Manual do usurio MyAuth Gateway Como funciona O Software MyAuth Gateway funciona baseado no conceito de gateway de captura. Nessa tcnica, um host localizado em uma rede atrs do MyAuth necessita se autenticar para obter acesso. Como existem muitas tecnologias para prover autenticao, cada uma exige um tipo de infraestrutura ou softwares diferentes, ja tcnica de captura resume-se apenas em exibir para o usurio uma tela de login no navegador quando uma pgina for solicitada pela primeira vez. Essa tela de login consiste em uma pgina html com um formulrio exigindo login e senha. O MyAuth 2 no utiliza nenhuma outra tecnologia de autenticao. A base de dados de usurios fica armazenada em um banco de dados MySQL. Para que o usurio possa ser capturado para pgina de login, necessrio que a infraestrutura da rede esteja totalmente funcional (meio fsico cabeado ou wireles, etc...). Nesse ponto, o host cliente deve estar disponvel para comunicaes com protocolo IP, seja configurado manualmente ou obtido automaticamente (DHCP). Com a conexo de rede funcional, o host cliente necessitar apenas de:Navegador que reconhea HTTP 1.0 ou superior (Internet Explorer, Firefox, etc...) Internet ExplorerMozilla FirefoxOpera Outros... O gateway que prover o recurso de autenticao deve estar no caminho direto de acesso para a internet, ou seja, todo trfego dever passar pelo MyAuth. Somente assim o MyAuth poder diferenciar acessos autorizados, que j possuem permisses e no autorizados, que devero ser autenticados para trafegar na rede. No mapa acima, os clientes so separados da internet e dos servidores pelo MyAuth Gateway, que se encarrega de controlar o acesso dos clientes a internet e autentic-los. Uma vez que um host cliente se autenticou, as permisses para trafegar na rede so concedidas de acordo com as condies cadastradas: velocidade, tempo, volume de trfego, proxy transparente, agendamento de horrio. (ver recursos). O MyAuth no possui controle sobre os meios fsicos a que est conectado, ou seja, ele no prove recursos de enlace de dados como Access Point, VLAN, etc... Suas funes so especificas para portal de autenticao. Sua topologia de rede pode ser da mais varivel e mista possvel, bastando estar de acordo os requisitos, o MyAuth funcionar perfeitamente. Recursos O Software MyAuth Gateway dispe de vrios recursos que proveem maior flexibilidade e gerenciamento de usurios e conexes. Ei-los: Cadastro de clientes Informaes pessoais e suportes prestados e associao de logins (nomes de usurio que o cliente possui).Cadastro de suporte Informaes de suporte prestado ao cliente e nome do tcnico que atendeu. Simples.Cadastro de usurios Cadastro de nome de usurios que podero efetuar login no gateway. Nas propriedades do usurio esto disponveis:Conceder permisso desde que o usurio esteja usando um endereo IP ou/e MAC Conceder permisso a um nmero limitado ou ilimitado de logins simultneos, evitando compartilhamento de login com outro usurios Desativar o login, caso o cliente no possa acessar a internet temporariamente Escolher um valor de banda pr-definido para o usurio Vizializar o grfico de consumo de banda do usurio Conceder acesso por um perodo de tempo (agendado, onde o usurio s poder acessar durante determinados dias da semana) ou limite de tempo (onde o usurio ter um limite de tempo: mensal, semanal ou dirio) Conceder acesso limitado a um trfego mensal. O usurio estar limitado a uma quantidade de megabyes para download/upload por ms, por semana ou por dia. Enviar uma mensagem para o usurio no ato do login. Ao autenticar-se, o usurio ver o aviso na tela. Grupos Os grupos server para limitar aes dos usurios e podem ser de 3 tipos:Banda Neste grupo se definir os valores de banda de download e upload. Os usurios que se encontrarem em um destes grupos tero sua velocidade de navegao limitadas aos valores especificados.Agendamento Neste grupo se definir os dias da semana e os horrios em que os usurios do grupo podero acessar. Fora dos intervalos permitidos, a autenticao retorna acesso negado, caso algum usurio do grupo esteja conectado fora do tempo, sua permisso removida em tempo real. Volume Neste grupo se definir a quantidade de bytes que podero ser consumidos pelos usurios mensalmente, semanalmente ou diariamente. Se o limite de trfego de download ou upload for atingido o acesso ser negado.Tempo Neste grupo se definir o tempo mensal, semanal ou dirio de acesso, apos ser ultrapassado o acesso ser negado. Permisso fixa (hosts livres) Caso seja necessrio conceder permisses fixas para alguns clientes, bastar adicion-los na lista de hosts livres. O nome de usurio dever ser previamente cadastrado para que o MyAuth possa localizar os limites estabelecidos para ele.Permisso para acesso a hosts na internet sem necessidade de autenticao (sites livres) Caso seja necessrio conceder permisses de acesso a alguns sites na internet para usurios que ainda se autenticaro no gateway.Cadastro de endereos MAC Esse recurso permite que voc cadastre os endereos MAC dos equipamentos presentes na sua rede. Voc poder usar esse cadastro para conceder acesso ao usurios desde que eles usem endereos presentes na lista.Lista de usurios autorizados Com esse recurso voc poder ver em tempo real quais usurios esto conectados no momento. Nas informaes disponveis esto: Nome do usurio, endereo IP, endereo MAC, tempo da conexo, tempo que o usurio est em utilizar a rede e a quantidade de bytes enviados/recebidos. Os usurios podero ser desconectados a qualquer momento bastando remover a permisso nessa lista.Servidor PPPoE O MyAuth conta com um servidor PPPoE interno para prover conexo do usurio at o gateway. Mesmo se autenticando via PPPoE, necessrio autenticar-se na pgina de login. O servidor PPPoE requer um servidor de autenticao Radius para funcionar.Servidor Radius O MyAuth conta com um servidor Radius interno para prover autenticao de usurio do PPPoE. A interface de configurao e gerenciamento provida pelo DialUp Admin simples e