Roteiro de Prticas Curso Eduroam-br Escola Superior de Redes

Junho de 2012

Equipe: Coordenao Eduroam-br Profa. Dbora C. Muchaluat Saade (debora@midiacom.uff.br) Instrutores Prof. Ricardo C. Carrano (carrano@midiacom.uff.br) Edelberto Franco Silva (esilva@midiacom.uff.br)

Roteiro de Prticas Escola Superior de Redes RNP Dia 1

Agenda Manh Prtica 1: a. Configurar AP para autenticar em servidor RADIUS existente. Tarde Prtica 2: b. Configurar clientes com diferentes mtodos de autenticao (PAP e MsCHAPv2): Windows, Linux, Mac, Android.

Prtica 1 Configurar AP para autenticar em servidor RADIUS

Incluindo a liberao do ponto de acesso (em um arquivo de configurao no servidor) para envio de requisies ao servidor RADIUS. Este passo similar ao realizado para a liberao do localhost. A seguir podemos visualizar as linhas que devero ser includas no arquivo /etc/freeradius/clients.conf, devendo conter, portanto, seu IP, a senha compartilhada e configurada no ponto de acesso, assim como o nome do ponto de acesso.
client 192.168.0.3 { secret shortname nastype }

= teste123 = eduroam-uff-1 = other

Configurando roteador com DD-WRT

Primeiro passo: identificao do IP.

Segundo passo: nome da rede.

Terceiro e ltimo passo: a configurao da comunicao entre AP e RADIUS. WPA2 Enterprise/AES.

Configurando o roteador sem fio Linksys WRT54G

Aguarde e acesse o endereo 192.168.1.1 pelo seu navegador. Dica: utilize DHCP (Dynamic Host Configuration Protocol) em sua mquina cliente que est ligada ao roteador. Para que o sistema funcione da maneira almejada, o ponto de acesso sem fio tambm deve ser configurado de forma que encaminhe as requisies para o servidor de autenticao. A opo que permite tal configurao est em Wireless --> Wireless Security, como na Figura 1.

Figura 1

Em Security Mode, selecionaremos WPA2 Enterprise, isto indica que utilizaremos uma infraestrutura de acesso baseada em WPA2 no ambiente sem fio, mas em vez de utilizarmos uma nica senha para todos os clientes, iremos nos valer de um servidor de autenticao RADIUS. Isto nos prov uma srie de recursos adicionais, como a possibilidade de definirmos uma senha diferente para cada cliente. Uma vez selecionada esta opo, outras aparecero, como na Figura 2.

Figura 2

Em WPA Algorithms, selecionaremos AES, que nada mais do que um algoritmo de criptografia simtrica que ser utilizado para proteger as informaes trocadas entre o ponto de acesso e o servidor. No RADIUS Server Address colocaremos o endereo IP do servidor RADIUS, que para onde o ponto de acesso encaminhar as requisies feitas pelos clientes. Em RADIUS Port, colocaremos a porta pela qual o servidor RADIUS estar ouvindo as requisies. Em Shared Key, colocaremos a chave simtrica que o ponto de acesso ir utilizar para se comunicar com o servidor RADIUS. O campo Key Renewall Timeout no precisa ser alterado. Com isso, encerra-se a etapa de configuraes propostas neste captulo. Atravs delas, possvel realizar autenticao e autorizao, por intermdio do servidor RADIUS e com consulta a uma base de dados LDAP. Agora, cada usurio pode acessar a infraestrutura de rede sem fio com o login e senha cadastrados na base LDAP. Como primeiro mtodo de autenticao ser utilizado o EAP-TTLS e, como segundo mtodo, ser utilizado o PAP.

Prtica 2: Configurar clientes com diferentes mtodos de autenticao (PAP e MsCHAPv2): Windows, Linux, Mac, Android

http://www.midiacom.uff.br/eduroam-br/

Roteiro de Prticas Escola Superior de Redes RNP Dia 2

Agenda Manh: Prtica 3

1. 2. Instalao e configurao de um servidor RADIUS (representando uma instituio) configurar AP para autenticar em servidor RADIUS novo

Tarde: Prtica 4
1. Instalao e configurao de um servidor LDAP (representando uma instituio) 2. configurar RADIUS para acessar LDAP

Passos anteriores s prticas

Utilizamos na prtica: Mquina Virtual VirtualBox 4.1.14 Sistema Operacional Linux Ubuntu Desktop 12.04 (ltima verso na data do curso)

Passos de configurao do ambiente: Aps criada a mquina virtual e instalado o Ubuntu a partir da ISO, temos (presumindo que esteja como root):

sudo apt-get update apt-get install vim

Prtica 3 Instalao e configurao de um servidor RADIUS (representando uma instituio)

Instalando o RADIUS
A instalao do servidor bem simples e demanda poucos comandos.
# sudo apt-get install freeradius

Configurando o RADIUS sem Federao

Primeiramente ser configurado um servidor RADIUS capaz de autenticar usurios a partir do /etc/freeradius/users, sem qualquer tipo de consulta base LDAP. Como primeiro passo, editaremos o arquivo /etc/freeradius/clients.conf para que possamos realizar um teste de autenticao em localhost e em texto plano. O referido arquivo dever conter as seguintes linhas:
# Bloco referente ao endereo IP do cliente (AP) client 127.0.0.1 { # senha compartilhada entre o cliente (AP) e o RADIUS secret = eduroam123 # Clientes podem enviar mensagem de autenticao junto com Access-Request, porm clientes mais antigos no a enviam. Em nosso caso no exigimos mensagem de autenticao vinda do cliente require_message_authenticator = no # Nome dado ao cliente shortname = localhost # Opcional, usados para verificar a possibilidade de conexes simultneas pelo mesmo cliente. Localhost no usa NAS. nastype = other }

No arquivo /etc/freeradius/users, deveremos acrescentar as linhas:

# Composto por nome do usurio, tipo de password armazenado (texto puro) e uma mensagem de retorno ao cliente caso o usurio seja encontrado. clientex Cleartext-Password := "password" Reply-Message = "Hello, %{User-Name}"

Feito isso podemos iniciar o servidor RADIUS em modo debug com o seguinte comando:
# freeradius -X

Agora, vamos testar a autenticao do usurio.

