\n#\u00a0\u00a0\u00a0\u00a0group = \/etc\/group<\/span><\/p>\n

radwtmp = ${logdir}\/radwtmp
\n}<\/p>\n

#\u00a0\u00a0Extensible Authentication Protocol<\/span>
\n$INCLUDE ${confdir}\/eap.conf<\/p>\n

# Micro$oft CHAP authentication<\/span>
\n# esses m\u00f3dulos suportam MS-CHAP e MS-CHAPv2<\/span>
\nmschap {
\nauthtype = MS-CHAP
\n# protocolo M$ usado<\/span>
\n#use_mppe = no<\/span>
\n#require_encryption = yes<\/span>
\n#require_strong = yes<\/span>
\n#with_ntdomain_hack = no<\/span>
\n#ntlm_auth = “\/path\/to\/ntlm_auth –request-nt-key –username=%{Stripped-User-Name:-%{User-Name:-None}} –challenge=%{mschap:Challenge:-00} –nt-response=%{mschap:NT-Response:-00}”<\/span>
\n}<\/p>\n

# Lightweight Directory Access Protocol (LDAP)<\/span>
\n# permite usa autentica\u00e7\u00e3o LDAP (Auth-Type := LDAP)<\/span>
\nldap {
\nserver = “ldap.your.domain”
\n# identity = “cn=admin,o=My Org,c=UA”<\/span>
\n# password = senhadnaqui<\/span>
\nbasedn = “o=My Org,c=UA”
\nfilter = “(uid=%{Stripped-User-Name:-%{User-Name}})”
\n# base_filter = “(objectclass=radiusprofile)”<\/span><\/p>\n

start_tls = no
\n# coloque yes se deseja usar tls para criptografar<\/span>
\n# os dados nas conex\u00f5es com o LDAP e<\/span>
\n# configure e descomente os valores abaixo<\/span>
\n# tls_cacertfile\u00a0\u00a0\u00a0\u00a0= \/path\/to\/cacert.pem<\/span>
\n# tls_cacertdir\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0= \/path\/to\/ca\/dir\/<\/span>
\n# tls_certfile\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0= \/path\/to\/radius.crt<\/span>
\n# tls_keyfile\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0= \/path\/to\/radius.key<\/span>
\n# tls_randfile\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0= \/path\/to\/rnd<\/span>
\n# tls_require_cert\u00a0\u00a0\u00a0\u00a0= “demand”<\/span><\/p>\n

# default_profile = “cn=radprofile,ou=dialup,o=My Org,c=UA”<\/span>
\n# profile_attribute = “radiusProfileDn”<\/span>
\naccess_attr = “dialupAccess”<\/p>\n

dictionary_mapping = ${raddbdir}\/ldap.attrmap
\n# define o arquivo de mapas de atributos<\/span>
\n# do seu diretorio<\/span>
\nldap_connections_number = 5<\/p>\n

# password_header = “{clear}”<\/span>
\n# password_attribute = userPassword<\/span>
\n# groupname_attribute = cn<\/span>
\n# groupmembership_filter = “(|(&(objectClass=GroupOfNames) (member=%{Ldap-UserDn})) (&(objectClass=GroupOfUniqueNames) (uniquemember=%{Ldap-UserDn})))”<\/span>
\n# groupmembership_attribute = radiusGroupName<\/span>
\ntimeout = 4
\ntimelimit = 3
\nnet_timeout = 1
\n# compare_check_items = yes<\/span>
\n# do_xlat = yes<\/span>
\n# access_attr_used_for_allow = yes<\/span>
\n}<\/p>\n

# —————————————-<\/span><\/p>\n

# modulo Realm, para proxy<\/span>
\n#\u00a0\u00a0‘realm\/username’<\/span>
\nrealm IPASS {
\nformat = prefix
\ndelimiter = “\/”
\nignore_default = no
\nignore_null = no
\n}
\n#\u00a0\u00a0‘username@realm’<\/span>
\nrealm suffix {
\nformat = suffix
\ndelimiter = “@”
\nignore_default = no
\nignore_null = no
\n}
\n#\u00a0\u00a0‘username%realm’<\/span>
\nrealm realmpercent {
\nformat = suffix
\ndelimiter = “%”
\nignore_default = no
\nignore_null = no
\n}
\n#\u00a0\u00a0‘domain\\user’<\/span>
\nrealm ntdomain {
\nformat = prefix
\ndelimiter = “\\\\”
\nignore_default = no
\nignore_null = no
\n}<\/p>\n

checkval {
\nitem-name = Calling-Station-Id
\ncheck-name = Calling-Station-Id
\ndata-type = string
\n#notfound-reject = no<\/span>
\n}<\/p>\n

# reescrita de pacotes. Usado para autoriza\u00e7\u00e3o e contabilidade<\/span>
\n#attr_rewrite sanecallerid {<\/span>
\n#\u00a0\u00a0\u00a0\u00a0attribute = Called-Station-Id<\/span>
\n# may be “packet”, “reply”, “proxy”, “proxy_reply” or “config”<\/span>
\n#\u00a0\u00a0\u00a0\u00a0searchin = packet<\/span>
\n#\u00a0\u00a0\u00a0\u00a0searchfor = “[+ ]”<\/span>
\n#\u00a0\u00a0\u00a0\u00a0replacewith = “”<\/span>
\n#\u00a0\u00a0\u00a0\u00a0ignore_case = no<\/span>
\n#\u00a0\u00a0\u00a0\u00a0new_attribute = no<\/span>
\n#\u00a0\u00a0\u00a0\u00a0max_matches = 10<\/span>
\n#\u00a0\u00a0\u00a0\u00a0## If set to yes then the replace string will be appended to the original string<\/span>
\n#\u00a0\u00a0\u00a0\u00a0append = no<\/span>
\n#}<\/span><\/p>\n

preprocess {
\nhuntgroups = ${confdir}\/huntgroups
\nhints = ${confdir}\/hints
\nwith_ascend_hack = no
\nascend_channels_per_line = 23
\nwith_ntdomain_hack = no
\nwith_specialix_jetstream_hack = no
\nwith_cisco_vsa_hack = no
\n}<\/p>\n

files {
\nusersfile = ${confdir}\/users
\nacctusersfile = ${confdir}\/acct_users<\/p>\n

compat = no
\n}<\/p>\n

detail {
\ndetailfile = ${radacctdir}\/%{Client-IP-Address}\/detail-%Y%m%d
\ndetailperm = 0600
\n}
\n# detail auth_log {<\/span>
\n# detailfile = ${radacctdir}\/%{Client-IP-Address}\/auth-detail-%Y%m%d<\/span>
\n# detailperm = 0600<\/span>
\n# }<\/span>
\n# detail reply_log {<\/span>
\n# detailfile = ${radacctdir}\/%{Client-IP-Address}\/reply-detail-%Y%m%d<\/span>
\n# detailperm = 0600<\/span>
\n# }<\/span>
\n# detail pre_proxy_log {<\/span>
\n# detailfile = ${radacctdir}\/%{Client-IP-Address}\/pre-proxy-detail-%Y%m%d<\/span>
\n# detailperm = 0600<\/span>
\n# }<\/span>
\n# detail post_proxy_log {<\/span>
\n# detailfile = ${radacctdir}\/%{Client-IP-Address}\/post-proxy-detail-%Y%m%d<\/span>
\n# detailperm = 0600<\/span>
\n# }<\/span>
\nacct_unique {
\nkey = “User-Name, Acct-Session-Id, NAS-IP-Address, Client-IP-Address, NAS-Port”
\n}<\/p>\n