poderosa.Proxy transparente Os usurios do MyAuth podero fazer uso do proxy transparente. O proxy deve estar previamente configurado e em execuo. O MyAuth Gateway far isso na instalao para voc. Endereos IPs adicionais nas interfaces de rede Com esse recurso voc poder adicionar endereos IP s interfaces de rede. Utilize-o caso deseje criar varias redes lgicas sobre uma nica rede fsica.Grficos O MyAuth dispe grficos do trfego de rede nas interfaces e dos endereos IP autenticados no gateway. O administrador e o cliente podem consultar as estatsticas de navegao pelos grficos, detalhados em 8 horas, 1 dia, 1 semana, 1 ms e 1 ano. Temas para tela de login A tela de login consiste em uma simples pgina HTML que poder ser alterada pelo cliente. Pr-requisitos O MyAuth Gateway um software de preciso e por isso, deve rodar sob condies aceitveis para prover estabilidade e bom funcionamento. Algumas condies e pr requisitos devem ser observados: Hardware mnimo Pr ocessador : 1. 0Ghz( 32bi t s)Memr i aRAM: 256Mb Di scoR gi do: 40GbI DE I nt er f acesder ede: 2oumai s Sistema operacional Di st r i bui oLi nux: Sl ackwar e10. 1, 10. 2ou11. 0 Ti podei nst al ao: Compl et a, nosedevedesmar car nenhumpacot e Devido a quantidade de recursos anexos ao kernel, pacotes do sistema entre outros, o MyAuth no executar em outra distribuio alm do Slackware. Conhecimentos do operador Bsi codehar dwar ePC, conheci ment osobr er edesdecomput ador es,TCP/ I Per ot eament o, bsi codeadmi ni st r aoder edesLi nux. Instalao O MyAuth deve ser instalado em um servidor dedicado ao servio de compartilhamento de acesso. Para melhor desempenho, estabilidade e segurana, no execute nenhum outro servio paralelo ao MyAuth (ex.: correio eletrnico, hospedagem, etc...). O primeiro passo baixar o pacote de instalao do MyAuth Gateway no seu servidor. Coloque-o no diretorio "/". r oot @ser vi dor : ~# cd/r oot @ser vi dor : / # wget ht t p: / / www. myaut h. com. br / downl oads/ myaut h. t ar . gz Agora descompacte o pacote, execute: r oot @ser vi dor : / # t ar xvzf myaut h. t ar . gz Aps descompacta-lo no diretrio "/", entre na pasta "myauth" e execute na ordem: r oot @ser vi dor : / # cd/ myaut h r oot @ser vi dor : / myauut h# shi nst al l . sh Desej ai nst al ar oMyAut hGat eway2?( s/ n) _ Responsa a pergunta digitando s e em seguida tecle ENTER. Varias letras indicando as aes que esto sendo executadas aparecero na tela. Aguarde pacientemente at que todas terminem. Aps esse passo, o MyAuth estar instalado e programado para executar quando o sistema operacional for carregado. Depois que o linux for carregado, o MyAuth tambm estar em execuo. Para acess-lo, abra o navegador (Internet Explorer, Mozilla, Firefox, etc...) no seguinte endereo: http:// + IP do Servidor + :1881/admin Observao: Caso deseje proteger sua conexo ao MyAuth entre usando a porta 1882, ela automaticamente proteger seus dados com SSL (HTTPS). Exemplo: http://192.168.0.219:1881/admin Se no conseguir abrir, consulte o captulo "Resolvendo problemas". Aparecer para voc a seguinte tela: Informe o nome de usurio administrador e a senha padro tulipa Aps isso ser exibida a tela de administrao principal do MyAuth Gateway. Alterando a senha do administrador Para alterar a senha padro, execute no shell Linux: r oot @ser vi dor : / # / usr / l ocal / apache2/ bi n/ ht passwd\/ myaut h/ et c/ passwdadmi ni st r adorNew passwor d:Re- t ypenew passwor d:Updat i ngpasswor df or user admi ni st r adorr oot @ser vi dor : / #O arquivo /myauth/etc/passwd contm os nomes de usurio e as suas respectivas senhas criptografadas. Para adicionar usurios, execute: r oot @ser vi dor : / # / usr / l ocal / apache2/ bi n/ ht passwd\/ myaut h/ et c/ passwdNOVO_USUARI O New passwor d:Re- t ypenew passwor d:Updat i ngpasswor df or user NOVO_USUARI O r oot @ser vi dor : / #Substitua "NOVO_USUARIO" pelo nome de usurio que deseja criar. O MyAuth Gateway no suporta usurios com poderes diferenciados, todos os usurios criados para acesso a pgina podero realizar quaisquer operaes. Agora o prximo passo ativar a licena do MyAuth Gateway. Ativando a licena O MyAuth, assim como outros software comerciais, necessita de ser habilitado por um serial. No MyAuth, o serial calculado pela assinatura digital da instalao. A assinatura garada baseada na verso do MyAuth e o nome do cliente. Entre na pgina administrativa do MyAuth: http:// + IP do Servidor + :1881/admin Localize no menu administrativo, a esquerda, o item "Licena". Informe seu nome e clique em "Alterar" O nmero de srie gerado baseado na assinatura digital. Para obt-lo, entre em contato com a TMSoft e inicie o processo de aquisio (simples e rpido) informando a assinatura digital gerada.. Aps ter inserido o nmero de srie, reinicie o MyAuth com os comandos abaixo: r oot @ser ver 3: / # myaut hst op Par andoht t pd. . . OK Par andomyaut hd. . . OK r oot @ser ver 3: / # myaut hst ar tI ni ci andoRAMf sem/ myaut h/ var / r un( 10) . . . . . . . . OK I ni ci andoRAMf sem/ myaut h/ var / cache( 10) . . . . . . . . OK Ver i f i candobancodedados. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . OK I ni ci andoht t pd. . . . OK I ni ci andomyaut hd. . . OK r oot @ser ver 3: / # Agora a licena est ativada e o MyAuth est em execuo pronto para ser usado normalmente. Entre na pgina administrativa e inicie a operao do sistema. Configurao do MyAuth O primeiro passo na operao do sistema conferir se as configuraes esto corretas e adequar o sistema as suas necessidades. Entre na pgina administrativa (http:// + IP DO SERVIDOR + :1881/admin/) e clique no menu a esquerda no item "Parmetros MyAuth". Leia atentamente a descrio de cada opo: Endereo de autenticao local: define para qual dos endereos IPv4 presentes nas interfaces de rede do servidor o cliente ser enviado para ter acesso a pgina de login quando for capturado. Usar MAC na regra de firewall: o MyAuth pode detectar o endereo de hardware (MAC) que o cliente est usando e inserir as regras no firewall