# rodando o autenticador de teste (radtest) para o usurio com sua respectiva senha, apontando para o servidor FreeRADIUS na porta padro (1812), indicando a porta do NAS (0 other) e informando a senha compartilhada entre cliente-servidor # radtest t pap clientex password localhost:1812 0 teste123

Onde clientex e password so os campos editados no arquivo users e teste123 refere-se ao campo editado no arquivo clients.conf. A resposta para o cliente de que a conexo foi realizada com sucesso algo como a destacada a seguir:
# Enviando a mensagem de requisio de acesso, com um respective ID ao servidor localhost na porta 1812 Sending Access-Request of id 169 to 127.0.0.1 port 1812 # Atributos passados pelo cliente User-Name = "clientex" User-Password = "password" NAS-IP-Address = 127.0.0.1 NAS-Port = 0 # Retorno do servidor RADIUS ao cliente # Sucesso na autenticao rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=169, length=39 Reply-Message = "Hello, clientex"

Uma vez que configuramos o servidor RADIUS para autenticao de clientes em uma base local com senha em texto plano, seguiremos para uma segunda etapa.

Antes de utilizar o LDAP para consulta de usurios, vamos configurao dos mtodos de autenticao, EAP. Primeiramente deveremos configurar o arquivo /etc/freeradius/eap.conf contendo as seguintes informaes
# Bloco de configurao para os mtodos EAP suportados eap { # Alteramos o mtodo default de PEAP para TTLS # TTLS (EAP TLS tunelado), pode utilizar apenas de certificados do lado do servidor. Ou seja, TTLS como EAP e mtodo de segunda fase sendo PAP, CHAP, MSCHAPv2 etc, ou ainda TLS (certificado tambm do lado do cliente) se no houver mtodo de segunda fase. #default_eap_type = peap default_eap_type = ttls # Tempo em que se mantm uma determinada resposta a um EAP-Request timer_expire = 60 # Ignorar tipos de EAP no conhecidos? Por padro, no, mas poderamos rejeitar ignore_unknown_eap_types = no # Caso ativado, resolve um bug do Cisco AP1230B cisco_accounting_username_bug = no # Bloco referente ao TLS tls { certdir = ${confdir}/certs cadir = ${confdir}/certs private_key_password = teste123 private_key_file = ${certdir}/server.key certificate_file = ${certdir}/server.pem CA_file = ${cadir}/ca.pem dh_file = ${certdir}/dh random_file = /dev/urandom fragment_size = 2048 include_length = yes check_crl = no cipher_list = "DEFAULT" } # Bloco do TTLS ttls { # Mtodo EAP de segunda fase padro default_eap_type = mschapv2 # Qualquer mensagem trocada que no estaria dentro do tnel copiada para ele

copy_request_to_tunnel = yes # Respostas ao NAS sero dadas com base nos atributos internos ao tnel. Exemplo: responde ao NAS com o usurio verdade e no anonymous. use_tunneled_reply = yes # Passado o arquivo de configurao para os mtodos de autorizao, autenticao, accounting etc. virtual_server = "eduroam" } # Bloco do PEAP peap { default_eap_type = mschapv2 copy_request_to_tunnel = yes use_tunneled_reply = yes virtual_server = "eduroam" } # Bloco mschapv2, caso quisesse utiliz-lo sem PEAP, TTLS etc. mschapv2 { } }

Tanto para a utilizao de TTLS ou PEAP referenciado o arquivo /etc/freeradius/sitesenable/eduroam como virtual_server e nele que deveremos configurar os mtodos de autenticao suportados. Vamos configurar o arquivo /etc/freeradius/sites-enable/eduroam Como complemento, relevante citar que as informaes no constantes no arquivo mencionado sero pesquisadas no arquivo /etc/freeradius/sites-enable/default, que como o prprio nome sugere, carrega as configuraes padro do aplicativo.
server eduroam { # Mtodos suportados para autorizao authorize { suffix auth_log files ldap mschap pap

eap { ok = return }
}

# mtodos suporados para autenticao. Onde buscar? Com que padro? authenticate { Auth-Type LDAP{ ldap } Auth-Type PAP{ pap } Auth-Type MS-CHAP{ mschap } eap } preacct { } accounting { detail

radutmp unix attr_filter.accounting_response

} session {

radutmp
} post-auth { reply_log Post-Auth-Type REJECT { reply_log } } pre-proxy { } post-proxy {

eap post_proxy_log attr_filter.post-proxy Post-Proxy-Type Fail { detail }

} }

Prtica 3 (Continuao) Configurar AP para autenticar em servidor RADIUS

Incluindo a liberao do ponto de acesso (em um arquivo de configurao no servidor) para envio de requisies ao servidor RADIUS. Este passo similar ao realizado para a liberao do localhost. A seguir podemos visualizar as linhas que devero ser includas no arquivo /etc/freeradius/clients.conf, devendo conter, portanto, seu IP, a senha compartilhada e configurada no ponto de acesso, assim como o nome do ponto de acesso.
client 192.168.0.3 { secret = teste123 shortname = eduroam-uff-1 nastype = other }

Configurando o roteador sem fio Linksys WRT54G

Aguarde e acesse o endereo 192.168.1.1 pelo seu navegador. Dica: utilize DHCP (Dynamic Host Configuration Protocol) em sua mquina cliente que est ligada ao roteador. Para que o sistema funcione da maneira almejada, o ponto de acesso sem fio tambm deve ser configurado de forma que encaminhe as requisies para o servidor de autenticao. A opo que permite tal configurao est em Wireless --> Wireless Security, como na Figura 1.

Figura 3

Em Security Mode, selecionaremos WPA2 Enterprise, isto indica que utilizaremos uma infraestrutura de acesso baseada em WPA2 no ambiente sem fio, mas em vez de utilizarmos uma nica senha para todos os clientes, iremos nos valer de um servidor de autenticao RADIUS. Isto nos prov uma srie de recursos adicionais, como a possibilidade de definirmos uma senha diferente para cada cliente. Uma vez selecionada esta opo, outras aparecero, como na Figura 2.

