Área de la Energ í a, las Ind us trias y lo s Recu rs os Naturales No Reno Reno vables
“TESIS PREVIA A LA OBTENCIÓN DEL TÍTULO EN INGENIERO EN SISTEMAS”
AUTORES: F ab a b r i c i o A l e j an a n d r o F l o r e s G a ll ll a r d o L i s s e t A l e x an a n d r a N ey ey r a R o m e r o
DIRECTOR: Ing. Juan Manuel Galindo Vera Loja-Ecuador 2012
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
MANUAL TÉCNICO 1. ÍNDICE GENERAL ........................................ .......................... ........................... ........................... ..................... ........2 1. ÍNDICE GENERAL ........................... ....................................... ........................... ........................... ........................... ................. ...4 2. INDICE DE FIGURAS.......................... ....................................... ........................... .......................... .......................... .......................... .............5 3. INTRODUCCIÓN......................... ....................................... .......................... ............5 4. ¿A QUIÉN VA DIRIGIDO EL MANUAL? ......................... ...................................... .......................... .......................... .............5 5. CONSIDERACIONES PREVIAS ......................... ....................................... ........................... ................... ......5 6. REQUERIMIENTOS DEL SISTEMA ......................... ...................................... .......................... .......................... .............6 7. CONFIGURACIONES PREVIAS ......................... ....................................... .......................... ........................... ........................ ..........6 7.1. Instalación de paquetes ..........................
7.2. Configuración de interfaces de red ........................... ........................................ .......................... ................. ....9 ....................................... ........................... .......................... .............10 7.3. Configuración del ip_forward .........................
7.4. Activación del modo tun .......................... ....................................... .......................... ........................... ...................... ........11 ........................................ .......................... ............... ..11 8. CONFIGURACIÓN DEL SERVIDOR ........................... ...................................... .......................... ........................... ........................... .......................... ............... ..12 8.1. FreeRADIUS ......................... ....................................... ................12 8.1.1. Instalación de paquetes de FreeRADIUS ......................... ........................................ .......................... ............12 8.1.2. Configuración de la base de datos .......................... .......................14 8.1.3. Configuración de la conexión con la base de datos ....................... ............................. ....15 8.1.4. Configuración de la Autorización y Contabilidad ......................... ......................................... ................16 8.1.5. Conexión con el web services del S.G.A ........................... ........................................ .......................... ............17 8.1.6. Configuración del cliente localhost .......................... ........................................ ........................... ........................... ................ 18 8.1.7. Arrancando FreeRADIUS .......................... ........................................ .......................... .......................... ........................... ........................... ................. ....20 8.2. Coovachilli ........................... ....................................... .......................... ........................... ........................... .......................... ............... ..20 8.2.1. Instalación .......................... .........................20 8.2.2. Configuración del archivo principal de CoovaChilli ......................... ........................................ ........................... ................. ....23 8.2.3. Configuración del portal cautivo .......................... ...................................... ........................... ........................... ................. ....24 8.2.4. Archivo hotspotlogin.php .........................
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
2
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
8.2.5. Creación del archivo ipup.sh ......................... ...................................... .......................... ........................ ...........35 ....................................... .............38 8.2.6. Generación de certificados SSL apache2 .......................... ...................................... .......................... ........................... .................... ......39 8.2.7. Creación de host virtual ......................... ....................................... .......................... ........................... ........................... .......................... ............... ..43 8.3. daloRADIUS.......................... ....................................... .......................... ........................... ........................... .......................... ............... ..43 8.3.1. Instalación .......................... ........................................ ........................... .......................... .......................... ...................... .........44 8.3.2. Configuración .......................... ....................................... .......................... ........................... ........................... ................... ......46 8.4. Errores Comunes .......................... ....................46 8.4.1. Error al crear el directorio /var/log/freeradius/radacct .................... ....................................... .............47 8.4.2. Error de reinicio reinicio de servicio FreeRADIUS .......................... ........................................ ...................... ........48 8.4.3. Error al leer los logs de daloRADIUS ..........................