associando o MAC ao IP, ativar esse recurso dificulta o acesso em casos de clonagem de IP (spoof). Caso sua rede seja roteada do lado do cliente ou o MAC do cliente no chegue at o servidor (mltiplas bridges), desative esse recurso. Idioma: o MyAuth permite que as mensagens do sistema sejam traduzidas, os arquivos contendo os idiomas devem estar localizados no diretrio /myauth/share/lang. Tema da tela de login: as pgina exibidas para o cliente (login, sucesso na autenticao, alterao de senha) podem ser personalizadas. Cada sub-diretrio no diretrio /myauth/share/themes/ deve conter os arquivos HTML necessrios para formar um tema (leia o captulo destinado ao ensino de criao de temas). Protocolo HTTP para autenticao: possivel escolher entre duas opes: HTTP (porta 1881), onde o acesso feito sem uma camada de segurana ou HTTP + SSL (porta 1882), onde as informaes enviadas e recebidas pelo cliente ao acessar a pgina de login sero protegidas por SSL. Pgina padro: aps a autenticao o cliente dever ser redirecionado para uma pgina na internet. Escolha aqui para qual pgina deseja enviar o cliente. O valor definido aqui ser diretamente passado ao navegador, procure seguir o formato: http:// + endereo do site + :80 Exibir tela de sucesso na autenticao: Caso escolha "Sim", o cliente receber uma tela de boas vindas informando que ele est conectado e opcionalmente exibir uma mensagem definida pelo administrador (nos prximos captulos veremos como enviar mensagens particulares para os clientes no momento do login). Caso escolha "No" o cliente diretamente enviado para a pgina padro sem receber nenhum aviso. Tempo limite: define quanto tempo em segundos o cliente permanecer sem enviar dados para a internet antes de ser desconectado por TIMEOUT. O tempo que o cliente ficou inativo antes de ser desconectado no contabilizado. MyAuthD Delay: De tempos em tempos o MyAuth verifica as sesses dos clientes on-line. Aqui voc define o tempo em segundos que o MyAuth ir permanecer em repouso antes de iniciar a verificao das sesses. O valor recomendado 5 segundos, procure no escolher valores acima de 60 segundos. Failure Delay: Define o tempo de espera antes de liberar a pgina de autenticao para o cliente caso ele tenha errado a senha ou nome de usurio. Esta opo usada para proteger o sistema de ataques de fora bruta (para tentar adivinhar a senha de algum cliente). Armazenar senhas no banco de dados: Escolha a forma que deseja utilizar para armazenar as senhas no banco de dados. Procure usar "Texto plano", assim as senhas dos clientes podero ser recuperadas em casos de esquecimento. Esta opo no define como a senha ser transportada pela rede, ela apenas define o mtodo de armazenamento. Aps ter configurado clique em "Salvar".Configurao do PPPoE No menu da pgina de administrao, clique no item "PPPoE". Configurao do servidor PPPoE: Executar servidor PPPoE: Ativa/desativa servio de conexes PPPoE entre o cliente e o servidor. Timeout: escolha o tempo em minutos que ser repassado para o processo PPPD para desconectar o host remoto em caso de inatividade.Interfaces: escolha em quais interfaces sero permitido conexes PPPoE com o servidor. Nome do concentrador: parmetro opcional, fornece ao host remoto o nome de concentrador. Nome do servio: parmetro opcional, fornece ao host remoto o nome do servio. Os dois parmetros acima no tem uma funo especfica mas permite que sua rede seja projetada para ter mais de um servidor PPPoE, assim o host remoto poder escolher em qual conectar. Se houver mais de um servidor PPPoE na rede e o cliente no tiver preferncia por um nome de concentrador e servio especfico ele se conectar no que responder primeiro ao pedido de conexo. LCP ECHO: determina o intervalo em segundos em que o servidor enviar um ECHO para o cliente verificando se ele est presente.LCP FAILURE: determina o nmero de ECHO's perdidos para considerar o cliente ausente e desconect-lo. MRU: determina unidade mxima de recebimento. MSS: determina o tamanho mximo do segmento. Endereo IP inicial local: determina o endereo IP inicial para cada conexo PPPoE. Este endereo passado ao host remoto como default gateway dentro do tunel PPPoE. Ateno: No escolha um endereo em uso na sua rede, isso pode causar um efeito indesejado na tabela de rotas. Endereo IP inicial remoto / at...: Define o range de IPs que sero usados para os clientes (hosts remotos). Os endereos aqui definidos so usados caso o servidor Radius no fornea o parmetro Framed-IP-Address que contm o IP que deve ser definido para o cliente. MS Dns Primrio: determina o endereo IP do servidor DNS preferencial. MS Dns Secundrio: determina o endereo IP do servidor DNS alternativo. Nmero mximo de sesses: limita o nmero mximo de usurios conectados ao servidor PPPoE. Sesses PPPoE consomem levemente recursos de processador e memria, porem em grande nmero podem esgotar esses recursos. Servidor Radius / Porta / Senha (secret): define qual servidor Radius ser utilizado para autenticar os usurios. O MyAuth dispinibiliza um servidor Radius local conectado a sua base de dados de usurios, sendo assim no necessrio alterar o valor padro. Iniciar sesso MyAuth automaticamente: conectar-se ao servidor via PPPoE no garante acesso para navegar passando pelo MyAuth, ainda necessrio a autenticao convencional (captura para tela de login). Caso voc tenha definido o IP do cliente no cadastro o MyAuth pode detectar automaticamente o usurio e inserir a sesso, evitando a autenticao convencional. Configurao de Proxy Clique no menu a esquerda no item "Proxy transparente". Configuraes: Endereo do proxy: determina qual o endereo IPv4 do servidor Proxy. Por padro, use o prprio endereo IP do servidor, assim voc utilizar o proxy-cache instalado pelo MyAuth. Porta: determina a porta TCP do proxy-cache. Ativar acelerador: recurso disponivel apenas quando o MyAuth est sendo executado no kernel 2.6 (linux-2.6) instalado por ele (veja o menu do lilo ao iniciar o servidor). Esse recurso permite que