Figura 4

Em WPA Algorithms, selecionaremos AES, que nada mais do que um algoritmo de criptografia simtrica que ser utilizado para proteger as informaes trocadas entre o ponto de acesso e o servidor. No RADIUS Server Address colocaremos o endereo IP do servidor RADIUS, que para onde o ponto de acesso encaminhar as requisies feitas pelos clientes. Em RADIUS Port, colocaremos a porta pela qual o servidor RADIUS estar ouvindo as requisies. Em Shared Key, colocaremos a chave simtrica que o

ponto de acesso ir utilizar para se comunicar com o servidor RADIUS. O campo Key Renewall Timeout no precisa ser alterado. Com isso, encerra-se a etapa de configuraes propostas neste captulo. Atravs delas, possvel realizar autenticao e autorizao, por intermdio do servidor RADIUS e com consulta a uma base de dados LDAP. Agora, cada usurio pode acessar a infraestrutura de rede sem fio com o login e senha cadastrados na base LDAP. Como primeiro mtodo de autenticao ser utilizado o EAP-TTLS e, como segundo mtodo, ser utilizado o PAP.

Prtica 4 - TARDE Instalao e configurao de um servidor LDAP (representando uma instituio)

Primeiro vamos instalar o OpenLDAP no servidor: # apt-get install slapd ldap-utils Voc ser questionado sobre a senha do administrador do OpenLDAP. Ao final deste processo voc ver as linhas de inicializao do OpenLDAP: Creating Creating Creating Starting new user openldap... done. initial configuration... done. LDAP directory... done. OpenLDAP: slapd.

Configuraes Bsicas
A configurao padro, apenas para constar a seguinte: # cat /usr/share/doc/slapd/examples/slapd.conf include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema pidfile /var/run/slapd/slapd.pid argsfile /var/run/slapd/slapd.args loglevel none modulepath /usr/lib/ldap moduleload back_@BACKEND@ sizelimit 500 tool-threads 1 backend @BACKEND@ database @BACKEND@ suffix "@SUFFIX@" directory "/var/lib/ldap" dbconfig set_cachesize 0 2097152 0 dbconfig set_lk_max_objects 1500 dbconfig set_lk_max_locks 1500

dbconfig set_lk_max_lockers 1500 index objectClass eq lastmod on checkpoint 512 30 access to attrs=userPassword,shadowLastChange by dn="@ADMIN@" write by anonymous auth by self write by * none access to dn.base="" by * read access to * by dn="@ADMIN@" write by * read Por padro o OpenLDAP estar executando com uma base mnima. Como no queremos que a base OpenLDAP criada esteja diretamente vinculada ao domnio configurado na instalao do nosso servidor executamos o comando de reconfigurao da base: # dpkg-reconfigure slapd e voc poder editar todos os principais detalhes do seu servidor OpenLDAP. Uma observao, no nosso exemplo o domnio utilizado foi: rnpteste.br, ento a base esperada deve ficar: dc=rnpteste,dc=br. J criamos tudo pela interface, mas caso necessitasse criar manualmente, poderia ser gerada da seguinte forma: # vim base.ldif dn: dc=admin,dc=rnpteste,dc=br objectClass: top objectClass: dcObject objectClass: organization o: rnpteste.br dc: rnpteste structuralObjectClass: organization dn: cn=admin,dc=rnptest,dc=br objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin description: LDAP administrator userPassword:: e1NTSEF9SHVBVHJ5K3Bwc0diemVqVERXUzU5YVcvWVB4a1hveUo= structuralObjectClass: organizationalRole

esta a base mnima para o domnio rnpteste.br, com isso podemos inicializar o uso bsico do OpenLDAP. Adicionando o schema do Samba no OpenLDAP Se voc precisar utilizar usurios com hashes NT/LM, ser necessrio inserir o schema do Samba.

Necessrio para o MSCHAPv2.

# apt-get install samba-doc o arquivo samba.schema.gz, que queremos, vai estar em /usr/share/doc/samba-doc/examples/LDAP/. Agora precisamos convert-lo para o novo padro do OpenLDAP, primeiro vamos copiar este esquema para dentro do OpenLDAP: # zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema criar um arquivo que ser utilizado como pivot para a converso: # vim /tmp/schema_convert.conf include /etc/ldap/schema/core.schema include /etc/ldap/schema/collective.schema include /etc/ldap/schema/corba.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/duaconf.schema include /etc/ldap/schema/dyngroup.schema include /etc/ldap/schema/inetorgperson.schema include /etc/ldap/schema/java.schema include /etc/ldap/schema/misc.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/openldap.schema include /etc/ldap/schema/pmi.schema include /etc/ldap/schema/ppolicy.schema include /etc/ldap/schema/samba.schema criar um diretrio de sada para a configurao: # mkdir /tmp/ldif_output e agora vamos usar o comando slaptest para converter os schemas: # cd /tmp

# slaptest -f schema_convert.conf -F /tmp/ldif_output/ config file testing succeeded ele vai gerar vrios arquivos .ldif dentro de /tmp/ldif_output/cn=config/cn=schema, o que nos interessa o do Samba, por isso, vamos editar apenas ele (cn={13}samba.ldif), e vamos retirar as informaes desnecessrias. Ao abrir o arquivo voc vai ver algo como: dn: cn={13}samba objectClass: olcSchemaConfig cn: {13}samba ... altere por: dn: cn=samba,cn=schema,cn=config objectClass: olcSchemaConfig cn: samba ... e no final do arquivo, voc deve remover as entradas: structuralObjectClass: olcSchemaConfig entryUUID: 3a14cf38-c77b-102f-97af-e37d8ac36f95 creatorsName: cn=config createTimestamp: 20110208025944Z entryCSN: 20110208025944.971133Z#000000#000#000000 modifiersName: cn=config modifyTimestamp: 20110208025944Z pronto, nosso schema do Samba foi alterado para o padro atual. Vamos adicionar o novo schema no OpenLDAP.

Reinicialize o OpenLDAP: # /etc/init.d/slapd restart

Agora vamos adicionar o schema do Samba na base do OpenLDAP, lembrando que a senha abaixo a senha que adicionamos na configurao do OpenLDAP: # ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/ldif_output/cn\=config/cn\=schema/cn\=\{13\}samba.ldif o resultado ser a seguinte linha: adding new entry "cn=samba,cn=schema,cn=config" pronto, o schema do Samba foi adicionado corretamente.