#\u00a0\u00a0Para Postgresql, use:\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0${confdir}\/postgresql.conf<\/span>
\n#\u00a0\u00a0Para MS-SQL, use:\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 ${confdir}\/mssql.conf<\/span>
\n#\u00a0\u00a0For Oracle, use:\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 ${confdir}\/oraclesql.conf<\/span>
\n#<\/span>
\n$INCLUDE\u00a0\u00a0${confdir}\/sql.conf
\n# inclus\u00e3o de arquivo de configura\u00e7\u00e3o contendo<\/span>
\n# m\u00f3dulos de autentica\u00e7\u00e3o, sess\u00e3o e contabilidade<\/span>
\n# controlados em banco de dados SQL<\/span><\/p>\n

# m\u00f3dulos respons\u00e1veis por controlar usu\u00e1rios conectados<\/span>
\n# para evitar conex\u00e3o simult\u00e2nea quanto esta \u00e9<\/span>
\n# usada<\/span>
\nradutmp {
\nfilename = ${logdir}\/radutmp
\nusername = %{User-Name}
\ncase_sensitive = yes
\ncheck_with_nas = yes
\nperm = 0600
\ncallerid = “yes”
\n}
\nradutmp sradutmp {
\nfilename = ${logdir}\/sradutmp
\nperm = 0644
\ncallerid = “no”
\n}
\nattr_filter {
\nattrsfile = ${confdir}\/attrs
\n}
\ncounter daily {
\nfilename = ${raddbdir}\/db.daily
\nkey = User-Name
\ncount-attribute = Acct-Session-Time
\nreset = daily
\ncounter-name = Daily-Session-Time
\ncheck-name = Max-Daily-Session
\nallowed-servicetype = Framed-User
\ncache-size = 5000
\n}
\nalways fail {
\nrcode = fail
\n}
\nalways reject {
\nrcode = reject
\n}
\nalways ok {
\nrcode = ok
\nsimulcount = 0
\nmpp = no
\n}
\nexpr {
\n}
\ndigest {
\n}
\nexec {
\nwait = yes
\ninput_pairs = request
\n}
\nexec echo {
\nwait = yes
\nprogram = “\/bin\/echo %{User-Name}”
\ninput_pairs = request
\noutput_pairs = reply
\n#packet_type = Access-Accept<\/span>
\n}<\/p>\n

ippool main_pool {
\nrange-start = 192.168.1.1
\nrange-stop = 192.168.3.254
\nnetmask = 255.255.255.0
\ncache-size = 800
\nsession-db = ${raddbdir}\/db.ippool
\nip-index = ${raddbdir}\/db.ipindex
\noverride = no
\nmaximum-timeout = 0
\n}<\/p>\n

}<\/p>\n

# controle de acesso, sess\u00e3o e contabilidade ———–<\/span><\/p>\n

# sess\u00e3o instantiate – inicia m\u00f3dulos, se n\u00e3o for usar, n\u00e3o inicie.<\/span>
\ninstantiate {
\nexec
\nexpr
\n#\u00a0\u00a0\u00a0\u00a0daily<\/span>
\n}<\/p>\n

# sess\u00e3o authorization – controla os m\u00f3dulos<\/span>
\n# respons\u00e1veis por autorizar o acesso das<\/span>
\n# requisi\u00e7\u00f5es<\/span><\/p>\n

authorize {
\npreprocess
\n#\u00a0\u00a0\u00a0\u00a0auth_log<\/span>
\n#\u00a0\u00a0\u00a0\u00a0attr_filter<\/span>
\nchap
\nmschap
\n#\u00a0\u00a0\u00a0\u00a0digest<\/span>
\n#\u00a0\u00a0\u00a0\u00a0IPASS<\/span>
\n#\u00a0\u00a0\u00a0\u00a0suffix<\/span>
\n#\u00a0\u00a0\u00a0\u00a0ntdomain<\/span>
\n#\u00a0\u00a0\u00a0\u00a0eap<\/span>
\n#\u00a0\u00a0\u00a0\u00a0files<\/span>
\nsql
\n#\u00a0\u00a0\u00a0\u00a0etc_smbpasswd<\/span>
\n#\u00a0\u00a0\u00a0\u00a0ldap<\/span>
\n#\u00a0\u00a0\u00a0\u00a0daily<\/span>
\n#\u00a0\u00a0\u00a0\u00a0checkval<\/span>
\n}<\/p>\n

# Sess\u00e3o authentication<\/span>
\n# respons\u00e1vel por conferir o tipo de autentica\u00e7\u00e3o usado<\/span>
\nauthenticate {
\nAuth-Type PAP {
\npap
\n}
\nAuth-Type CHAP {
\nchap
\n}
\nAuth-Type MS-CHAP {
\nmschap
\n}
\n#\u00a0\u00a0\u00a0\u00a0digest<\/span>
\n#\u00a0\u00a0\u00a0\u00a0pam<\/span>
\n#\u00a0\u00a0\u00a0\u00a0unix<\/span>
\n#\u00a0\u00a0\u00a0\u00a0Auth-Type LDAP {<\/span>
\n#\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0ldap<\/span>
\n#\u00a0\u00a0\u00a0\u00a0}<\/span>
\n#\u00a0\u00a0\u00a0\u00a0eap<\/span>
\n}<\/p>\n

#\u00a0\u00a0Sess\u00e3o Pre-accounting.\u00a0\u00a0Decide qual tipo de contabilidade usar<\/span>
\npreacct {
\n#\u00a0\u00a0\u00a0\u00a0preprocess<\/span>
\n#\u00a0\u00a0\u00a0\u00a0acct_unique<\/span>
\n#\u00a0\u00a0home server as authentication requests.<\/span>
\n#\u00a0\u00a0\u00a0\u00a0IPASS<\/span>
\n#\u00a0\u00a0\u00a0\u00a0suffix<\/span>
\n#\u00a0\u00a0\u00a0\u00a0ntdomain<\/span><\/p>\n

#<\/span>
\n#\u00a0\u00a0Read the ‘acct_users’ file<\/span>
\n#\u00a0\u00a0\u00a0\u00a0files<\/span>
\n}<\/p>\n

# Sessao Accounting.\u00a0\u00a0Registra dados de contabilidade<\/span>
\naccounting {
\n#\u00a0\u00a0\u00a0\u00a0detail<\/span>
\n#\u00a0\u00a0\u00a0\u00a0daily<\/span>
\n#\u00a0\u00a0\u00a0\u00a0unix<\/span>
\n#\u00a0\u00a0\u00a0\u00a0radutmp<\/span>
\n#\u00a0\u00a0\u00a0\u00a0sradutmp<\/span>
\n#\u00a0\u00a0\u00a0\u00a0main_pool<\/span>
\nsql
\n#\u00a0\u00a0\u00a0\u00a0pgsql-voip<\/span>
\n}<\/p>\n