o MyAuth controle somente a velocidade do cliente caso ele esteja acessando algo que est na internet, ao acessar um objeto em cache (armazenado no servidor) este objeto entregue na velocidade da rede. Como funciona o proxy transparente Um proxy um procurador entre um cliente e um recurso de internet. O proxy-cache Squid um proxy HTTP (para pgina de acesso a internet apenas, ele no funciona para servio de e-mail, dns, etc...). O recurso de cache permite que o servidor armazene em disco os objetos que foram requeridos pelos clientes (arquivos, imagens, alguns videos, downloads, etc...), desta forma, um objeto requisitado por um cliente que ja esteja em cache no precisa ser buscado na internet, fazendo com que haja economia de link e aumento da velocidade na navegao. O navegador de internet normalmente deve ser configurado para utilizar o proxy, mas no caso do proxy transparente isso no acontece: o cliente tenta se conectar diretamente no site desejado, no momento em que a conexo passa pelo servidor o MyAuth captura essa conexo e a desvia para a porta do proxy que por sua vez se faz passar pelo site remoto. O navegador solicita ao proxy um determinado objeto, o proxy por sua vez vai at o site na internet, baixa o objeto, entrega para o cliente e armazena-o em cache. Agora que o proxy est configurado corretamente, veremos mais adiante como ativar o uso de proxy para os clientes que desejar disponibilizar este recurso. Configurao de Grupos A configurao dos grupos importante caso deseje limitar os recursos de internet de alguns clientes. O MyAuth possui quatro tipos de grupos: Banda: usado para limitar a velocidade dos clientes. Agendamento: usado para determinar os horrios e os dias da semana em qua o usurio poder acessar a internet. Volume: usado para limitar a quantidade de bytes enviados ou recebidos pelo usurio, determinando uma cota diria, semanal ou mensal. Tempo: usado para limitar o tempo de acesso a internet, determinando tambm uma cota di ria, semanal ou mensal. No menu do MyAuth, localize o item "Grupos". Grupos de controle de banda O primeiro tipo de grupo do menu "Grupos" o grupo de controle de "Banda". A finalidade destes grupos de servir de perfil para definir a velocidade de navegao dos clientes associados a eles. Clique no item "Banda". Por padro o MyAuth disponibiliza alguns grupos criados por padro. Em cada grupo h uma coluna informando quais usurios esto configurados nele. Para adicionar um novo grupo, clique em "Adicionar grupo de controle de banda". Adicionando novo grupo: Um grupo de controle de banda possui definies de download e upload, cada uma com 3 parmetros:Velocidade: velocidade em kbit/s mxima permitida para acesso a internet. Garantia: velocidade em kbit/s mdia garantida para cada cliente. Fila de prioridade: prioridade de atendimento dos pacotes do cliente em relao a outros clientes. No altere a fila de prioridade a menos que tenha uma aplicao para ela especificadamente. Isso no faz com que o acesso a internet melhore por si s, quando um cliente priorizado outro tem sua velocidade reduzida e latncia aumentada. Crie todos os grupos necessrios para sua rede. Estes grupos sero usados para associar usurios. Para editar os parmetros de um grupo, clique no icone "Ferramenta" abaixo do nome do grupo. Como funciona o controle de banda Ao logar, um usurio associado a um grupo que limita sua velocidade, por exemplo, a 128 kilobits por segundo jamais passar dessa velocidade (salvo pelo recurso de acelerao do proxy, leia o captulo destinado a configurao do proxy). A velocidade definida no grupo em kilobits. 1 (um) byte equivalente a 8 bits, sendo assim, a velocidade em bytes por segundo adquirida dividindo o valor em bits por 8 (oito). Exemplo: Velocidade em kilobit (Kbit/s)Velocidade em kilobyte (Kb/s)Taxa de download mxima (Kb/s)Comparativo 6486 ~ 8ISDN 1 canal 1281611.5 ~ 17.5ISDN 2 canais 2563226 ~ 33.5ADSL 5126451.5 ~ 67ADSL/Cabo 1.024128100 ~ 125Wireless 11b/Cabo 10.2401.024956 ~ 1048Wireless 11a/Cabo 100.00012.5009.000 ~ 12.128FastEthernet O grupo de limitao de banda faz esse controle via software, ou seja, ao receber e enviar pacotes, o software analisa estatisticamente a velocidade e reduz ou libera e envio desses pacotes. Uma limitao por software no semelhante a uma limitao por hardware, por exemplo: Ao se conectar em uma linha discada e estabelecer uma conexo a 52 kbits por segundo no possivel ultrapassar esta velocidade pois mesmo que o computador enviasse a uma velocidade maior o meio fsico (linha telefonica) no possui suporte fsico para isso; o que pode acontecer nessa tentativa o pacote ser perdido ou impedido de ser transmitido pelo protocolo em uso. Na limitao de banda via software, o host cliente envia dados a velocidade permitida pela rede fsica, suponhamos 10 megabits por segundo em uma rede cabeada, o servidor, ao receber esse volume de dados, verifica junto as suas estatsticas se aquele host est no limite permitido. Se constatado que foi ultrapassado o limite de velocidade, o algortimo de limitao pode tomar as seguintes medidas: 1 - Destruir pacotes aleatoriamente, aumentando o nmero de destruies a medida que o host insiste em enviar dados acima do permitido (algoritmo RED, no presente no MyAuth). 