Prtica 4 (continuao) TARDE: configurar servidor RADIUS para acessar servidor LDAP
Autenticando no OpenLDAP
necessrio primeiro instalar o OpenLDAP em um servidor, depois de instalado, se tudo funcionou at agora, voc est no caminho certo, devemos configurar o FreeRADIUS para autenticar no OpenLDAP. necessrio adicionar o suporte ao LDAP pelo freeradius, e isso simples com o seguinte comando:

apt-get install freeradius-ldap

Vamos editar o mdulo do OpenLDAP: # vim /etc/freeradius/modules/ldap ldap { server = "localhost" basedn = "dc=rnpteste,dc=br" # identity = "cn=admin,dc=rnpteste,dc=br" # password = senha_do_leitor_da_base_ldap filter = "(uid=%{%{Stripped-User-Name}:-%{User-Name}})" ldap_connections_number = 5 timeout = 4 timelimit = 3 net_timeout = 1 tls { start_tls = no } dictionary_mapping = ${confdir}/ldap.attrmap edir_account_policy_check = no set_auth_type = no } Pronto, nossa comunicao com o OpenLDAP est configurada. O prximo passo ativar o ldap como mtodo de autenticao nos sites, edite o arquivo: # vim /etc/freeradius/sites-enabled/default authorize { ... ldap ...

} authenticate { ... Auth-Type LDAP { ldap } ... } a priori o que interessa que em authorize, voc descomente a linha que contm o ldap e em authenticate, a parte que fala sobre o tipo de autenticao LDAP. Faa o mesmo no arquivo eduroam: # vim /etc/freeradius/sites-enabled/eduroam authorize { ... ldap ... } authenticate { ... Auth-Type LDAP { ldap } ... } deixe as outras configuraes intocadas (no precisa alterar). Vamos agora testar para ter certeza que est tudo funcionando at agora:

Criando um usurio para testes Vamos adicionar um usurio que ser utilizado nos testes com o FreeRADIUS autenticando no OpenLDAP: # vim user.ldif dn: uid=teste,dc=rnpteste,dc=br sn: do Teste cn: Teste do Teste uid: teste objectClass: person objectClass: inetOrgPerson objectClass: sambaSamAccount userPassword: {SSHA}gWRX6IuyiGw+0xvPN3JhaGEcvuLJqmlB sambaNTPassword: 1E39A9A92F2B08A0E69B4D5ADA7E5332 sambaSID: 1 a senha deste usurio senha1. Vamos adicion-lo na base do OpenLDAP: # ldapadd -x W -D cn=admin,dc=rnpteste,dc=br -f user.ldif se o usurio foi adicionado com sucesso a seguinte mensagem vai aparecer: adding new entry "uid=teste,dc=rnpteste,dc=br" pronto, temos nosso usurio de testes. # radtest -t mschap teste senha1 localhost 1812 testing123 onde teste, o nosso usurio da base OpenLDAP, se a reposta for parecida com: Sending Access-Request of id 151 to 127.0.0.1 port 1812 User-Name = "teste" NAS-IP-Address = 200.129.192.94

NAS-Port = 1812 MS-CHAP-Challenge = 0x2ff26066cb1a2416 MS-CHAP-Response = 0x00010000000000000000000000000000000000000000000000006f252f352fd4c0af86d8c37 37866243af03519ca1458866f rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=151, length=84 MS-CHAP-MPPE-Keys = 0x00000000000000005610a3a37fcccde5c7d37764aa0b97930000000000000000 MS-MPPE-Encryption-Policy = 0x00000001 MS-MPPE-Encryption-Types = 0x00000006 seu usurio foi autenticado corretamente.

Roteiro de Prticas Escola Superior de Redes RNP Dia 3

Agenda Manh Prtica 5

a. b. configurao do proxy para federao eduroam-br testes de roaming (usando radtest)

Prtica 6
a. configurao do proxy para federao com RADSEC

TARDE Prtica 7
a. Instalao de BD PostgreSQL e configurao do accounting

MANH Prtica 5
a. b. configurao do proxy para federao eduroam-br testes de roaming (usando radtest)

Configurando o Proxy da Instituio

A configurao do Proxy do servidor RADIUS da instituio se faz necessria para o encaminhamento de requisies de autenticao por usurios no pertencentes ao domnio local. Sendo assim, ser avaliado pelo Proxy RADIUS da instituio se o domnio pertencente ao usurio local ou deve ser encaminhando ao servidor da Federao que por sua vez encaminhar at a instituio de origem do usurio. Ser necessria a configurao do arquivo proxy.conf localizado no diretrio /etc/freeradius/ contendo no mnimo a configurao abaixo:
proxy server { default_fallback }

= no

home_server eduroam-br { type = auth+acct ipaddr = IP_SERVIDOR_FEDERACAO port = 1812 secret = CHAVE_COMPARTILHADA require_message_authenticator = no response_window = 20 zombie_period = 40 revive_interval = 120 status_check = status-server check_interval = 30 num_answers_to_alive = 3 coa { irt mrt mrc mrd } = = = = 2 16 5 30

home_server_pool EDUROAM-FTLR { # Garantir disponibilidade type = fail-over home_server = eduroam-br }

realm DEFAULT { auth_pool acct_pool nostrip }

= EDUROAM-FTLR = EDUROAM-FTLR

realm LOCAL { }

realm NULL { secret }

= CHAVE_COMPARTILHADA

realm uff.br { }

Basicamente, a configurao compreender o seu domnio local, em nosso caso representado por realm uff.br, onde os parmetros de accthost e authhost correspondem, respectivamente, ao endereo do servidor de accounting e ao servidor de autenticao. Atente para o fato de que, caso seja local a nossa consulta fica subentendido a realizao do strip (por meio do parmetro suffix que dever constar habilitado em seu arquivo de virtual_server Arquivo inner_tunnel), que nada mais que a quebra do login do usurio, por exemplo: recebemos teste@uff.br, ser realizada a separao deste usurio teste de seu domnio para verificao de realm e de usurio na base de dados utilizada. A configurao do DEFAULT se mostra uma das mais importantes. nessa seo que sero criados o pool EDUROAM-FTLR responsvel pelo encaminhamento ao servidor da Federao. A opo

nostrip se faz necessria porque queremos que chegue ao servidor da Federao o login completo do usurio, para que seja possvel realizar a comparao de realms e verificar para onde ser encaminhada sua requisio. Em EDUROAM-FTLR apontada a configurao para o servidor da Federao, no caso, eduroambr. Foi criado esse pool para que futuramente seja possvel cadastrar mais de um servidor da Federao, para que haja redundncia (fail-over). O home_server eduroam-br expe as configuraes propriamente ditas para a comunicao do servidor da Instituio com a Federao. Onde se encontra o realm uff.br dever ser substitudo pelo domnio de sua instituio. Observaes: importante ficar atento chave compartilhada e se o IP do servidor de sua instituio est cadastrado no clients.conf da federao, assim como o IP do servidor da federao no clients.conf de sua instituio. Adicione o IP do servidor RADIUS da Federao em seu clientes.conf!