# Controle de sess\u00e3o <\/span>
\n# quando se faz o controle de sess\u00e3o para<\/span>
\n# evitar conex\u00f5es simult\u00e2neas (impede o <\/span>
\n# nome de usu\u00e1rio de se conectar varias vezes de<\/span>
\n# locais diferentes ao mesmo tempo com o mesmo login)<\/span>
\nsession {
\n#\u00a0\u00a0\u00a0\u00a0radutmp<\/span>
\n#\u00a0\u00a0\u00a0\u00a0sql<\/span>
\n}<\/p>\n

post-auth {
\n#\u00a0\u00a0\u00a0\u00a0main_pool<\/span>
\n#\u00a0\u00a0\u00a0\u00a0reply_log<\/span>
\n#\u00a0\u00a0\u00a0\u00a0sql<\/span>
\n#\u00a0\u00a0\u00a0\u00a0Post-Auth-Type REJECT {<\/span>
\n#\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0insert-module-name-here<\/span>
\n#\u00a0\u00a0\u00a0\u00a0}<\/span>
\n}<\/p>\n

pre-proxy {
\n#\u00a0\u00a0\u00a0\u00a0attr_rewrite<\/span>
\n#\u00a0\u00a0\u00a0\u00a0pre_proxy_log<\/span>
\n}<\/p>\n

post-proxy {
\n#\u00a0\u00a0\u00a0\u00a0post_proxy_log<\/span>
\n#\u00a0\u00a0\u00a0\u00a0attr_rewrite<\/span>
\n#\u00a0\u00a0\u00a0\u00a0attr_filter<\/span>
\neap
\n}
\n# fim radiusd.conf<\/span><\/td>\n<\/tr>\n

\n

2 – clients.conf<\/h1>\n

Respons\u00e1vel pela lista de clientes NAS que desfrutam do servi\u00e7o radius.<\/td>\n<\/tr>\n

# inicio clients.conf<\/span><\/p>\n

client 127.0.0.1 {
\nsecret = raioceleste
\n# segredo do servidor. Somente<\/span>
\n# os NAS’s que conhecem esse<\/span>
\n# segredo poder\u00e3o fazer pedidos<\/span>
\n# de autentica\u00e7\u00e3o. OBRIGAT\u00d3RIO<\/span><\/p>\n

shortname = localhost
\n# nome do cliente. Normalmente<\/span>
\n# voc\u00ea pode colocar uma parte do FQDN<\/span>
\n# esse nome \u00e9 usado no arquivo de log<\/span>
\n# e referencias de contabilidade<\/span>
\n# OBRIGAT\u00d3RIO<\/span><\/p>\n

nastype = other
\n# define o tipo de NAS \u00f3 cliente.<\/span>
\n# Muito importante pois um<\/span>
\n# NAS especifico pode ter campos<\/span>
\n# definidos nos arquivos de dicion\u00e1rios<\/span>
\n# de par\u00e2metros. OPCIONAL. Padr\u00e3o: other<\/span>
\n}<\/p>\n

# o exemplo acima trata um cliente<\/span>
\n# em especifico, mas voc\u00ea pode<\/span>
\n# abrir uma rede inteira no freeradius<\/span><\/p>\n

client 192.168.10.0\/24 {
\nsecret = raioceleste10
\nshortname = intranet-10
\n}<\/p>\n

# Importante: se seu NAS n\u00e3o estiver cadastrado<\/span>
\n# aqui, possivelmente voc\u00ea vai ver no arquivo<\/span>
\n# de log:<\/span>
\n# Thu Aug 12 17:06:16 2004 : Error: Ignoring request from unknown client 192.168.10.24:41747<\/span>
\n# <\/span>
\n# sempre que adicionar um novo cliente, voc\u00ea ter\u00e1 que reiniciar o freeradius<\/span>
\n# fim clients.conf<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/td>\n<\/tr>\n

Autenticando na base de dados MySQL e evitando conex\u00f5es simult\u00e2neas<\/strong><\/p>\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
Usar freeradius<\/em> e base de dados MySQL \u00e9 uma das melhores op\u00e7\u00f5es dispon\u00edveis. A flexibilidade e suporte do MySQL garante muita seguran\u00e7a aos seus dados e muita rapidez.<\/p>\n

Certifique-se de que no arquivo radiusd.conf<\/em>, a seguinte linha est\u00e1 declarada:<\/td>\n<\/tr>\n

$INCLUDE ${confdir}\/sql.conf<\/td>\n<\/tr>\n
\nPrimeiro passo e editar o arquivo \/usr\/local\/etc\/raddb\/sql.conf e alterar as seguintes linhas:<\/td>\n<\/tr>\n
sql {
\ndriver = “rlm_sql_mysql”
\n# informa ao freeradius qual modulo de banco<\/span>
\n# de dados usar, neste caso, mysql<\/span><\/p>\n

server = “localhost”
\n# diz ao freeradius em qual<\/span>
\n# host est\u00e1 o servidor mysql<\/span><\/p>\n

login = “root”
\n# define o nome de usu\u00e1rio registrado no mysql<\/span><\/p>\n

password = “senhadologinaqui”
\n# senha do usu\u00e1rio definido no par\u00e2metro “login”<\/span><\/p>\n

radius_db = “radius”
\n# nome do banco de dados que contem<\/span>
\n# as tabelas<\/span><\/p>\n

# abaixo deste texto (arquivo truncado aqui) se encontram defini\u00e7\u00f5es de SQL para<\/span>
\n# pesquisa de dados, n\u00e3o altere, ao menos<\/span>
\n# que tenha um prop\u00f3sito<\/span>
\n# ……<\/span>
\n# ….<\/span>
\n}<\/td>\n<\/tr>\n

\nSegundo, criar o banco de dados e as tabelas. Os criadores do freeradius j\u00e1 deixaram a DDL pronta para voc\u00ea, basta ir at\u00e9 a pasta onde est\u00e3o os fontes, na subpasta:<\/p>\n

src\/modules\/rlm_sql\/drivers\/rlm_sql_mysql<\/p>\n

Se voc\u00ea descompactou em \/usr\/local\/src, o caminho completo \u00e9:<\/p>\n

\/usr\/local\/src\/freeradius-1.0.1\/src
\n\/modules\/rlm_sql\/drivers\/rlm_sql_mysql<\/p>\n

Dentro desta pasta existe um arquivo chamado db_mysql.sql contendo todos os comandos para criar as tabelas. Crie o banco de dados com o comando:<\/p>\n

# mysqladmin -psenharoot create radius<\/strong><\/p>\n

E crie as tabelas com o comando:<\/p>\n

# mysql -psenharoot radius < db_mysql.sql<\/strong><\/p>\n

Agora edite o radiusd.conf<\/em>, vamos configur\u00e1-lo para autenticar os dados no MySQL. Procure no final do arquivo pela sess\u00e3o “authorize” e adicione “sql”, ficando assim:<\/td>\n<\/tr>\n

authorise {
\nsql
\n}<\/td>\n<\/tr>\n
\nIsso far\u00e1 com que os usu\u00e1rios sejam procurados na tabela radcheck<\/em>, banco de dados radius<\/em> no MySQL.<\/p>\n

Pr\u00f3ximo passo \u00e9 registrar a contabilidade dos acessos, muito \u00fatil para provedores que tem planos limitados de horas. V\u00e1 at\u00e9 a sess\u00e3o “accounting” e adicione “sql”, ficando assim:<\/td>\n<\/tr>\n

accounting {
\nsql
\n}<\/td>\n<\/tr>\n
\nIsso far\u00e1 com que os dados das conex\u00f5es sejam armazenadas na tabela radacct<\/em>.<\/p>\n