2 - Segurar os pacotes que chegaram depois que a barreira de limite foi rompida na memria e aguardando um determinado tempo que incrementado a medida que o host insiste em enviar dados acima do permitido (algoritmo HTB, TBF, CBQ). Essas medidas fazem com que o software emissor de pacotes no host, atravez do protocolo em uso (TCP por exemplo) detecte a reduo de sucessos no envio de informaes ou o aumento da lentido nas resposta e automaticamente reduz a velocidade de envio. O host no tem como descobrir se a limitao de trfeco causada por um congestionamento ou por um software de controle de banda, assim, ele constantemente envia dados acima da velocidade para tentar concluir suas tarefas mais rpido, causando picos constantes. Um host limitado a 128kbits via software em um rede que suporte 100 mbits por segundo insistentemente enviar dados acima da velocidade, o controle detectar isso e tomar medidas para que a velocidade caia abaixo de 128kbits, assim a mdia da velocidade 128kbits. Veja um exemplo de como se comporta um cliente limitado a 64kbits em uma rede com capacidade fsica superior: A linha branca o limite estabelecido. Repare que sempre que o host envia pacotes acima da velocidade permitida o controle de banda toma medidas que obrigam a reduo bem abaixo do limite, fazendo com que a mdia da velocidade seja o limite estabelecido. Grupos de acesso agendado O segundo grupo do menu "Grupos" o grupo de controle de acesso agendado, "Agendamento". A finalidade destes grupos limitar os horrios de acessos do cliente, de domingo a sbado, das 00:00 as 23:59. Clique no item "Agendamento". Para adicionar um novo grupo, clique em "Adicionar grupo de agendamento". Adicionando novo grupo: No formulrio, os seguintes campos so exibidos: Nome: nome de referncia do grupo. Descrio: breve descrio do grupo de agendamento. Tipo de agendamento: Voc poder: Permitir nos horrios marcados: o acesso nos horrios marcados permitido e nos demais negado. Negar nos horrios marcados: o acesso permitido em todo tempo com excesso nos horros marcados. Tabela de edio de horrios: exibe a relao dos dias da semana e seus horrios. Cada marcador representa um intervalo de 30 minutos. Passe o mouse sobre um marcador e um tool-tip (descrio associada ao mouse) ser exibido informando o intervalo de horrio que ele represente. Clique sobre o marcador para ativ-lo ou desativ-lo. Aps definir os horrios desejados, clique em "Salvar". Grupos de cota: tempo e volume Os outros dois grupos so para controles quantitativos de recursos: Volume Os grupos de volume limitam os usurios a uma quantidade de bytes enviados e recebidos durante um determinado perodo. O limite pode ser feito diariamente, semanalmente ou mensalmente. Aps atingir o limite no perodo (dirio, semanal ou mensal) determinado pelo grupo o usurio perde acesso a internet e as tentativas de login reportam erro informando que a cota de volume foi utrapassada. Esse grupo controla o volume de download e upload separadamente, o primeiro a ser atingido desativa o usurio. Para adicionar um novo grupo, clique em "Adicionar grupo de limite de volume". Um grupo de limite de volume possui os seguintes campos:Nome: nome de referncia do grupo. Tipo de limitao: escolhe o periodo em que o controle acumular os dados para verificar se atingiram o limite. Download: especifica a quantidade mxima de bytes recebidos pelo cliente no perodo escolhido. Upload: especifica a quantidade mxima de bytes enviados pelo cliente no perodo escolhido. Descrio: breve descrio do grupo. Tempo Os grupos de tempo limitam os usurios a um tempo de uso de internet durante um determinado perodo. O limite pode ser feito diariamente, semanalmente ou mensalmente. Aps atingir o limite no perodo (dirio, semanal ou mensal) determinado pelo grupo o usurio perde acesso a internet e as tentativas de login reportam erro informando que a cota de tempo foi ultrapassada. Para adicionar um novo grupo, clique em "Adicionar grupo de limite de tempo". Um grupo de limite de tempo possui os seguintes campos:Nome: nome de referncia do grupo. Tempo: especifica o tempo permitido de uso de internet do cliente no periodo escolhido. Tipo de limitao: escolhe o periodo em que o controle acumular o tempo para verificar se atingiu o limite. Descrio: breve descrio do grupo. Cadastrando clientes Iremos agora iniciar o cadastro de clientes. O MyAuth tem um sistema de cadastros para uso informativo. No menu do MyAuth, clique em "Clientes". Aps clicar, a sua direita aparecer a pgina contendo a lista de clientes. Esta pgina possui um ndice de A-Z, ao clicar em alguma letra desse ndice sero exibidos os clientes cujos nomes iniciem com a opo escolhida. Para exibir todos os clientes, clique em "Todos". Clique em "Adicionar cliente" para iniciar um novo cadastro. Preencha as informaes do cliente e clique em "Adicionar" Localize o cadastro do cliente na lista de clientes e clique sobre o nome dele. Abrir a tela de informaes, onde voc poder alterar os dados se desejar. O primeiro campo, ID, ser usado para associar nomes de usurio ao cadastro do cliente. Repare no rodap da pgina o quadro "Logins no sistema". aqui que cadastraremos o nome de usurio e senha para acesso a internet. Clique no cone "Adicionar" para iniciarmos o cadastro de usurio no sistema de autenticao. Repare bem a imagem acima. Ela representa a tela mais importante do sistema: O cadastro do login de acesso autenticado. Os seguintes campos s?requeridos: ID do cliente: este campo automaticamente preenchido com o ID do cliente ao qual este login ser associado.Usurio: nome de usurio para autenticao. Deve conter apenas letras, nmeros e os caracteres ._-@Senha: senha de acesso. IP reservado: campo opcional. Se este campo for preenchido, o cliente s conseguir efetuar logon na rede se o endereo IP que est usando for identico ao informado aqui. Caso este campo fique em branco, o cliente poder efetuar login de qualquer endereo IP. MAC reservado: aplica as mesmas regras do IP reservado porem ao endereo MAC do clientes. Verificar cadastro de MAC: Caso escolha sim, o cliente s conseguir autenticar com sucesso se o MAC reservado estiver preenchido e for igual ao MAC que ele est usando ou se o MAC que ele est usando estiver na lista "Cadastro de MAC". Proxy transparente: caso esteja ativado, aps efetuar o logon na rede o usurio ter suas conexes HTTP desviadas para o Proxy de forma transparente. Ativo: este campo permite ativar e desativar o login. Caso o valor seja alterado para no, o cliente no conseguir autenticar-se. Se ele j estiver autenticado quando este valor for alterado o MyAuth o desconectar. Login simultneo: realiza controle de login simultneo. Caso seja definido para zero, o cliente poder se