Arapuca - Expandindo as funcionalidades do FreeRADIUS
O servidor FreeRADIUS é uma boa alternativa para gerência de usuários em redes com exigência de autenticação, no entanto peca no fornecimento de facilidades para gerir as informações que possui. O Arapuca é um software que, usando PostgreSQL e autenticação TTLS, fornece uma boa interface web para gerência e expande as funcionalidades desse tão funcional servidor.
[ Hits: 25.097 ]
Por: Kempes J. em 08/06/2012
Administrando a rede
Após a instalação o Arapuca poderá ser acessado com o usuário "admin" e a senha "admin".
Após fazer o logon, dentre as abas que aparecem, há a aba Administração.
Toda a tarefa administrativa pode ser feita por aí.
Algumas informações podem parecer desnecessárias, mas quando se tem uma rede com muitos usuários e muitos NAS tais informações tornam-se bastante úteis.
A estrutura da rede deve ser cadastrado, antes de mais nada.
O que o Arapuca chama de roteador, nada mais é que o NAS do FreeRADIUS.
O cadastro começa pelo cadastro simples de fabricantes de roteadores e modelos de roteadores (onde pode ser incluída uma versão digital do manual) e de localizações dos roteadores.
Em seguida os próprios roteadores devem ser cadastrados.
Após o cadastro do roteador existem duas informações que são parecidas, mas na verdade são completamente diferentes:
Devido limitação do FreeRADIUS, após o cadastros de um ou mais roteadores, o serviço do FreeRADIUS deve ser reiniciado.
No entanto, quando associado a um grupo é que ele pode ter acesso.
Então, antes de cadastrar um usuário, é necessário que se faça o cadastro de grupos.
Um grupo deve ter um nome e informações de emissão de tickets (ver mais adiante) e se é afetado por calendário de acesso (ver ainda mais adiante).
Após o cadastro do grupo o mesmo pode ser associado a roteadores (indicando que os usuário desse grupo terão acesso à rede via esses roteadores) e a permissões (de acesso a rede ou de administração do Arapuca).
Estando um ou mais grupos cadastrados, é hora de cadastrar os usuários.
Um usuário possui, nome, CPF, matrícula (pode ser preenchido com qualquer coisa, para não ficar em branco), e-mail, senha, MAC e se ele está habilitado.
Após o cadastro do usuário o mesmo deve ser associado a algum grupo.
Caso se perceba que um usuário está agindo de forma incorreta em relação a política de acesso definida pela administração da rede, o mesmo pode ser advertido. Uma advertência consta de uma mensagem explicativa da advertência e uma quantidade de dias que o usuário não poderá acessar a rede (-1 se permanente).
Ao fazer isso o usuário receberá automaticamente um e-mail com as informações da advertência.
Também é comum em grandes empresas, públicas ou privadas, que alguns grupos de usuários tenham permissão para "convidar" pessoas e que elas possam ter acesso temporário a rede. Para isso existe a emissão de tickets de acesso.
Os tickets de acesso podem ser emitidas por qualquer pessoa que esteja em um grupo que possua essa permissão. Um ticket possui um limite, em dias, de validade. Um grupo tanto é limitado na quantidade total de tickets que pode emitir, quanto na quantidade total de dias de acesso que pode ter um ticket, como também na quantidade total de dias que podem ser concedidos em todos os tickets.
Alguns grupos de acesso podem, ainda ser afetados, por calendários de acesso. Os calendários de acesso restringem períodos de datas em que seus usuários podem ter acesso a rede. Isso pode ser útil em ambientes como suário sazonais, como escolas e universidades.
Pode ainda ter acesso às configurações de envio de e-mail, se o sistema trabalhará com calendários de acesso ou emissão de tickets de acesso.
O administrador pode ainda enviar malas diretas ou cancelar acesso de grupos inteiros.
Após fazer o logon, dentre as abas que aparecem, há a aba Administração.
Toda a tarefa administrativa pode ser feita por aí.
Algumas informações podem parecer desnecessárias, mas quando se tem uma rede com muitos usuários e muitos NAS tais informações tornam-se bastante úteis.