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
3
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
2. INDICE DE FIGURAS Figura 1. Taskel............................................................................... 7 Figura 2. Introducir Contraseña MySQL para el usuario root ........... 8 Figura 3. Ventana de configuración de certificado SSL ................. 39 Figura 4. Dirección de Ingreso con IP ........................................... 45 Figura 5. Dirección de Ingreso con dominio .................................. 45 Figura 6. Ventana de Logeo .......................................................... 46 Figura 7. Error al levantar el servicio FreeRADIUS ....................... 47 Figura 8. Archivo rc.local ............................................................... 48
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
4
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
3. INTRODUCCIÓN El presente manual técnico tiene como objetivo fundamental presentar de una manera detallada y concreta los pasos a seguir para poder configurar adecuadamente el servidor RADIUS con un portal cautivo para la Universidad Nacional de Loja. Lo ja.
4. ¿A QUIÉN VA DIRIGIDO EL MANUAL? El manual va dirigido a los administradores de red de la Unidad de Telecomunicaciones e Información de la Universidad Nacional de Loja. Además se plantea como una solución para personas que deseen implementar una solución similar en cualquier otro ámbito.
5. CONSIDERACIONES CONSIDERACIO NES PREVIAS Para configurar adecuadamente el servidor se debe tomar en cuenta que primeramente se debe tener ciertas consideraciones como:
Conocimientos previos en Linux Ubuntu Server (Instalación y Configuración)
Conocimientos previos de networking (redes, NAT, iptables)
6. REQUERIMIENTOS REQUERIMIENTOS DEL SISTEMA Para la instalación y configuración del servidor RADIUS con un portal cautivo para la Universidad Nacional de Loja es necesario ciertos requerimientos importantes tanto en hardware como en software. Tomando en cuenta el estudio realizado durante el desarrollo del presente proyecto se ha considerado que los requerimientos Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
5
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
mínimos para el correcto funcionamiento del servidor son los siguientes:
Hardware:
Procesador: Intel Core2Duo CPU E7500 @ 2.93 GHz x 2
2 GB de Memoria RAM
320 GB de Disco Duro
Dos tarjetas de red Ethernet
Software:
Ubuntu Server 12.04
FreeRADIUS versión 2.1.10
CoovaChilli versión 1.2.6
daloRADIUS versión 0.9.9
7. CONFIGURACIONES CONFIGURACION ES PREVIAS Para la configuración adecuada del servidor es necesario realizar primeramente unas configuraciones al sistema operativo.
7.1. Instalación de paquetes Luego de la instalación del sistema operativo lo primero que se debe hacer es actualizar el listado de paquetes, lo que se realiza con el siguiente comando. $ sudo apt-get update
Posteriormente procedemos a instalar tasksel, que es un sistema de instalación de paquetes por consola. Tasksel agrupa los
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
6
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
paquetes de software por tareas y ofrece un modo sencillo de instalar todos los paquetes que son necesarios para dicha tarea. Se Instala tasksel con el siguiente comando: $ sudo apt-get install tasksel
Ahora se ejecuta Tasksel: $ sudo tasksel
A continuación se presentará dentro del terminal una pantalla con varios paquetes de software, en donde se va a seleccionar los paquetes que interesan: LAMP LAMP server y OpenSSH server.