conectar simultneamente em vrios computadores na rede. Ao definir um valor diferente de zero, o cliente s poder efetuar o nmero de logins permitidos por voc. Mensagem: define a mensagem que ser exibida para o cliente aps autenticao. Informaes: campo destinado a armazenar informaes sobre o login, uso livre. Cadastrando usurios O MyAuth permite que voc crie usurios sem a necessidade de criar cadastros de clientes para eles. No menu, clique em "Usurios". A lista de usurios cadastrados no sistema ser exibida e na mesma linha informaes sobre ele como consumo de tempo, volume de bytes enviados e recebidos entre outras informaes de acesso rpido. Clique no cone "Adicionar" para criar um novo usurio. Repare bem a imagem acima. Ela representa a tela mais importante do sistema: O cadastro do login de acesso autenticado. Os seguintes campos s?requeridos: ID do cliente: este campo automaticamente preenchido com o ID do cliente ao qual este login ser associado.Usurio: nome de usurio para autenticao. Deve conter apenas letras, nmeros e os caracteres ._-@Senha: senha de acesso. IP reservado: campo opcional. Se este campo for preenchido, o cliente s conseguir efetuar logon na rede se o endereo IP que est usando for identico ao informado aqui. Caso este campo fique em branco, o cliente poder efetuar login de qualquer endereo IP. MAC reservado: aplica as mesmas regras do IP reservado porem ao endereo MAC do clientes. Verificar cadastro de MAC: Caso escolha sim, o cliente s conseguir autenticar com sucesso se o MAC reservado estiver preenchido e for igual ao MAC que ele est usando ou se o MAC que ele est usando estiver na lista "Cadastro de MAC". Proxy transparente: caso esteja ativado, aps efetuar o logon na rede o usurio ter suas conexes HTTP desviadas para o Proxy de forma transparente. Ativo: este campo permite ativar e desativar o login. Caso o valor seja alterado para no, o cliente no conseguir autenticar-se. Se ele j estiver autenticado quando este valor for alterado o MyAuth o desconectar. Login simultneo: realiza controle de login simultneo. Caso seja definido para zero, o cliente poder se conectar simultneamente em vrios computadores na rede. Ao definir um valor diferente de zero, o cliente s poder efetuar o nmero de logins permitidos por voc. Mensagem: define a mensagem que ser exibida para o cliente aps autenticao. Informaes: campo destinado a armazenar informaes sobre o login, uso livre. Grupos de controle de acesso Controle de banda: determina qual o perfil de controle de banda ser aplicado ao usurio. Usar banda do usurio: alternativa a escolha do grupo de controle de banda. Se escolher um usurio na lista, o usurio atual e o usurio escolhido compartilharo o mesmo recurso de banda. Por exemplo: se o usurio joao estiver no grupo de controle de banda 128kbit e criarmos o usurio acme associado a banda do usurio joao, quando esses dois usurios estiverem on-line eles disputaro a mesma banda de 128kbit. Acesso agendado: define se o usurio sofrer controle de horrio. Controle de volume: define se o usurio sofrer controle de volume de bytes enviados e recebidos. Controle de tempo: define se o usurio sofrer controle de tempo de acesso. Depois de ter escolhido as opes que melhor lhe adequo, clique em "Salvar" para finalizar o cadastro do login. Redes livres Em alguns casos faz-se necessrio que uma rede interna tenha acesso livre a internet, sem autenticao e sem controle de banda. Para permitir que uma rede tenha esses privilgios, adicione-a em "Redes livres". Como fazer No menu do MyAuth, clique em "Redes livres" Em seguida clique no icone "Adicionar rede" No formulrio para adicionar a rede livre h 5 campos: Rede: endereo da rede a ser permitida. Bits de mscara: nmero de bits da mscara de rede. Usar proxy transparente: escolha se deseja que os hosts da rede livre usem proxy para acelerar suas conexes HTTP. Tipo de rede: determinar se o MyAuth vai fazer NAT ou no da rede livre. Se sua rede for uma rede privada (192.168.*.*, 10.*.*.*, 172.16.*.* a 172.31.*.*) recomendavel escolher a opo "Invalida (fazer NAT)".Descrio: dados de descrio da rede livre. Aps informar os dados corretamente, clique em "Adicionar". Redes autenticadas Uma das principais configuraes do MyAuth 2 so as redes autenticadas. Uma rede autenticada uma mscara que testar todos os pacotes que passam pelo servidor. Uma vez que o pacote no se encaixou em uma rede livre (captulo anterior) ele passar pelas redes autenticadas. Duas funes so exercidas por uma rede autenticada: - Desviar o trfego HTTP para a tela de autenticao. - Realizar ou no NAT na saida para a internet. Como fazer No menu do MyAuth, clique em "Redes autenticadas" Em seguida clique no icone "Adicionar rede" No formulrio para adicionar a rede autenticada h 5 campos: Rede: endereo da rede a ser autenticada. Bits de mscara: nmero de bits da mscara de rede. Tipo de rede: determinar se o MyAuth vai fazer NAT ou no da rede autenticada. Se sua rede for uma rede privada (192.168.*.*, 10.*.*.*, 172.16.*.* a 172.31.*.*) recomendavel escolher a opo "Invalida (fazer NAT)".Interface: escolha a interface de entrada. Esta a interface onde os pacotes entram no servidor. Recomendamos colocar "*Todas" Descrio: dados de descrio da rede autenticada. Aps informar os dados corretamente, clique em "Adicionar". Hosts livres Hosts livres uma tabela de permisses estticas. As vezes necessrio permitir que um usurio tenha permisso de navegar necessidade de autenticao. Para isso, basta adicionar uma entrada em "Hosts Livres". Como fazer No menu do MyAuth, clique em "Hosts livres" Em seguida clique no icone "Adicionar rede" No formulrio para adicionar um host livre h 3 campos: Usurio: escolha o usurio cadastrado que deseja liberar. IP (endereo IP): Informe o endereo IP usado pelo usurio na rede. MAC: Opcional, informe aqui caso desejar o endereo MAC do equipamento usado pelo usurio. Aps informar os dados corretamente, clique em "Adicionar". Sites livres Um site livre uma permisso