A estrutura da rede deve ser cadastrado, antes de mais nada.
O que o Arapuca chama de roteador, nada mais é que o NAS do FreeRADIUS.
O cadastro começa pelo cadastro simples de fabricantes de roteadores e modelos de roteadores (onde pode ser incluída uma versão digital do manual) e de localizações dos roteadores.
Em seguida os próprios roteadores devem ser cadastrados.
Após o cadastro do roteador existem duas informações que são parecidas, mas na verdade são completamente diferentes:
- Habilitado: informa para o FreeRADIUS se o roteador deve ser usado (é uma informação editável);
- Ativo: informa ao usuário administrador, se o roteador está acessível a rede (é uma consulta de acesso ao roteador)
Devido limitação do FreeRADIUS, após o cadastros de um ou mais roteadores, o serviço do FreeRADIUS deve ser reiniciado.
Gerência de usuários
Um usuário, por si só, não tem acesso nem a rede, nem a gerência do Arapuca.No entanto, quando associado a um grupo é que ele pode ter acesso.
Então, antes de cadastrar um usuário, é necessário que se faça o cadastro de grupos.
Um grupo deve ter um nome e informações de emissão de tickets (ver mais adiante) e se é afetado por calendário de acesso (ver ainda mais adiante).
Após o cadastro do grupo o mesmo pode ser associado a roteadores (indicando que os usuário desse grupo terão acesso à rede via esses roteadores) e a permissões (de acesso a rede ou de administração do Arapuca).
Estando um ou mais grupos cadastrados, é hora de cadastrar os usuários.
Um usuário possui, nome, CPF, matrícula (pode ser preenchido com qualquer coisa, para não ficar em branco), e-mail, senha, MAC e se ele está habilitado.
Após o cadastro do usuário o mesmo deve ser associado a algum grupo.
Caso se perceba que um usuário está agindo de forma incorreta em relação a política de acesso definida pela administração da rede, o mesmo pode ser advertido. Uma advertência consta de uma mensagem explicativa da advertência e uma quantidade de dias que o usuário não poderá acessar a rede (-1 se permanente).
Ao fazer isso o usuário receberá automaticamente um e-mail com as informações da advertência.
Também é comum em grandes empresas, públicas ou privadas, que alguns grupos de usuários tenham permissão para "convidar" pessoas e que elas possam ter acesso temporário a rede. Para isso existe a emissão de tickets de acesso.
Os tickets de acesso podem ser emitidas por qualquer pessoa que esteja em um grupo que possua essa permissão. Um ticket possui um limite, em dias, de validade. Um grupo tanto é limitado na quantidade total de tickets que pode emitir, quanto na quantidade total de dias de acesso que pode ter um ticket, como também na quantidade total de dias que podem ser concedidos em todos os tickets.
Alguns grupos de acesso podem, ainda ser afetados, por calendários de acesso. Os calendários de acesso restringem períodos de datas em que seus usuários podem ter acesso a rede. Isso pode ser útil em ambientes como suário sazonais, como escolas e universidades.
Outras ações administrativas
Como administrador um usuário pode ter acesso a logs de acesso ao sistema ou de acesso à rede. No entanto, não são permitidas modificações nos logs.Pode ainda ter acesso às configurações de envio de e-mail, se o sistema trabalhará com calendários de acesso ou emissão de tickets de acesso.
O administrador pode ainda enviar malas diretas ou cancelar acesso de grupos inteiros.
Páginas do artigo
1. O que é o Arapuca2. Instalações automática e manual
3. Administrando a rede
4. Hardware suportado e considerações finais
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Instalando Wine no Slackware 14.0
Como organizar biblioteca de músicas no computador
Instalando o Gnome-2.20.0 no Slacware 12
Weechat - Conheçam este cliente peso-pena para IRC
Ferramentas de monitoria de tráfego
Comentários
[1] Comentário enviado por paulocez em 10/01/2013 - 09:00h
Bom dia Amigo!