Figura 1. Taskel Tasksel se encargará de descargar todos los paquetes y dependencias tanto del LAMP Server (Apache, MySQL y Php) y de OpenSSH. Durante la instalación instalación del LAMP Server va a pedir la contraseña de
root para MySQL, entonces se procederá a colocarla. Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
7
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
Figura 2. Introducir Contraseña MySQL para el usuario root Además de los paquetes anteriores, es también necesario instalar algunos paquetes indispensables para el correcto funcionamiento de todas las aplicaciones que van a funcionar en el servidor. $
sudo
apt-get
libpam0g-dev libgdbm-dev
install
debhelper
libmysqlclient15-dev libldap2-dev
libltdl3-dev
build-essential
libsasl2-dev
libiodbc2-
dev libkrb5-dev snmp autotools-dev dpatch libperldev libtool dpkg-dev libpq-dev libsnmp-dev libssldev
php5
php5-mysql
libxml-simple-perl
php-pear
php5-gd
php-DB
libxml-libxml-simple-perl
libtest-xml-simple-perl libtest-xml-simp le-perl libdbi-perl libwww-perl
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
8
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
7.2. Configuración de interfaces de red Como se dijo anteriormente, el equipo necesita dos tarjetas de red. Una tarjeta de red (eth0) tiene que estar conectada a la red y configurada para internet. La otra tarjeta de red tiene que dejarse sin configuración. Esto significa, no IP estática y no DHCP. Esto se logra previniendo que el Administrador de Red, manipule la tarjeta. Para evitar que el Administrador de Red manipule la tarjeta, se s e tiene que editar /etc/network/interfaces. /etc/network/interfaces. $ sudo vi /etc/network/int /etc/network/interfaces erfaces
En el archivo se debe añadir la interfaz como una tarjeta de configuración manual. En este caso, la tarjeta de red en la que funcionara con el portal cautivo (hacia la red inalámbrica) es eth1, y con la configuración estática de la interfaz de red eth0 para que se conecte a internet, el archivo quedará de la siguiente manera. auto lo iface lo inet loopback auto eth0 iface eth0 inet static address x.x.x.x netmask x.x.x.x network x.x.x.x broadcast x.x.x.x
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
9
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
gateway x.x.x.x dns-nameservers x.x.x.x dns-search unl.edu.ec iface eth1 inet manual
Luego se procede a reiniciar los servicios de red para que se apliquen los cambios con el siguiente comando: $ sudo /etc/init.d/networking /etc/init.d/networking restart
De esta forma se esta configurando el interfaz eth0 para que tenga una dirección IP estática, dejando la interfaz eth1 (que estará conectada a los puntos de acceso) a merced del portal cautivo, que será el que la administre. a dministre.
7.3. Configuración del ip_forward El mecanismo de IP forwarding se encarga de la retransmisión de los paquetes que se reciben por una interfaz física y de retransmitirlos por otra interfaz. El IP forwarding debe ser habilitado, pues una vez que el usuario se autentique a través del portal cautivo se redireccionará su tráfico hacia la interfaz de red eth0, permitiendo así que el usuario pueda navegar. Para habilitar la función de IP forwarding se necesita configurar el archivo
/etc/sysctl.conf con el siguiente comando: $ vi /etc/sysctl.conf /etc/sysctl.conf
Allí se busca la línea línea net.ipv4.ip_forward=1 y se la descomenta. net.ipv4.ip_forward=1
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
10
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
Además, es necesario cambiar el valor a 1 del IP forwarding en
/proc/sys/net/ipv4/ip_forward /proc/sys/net/ipv4/ip_forward con el siguiente comando: $ echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward /proc/sys/net/ipv4/ip_forward
Y se reinicia nuevamente el servicio de networking. $ sudo /etc/init.d/networking /etc/init.d/networking restart
7.4. Activación del modo tun Para finalizar con la configuración de las interfaces de red, se debe habilitar el módulo tun, ya que este permitirá a Coovachilli hacer un “túnel” entre las interfaces eth0 y la red virtual que crea en eth1.
Para ello ejecutamos los siguientes comandos: $ sudo modprobe tun
Con esta orden cargamos el módulo tun en el kernel del sistema directamente sin tener que reiniciar. Además tenemos que agregarlo la palabra “tun” al final del archivo /etc/modules
$ sudo vi /etc/modules
8. CONFIGURACIÓN CONFIGURACIÓN DEL SERVIDOR Luego de dejar preparado el servidor con todas las configuraciones anteriormente explicadas se procederá a instalar y configurar los paquetes de software utilizados para el correcto funcionamiento del servidor. Ellos son: FreeRADIUS, CoovaChilli y daloRADIUS.