permanente de acesso a um servidor na internet. Aqui voc poder adicionar o endereo ip ou o FQDN do site na internet. Observao: deve-se adicionar apenas o endereo ip ou FQDN, esse recurso no libera URL's. Exemplos de entradas: 200.160.2.3 www.meusite.com.br www.provedor.com.br Como fazer No menu do MyAuth, clique em "Sites livres" Em seguida clique no icone "Adicionar site" No formulrio para adicionar a rede livre h 2 campos: Endereo FQDN: endereo do site (no pode ser url, apenas nome DNS do servidor) ou endereo IP. Descrio: dados de descrio do site livre. Aps informar os dados corretamente, clique em "Adicionar". Interfaces de rede Outra configurao muito importante para a execuo do MyAuth a declarao de interfaces de rede. atravez dela que o MyAuth saber quais interfaces esto ligadas internet e quais esto ligadas s redes internas. Uma interface de rede pode assumir duas posies no MyAuth: Interface WEB: usada para fazer controle de banda de UPLOAD Interface INTRANET: usada para fazer controle de banda de DOWNLOAD Alem do posicionamento, por essa sesso voc pode adicionar endereos IPs virtuais nas interfaces de rede. Esse tipo de tcnica importante e muito usada para colocar clientes em redes IP's diferentes na mesma rede fsica e impedir que um acesse o outro. Como fazer No menu do MyAuth, clique em "Interfaces de rede" Em seguida clique no icone "Declarar nova interface" para declarar a existncia de outra interface de rede. O MyAuth detecta automaticamente as interfaces de rede na instalao e pre-configura essa parte. Adicionas endereos IP a uma interface Localize visualmente a interface onde deseja adicionar o endereo ip e clique em "Adicionar endereamento IP" No formulrio para adicionar um endereo IP a interface h 3 campos: Interface: escolha a interface onde deseja adicionar o endereo IP Endereo IP/Mscara: informe o endereo IP que deseja adicionar e o tamanha da msca em bits. Descrio: dados de descrio do endereamento. Aps informar os dados corretamente, clique em "Adicionar". Aps ter adiciona um endereo, basta configurar o cliente na mesma rede, usando o endereo adicionado como default gateway. Cadastro de MAC O cadastro de mac uma lista de anotaes de endereos MAC usados em sua rede. Voc pode utilizar esta lista em dois casos: Permitir que seus usurios consigam fazer autenticao apenas se estiverem utilizando equipamento cadastrado. V ao cadastro do login e no campo Verificar cadastro de MAC mude para Sim. Desta forma o usurio s poder se autenticar se o MAC utilizado estiver na lista Cadastro de mac. Integrar a lista a outros servios de verificao como Radius, para isso, contacte seu administrador de rede ou programador, como o banco de dados do MyAuth aberto, ele poder fazer isto sem problemas. Como fazer No menu do MyAuth, clique em "Cadastro de MAC" Em seguida clique no icone "Cadastrar MAC" No formulrio para adicionar a rede livre h 2 campos: MAC: endereo MAC que deseja cadastrar. Descrio: dados de descrio do endereo MAC. Aps informar os dados corretamente, clique em "Adicionar". Macs Bloqueados Em alguns momentos faz-se necessrio bloquear totalmente o acesso de uma estao ao servidor, impedindo at mesmo que eautenticao. Para bloquear um endereo MAC, adicione-o na lista de "MAC's bloqueados" Para acessar esta lista, no menu do MyAuth, clique em "MAC's bloqueados" Na lista, clique em "Bloquear MAC" para adicionar um endereo na lista. Usurios autorizados Em usurios autorizados possivel vizualizar a lista de usurios on-line e as estatsticas de cada sesso como: Tempo on-line Tempo inativo (sem enviar ou receber dados) Bytes enviados Bytes recebidos Como fazer No menu do MyAuth, clique em "Usurios autorizados": Ser exibida a lista de usurios on-line. No rodap dessa sesso h dois icones: Grfico conjunto: exibir grfico de consumo de todas as sesses on-line. Desconectar todos: fecha todas as sesses. Em cada registro de usurio h dois icones:Liberar: torna a sesso atual em um registro de "Hosts livres" Desconectar: remove a sesso do usurio. Ao clicar no endereo IP da sesso o MyAuth ir exibir as informaes detalhadas da sesso: Backup e recuperao O MyAuth possui recurso de backup e recuperao de dados. Os dados em questo so: Configurao do MyAuth Banco de dados MySQL: myauth Nenhuma outra informao do servidor incluida no backup, assim, se precisar salvar outras informaes de outros software faa-o manualmente. Ao solicitar a realizao do backup, o MyAuth executa o script /myauth/bin/backup que se encarregar de criar um arquivo tar + gz no diretrio /myauth/backup/. Ao solicitar a recuperao do backup, o MyAuth executa o script /myauth/bin/restore informando como parmetro a localizao do arquivo de backup. Como fazer No menu do MyAuth, clique em "Backup": O MyAuth gera arquivos de backup automaticamente pelo crontab (/etc/cron.weekly), para gerar um arquivo de backup, clique em "Gerar novo backup". Faa o download do arquivo de backup e salve em lugar seguro. Para restaurar o backup, coloque o arquivo no servidor na pasta /myauth/backup/. Aparecer o registro dele na sesso de backup do MyAuth, selecione-o e clique em "Restaurar backup selecionado". Realizando backup manualmente Em alguns momentos faz-se necessrio fazer o backup e restaurao manualmente. Siga os passos abaixo: 1 - Criar arquivo contendo banco de dados no formato SQL r oot @ser vi dor : ~# cd/r oot @ser vi dor : / # mysql dump- p- c- Bmyaut h> / backup. sqlSer exigido a senha do usurio root do MySQL (esse usurio root no tem nada a ver com o usurio root do sistema). A senha padro do banco de dados do MyAuth : tulipasql Aps executar o comando acima com sucesso, o MySQL ir gerar o arquivo /backup.sql contendo todas as instrues SQL para recriar o banco de dados com suas informaes. Salve este arquivo (backup.sql) em local seguro. Realizando backup gerado manualmente O primeiro passo remover o banco de dados atual, faa um backup dele antes por segurana. Execute: r oot @ser vi dor : ~# cd/r oot @ser vi dor : / # mysql - p- e" dr opdat abasemyaut h"Em seguida, reconstrua o banco de dados atravs do arquivo de backup sql. (backup.sql por exemplo). r oot @ser vi dor : ~# cd/r oot @ser vi dor : / # mysql - p< backup. sqlNormalmente em algumas atualizaes do MyAuth houve alteraes no banco de dados, execute o script /myauth/doc/update.sh para verificar as colunas adicionais das tabelas, ignore erros exibidos, so normais. r oot @ser vi dor : ~# sh/ myaut h/ doc/ updat e. sh2>/ dev/ nul l 1>/ dev/ nul l Personalizando a tela de login O MyAuth possui suporte a temas da tela de login. Um tema uma coleo de arquivos HTML que so incluidos ao cdigo do MyAuth sempre que necessrio exibir alguma tela ao clientes. Os temas so armazenados em sub-pastas da pasta /myauth/share/themes/, cada tema uma sub-pasta que pode ser selecionado atravs do MyAuth pelo menu "Parmetros MyAuth" na opo "Tema da tela de login". 