Um recurso interessante \u00e9 o controle de conex\u00e3o simult\u00e2nea. Isso impede que um usu\u00e1rio passe suas credencias (login\/senha) para amigos e todos usem ao mesmo tempo, dando “preju”. Na sess\u00e3o “session” adicione “sql”, ficando assim:<\/td>\n<\/tr>\n

session {
\nsql
\n}<\/td>\n<\/tr>\n
\nAinda n\u00e3o est\u00e1 pronto o controle de sess\u00e3o, voc\u00ea ter\u00e1 que editar o sql.conf e descomentar as linhas que definem as vari\u00e1veis:<\/td>\n<\/tr>\n
simul_count_query
\nsimul_verify_query<\/td>\n<\/tr>\n
\nVamos criar um usu\u00e1rio chamado “joao”, que ter\u00e1 direito a apenas uma conex\u00e3o. Conecte-se ao MySQL no banco radius:<\/p>\n

# mysql -psenharoot radius<\/strong><\/p>\n

Criar usu\u00e1rio:<\/p>\n

mysql> INSERT INTO radcheck (username, attribute, op, value)<\/strong>
\nmysql> VALUES (‘joao’, ‘Password’, ‘==’, ‘senhasecreta’);<\/strong><\/p>\n

Criar grupo com direito a uma conex\u00e3o chamado ‘sessaounica’:<\/p>\n

mysql> INSERT INTO radgroupcheck (groupname, attribute,<\/strong>
\nmysql> op, value) VALUES (‘sessaounica’, ‘Simultaneous-Use’,<\/strong>
\nmysql> ‘:=’, 1);<\/strong><\/p>\n

Inserir joao nesse grupo:<\/p>\n

mysql> INSERT INTO usergroup (username, groupname) VALUES (‘joao’, ‘sessaounica’);<\/strong><\/p>\n

Pronto. Jo\u00e3o agora n\u00e3o pode passar seu login pra ningu\u00e9m, sen\u00e3o ficar\u00e1 sem acesso! Para conex\u00f5es ISDN 128k, crie um grupo de dupla permiss\u00e3o, pois sen\u00e3o o segundo canal n\u00e3o conseguir\u00e1 conectar-se. Veja como aparece no log, uma tentativa de conex\u00e3o simult\u00e2nea ap\u00f3s o usu\u00e1rio j\u00e1 estar conectado de outro lugar:<\/p>\n

Auth: Login OK: [joao\/senhasecreta] (from client pr4k port 326 cli 31555xxxx)
\nAuth: Multiple logins (max 1) : [joao\/senhasecreta] (from client pr4k port 315 cli 31552xxxx)<\/p>\n

Acontece, de vez em quando, do usu\u00e1rio ficar “agarrado” no radius. Ele \u00e9 desconectado do RAS ou NAS, por\u00e9m o radius n\u00e3o da baixa na sess\u00e3o, os motivos podem ser, principalmente, perda do pacote no caminho at\u00e9 o radius, problema muito comum para provedores que lidam com ADSL de outras operadoras. A pr\u00f3xima vez que o usu\u00e1rio tenta logar, o acesso \u00e9 negado – o servidor radius pensa que \u00e9 sess\u00e3o simult\u00e2nea. Para resolver esse problema, sempre que um usu\u00e1rio (joao por exemplo) ficar “agarrado”, voc\u00ea libera ele com a SQL:<\/p>\n

mysql> DELETE FROM radacct WHERE username = ‘joao’ AND acctsessiontime = 0 ORDER BY radacctid DESC LIMIT 1;<\/strong><\/p>\n

A desvantagem \u00e9 que Jo\u00e3o ter\u00e1 que solicitar suporte t\u00e9cnico para ter o problema resolvido!<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/td>\n<\/tr>\n

Checagem e retorno de atributos em banco de dados<\/strong><\/p>\n\n\n\n\n
NOTA: As SQL’s exibidas neste cap\u00edtulo foram digitadas no prompt do MySQL de um servidor de testes para voc\u00ea ter uma no\u00e7\u00e3o dos conceitos na pr\u00e1tica.<\/p>\n

Quando voc\u00ea cria o banco de dados MySQL do radius a partir da DDL fornecida nos fontes do m\u00f3dulo, as seguintes tabelas s\u00e3o criadas:<\/p>\n

    \n
  • radacct<\/em> – cont\u00e9m informa\u00e7\u00f5es de contabilidade dos usu\u00e1rios, descrita no cap\u00edtulo “Extrato de horas”;<\/li>\n
  • radcheck<\/em> – cont\u00e9m a lista de atributos que ser\u00e3o usados para autenticar um usu\u00e1rio espec\u00edfico. O atributo mais necess\u00e1rio para que o usu\u00e1rio tenha acesso seguro \u00e9 “Password”, exemplo:\n

    mysql> SELECT UserName, Attribute, op, Value FROM radcheck WHERE UserName = ‘joao’;<\/strong><\/p>\n