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
11
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
8.1. FreeRADIUS A continuación se describirá el procedimiento correcto para la instalación
y
configuración
del
servidor
RADIUS
usando
FreeRADIUS.
8.1.1.Instalación de paquetes de FreeRADIUS La instalación de FreeRADIUS sobre Ubuntu no es compleja, puesto que se encuentran los paquetes dentro de los repositorios. $ sudo apt-get install freeradius freeradius-mysql freeradius-utils
Con el comando anterior se realiza el proceso de instalación de FreeRADIUS y de las librerías adicionales que va a requiere para su correcto funcionamiento.
8.1.2.Configuración de la base de datos Luego de la instalación de los paquetes de FreeRADIUS se tiene que realizar la configuración de la base de datos que va a usar FreeRADIUS para obtener los usuarios. Cabe resaltar que primeramente los usuarios
los va a obtener mediante el web
services del Sistema de Gestión Académica de la Universidad Nacional de Loja, pero se van a almacenar en una base de datos local, para asegurar conectividad así el web services no esté disponible. Se accede a la consola de MySQL, se digita la contraseña y se crea la base de datos que va a utilizar FreeRADIUS en este caso se llama radius.
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
12
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
$ mysql –u root –p Enter password: Welcome to the MySql monitor. Commands end with ; or \g. mysql> CREATE DATABASE radius;
Luego se debe de crear un usuario para que pueda acceder a la base de datos con todos los privilegios. mysql> GRANT ALL ON radius.*TO radius@localhost IDENTIFIED BY ”clavesegura”;
En este caso se asume que la Base de datos se llama "radius" y se creó un usuario también "radius" con la contraseña "clavesegura". Finalmente se debe de salir del promp de MySQL. mysql> exit;
Las tablas que usa FreeRADIUS se encuentran almacenadas dentro
del
directorio /etc/freeradius/sql/mysql/. /etc/freeradius/sql/mysql/.
Para
ello
primeramente se tiene que loguear como superusuario (root) para acceder a ese directorio. radius@radius:~# radius@radius:~# sudo su [sudo] password for radius: root@radius:/home/radius# root@radius:/home/radius# cd /etc/freeradius/sql/mysql/
Se debe ejecutar los scripts sql que se encuentran en ese directorio. root@radius:/etc/freeradius/sql/ root@radius:/etc /freeradius/sql/mysql# mysql# mysql –u root –p radius < ippool.sql Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
13
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
root@radius:/etc/freeradius/sql/ root@radius:/etc /freeradius/sql/mysql# mysql# mysql –u root –p radius < nas.sql root@radius:/etc/freeradius/sql/ root@radius:/etc /freeradius/sql/mysql# mysql# mysql –u root –p radius < schema.sql
8.1.3.Configuración de la conexión con la base de datos Aquí se configurará los parámetros para se conecte FreeRADIUS con la base de datos ya creada anteriormente para lo cual se realiza lo siguiente: Se edita el archivo /etc/freeradius/sql.conf /etc/freeradius/sql.conf que es un archivo donde se encuentran todas las configuraciones de conexión de FreeRADIUS con MySQL. root@radius:#~ vi /etc/freeradius/ /etc/freeradius/sql.conf sql.conf
En el archivo se debe modificar las líneas correspondientes a la conexión con el server de MySQ como lo son: Server: “localhost” “localhost” Login: “radius” “radius” que es el usuario que se creó anteriormente .