Estamos implantando na empresa um Firewall Pfsense com captive portal + freeradius, então gostaria de saber sé possivel implementar o Arapuca nesse senario, usando uma base de dados Postgresql instalado em outro servidor.
Obrigado
Bom dia Amigo!
Estamos implantando na empresa um Firewall Pfsense com captive portal + freeradius, então gostaria de saber sé possivel implementar o Arapuca nesse senario, usando uma base de dados Postgresql instalado em outro servidor.
Obrigado
[2] Comentário enviado por malkav_k em 10/01/2013 - 09:37h
Possível por possível é, mas terás que fazer a instalação toda manual, pois o instalador automático é para Linux Debian Like.
Vou te fazer uma pergunta e uma te dar 3 experiências práticas.
Usar o captive portal e freeradius não é excesso de dispositivo de segurança para o usuário (usando ou não o Arapuca)? (o usuário vai ter que se autenticar para conectar na rede [a não ser se use o freeradius com certificado digital, instalando-o em cada computador a entrar na rede] e depois para navegar)
Na instituição onde trabalho foram feitas 3 instalações do PfSense. Em uma delas funcionou perfeitamente e está em uso até hoje. Nas outras duas ocorreram problemas estranhos. Em um, quando o uso do link chegava próximo aos 80 kbps, ele simplesmente desligava todas as placas de rede (foram testados 3 computadores diferentes com 2 ou 3 placas de redes, com um total de 8 placas de rede testadas e que funcionam perfeitamente em outras instalações). Já o outro, não foi definido um padrão, mas de tempos em tempos o PfSense desliga sozinho as placas de rede.
Vale a pena fazer um teste intensivo.
Possível por possível é, mas terás que fazer a instalação toda manual, pois o instalador automático é para Linux Debian Like.
Vou te fazer uma pergunta e uma te dar 3 experiências práticas.
Usar o captive portal e freeradius não é excesso de dispositivo de segurança para o usuário (usando ou não o Arapuca)? (o usuário vai ter que se autenticar para conectar na rede [a não ser se use o freeradius com certificado digital, instalando-o em cada computador a entrar na rede] e depois para navegar)
Na instituição onde trabalho foram feitas 3 instalações do PfSense. Em uma delas funcionou perfeitamente e está em uso até hoje. Nas outras duas ocorreram problemas estranhos. Em um, quando o uso do link chegava próximo aos 80 kbps, ele simplesmente desligava todas as placas de rede (foram testados 3 computadores diferentes com 2 ou 3 placas de redes, com um total de 8 placas de rede testadas e que funcionam perfeitamente em outras instalações). Já o outro, não foi definido um padrão, mas de tempos em tempos o PfSense desliga sozinho as placas de rede.
Vale a pena fazer um teste intensivo.
[3] Comentário enviado por malkav_k em 04/02/2013 - 10:51h
paulocez,
Não tinha notado o "alcance" da tua pergunta. Mas é bem interessante.
Se tiver como redirecionar o captive portal direto para o FreeRADIUS, é uma ótima alternativa. Pode-se configurar qualquer tipo de autenticação que se desejar e não só a tão péssima MSCHAPv2 (padrão do Arapuca+FreeRADIUS/Windows).
Só tem que mudar a configuração do arquivo eap.conf e adicionar a criptografia desejada à senha do banco (lembrar de mudar o código fonte as partes de autenticação e manutenção de senhas).
No entanto, segue o alerta sobre a instabilidade do pFSense.
paulocez,
Não tinha notado o "alcance" da tua pergunta. Mas é bem interessante.
Se tiver como redirecionar o captive portal direto para o FreeRADIUS, é uma ótima alternativa. Pode-se configurar qualquer tipo de autenticação que se desejar e não só a tão péssima MSCHAPv2 (padrão do Arapuca+FreeRADIUS/Windows).
Só tem que mudar a configuração do arquivo eap.conf e adicionar a criptografia desejada à senha do banco (lembrar de mudar o código fonte as partes de autenticação e manutenção de senhas).
No entanto, segue o alerta sobre a instabilidade do pFSense.