    UserName         |    Attribute         |   op   | Value\r\n-----------------------------------------------------------\r\njoao             |    Password          |  ==   | senhasecreta\r\njoao             |    NASIPAddress      |  ==   | 192.168.0.1\r\n-----------------------------------------------------------<\/pre>\n
    Quando Jo\u00e3o tentar se autenticar, ser\u00e1 checado os dois par\u00e2metros, Password e NASIPAddress, s\u00f3 ser\u00e1 retornado um Access-Accept se a senha estiver certa e a pergunta vier do NAS 192.168.0.1. Muitos par\u00e2metros podem ser adicionados para limitar a fonte de acesso, at\u00e9 mesmo restringir um usu\u00e1rio dial-up a um \u00fanico n\u00famero de telefone (par\u00e2metro CallingStationID)!<\/li>\n
  • radreply<\/em> – cont\u00e9m uma lista de atributos devolvidos ao usu\u00e1rio. Estes atributos s\u00f3 ser\u00e3o enviados numa resposta diferente de Access-Reject, par\u00e2metros de resposta influenciam na conex\u00e3o do usu\u00e1rio, voc\u00ea poder\u00e1 interagir com o NAS (ou RAS), desde que ele tenha flexibilidade para os valores retornados (adquira o manual do seu RAS, \u00e9 muito interessante saber o que pode ser feito nele pelas respostas do radius).\n
    mysql> SELECT UserName, Attribute, op, Value FROM radreply WHERE UserName = ‘joao’;<\/strong><\/p>\n
    UserName  | Attribute         |  op  | Value\r\n----------------------------------------------------------\r\njoao      | Reply-Message     |  ==  | Bem Vindo Sr. Diretor!\r\njoao      | Framed-IP-Address |  ==  | 10.0.0.121\r\njoao      | Framed-IP-Netmask |  ==  | 255.255.255.0\r\n----------------------------------------------------------<\/pre>\n
    Com os registros acima, Jo\u00e3o receber\u00e1 uma mensagem de boas vindas e o endere\u00e7o ip 10.0.0.121\/24.<\/li>\n
  • usergroup<\/em> – Bom, seria muito desagrad\u00e1vel administrar centenas de usu\u00e1rios inserindo atributos em um por um. Voc\u00ea pode criar grupos de checagem e inserir os usu\u00e1rios neles. A tabela usergroup serve exatamente para isso: voc\u00ea adiciona grupos de checagem e retorno nas tabelas radgroupcheck e radgroupreply respectivamente, e, ao criar um relacionamento entre o grupo e a usu\u00e1rio nessa tabela, os par\u00e2metros do grupo s\u00e3o usados nas opera\u00e7\u00f5es com o usu\u00e1rio.\n
    mysql> SELECT UserName, GroupName FROM usergroup;<\/strong><\/p>\n
    UserName     |    GroupName\r\n----------------------------------\r\njoao         |    Diretoria\r\npatrick      |    Admin\r\nanamaria     |    Dialup\r\nkairan       |    Dialup\r\nmilene       |    Dialup\r\nmarcos       |    Velox\r\n----------------------------------<\/pre>\n<\/li>\n
  • radgroupcheck<\/em> – cont\u00e9m informa\u00e7\u00f5es dos grupos referenciados em usergroup para checagem de par\u00e2metros:\n
    mysql> SELECT GroupName, Attribute, op, Value FROM radgroupcheck ORDER BY GroupName;<\/strong><\/p>\n
    GroupName   | Attribute      |  op  | Value\r\n---------------------------------------------------\r\nAdmin       | NAS-IP-Address |  ==  |  192.168.0.1\r\nDialup      | NASPortType    |  ==  |  Async\r\nDiretoria   | NAS-IP-Address |  ==  |  192.168.0.1\r\nVelox       | NASPortType    |  ==  |  Virtual\r\n---------------------------------------------------<\/pre>\n
    Acima, podemos ver que: Quem \u00e9 do grupo Admin e Diretoria s\u00f3 pode se autenticar se a conex\u00e3o for intermediada pelo NAS 192.168.0.1. Quem \u00e9 do grupo Dialup s\u00f3 pode autenticar se o tipo da porta (NASPortType) for ass\u00edncrona. E assim vai!<\/li>\n
  • radgroupcheck<\/em> – cont\u00e9m informa\u00e7\u00f5es dos grupos referenciados em usergroup para retorno de par\u00e2metros:\n
    mysql> SELECT GroupName, Attribute, op, Value FROM radgroupreply ORDER BY GroupName;<\/strong><\/p>\n
    GroupName | Attribute      |  op   | Value\r\n-------------------------------------------------------------------\r\nAdmin     | Reply-Message  |  ==   | Bem vindo Manda-chuva!\r\nDialup    | Reply-Message  |  ==   | Um site de cada vez por favor.\r\nDiretoria | Reply-Message  |  ==   | Acesso bloqueado as 19:00\r\nVelox     | Reply-Message  |  ==   | \u00c9 proibido compartilhar conex\u00e3o \r\n                                     com terceiros\r\n--------------------------------------------------------------------<\/pre>\n<\/li>\n
  • radpostauth<\/em> – salva informa\u00e7\u00f5es de respostas enviadas para os usu\u00e1rios. Com ele voc\u00ea pode tirar um relat\u00f3rio das tentativas de acesso, por exemplo:\n
    mysql> SELECT user, pass, reply, date FROM radpostauth WHERE user = ‘joao’;<\/strong><\/p>\n
    user  | pas          | reply          | date\r\n-------------------------------------------------------\r\njoao  | senhasecreta | Access-Accept  |  20041228125413\r\njoao  | senhasecreta | Access-Accept  |  20041229182318\r\n-------------------------------------------------------<\/pre>\n
    Acima, o relat\u00f3rio diz que o usu\u00e1rio autenticou com sucesso nas duas tentativas. O campo date \u00e9 timestamp: ano, m\u00eas, dia, hora, minuto e segundo.<\/li>\n<\/ul>\n
    Agora que voc\u00ea j\u00e1 sabe como manipular o retorno e a autoriza\u00e7\u00e3o dos usu\u00e1rios, leia o manual do seu NAS e veja quais par\u00e2metros ele aceita e crie seus pr\u00f3prios grupos de acesso. Boa sorte!<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/td>\n<\/tr>\n
Autenticando na base de dados PostgreSQL, Oracle e outros<\/strong><\/p>\n\n\n\n\n\n\n
Talvez voc\u00ea tenha imaginado ao ver o t\u00edtulo que integrar com outros bancos de dados sen\u00e3o MySQL seria um mist\u00e9rio, na verdade, o sql.conf<\/em> tem uma \u00fanica linha que define o banco de dados a ser usado.<\/p>\n

Edite sql.conf e voc\u00ea ver\u00e1 as seguintes linhas:<\/td>\n<\/tr>\n

# Database type
\n# Current supported are: rlm_sql_mysql, rlm_sql_postgresql,
\n# rlm_sql_iodbc, rlm_sql_oracle, rlm_sql_unixodbc, rlm_sql_freetds<\/span>
\ndriver = “rlm_sql_mysql”<\/td>\n<\/tr>\n
\nNas linhas acima, o driver usado para conectar ao banco de dados \u00e9 o mysql, para que esse driver esteja dispon\u00edvel, as bibliotecas de inclus\u00f5es tem que estar presentes no sistema (exemplo: mysql.h).<\/p>\n

Mudando o driver de banco de dados, defina os valores apropriados \u00e0s vari\u00e1veis:<\/p>\n

    \n
  • server<\/li>\n
  • login<\/li>\n
  • password<\/li>\n
  • radius_db<\/li>\n<\/ul>\n

    As demais podem permanecer inalteradas. Se voc\u00ea mudar a estrutura de algumas SQL’s do sql.conf para algum prop\u00f3sito particular, recomendo que fa\u00e7a testes manuais no banco de dados para se certificar que est\u00e3o funcionando. Digo isso porque uma vez alterei algumas e meu servidor radius estava se comportando de forma estranha, no log n\u00e3o aparecia nada, quando passei um pente fino, era uma SQL mal escrita.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/td>\n<\/tr>\n

Negando temporariamente o acesso de clientes inadimplentes usando SQL<\/strong><\/p>\n\n\n\n\n\n\n
Normalmente e inevitavelmente, se voc\u00ea trabalha em um provedor, algum dia um usu\u00e1rio deixar\u00e1 de pagar e voc\u00ea ter\u00e1 que suspender o acesso dele.<\/p>\n

\u00c9 muito interessante manter os dados do cliente no banco de dados, pois ele pode retornar a ativa um dia. Assim, quando ele ligar dizendo:<\/p>\n

– Por favor, quero quitar minha d\u00edvida e ter meu acesso restabelecido.<\/p>\n

Voc\u00ea n\u00e3o ter\u00e1 o problema de ter que colocar senha em branco ou uma senha f\u00e1cil e ped\u00ed-lo para mudar na p\u00e1gina. A maioria dos clientes desconfia que os provedores t\u00eam acesso \u00e0 senha deles.<\/p>\n

Minha experi\u00eancia diz tamb\u00e9m que a maioria dos usu\u00e1rios que retornam a usar o servi\u00e7o de um provedor, v\u00e3o optar por usar o mesmo login e senha que usavam antes de serem suspensos, principalmente o e-mail.<\/p>\n

Por isso, manter os dados dele no db vai possibilitar essa vantagem.<\/p>\n

Como voc\u00ea j\u00e1 viu, se estiver usando uma base de dados, uma SQL ser\u00e1 emitida para extrair dados de login do db, o que vamos fazer \u00e9 manipular essa SQL e alterar a estrutura do banco para suport\u00e1-la.<\/p>\n

1 – Altere a estrutura da tabela radacct<\/em> no seu db radius adicionando uma coluna chamada “enable”, essa coluna poder\u00e1 suportar dois valores: Y ou N.<\/p>\n