Password: “clavesegura” que es la clave que corresponde a ese usuario. sql { database = “mysql” driver = “rlm_sql_${database}” “rlm_sql_${database}” server = “localhost” login = “radius” password = “clavesegura”
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
14
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
Además dentro del mismo archivo se descomenta la variable:
readclients = yes. El descomentar esta línea permite que se lea los clientes radius desde la base de datos. readclients = yes
8.1.4.Configuración de la Autorización y Contabilidad Se debe editar el Archivo: /etc/freeradius/sites-avail /etc/freeradius/sites-available/default able/default y agregar la variable "sql" en las secciones de: authorize{}, accounting{}, session{}, post-auth{}. post-auth{}. También se agrega la variable “perl” antes de “sql” en authorize. Esto permitirá que primero se
realice la conexión con el web services del S.G.A. y luego realizar la autorización y la contabilidad desde MySQL. root@radius:#~ vi /etc/freeradius/sites/etc/freeradius/sitesavailable/default authorize { preprocess chap mschap digest suffix eap { ok = return } files perl sql expiration logintime pap } accounting { detail unix Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
15
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
radutmp sql exec attr_filter.accounting_response }
Luego se edita el archivo de configuración principal de FreeRADIUS, y se procede a descomentar la línea $INCLUDE sql.conf root@radius:#~ vi /etc/freeradius/radiusd.conf /etc/freeradius/radiusd.conf # Include another file that has the SQL-related configuration. # This is another file only because it tends to be big. # $INCLUDE slq.conf
8.1.5.Conexión con el web w eb services del S.G.A Para la conexión de FreeRADIUS con el web services del S.G.A. es necesario desarrollar un script en el lenguaje Perl, en el cual se deben enviar como parámetros el usuario y la contraseña obtenidos de la solicitud (request) y agregarlos a la base de datos local. El código del scipt Perl se encuentran en el CD ajunto a la documentación. El script debe estar ubicado dentro del directorio principal de FreeRADIUS /etc/freeradius/ y se debe editar el archivo
/etc/freeradius/modules/perl /etc/freeradius/modules/perl root@radius:#~ vim /etc/freeradius/modules/perl /etc/freeradius/modules/perl
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
16
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
Y en la línea module especificar la ruta del archivo. Perl { module = ${confdir}/example.pl ${confdir}/example.pl
8.1.6.Configuración del cliente localhost Es necesario agregar un cliente en FreeRADIUS para que el portal cautivo se comunique con el servidor RADIUS, ya que en este caso tanto FreeRADIUS como el portal cautivo estarán instalados en el mismo equipo el cliente va a ser localhost en caso de que estén en distintos equipos ahí se debería de configurar la dirección IP del portal cautivo. Para mayor seguridad, se requiere que se coloque una contraseña para el cliente localhost puesto que ese cliente va a ser el portal cautivo que va a estar en el mismo servidor. Para ello se modifica el archivo clients.conf root@radius:#~ vi /etc/freeradius/clients.conf /etc/freeradius/clients.conf
Se edita la contraseña que se encuentra en el parámetro secret dentro del cliente localhost. client localhost { ipaddr = 127.0.0.1 secret = clavesegura2
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
17
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
8.1.7.Arrancando FreeRADIUS Es importante saber que cuando se instaló FreeRADIUS se ejecutó el servicio es por eso que se debe de parar para poder iniciarlo nuevamente con el sript de perl. root@radius:#~ /etc/init.d/freeradius stop
La razón por la que se para el servicio y no se lo reinicia es porque para arrancar correctamente es necesario que antes del comando de iniciar el servicio se coloque un comando, el cual hace que las librerías que utiliza el script perl se carguen antes de la ejecución de freeRadius y se pueda levantar el servicio y ejecutar el script. Para ver que versión de perl que esta en el equipo se ejecuta el siguiente comando. root@radius:#~ perl -V | grep libperl