[4] Comentário enviado por Tacioandrade em 30/05/2013 - 07:17h
Amigo bom dia, você poderia me informar se usando o Arapuca o usuário teria alguma forma de alterar sua senha de usuário do Captive Portal? Pergunto isso pois estou implementando um sistema de wifi na empresa que trabalho, porem não encontrei um sistema de captive portal (gratuito) que dê para o usuário modifique sua senha e que tenha um controle de velicidade que ele terá acesso.
Amigo bom dia, você poderia me informar se usando o Arapuca o usuário teria alguma forma de alterar sua senha de usuário do Captive Portal? Pergunto isso pois estou implementando um sistema de wifi na empresa que trabalho, porem não encontrei um sistema de captive portal (gratuito) que dê para o usuário modifique sua senha e que tenha um controle de velicidade que ele terá acesso.
[5] Comentário enviado por malkav_k em 31/05/2013 - 20:48h
Tacioandrade,
Se o captive apontar para a mesma base de dados (ou para o FreeRADIUS), sim. Estou planejando para a próxima subversão do Arapuca (quando o tempo me permitir), que o usuário recupere senha caso tenha esquecido.
Como o paulocez muito bem apontou, existe a possibilidade de usar o PfSense (verifique se ele funciona bem no seu servidor). Você pode usá-lo para disponibilizar um captive portal e apontar para o mesmo FreeRADIUS do Arapuca.
A gerência dos usuários do Arapuca gerencia, por tabela, os usuários do captive.
Já quanto a questão da velocidade, é outro problema. Não encontrei no FreeRADIUS um dispositivo de controle de velocidade que preste (pelo menos não me aprofundei o suficiente na documentação de forma a me indicar isso).
Se o captive puder disponibilizar essa informação (que não sei se o PfSense faz isso) a coisa pode estar resolvida.
Tacioandrade,
Se o captive apontar para a mesma base de dados (ou para o FreeRADIUS), sim. Estou planejando para a próxima subversão do Arapuca (quando o tempo me permitir), que o usuário recupere senha caso tenha esquecido.
Como o paulocez muito bem apontou, existe a possibilidade de usar o PfSense (verifique se ele funciona bem no seu servidor). Você pode usá-lo para disponibilizar um captive portal e apontar para o mesmo FreeRADIUS do Arapuca.
A gerência dos usuários do Arapuca gerencia, por tabela, os usuários do captive.
Já quanto a questão da velocidade, é outro problema. Não encontrei no FreeRADIUS um dispositivo de controle de velocidade que preste (pelo menos não me aprofundei o suficiente na documentação de forma a me indicar isso).
Se o captive puder disponibilizar essa informação (que não sei se o PfSense faz isso) a coisa pode estar resolvida.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Agora temos uma assistente virtual no fórum!!! (247)
Artigos
Manutenção de sistemas Linux Debian e derivados com apt-get, apt, aptitude e dpkg
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
Dicas
Como Atualizar Fedora 39 para 40
Instalar Google Chrome no Debian e derivados
Consertando o erro do Sushi e Wayland no Opensuse Leap 15
Instalar a última versão do PostgreSQL no Lunix mantendo atualizado
Flathub na sua distribuição Linux e comandos básicos de gerenciamento
Tópicos
Microfone do meu headset não é recinhecido. Meu notebook é um Acer Asp... (7)
Como configuro meu controle de xbox no mupen64? (7)
redirecionando saida de comando touch para o AWK[AJUDA] (4)
Top 10 do mês
-
Xerxes
1° lugar - 74.936 pts -
Fábio Berbert de Paula
2° lugar - 60.271 pts -
Clodoaldo Santos
3° lugar - 46.616 pts -
Buckminster
4° lugar - 26.654 pts -
Sidnei Serra
5° lugar - 26.269 pts -
Daniel Lara Souza
6° lugar - 18.342 pts -
Alberto Federman Neto.
7° lugar - 17.964 pts -
Mauricio Ferrari
8° lugar - 17.765 pts -
Diego Mendes Rodrigues
9° lugar - 15.892 pts -
edps
10° lugar - 15.404 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