O padr\u00e3o ser\u00e1 Y, quanto o usu\u00e1rio for desabilitado, o valor deve mudar para N. Acrescente a nova coluna com o seguinte comando no CLI no MySQL:<\/p>\n

mysql> ALTER TABLE radacct ADD enable enum(‘Y’,’N’) NOT NULL DEFAULT ‘Y’;<\/strong><\/p>\n

2 – Altere a SQL para chegar o status do usu\u00e1rio no campo “enable”. No arquivo \/usr\/local\/etc\/raddb\/sql.conf, procure pela linha:<\/p>\n

authorize_check_query = “SELECT id, UserName, Attribute, Value,op FROM ${authreply_table} WHERE Username = ‘%{SQL-User-Name}’ ORDER BY id”<\/p>\n

E acrescente a cl\u00e1usula WHERE a seguinte compara\u00e7\u00e3o:<\/p>\n

AND enable = ‘Y’<\/p>\n

Ficando assim:<\/td>\n<\/tr>\n

authorize_check_query = “SELECT id, UserName, Attribute, Value,op FROM ${authreply_table} WHERE Username = ‘%{SQL-User-Name}’ AND enable = ‘Y’ ORDER BY id”<\/td>\n<\/tr>\n
\nCom isso, somente usu\u00e1rios habilitados poder\u00e3o ser selecionados! Se o usu\u00e1rio joao n\u00e3o pagar direitinho, voc\u00ea desativa ele com a SQL:<\/p>\n

mysql> UPDATE radcheck SET enable = ‘N’ WHERE username = ‘joao’;<\/strong><\/p>\n

Se ele pagar, voc\u00ea ativa com a SQL:<\/p>\n

mysql> UPDATE radcheck SET enable = ‘Y’ WHERE username = ‘joao’;<\/strong><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/td>\n<\/tr>\n

Autenticando na base de dados de usu\u00e1rios do sistema<\/strong><\/p>\n\n\n\n\n\n\n
Se voc\u00ea n\u00e3o precisa de um servidor para grandes implementa\u00e7\u00f5es, nem usar um servidor de banco de dados, autenticar usu\u00e1rios no sistema pode ser muito \u00fatil, o freeradius<\/em> pode consultar os arquivos \/etc\/passwd<\/em> e \/etc\/shadow<\/em> para validar uma requisi\u00e7\u00e3o. A configura\u00e7\u00e3o \u00e9 muito simples, no arquivo \/usr\/local\/etc\/raddb\/radiusd.conf, edite as se\u00e7\u00f5es “instantiate”, “authorize” e “authenticate” de forma que fiquem assim:<\/td>\n<\/tr>\n
instantiate {
\n}<\/p>\n

authorize {
\nchap
\nmschap
\nfiles
\n}<\/p>\n

authenticate {
\nAuth-Type PAP {
\npap
\n}
\nAuth-Type CHAP {
\nchap
\n}
\nunix
\n}<\/td>\n<\/tr>\n

\nAs palavras “unix” e “files” s\u00e3o as respons\u00e1veis pelo tipo de autentica\u00e7\u00e3o baseada nos arquivos de sistema.<\/p>\n

Usando desta maneira, o m\u00e9todo usado para inserir usu\u00e1rios no radius \u00e9 o mesmo para adicionar um usu\u00e1rio ao sistema: usando os comandos “useradd” ou a ferramenta de administra\u00e7\u00e3o usada na sua distribui\u00e7\u00e3o Linux<\/em>. Assim, qualquer usu\u00e1rio que puder se autenticar no sistema tamb\u00e9m poder\u00e1 se autenticar no radius, mas caso isso n\u00e3o for seguro, voc\u00ea pode editar no radiusd.conf<\/em>, as op\u00e7\u00f5es do m\u00f3dulo “unix” e apontar para novos arquivos passwd e shadow.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/td>\n<\/tr>\n

Testando o servidor radius antes de coloc\u00e1-lo em produ\u00e7\u00e3o<\/strong><\/p>\n\n\n\n\n\n\n
Voc\u00ea instalou, sabe como funciona, escolheu a melhor forma de autenticar, est\u00e1 rodando, mas como saber se ele est\u00e1 funcionando devidamente?<\/p>\n

Eu costumo usa duas ferramentas para me certificar se um servidor radius presta:<\/p>\n

1 – radtest<\/h1>\n

O comando radtest acompanha o pacote do freeradius e \u00e9 instalado com os demais aplicativos. Embora sirva apenas para testar autentica\u00e7\u00e3o e retorno de par\u00e2metros, \u00e9 uma ferramenta muito \u00fatil em um Linux<\/a>.<\/p>\n

Sintaxe:<\/p>\n

radtest USU\u00c1RIO SENHA SERVIDOR:PORTAAUTH PORTANAS SEGREDORADIUS<\/p>\n

onde:<\/p>\n

\"\"<\/a><\/td>\n<\/tr>\n
\nVoc\u00ea pode baix\u00e1-lo gratuitamente do site:<\/p>\n
Criando gr\u00e1ficos de monitoramento com MRTG<\/strong><\/p>\n\n\n\n\n\n\n\n\n\n\n
Bom, para essa implementa\u00e7\u00e3o voc\u00ea precisa ter o MRTG instalado no seu Linux<\/em>, n\u00e3o tem segredo, v\u00e1 na ordem:<\/p>\n
    \n
  • instale zlib<\/li>\n
  • instale libjpeg<\/li>\n
  • instale gd<\/li>\n
  • instale mrtg<\/li>\n<\/ul>\n

    Por padr\u00e3o, os programas do mrtg s\u00e3o instalados em \/usr\/local\/mrtg-2\/bin.<\/p>\n

    Criar gr\u00e1ficos com dados do banco de dados do radius \u00e9 muito importante. Voc\u00ea pode ter o controle de quantas sess\u00f5es s\u00e3o abertas em hor\u00e1rios diferentes, ter o controle do n\u00famero de registros no banco de dados, etc.<\/p>\n

    Por exemplo: Implementando um simples gr\u00e1fico de mrtg para monitorar o n\u00famero de conex\u00f5es abertas, pude saber que tenho muitas linhas telef\u00f4nicas sobrando, podendo bolar uma estrat\u00e9gia para compensar os gastos. \u00c9 importante tamb\u00e9m monitorar a quantidade de banda que \u00e9 consumida pelos clientes dial-up, entre outros valores que podem decidir a expans\u00e3o do neg\u00f3cio.<\/p>\n

    Considerando que voc\u00ea vai armazenar os gr\u00e1ficos na pasta \/www\/graficos que est\u00e1 publicada no seu Apache.<\/p>\n

    Gr\u00e1fico de sess\u00f5es abertas:<\/p>\n

    Crie o arquivo \/www\/graficos\/sessoes.conf com o conte\u00fado:<\/td>\n<\/tr>\n

# in\u00edcio<\/span>
\nEnableIPv6: no
\nWorkdir: \/www\/graficos\/
\nOptions[_]: growright,bits<\/p>\n

Title[sessoes] : Radius – Sess\u00f5es abertas
\nMaxBytes[index] : 10000
\nAbsMax[index] : 20000
\nOptions[index]: growright,noinfo,gauge
\nTarget[index]: `\/etc\/mrtg\/radius-sessoes.sh`
\nPageTop[index]: Radius<\/strong>
\nShortLegend[index]: Sess\u00f5es
\nYLegend[index]: Sess\u00f5es\/hora
\nLegend1[index]: Total de sess\u00f5es
\nWithPeak[index]: ymwd
\nXSize[index]: 350
\nYSize[index]: 150
\n# fim<\/span><\/td>\n<\/tr>\n