Configurando o Proxy da Federao

Este passo ser realizado apenas no servidor do Professor.

Contedo do arquivo clients.conf. # localhost client localhost { ipaddr = 127.0.0.1 secret = SENHA_COMPARTILHADA require_message_authenticator = no nastype = other } # Instituicao XX client 200.20.0.XX/24 { secret = SENHA_COMPARTILHADA shortname = eduroam-uff } # Instituio YY client 200.129.192.YY { secret = SENHA_COMPARTILHADA shortname = UFMS

} # CONFEDERACAO LATLR client 200.37.WW.UU { secret = SENHA_COMPARTILHADA_FEDERACAO shortname = LATLR }

Contedo do arquivo proxy.conf.

proxy server { default_fallback }

= no

# LATLR home_server eduroam-la { type = auth+acct ipaddr = 200.37.WW.UU port = 1812 secret = SENHA_COMPARTILHADA_FEDERACAO require_message_authenticator = no response_window = 20 zombie_period = 5 revive_interval = 20 status_check = status-server check_interval = 30 num_answers_to_alive = 3 coa { irt = 2 mrt = 16 mrc = 5 mrd = 30 } }

home_server_pool LATLR { type = fail-over home_server = eduroam-la } realm DEFAULT { auth_pool = LATLR acct_pool = LATLR nostrip

} realm LOCAL { } realm NULL { secret = SENHA_COMPARTILHADA_FEDERACAO } #INSTITUICOES # UFF realm uff.br { authhost = 200.20.0.XX:1812 accthost = 200.20.0.XX:1813 secret = SENHA_COMPARTILHADA nostrip } # UFRJ realm ufrj.br { authhost = 200.129.192.YY:1812 accthost = 200.129.192.YY:1813 secret = SENHA_COMPARTILHADA nostrip }

Teste de roaming Teste seu usurio se autenticando pelo seu AP de outra instituio. Ou Utilize o radtest diretamente do seu servidor.

MANH Prtica 6
a. configurao do proxy para federao com RADSEC

Vocs recebero 3 arquivos:

Certificado da AC (ca.crt) Certificado do seu servidor e sua senha associada (seunome.crt) Chave do seu servidor (seunome.key)

Instalao do RadSec em cada Instituio

Em distribuies baseadas em apt-get, como o caso do Ubuntu que utilizamos para instalao do servidor Radius, necessrio apenas realizar o download e instalao pelo comando apresentado na Listagem 7.
apt-get install radsecproxy Listagem 1 Instalao do RadSec no Ubuntu

A verso do RadSec utilizada foi a mais atualizada no momento, 1.4.

Configurao do RadSec
Aps a instalao do pacote vamos realizar a sua configurao. Por padro o arquivo de configurao nico e fica em /etc/radsecproxy.conf Para a instituio, ele dever ter o contedo da Listagem 8.

# Arquivo de configuracao do radsecproxy institucional # projeto eduroam-br # 2011-10-20 # Portas usadas na autenticacao da instituicao local (ex: @uff.br) # Recebe mensagem do radsecproxy da Federacao atraves de TLS listenTLS *:2083 # e repassa mensagem para o radius local SourceUDP *:33000 # Portas usadas na autenticacao remota (outras instituicoes) # Recebe as mensagens do radius local na porta 1830 ListenUDP *:1830 # e repassa mensagem para o radsecproxy da Federacao (TLS) SourceTLS *:33001 # Nivel de debug, 3 eh o padrao, 1 eh o menor e 4 o maior LogLevel 4 # Arquivo de log LogDestination file:///var/log/radsecproxy.log realm

# Configuracao de certificado tls default { CACertificateFile /etc/freeradius/certs/instituicoes/ca.crt CertificateFile /etc/freeradius/certs/instituicoes/uff.crt CertificateKeyFile /etc/freeradius/certs/instituies/uff.key certificateKeyPassword SENHA_DO_CERTIFICADO } # Excluindo TAG de VLAN rewrite defaultclient { removeAttribute 64 removeAttribute 65 removeAttribute 81 } # Autenticacao na instituicao local # Recebe as conexoes TLS vindas do radsecproxy da Federacao... client 200.20.10.88 { host 200.20.10.88 type tls secret Senha_Compartilhada_Federao certificateNameCheck off } # ... e repassa para o radius da propria maquina (local) server 127.0.0.1 { host historico.uff.br type udp secret Senha_Compartilhada_Local port 1812 }

# Autenticacao em outras instituicoes # Recebe as conexoes vindas do radius local... client 127.0.0.1 { host 127.0.0.1 type udp secret Senha_Compartilhada_Local certificateNameCheck off } # ... e repassa para o radsecproxy da Federacao (TLS) server 200.20.10.88 { host moreninha.midiacom.uff.br type tls secret Senha_Compartilhada_Federao StatusServer on } # Configuracao dos realms. # Se o realm for da instituicao, manda para servidor radius local; # Caso contrario, repassa mensagem para servidor radius da federacao. # Para ter redundancia, pode-se configurar 2 servidores radius e descomentar as linhas abaixo realm uff.br { server 127.0.0.1 } realm * { server 200.20.10.88 accountingServer 200.20.10.88 } Listagem 2 - Arquivo de configurao do RadSec (radsecproxy.conf)

Instalao do Certificado
Como pode ser visto na Listagem 9, necessrio ter os certificados instalados para que a comunicao segura via TLS seja estabelecida. Sendo assim, necessrio salvar o certificado da instituio, e a chave do certificado da instituio, assim como o certificado da AC da federao que foi enviada em uma subpasta (no exemplo da Listagem 8 esta pasta se chama uff e fica em /etc/freeradius/certs/). Outro passo necessrio para que nossa AC seja confivel pelo servidor em que o RadSec est sendo instalado indicado na Listagem 9.

mkdir /usr/share/ca-certificates/eduroam sudo cp /etc/freeradius/certs/uff/ca.crt certificates/eduroam sudo dpkg-reconfigure ca-certificates Listagem 3 - Passos necessrios para adio de uma AC confivel /usr/share/ca-

Aps abrir a tela de seleo de certificados de CA confiveis, o arquivo ca.crt que foi adicionado deve ser marcado. Assim sero atualizados todos os ndices e a CA da federao, que gerou o certificado da instituio, ser considerada como confivel.