Cuando se conoce la versión de perl en este caso libperl.so.5.14.2 se puede ejecutar ejecutar el
comando para iniciar, reiniciar o detener
FreeRADIUS. root@radius:#~ LD_PRELOAD=/usr/lib/libperl.so.5.14.2 /etc/init.d/freeradius /etc/init.d/freeradius restart
Para comprobar la conexión y funcionalidad tanto del script perl como la configuración de FreeRADIUS existe el comando radtest el
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
18
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
cual permite simular una solicitud de acceso RADIUS y comprueba tanto conectividad como parámetros de envío. root@radius:#~ radtest usuarioSGA claveSGA 127.0.0.1 1812 clavesegura2
Donde:
radtest: nombre del comando
usuarioSGA: usuario almacenado en el Sistema de Gestión Académico
claveSGA: clave del usuario almacenado en el Sistema de Gestión Académico
127.0.0.1: cliente de FreeRADIUS
1812: Puerto por donde escucha la solicitud FreeRADIUS
clavesegura2: clave del cliente de FreeRADIUS
Una vez enviada la solicitud de acceso, FreeRADIUS se encarga de receptar esta solicitud y dar una respuesta. Sending Access-Request of id 42 to 127.0.0.1 port 1812 User-Name User-Name = “usuarioSGA” User-Password User-Password = “claveSGA” NAS-IP-Address = x.x.x.x NAS-Port = 1812 rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=42, length=20
En este caso, al ser correctas las credenciales la solicitud de acceso receptada se acepta al usuario. Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
19
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
8.2. Coovachilli A continuación de detalla cuidadosamente el procedimiento de la instalación y configuración de CoovaChilli (portal cautivo) lo que permitirá su adecuado funcionamiento.
8.2.1.Instalación Para configurar Coovachilli Coovachilli lo primero primero que hay que realizar es descargar la última versión desde la página oficial de Coovachilli. root@radius:#~ wget hhtp://ap.coova.org/chilli/coovachilli_1.2.6_i386.deb
Luego se procede a instalar del paquete descargado. root@radius:#~ dpkg –i coova-chilli_1.2.6_i386.deb coova-chilli_1.2.6_i386.deb
8.2.2.Configuración del archivo principal de CoovaChilli Dentro de los archivos de CoovaChilli viene un archivo de ejemplo donde están todas las configuraciones globales del portal cautivo. Se procede a copiar el archivo de muestra y renombrarlo como config. root@radius:#~ cp /etc/chilli/defa /etc/chilli/defaults ults /etc/chilli/config
Se edita el archivo anteriormente creado en donde se encuentran todas las directivas, las cuales cuales se modificaran de acuerdo a las necesidades. Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
20
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
root@radius:#~ vi /etc/chilli/conf /etc/chilli/config ig
En este caso se seleccionó la red 10.1.0.0 /24 para la interfaz eth1 que es donde se va a recibir las solicitudes de acceso y la interfaz eth0 es donde va tener la conexión con la red de la universidad y el internet. A continuación se muestra los los parámetros configurados. HS_WANIF=eth0 #WAN Interface toward the Internet HS_LANIF=eth1 #Subscriber Interface for client devices HS_NETWORK=10.1.0.0 HS_NETWORK=10.1.0.0 #HotSpot Network (must include HS_UAMLISTEN) HS_NETMASK=255.255.255.0 HS_NETMASK=255.255.255.0 #HotSpot Network Network Netmask HS_UAMLISTEN=10.1.0.1 HS_UAMLISTEN=10.1.0.1 #HotSpot IP Address (on subscriber network) HS_UAMPORT=3990 #HotSpot UAM Port (on subscriber network) HS_DNS1=x.x.x.x HS_DNS2=10.1.0.1 ### # HotSpot settings for simple Captive Portal # HS_NASID=nas01 HS_RADIUS=127.0.0.1 HS_RADIUS=127.0.0.1 #o localhost HS_RADIUS2=127.0.0.1 HS_UAMALLOW=10.1.0.1/24 HS_RADSECRET=clavesegura2 HS_RADSECRET=clavesegura2 # Set to be your RADIUS shared secret HS_UAMSECRET=clavesegura3 HS_UAMSECRET=cla vesegura3 # Set to be your UAM secret HS_UAMALIASNAME=chilli HS_UAMFORMAT=https://\$HS_UAMLISTEN/cgibin/hotspotlogin.php HS_DEFSESSIONTIMEOUT=7200 Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
21
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
HS_DEFIDLETIMEOUT=1800
Donde: HS_LANIF: Interfaz de red donde se va a escuchar las peticiones DHCP y donde se conecta los puntos de acceso en este caso es la eth1.