1 - Contruindo um novo tema Acesse o shell do servidor linux e v at a pasta /myauth/share/themes: r oot @ser vi dor : ~# cd/ myaut h/ shar e/ t hemes r oot @ser vi dor : / myaut h/ shar e/ t hemes# l s def aul t / myaut h2pl us/ myaut h2pl uspw/ popupdef aul t / Copie um tema atual com um novo nome, no exemplo abaixo, criaremos um tema chamado "meutema" que a principio ser uma copia do tema "myauth2plus": r oot @ser vi dor : / myaut h/ shar e/ t hemes# cpmyaut h2pl usmeut ema- r a Entre no diretrio "meutema": r oot @ser vi dor : / myaut h/ shar e/ t hemes# cdmeut ema r oot @ser vi dor : / myaut h/ shar e/ t hemes/ meut ema# l s al t passwd. ht mpopupof f . ht mr epor t _l ogi n. ht mr epor t _pai nel . ht mspl ash. ht ml ogi n. ht mpopupon. ht mr epor t _menu. ht mr odape. ht msucess. ht m Os principais arquivos do tema so: login.htm: tela de autenticao altpasswd.htm: tela de alterao de senha popupon.htm: tela do pop-up do usurio conectado popupoff.htm: tela do pop-up do usurio desconectado report_*: telas da sesso de relatrios do usurio splash.htm: tela inicial exibida dentro da pgina administrativa do MyAuth sucess.htm: tela exibida quando o usurio autenticou com sucesso. Para personalizar um arquivo necessrio que o operador tenha conhecimento de HTML. Para incluir imagens na tela do tema, necessrio: 1 - coloque o arquivo da imagem na pasta /myauth/htdocs/img/ 2 - Referencie a imagem dentro do HTML assim: /img/NOME_DO_ARQUIVO 2 - Ativando o tema criado V no MyAuth em clique no menu "Parmetros MyAuth" Localize a configurao "Tema da tela de login" e escolha o tema criado: Clique em seguida em "Salvar". O tema criado ser utilizado instantneamente. Configurando clientes na rede Este captulo uma instruo bsica de como configurar um cliente para utilizar o MyAuth. Exemplo 1 - rede Cabeada 1 - Certifique-se de que as ligaes fsicas esto corretas (cabos, access-point, etc...). 2 - Configure os endereos IP do servidor. No slackware, siga os passos:Edite o arquivo /etc/rc.d/rc.inet1.conf e informe corretamente os endereos IP das placas e informe o GATEWAY Reinicie a configurao da rede, execute: /etc/rc.d/rc.inet1 stop /etc/rc.d/rc.inet1 start Para verificar a configurao das placas de rede, use o comando ifconfig ou ip addr showVerifique se o servidor consegue dar ping no roteador: ping IP_DO_ROTEADOR, no nosso exemplo acima: ping 200.3.2.1 Para configurar o servidor DNS que o servidor ir utilizar, edite o arquivo /etc/resolv.conf e informe em cada linha o ip do servidor dns precedido da palavra nameserver, procure usar como servidor dns o ip 127.0.0.1, exemplo de configurao: nameserver 127.0.0.1 3 - Configure o cliente na rede e configure o ip da placa de rede. Exemplo no windows XP: Clique em "Iniciar" -> "Configuraes" -> "Painel de controle" No Painel de Controle, localize e clique 2 vezes no icone "Conexes de rede" Clique com o boto direito do mouse na placa de rede: Localize o protocolo TCP/IP na lista e clique duas vezes: Informe o endereo IP da estao conforme no desenho no inicio desta pgina: Clique em OK, em seguida clique em OK novamente at fechar as propriedades da placa de rede.Agora as configuraes esto OK, verifique se o MyAuth est corretamente configurado e tente navegar no cliente, dever ser exigido a tela de login. Resolvendo problemas Alguns problemas podem ocorrer durente a operao de uma rede e podem ter causas variadas, abaixo listaremos os mais rotineiros, normalmente reiniciar alguns equipamentos resolve maior parte dos problemas a curto prazo.Cliente no consegue navegar 1 - Verifique se ele est na rede, o teste mais bsico tentar dar ping em outro computador, principalmente o servidor. 2 - Verifique se o servidor est na rede. O teste acima pode detectar este problema. 3 - Verifique se o servio de DNS est funcionando: oTeste dando ping para um nome de site, exemplo: www.google.com.br e verifique se o comando retorna o endereo IP do site.oNo Windows XP, 2000, 2003 e Linux h um comando chamado "nslookup", use-o para verificar se o DNS est funcionando. nslookup www.google.com.broTente abrir um site pelo endereo IP, exemplo: http://200.160.2.3Se constatar que o problema o servio de DNS, verifique se o servidor DNS est ativo ou reincie-o, seno, use outro ip como servidor DNS. 4 - Se estiver utilizando Proxy Transparente, verifique se o proxy est funcionciando, tente desconectar o usurio e retire a opo de proxy do cadastro dele, em seguida tente navegar novamente sem proxy. Se navegar, verifique o servio de Proxy. 5 - Caso esteja usando no cliente um endereo ip que inicie com 172, 192.168, 10 ou 169.254, verifique se o gateway da rede est com NAT ativado. MSN e Skype abrem mas no navega. Neste caso, o problema possivelmente no proxy, teste com um usurio sem a opo de proxy ativada. O servidor acusa um erro de MySQL Normalmente um desligamento incorreto pode afetar as tabelas do MySQL, tente: 1 - Reiniciar o servio MySQL com os comandos: /etc/rc.d/rc.mysqld stop /etc/rc.d/rc.mysqld start 2 - Tente restaurar as tabelas do MySQL, o MyAuth disponibiliza um script para isso: /myauth/bin/optimize.sh