Configurao do FreeRADIUS
necessrio uma simples e pontual mudana no arquivo proxy.conf do FreeRADIUS, como indicado na Listagem 10.
home_server eduroam-br { type = auth+acct ipaddr = 127.0.0.1 #ipaddr = 200.20.10.88 #port = 1812 port = 1830 ... Listagem 4 - Configurao no FreeRADIUS (proxy.conf)

Ou seja, a linha que realiza o encaminhamento direto para o servidor da Federao (200.20.10.88:1812) deve ser comentada, pois agora o encaminhamento ser feito pelo proxy RadSec (127.0.0.1:1830). Testes com radtest podem ser realizados e analisados os logs do FreeRADIUS e do RadSec (/var/log/radsecproxy.log). Para iniciar o RadSec, o comando da Listagem 5 deve ser utilizado.
/etc/init.d/radsecproxy start Listagem 5 Comando para iniciar o radsec

Nesta prtica, daqui para frente papel do servidor da Federao, apenas! O Professor quem ir realizar os passos necessrios.

Somente para conhecimento ser exposta a criao de uma Autoridade Certificadora (AC). Os alunos no devem criar esta AC, j que apenas utilizaro os certificados fornecidos pela AC do servidor da Federao!

1. Criao da Autoridade Certificadora no Servidor da Federao

Para a criao desta AC foi necessria a instalao do openssl, como mostra a Listagem 1.
apt-get install openssl Listagem 6 - Instalao do OpenSSL

cd /etc/freeradius/certs/ echo 1 > serial touch index.txt Listagem 7 - Criando base de dados para a AC

Agora deveremos configurar o arquivo de gerao da AC, este arquivo ser tambm utilizado no momento da assinatura dos certificados das instituies. Podemos visualizar o contedo deste arquivo na Listagem 3.

[ ca ] default_ca [ CA_default ] dir #certs #crl_dir #database #new_certs_dir #certificate #serial #crl #private_key #RANDFILE #name_opt #cert_opt #default_days #default_crl_days #default_md #preserve #policy serial database new_certs_dir certificate private_key default_days default_md preserve email_in_dn nameopt certopt policy [ policy_match ] countryName stateOrProvinceName organizationName organizationalUnitName commonName emailAddress [ policy_anything ] countryName stateOrProvinceName localityName organizationName organizationalUnitName commonName emailAddress [ req ] prompt distinguished_name default_bits input_password

= CA_default = = = = = = = = = = = = = = = = = ./ $dir $dir/crl $dir/index.txt $dir $dir/ca.crt $dir/serial $dir/crl.pem $dir/ca.key $dir/.rand ca_default ca_default 365 30 md5 no policy_match = = = = = = = = = = = = $dir/serial $dir/index.txt $dir $dir/ca.crt $dir/ca.key 365 md5 no no default_ca default_ca policy_anything

= = = = = = = = = = = = = = = = =

match match match optional supplied optional optional optional optional optional optional supplied optional no certificate_authority 2048 SENHA_DO_CERTIFICADO

output_password #x509_extensions x509_extensions

= SENHA_DO_CERTIFICADO = v3_ca = v3_req Prompt string ---------------------------------= UFF = Midiacom = esilva@ic.uff.br = 40 = Niteroi = Rio de Janeiro = BR = 2 = 2 = moreninha.midiacom.uff.br = 64

[ req_distinguished_name ] # Variable name #------------------------0.organizationName organizationalUnitName emailAddress emailAddress_max localityName stateOrProvinceName countryName countryName_min countryName_max commonName commonName_max

# Default values for the above, for consistency and less typing. # Variable name Value #----------------------------------------------------0.organizationName_default = UFF localityName_default = Niteroi stateOrProvinceName_default = Rio de Janeiro countryName_default = BR [certificate_authority] countryName stateOrProvinceName localityName organizationName emailAddress commonName [v3_ca] subjectKeyIdentifier authorityKeyIdentifier basicConstraints extendedKeyUsage = = = = = = = = = = BR RJ Niteroi UFF esilva@ic.uff.br IP ou nome da mquina do Professor hash keyid:always,issuer:always CA:true serverAuth, clientAuth

[ v3_req ] basicConstraints = CA:FALSE subjectKeyIdentifier = hash extendedKeyUsage = serverAuth, clientAuth

Listagem 8 - Contedo do arquivo ca.cnf

Como conveno, a partir deste momento, usaremos o contedo da Tabela 1 para a nomenclatura das extenses dos arquivos criados durante o processo de gerao de certificados.
Tabela 1 - Extenses de arquivos

Extenso

Definio

.cnf .csr .key .crt

Arquivo de configurao do certificado Requisio de gerao de certificado Chave do certificado Certificado

Vamos agora criar o certificado raiz de nossa AC, conforme a Listagem 4. Ateno para a validade do certificado, que neste exemplo de apenas 365 dias.
openssl req -new -x509 -extensions v3_ca -keyout cakey.key -out ca.crt -days 365 -config ./ca.cnf Listagem 9 - Gerando certificado raiz da AC

Criando o .cnf para o cliente (instituio parceira exemplo: uff).

[ ca ] default_ca [ CA_default ] dir certs crl_dir database new_certs_dir certificate serial crl private_key RANDFILE name_opt cert_opt default_days default_crl_days default_md preserve policy

= CA_default = = = = = = = = = = = = = = = = = ./ $dir $dir/crl $dir/index.txt $dir $dir/server.pem $dir/serial $dir/crl.pem $dir/server.key $dir/.rand ca_default ca_default 1825 30 md5 no policy_match

[ policy_match ] countryName = match stateOrProvinceName = match organizationName = match organizationalUnitName = optional commonName = supplied emailAddress = optional [ policy_anything ] countryName = optional stateOrProvinceName = optional localityName = optional organizationName = optional organizationalUnitName = optional commonName = supplied emailAddress = optional [ req ] prompt distinguished_name default_bits input_password output_password x509_extensions [uff] countryName stateOrProvinceName localityName organizationName emailAddress commonName [v3_ca] subjectKeyIdentifier = = = = = = = = = = = no uff 2048 SENHA_DO_CERTIFICADO SENHA_DO_CERTIFICADO v3_ca