\nComo voc\u00ea pode ver, o comando \/etc\/mrtg\/radius-sessoes.sh \u00e9 invocado. Esse script tem que retornar um valor para o MRTG no seguinte formato:<\/p>\n

#————–
\nn\u00famero<quebra de linha>
\nn\u00famero<quebra de linha>
\n#————–<\/p>\n

Exemplo:<\/p>\n

# .\/etc\/mrtg\/radius-sessoes.sh<\/strong>
\n30
\n0<\/p>\n

Nesse caso, o n\u00famero 30 \u00e9 o n\u00famero de sess\u00f5es que est\u00e3o abertas. No script \/etc\/mrtg\/radius-sessoes.sh, coloque o seguinte conte\u00fado:<\/td>\n<\/tr>\n

# inicio<\/span>
\n#!\/bin\/sh<\/span><\/p>\n

servidormysql=localhost
\nusuario=root
\nsenha=mysql2005
\nbanco=radius
\ntabelaacct=radacct<\/p>\n

sessoes=`mysql -N -p$senha -h $servidormysql -u $login $banco -e “SELECT count(*) FROM $tabelaacct WHERE AcctStopTime = 0;”`<\/p>\n

echo $sessoes
\necho 0
\n# fim<\/span><\/td>\n<\/tr>\n

\nSalve e torne execut\u00e1vel:<\/p>\n

# chmod +x \/etc\/mrtg\/radius-sessoes.sh<\/strong><\/p>\n

O comando para gerar o gr\u00e1fico ser\u00e1:<\/p>\n

# \/usr\/local\/bin\/mrtg-2\/bin\/mrtg \/www\/graficos\/sessoes.conf<\/strong><\/p>\n

As 3 primeiras vezes que voc\u00ea o executar, erros ser\u00e3o gerados, mas n\u00e3o se preocupe, certifique-se de que novos arquivos foram gerados em \/www\/graficos\/, o arquivo sessoes.html nessa pasta mostra os gr\u00e1ficos que come\u00e7aram a ser exibidos uns 15 minutos depois.<\/p>\n

Coloque o comando para gerar os gr\u00e1ficos de 5 em 5 minutos pelo crontab<\/em>:<\/td>\n<\/tr>\n

*\/5\u00a0\u00a0*\u00a0\u00a0*\u00a0\u00a0*\u00a0\u00a0*\u00a0\u00a0\/usr\/local\/bin\/mrtg-2\/bin\/mrtg \/www\/graficos\/sessoes.conf<\/td>\n<\/tr>\n
\nAgora \u00e9 s\u00f3 monitorar!<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/td>\n<\/tr>\n
Extrato de horas<\/strong><\/p>\n\n\n\n\n
Agora um assunto que \u00e9 muito interessante: Extrato de horas.<\/p>\n

Em muitas empresas, provedores, etc \u00e9 importante relatar o uso do servi\u00e7o (conex\u00e3o a internet) de forma leg\u00edvel e acess\u00edvel. Os provedores de acesso, por exemplo, tem planos de acesso limitados a certa quantia de horas e quando o usu\u00e1rio abusa, uma multa \u00e9 cobrada sobre o excedente.<\/p>\n

Quando uma quantia \u00e9 cobrada do usu\u00e1rio, como cliente, ele tem o direito de saber pelo que est\u00e1 pagando, ent\u00e3o \u00e9 hora de dar contas.<\/p>\n

O freeradius<\/em>, junto com os m\u00f3dulos de SQL, salva os dados de sess\u00e3o na tabela radacct<\/em>(contabilidade), cada registro nesta tabela \u00e9 composto pelas seguintes colunas:<\/p>\n

    \n
  • RadAcctId -> n\u00famero \u00fanico de identifica\u00e7\u00e3o do registro;<\/li>\n
  • AcctSessionId -> caracteres de identifica\u00e7\u00e3o da sess\u00e3o;<\/li>\n
  • AcctUniqueId -> n\u00famero \u00fanico da sess\u00e3o;<\/li>\n
  • UserName -> nome de usu\u00e1rio;<\/li>\n
  • Realm -> Realm usado;<\/li>\n
  • NASIPAddress -> RAS (ou NAS) que participou da autentica\u00e7\u00e3o e contabilidade;<\/li>\n
  • NASPortId -> porta do NAS usada;<\/li>\n
  • NASPortType -> tipo da porta (Async{56kbps}, ISDN {64 ou 128kb}, Virtual {adsl e outros});<\/li>\n
  • AcctStartTime -> data hora do in\u00edcio da sess\u00e3o, hora em que a conex\u00e3o foi estabelecida;<\/li>\n
  • AcctStopTime -> data hora do fim da sess\u00e3o, hora em que a conex\u00e3o foi encerrada;<\/li>\n
  • AcctSessionTime -> tempo da sess\u00e3o em segundos (diferen\u00e7a entre AcctStopTime e AcctStartTime);<\/li>\n
  • AcctAuthentic -> Protocolo de autentica\u00e7\u00e3o usado (ex.: RADIUS);<\/li>\n
  • ConnectInfo_start -> informa\u00e7\u00f5es da conex\u00e3o quando ela se iniciou, informando o protocolo eletr\u00f4nico, a velocidade de upload, velocidade de download, etc… (ex.: V90 31200 52000 LAPM\/V42Bis);<\/li>\n
  • ConnectInfo_stop -> informa\u00e7\u00f5es da conex\u00e3o quando ela terminou. Vide ConnectInfo_start<\/li>\n
  • AcctInputOctets -> quantidade de dados recebidos;<\/li>\n
  • AcctOutputOctets -> quantidade de dados enviados;<\/li>\n
  • Os dois campos acima s\u00e3o, sem d\u00favida, a melhor maneira de controlar o volume de dados de um cliente;<\/li>\n
  • CalledStationId -> Em caso de RAS (cyclades, cisco, etc…) com diversos n\u00fameros, informa o n\u00famero que o cliente discou;<\/li>\n
  • CallingStationId -> N\u00famero do telefone do cliente. Eu amo esse campo! Com ele, voc\u00ea acha o cliente em qualquer lugar! Tem como voc\u00ea saber de onde o cliente anda conectando, se ele ficar usando em casa e no trabalho, etc;<\/li>\n
  • AcctTerminateCause -> Informa o motivo da desconex\u00e3o. Os valores mais comuns s\u00e3o:\n
      \n
    • Host-Request = o usu\u00e1rio (ou algum software no PC dele) requisitou a desconex\u00e3o.<\/li>\n
    • Lost-Carrier = sinal de linha perdido ou muita interfer\u00eancia na transmiss\u00e3o. Ocorre muito quando h\u00e1 varias extens\u00f5es na mesma linha telef\u00f4nica ou a presen\u00e7a de umidade, gato, etc.\n

      Veja mais detalhes sobre motivos de desconex\u00e3o em \/usr\/local\/share\/freeradius\/dictionary.<\/li>\n