BR RJ Niteroi IP admin@eduroam.br = IP da mquina da instituio ou FQDN = hash

authorityKeyIdentifier basicConstraints extendedKeyUsage

= keyid:always,issuer:always = CA:true = serverAuth, clientAuth

Gerando o certificado da instituio com base no .cnf openssl req -new -nodes -out instituicoes/uff.csr -keyout instituicoes/uff.key -config ./uff.cnf

openssl ca -out instituicoes/uff.crt -config ./ca.cnf -infiles instituicoes/uff.csr

Somente para conhecimento ser exposta a configurao do RadSec na Federao. Os alunos no devero realizar estes passos!

proxy server { default_fallback }

= no

# LATLR home_server eduroam-la { type = auth+acct ipaddr = 127.0.0.1 port = 1830 secret = SENHA_COMPARTILHADA_FEDERACAO require_message_authenticator = no response_window = 20 zombie_period = 5 revive_interval = 20 status_check = status-server check_interval = 30 num_answers_to_alive = 3 coa { irt = 2 mrt = 16 mrc = 5 mrd = 30 } }

home_server_pool LATLR { type = fail-over home_server = eduroam-la } realm DEFAULT { auth_pool = LATLR acct_pool = LATLR nostrip } realm LOCAL { } realm NULL { secret = SENHA_COMPARTILHADA_FEDERACAO } #INSTITUICOES # UFF realm uff.br { authhost = 127.0.0.1:1830 secret = SENHA_COMPARTILHADA nostrip } # UFRJ Realm ufrj.br { authhost = 127.0.0.1:1830 secret = SENHA_COMPARTILHADA nostrip }

Vamos ento s configuraes de entradas para o arquivo radsecproxy.conf, referente ao RadSec. neste arquivo que realmente sero inseridas as entradas para os domnios e a confederao, assim como a liberao das requisies vindas dos clientes (servidores da instituies e confederao).

# Arquivo de configuracao do radsecproxy da federacao # Recebe mensagem dos radsecproxies instituicionais atraves de TLS listenTLS *:2083 # e repassa mensagem para os radsecproxies destinos SourceTLS *:33001

## e repassa mensagem para o radius local SourceUDP *:33000 ## Portas usadas na autenticacao remota (outras instituicoes) ## Recebe as mensagens do radius local na porta 1830 ListenUDP *:1830 # Nivel de debug, 3 eh o padrao, 1 eh o menor e 4 o maior LogLevel 4 # Arquivo de log LogDestination

file:///var/log/radsecproxy.log

# Prevencao contra looping LoopPrevention On ## Configuracao de certificado tls default { CACertificateFile /etc/freeradius/certs/ca.crt CertificateFile /etc/freeradius/certs/federacao.crt CertificateKeyFile /etc/freeradius/certs/federacao.key certificateKeyPassword SENHA_CERTIFICADO } # Remove TAG da VLAN rewrite defaultclient { removeAttribute 64 removeAttribute 65 removeAttribute 81 } # Recebe as conexoes TLS vindas dos radsecproxies institucionais # Cliente UFF client 200.20.0.XX { host eduroam.uff.br type TLS secret SENHA_COMPARTILHADA certificateNameCheck off } client 127.0.0.1 { host 127.0.0.1 type UDP secret SENHA_COMPARTILHADA }

# ... e repassa para o radius da instituicao destino server uff.br { host eduroam.midiacom.uff.br type TLS secret SENHA_COMPARTILHADA statusserver on certificateNameCheck off } # SERVIDOR CONFEDERACAO server LATLR { host 200.37.WW.UU type TLS secret SENHA_COMPARTILHADA_CONFEDERACAO statusserver on } server ufms.br { host radius.ufms.br type TLS secret SENHA_COMPARTILHADA_UFMS statusserver on } # Realm conhecidos e da confederao, para aqueles no conhecidos. realm uff.br { server uff.br } realm * { server LATLR }

TARDE Prtica 7
a. Instalao de BD PostgreSQL e configurao do accounting

Instalao e configurao do suporte ao accounting

O accounting fornece informaes muito importantes para o controle de acesso e posterior anlise dos usurios. Somente com o accounting ser possvel o administrador descobrir qual usurio certo IP estava associado em um dado momento. relevante tambm destacar que nem todos os pontos de acessos realizam o tratamento dos pacotes referentes ao accounting (Accounting-Request e AccountingResponse), assim como os diversos atributos disponveis.

1.1. PostgreSQL
A instalao do banco de dados PostgreSQL simples e necessita apenas de pouca configurao para que esteja em funcionamento. Sendo assim, necessrio realizar apenas os passos das listagens 1 e 2.

# apt-get install postgresql-8.4 Listagem 10 - Instalao do PostgreSQL

# su - postgres # psql -c "ALTER USER postgres WITH PASSWORD 'novasenha'" Listagem 11 - Alterando a senha do administrador do PostgreSQL

Caso deseje adicionar algum IP para a administrao remota da base de dados, verifique o arquivo contido em /etc/postgresql/8.4/main/pg_hba.conf. Recomendamos adicionar tambm o contedo da Listagem 12, que representa a liberao do usurio radius localmente base denominada radius (que futuramente ser criada).
local radius radius md5 Listagem 12 - Liberando usurio "radius" para administrao da base de dados

Aps a instalao bsica do banco de dados possvel passarmos etapa criao da base de dados utilizada pelo FreeRADIUS para o accounting, como ser exposto pela Seo 0.

Configurando FreeRADIUS para Accounting

Como primeiro passo, caso o FreeRADIUS tenha sido instalado em uma distribuio com base em pacotes (e.g. Ubuntu, Debian), necessrio apenas instalar o pacote com as informaes e mdulos necessrios ao acesso SQL, como na Listagem 1.

# apt-get install freeradius-postgresql Listagem 13 - Instalao do suporte ao PostgreSQL pelo FreeRADIUS

Nosso prximo passo, depois de instalado o suporte ao banco de dados, criar o usurio radius que administrar a base de dados chamada radius. A base de dados radius conter todas as tabelas necessrias para que o sistema de accouting funcione, e seu arquivo SQL disponibilizado aps o passo da Listagem 13.