    • ServiceType = tipo de servi\u00e7o.<\/li>\n
    • FramedProtocol = protocolo usado (ex.: PPP).<\/li>\n
    • FramedIPAddress = endere\u00e7o ip concedido ao cliente durante a sess\u00e3o. Se a pol\u00edcia federal der uma batida a\u00ed, voc\u00ea vai poder informar pelo endere\u00e7o ip, de qual telefone partiu a conex\u00e3o do hacker!<\/li>\n
    • AcctStartDelay = tempo demorado para registrar o in\u00edcio da sess\u00e3o.<\/li>\n
    • AcctStopDelay = tempo demorado para registrar o fim da sess\u00e3o.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n

      Quanto o usu\u00e1rio se conecta ao dispositivo de rede (NAS) e inicia uma sess\u00e3o, um registro em radacct \u00e9 criado, mas nem todas as informa\u00e7\u00f5es est\u00e3o dispon\u00edveis nele. O campo AcctStopTime \u00e9 0 (valor zero), entre outros.<\/p>\n

      Assim, voc\u00ea pode descobrir quais usu\u00e1rios est\u00e3o conectados no momento com a SQL:<\/p>\n

      mysql> SELECT username, date_format(AcctStartTime, ‘%d\/%m\/%Y %T’) AS AcctStartTime, NASPortType FROM radacct WHERE AcctStopTime = 0 ORDER BY AcctStartTime;<\/strong><\/p>\n

      Exemplo do resultado:<\/p>\n

      UserName   | AcctStartTime        |   NASPortType\r\n+--------------------+---------------------------\r\n paulinho  | 30\/12\/2004  07:30:06 |   Virtual\r\n francisco | 30\/12\/2004  09:28:18 |   Async\r\n+--------------------+---------------------------<\/pre>\n
      Na tabela, vejo que um usu\u00e1rio de velox (paulinho) e outro de conex\u00e3o discada (francisco) est\u00e3o conectados.<\/p>\n
      Assim que a desconex\u00e3o \u00e9 registrada pelo NAS ou RAS, \u00e9 transmitido para porta de contabilidade do freeradius um pedido de encerramento da sess\u00e3o, os dados restantes s\u00e3o preenchidos (data e hora, tempo total da sess\u00e3o, velocidade na hora da desconex\u00e3o, motivo, etc).<\/p>\n
      Bom, agora que voc\u00ea j\u00e1 sabe o caminho das pedras, \u00e9 hora de desenvolver um software que te d\u00ea isso de forma acess\u00edvel e que voc\u00ea possa integrar com outros sistemas, como o de cobran\u00e7a, por exemplo. Boa sorte no desenvolvimento!<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/td>\n<\/tr>\n
Administra\u00e7\u00e3o de usu\u00e1rios<\/strong><\/p>\n\n\n\n\n\n\n
N\u00e3o \u00e9 agrad\u00e1vel ter uma grande quantidade de clientes e ter que administrar “no dedo”, um software de administra\u00e7\u00e3o \u00e9 fundamental. Voc\u00ea tem tr\u00eas op\u00e7\u00f5es:<\/p>\n

1 – desenvolver um, escolhendo a tecnologia, se baseando nas suas necessidades e nos relacionamentos do seu banco de dados de clientes, cobran\u00e7a, etc.<\/p>\n

N\u00e3o existe nenhum segredo para se fazer isso, basta ter conhecimento em alguma linguagem de programa\u00e7\u00e3o com API do banco de dados usado (exemplo: PHP e MySQL). Assim voc\u00ea pode oferecer para seus clientes, formul\u00e1rios de mudan\u00e7a de senha, extrato de horas de acesso, help-desk, etc. Eu mesmo j\u00e1 desenvolvi um software do tipo, que instalo para meus clientes.<\/p>\n

2 – usar o software “dial-up admin”, GNU, distribu\u00eddo junto com o freeradius<\/em>.<\/p>\n

O dial-up admin \u00e9 um software completo para administra\u00e7\u00e3o de um servidor radius baseado em banco de dados. Ele possui total controle das tabelas do radius, para alterar atributos, administrar usu\u00e1rios, grupos e uma interface b\u00e1sica de administra\u00e7\u00e3o de clientes (nome, telefone, endere\u00e7o).<\/p>\n

Ser\u00e1 necess\u00e1rio ter instalado no seu servidor:<\/p>\n

    \n
  • Apache<\/li>\n
  • PHP<\/li>\n
  • Perl – m\u00f3dulo Date::Manip<\/li>\n<\/ul>\n

    Na pasta de fontes do freeradius, existe uma pasta chamada dialup_admin, coloque-a em \/usr\/local e se assegure de que somente o usu\u00e1rio que executa o Apache (nobody normalmente) tenha permiss\u00f5es nessa pasta.<\/p>\n

    Voc\u00ea n\u00e3o ir\u00e1 publicar a pasta \/usr\/local\/dialup_admin no seu Apache, mas sim uma subpasta chamada htdocs (\/usr\/local\/dialup_admin\/htdocs), que dever\u00e1 ser protegida por senha. Insira no seu httpd.conf<\/em>:<\/td>\n<\/tr>\n

Alias \/dialup_admin “\/usr\/local\/dialup_admin\/htdocs”
\n<Directory “\/usr\/local\/dialup_admin\/htdocs”
\nAuthName “Area Restrita – Administra\u00e7\u00e3o”
\nAuthType Basic
\nAuthUserFile \/usr\/local\/dialup_admin\/.htpasswd
\nrequire valid-user
\n<\/Directory><\/td>\n<\/tr>\n
\nCrie agora o arquivo de senhas:<\/p>\n

# htpasswd -c \/usr\/local\/dialup_admin\/.htpasswd -m administrador senha<\/strong><\/p>\n

V\u00e1 at\u00e9 a pasta \/usr\/local\/dialup_admin\/sql, voc\u00ea deve executar todas estes arquivos de SQL no seu banco de dados de radius (banco “radius”):<\/p>\n

# cd \/usr\/local\/dialup_admin\/sql
\n# mysql -pSENHA -u USUARIO -h SERVIDOR radius -e badusers.sql
\n# mysql -pSENHA -u USUARIO -h SERVIDOR radius < mtotacct.sql
\n# mysql -pSENHA -u USUARIO -h SERVIDOR radius < totacct.sql
\n# mysql -pSENHA -u USUARIO -h SERVIDOR radius < userinfo.sql<\/strong><\/p>\n

Onde: SENHA, USU\u00c1RIO e SERVIDOR devem ser substitu\u00eddos pelos valores corretos no seu servidor MySQL.<\/p>\n

Com as tabelas criadas e o Apache configurado, edite o arquivo \/usr\/local\/dialup_admin\/conf\/admin.conf e altere os valores das vari\u00e1veis de acordo com sua instala\u00e7\u00e3o (mysql, arquivos de configura\u00e7\u00e3o do freeradius, etc).<\/p>\n

Agora reinicie seu Apache, voc\u00ea ir\u00e1 acessar pelo endere\u00e7o:<\/p>\n

http:\/\/192.168.10.1\/dialup_admin<\/p>\n

Onde 192.168.10.1 deve ser substitu\u00eddo pelo ip ou nome FQDN do servidor.<\/p>\n

Com esses passos voc\u00ea deve conseguir usar o software com sucesso!<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/td>\n<\/tr>\n

Ajuda<\/strong><\/p>\n\n\n\n
Espero que tenham gostado da qualidade do artigo.<\/p>\n

A vers\u00e3o atualizada e corrigida dia-a-dia estar\u00e1 dispon\u00edvel no endere\u00e7o:<\/p>\n