# su - postgres # createuser radius --no-superuser --no-createdb --no-createrole -P # createdb radius --owner=radius # exit Listagem 14 - Criando usurio e base de dados "radius"

Os arquivos relacionados ao accounting se encontram na pasta /etc/freeradius/sql/postgresql e a partir de um dos arquivos l presentes que sero criadas as tabelas referentes base de dados radius criada, como pode ser visto pela Listagem 15.

# cd /etc/freeradius/sql/postgresql/ # psql -U radius W d radius h 127.0.0.1 f schema.sql Listagem 15 - Criando as tabelas da base de dados "radius"

Sendo: -U usurio -W para pedir a senha do usurio -d o nome da base de dados -h o endereo do host postgres -f o arquivo de importao

Nesse momento, j temos tanto a base de dados como o usurio que a administrar criados e configurados, ento, deve-se configurar os arquivos referentes ao FreeRADIUS para habilitar a gravao no banco de dados. Os arquivos do FreeRADIUS que devero ser alterados so:
/etc/freeradius/sql.conf /etc/freeradius/sites-enabled/default /etc/freeradius/sites-enabled/eduroam ou inner-tunnel /etc/freeradius/radiusd.conf /etc/freeradius/sql/postgresql/dialup.conf

No arquivo /etc/freeradius/sql.conf dever ser alterada apenas a senha do usurio radius e o endereo do servidor de banco de dados, como na Listagem 16.

sql { database = "postgresql " driver = "rlm_sql_${database}" server = "localhost" login = "radius" password = "senha_do_usuario_radius_no_bd" radius_db = "radius" ... } Listagem 16 - Configurao de conexo do RADIUS com a base de dados

necessrio habilitar o accounting nos arquivos de configurao do FreeRADIUS, que j esto configurados em sua instalao. Estes arquivos so apresentados pela Listagem 17 e Listagem 18, equivalentes respectivamente aos arquivos /etc/freeradius/sites-enabled/default e /etc/freeradius/sites-enabled/eduroam ou /etc/freeradius/sites-enabled/inner-tunnel e /etc/freeradius/radiusd.conf.

... accounting { detail daily unix radutmp sql exec attr_filter.accounting_response } ... session { radutmp

sql } ... post-auth { ... sql ... } ... Listagem 17 - Ativao do accounting no FreeRADIUS (default, eduroam ou inner-tunnel)

... modules { $INCLUDE ${confdir}/modules/ $INCLUDE eap.conf $INCLUDE sql.conf } ... Listagem 18 - Indicao da configurao de conexo ao SQL (radiusd.conf)

Para que sejam armazenadas as requisies e respostas de forma simultnea para solicitaes de autenticao dos usurios, necessrio realizar a configurao do arquivo /etc/freeradius/sql/postgresql/dialup.conf, conforme a Listagem 19.

... simul_count_query = "SELECT COUNT(*) FROM ${acct_table1} WHERE UserName='%{SQL-User-Name}' AND AcctStopTime IS NULL" simul_verify_query = "SELECT RadAcctId, AcctSessionId, UserName, NASIPAddress, NASPortId, FramedIPAddress, CallingStationId, FramedProtocol FROM ${acct_table1} WHERE UserName='%{SQL-User-Name}' AND AcctStopTime IS NULL" ... Listagem 19 - Liberando o armazenamento de conexes simultneas.

Phppgadmin para visualizar os dados coletados

Instalando o servidor Apache com suporte ao PHP5.
# apt-get install apache2 # apt-get install libapache2-mod-php5 Listagem 20 - Instalao do Apache 2 e suporte a PHP5.

# apt-get install phppgadmin Listagem 21 - Instalao do phppgadmin.

Por padro, o phppgadmin ir aceitar somente conexes vindas da mquina local, portanto, caso deseje acessar a base de dados de outro computador, pela interface web, aconselhamos que altere o arquivo localizado em /etc/phppgadmin/apache.conf como na Listagem 13. O mesmo arquivo pode j estar contido em /etc/apache2/conf.d/, com o nome de phpgadmin, e sendo assim, ser este que dever ser alterado. Porm, caso exista apenas o arquivo /etc/phppgadmin/apache.conf, copie-o para a pasta correta, conforme a Listagem 14.

Alias /phppgadmin /usr/share/phppgadmin/ <Directory /usr/share/phppgadmin/> DirectoryIndex index.php Options +FollowSymLinks AllowOverride None order deny,allow deny from all allow from seu_ip/mascara #allow from 127.0.0.0/255.0.0.0 ::1/128 #allow from all <IfModule mod_php5.c> php_flag magic_quotes_gpc Off php_flag track_vars On php_value include_path . </IfModule> </Directory> Listagem 22 - Configurao do arquivo do phppgadmin.

# cp /etc/phppgadmin/apache.conf /etc/apache2/conf.d/phppgadmin Listagem 23 - Cpia do arquivo de configurao do Apache para o phppgadmin.

necessrio reiniciar o servidor web Apache para que as configraes tenham efeito, este passo compreendido pela Listagem 15.

# /etc/init.d/apache2 restart Listagem 24 - Reiniciando o Apache com as novas configuraes.

Para acessar a interface web do phppgadmin utilize o navegador da mquina em que o acesso foi liberado (Listagem 13) e insira o endereo http://maquina_servidor_postgresql/phppgadmin. Ser visualizada uma tela como a Figura 5. O acesso aos dados foi realizado pelo usurio radius que criamos durante a ativao do accounting, na Seo 0.

Figura 5 - Tela de acesso do phppgadmin.

Uma vez autenticado no sistema, dever ser selecionada a base de dados que desejamos administrar, no caso, a chamada radius. Como pode ser visto na Figura 6.

Figura 6 - Seleo do banco de dados "radius".

Os dados armazenados na tabela radpostauth equivalem resposta da solicitao de autenticao do cliente, e pode ser visualizada pela Figura 7. A partir deste relatrio, simples encontrar se um acesso foi negado ou aceito a um cliente em especial, e em qual momento isto ocorreu.

Figura 7 - Relatrio de requisio de autenticao dos usurios.

Diversos dados podem ser habilitados para a coleta pelo accounting e armazenados no banco de dados, aumentando assim as possibilidades de controle e avaliao do ambiente RADIUS administrado.

1.2. Outras Ferramentas de Visualizao

freeradius-dialupadmin NETAMS Raptor

Ferramenta desenvolvida na UNICAMP http://www.youtube.com/watch?v=ZQQSlEpE_qg