HS_NETWORK: Dirección de red del portal cautivo. HS_NETMASK: Dirección de mascara de la red del portal cautivo. HS_UAMPORT: Puerto donde escucha CoovaChilli. HS_DNS1: Dirección IP del DNS (Sistema de Nombres de Dominio).
HS_RADIUS: Aquí se define la dirección IP del servidor RADIUS en este caso como el servidor esta en el mismo equipo que el portal cautivo se define la IP del localhost.
HS_RADIUS2: Dirección de IP del servidor RADIUS. HS_RADSECRET: Clave secreta del cliente localhost de FreeRADIUS que se agregó anteriormente en el archivo clients.conf.
HS_UAMSECRET: clave segura del portal cautivo. HS_UAMFORMAT: Ruta donde se ubica el archivo que se muestra al usuario al momento de conectarse al servidor RADIUS, en este caso se llama hotspotlogin.php el cual se lo describe más adelante.
HS_DEFSESSIONTIMEOUT: tiempo que va a durar las sesiones de los usuarios logeados definido en segundos. Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
22
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
HS_DEFIDLETIMEOUT: tiempo de inactividad para desconectar a un usuario, también esta definido en segundos.
8.2.3.Configuración del portal cautivo Se crea el directorio donde van a estar almacenados archivos propios del portal cautivo. root@radius:#~ mkdir –p /var/www/hotspot /var/www/hotspot/uam /uam
Luego se debe de copiar los archivos necesarios para el funcionamiento de Coovachilli al directorio anteriormente creado. root@radius:#~ cp /etc/chilli/www/* /etc/chilli/www/* /var/www/hotspot
Se accede accede al directorio en donde donde
se va va a descargar archivos
adicionales para el correcto funcionamiento del portal cautivo. root@radius:#~ cd /var/www/hotspot /var/www/hotspot/uam /uam
Y se procede a descargarlas root@radius:#~ wget http://ap.coova.org/uam/ http://ap.coova.org/uam/
Se
hace
un
cambio
dentro
del
archivo
/var/www/hotspot/uam/index.html /var/www/hotspot/uam/index.html ubicando la dirección IP del portal cautivo. root@radius:#~ sed –i ‘s/coova.org\/js\/chilli.js/10.1.0.1\/uam\/chilli. ‘s/coova.org\/js\/chilli.js/10.1.0.1\/uam\/chilli. js/g’ /var/www/hotspot /var/www/hotspot/uam/index.html /uam/index.html
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
23
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
Se edita el archivo /etc/default/chilli /etc/default/chilli y se modifica la ruta del archivo de configuración. root@radius:#~ vi /etc/default/chi /etc/default/chilli lli
Para que inicie coovachilli automáticamente se debe poner 1 en
START_CHILLI y además para no tener problemas con el usuario que va a manipular el Coovachilli se coloca root en HS_USER START_CHILLI=1 CONFFILE=”/etc/chilli.conf” HS_USER=”root”
8.2.4.Archivo hotspotlogin.php Para la parte visible al usuario donde ingresara los credenciales (Cedula de identidad y clave del SGA) se procedió a modificar un archivo proporcionado por chillispot.org que originalmente esta hecho en perl el cual se lo convirtió a un archivo php. Este archivo se encuentra ubicado en el directorio del servidor web apache2 en /var/www/hotspot/cgi-bin/. tambien se adecuó de acuerdo a las sugerencias de los administradores del departamento de redes de la Unidad de Redes y Telecomunicaciones. A continuación se muestra el archivo hotspotlogin.php $uamsecret debido a que aquí se pone la clave que se configuró en el archivo principal de CoovaChilli en HS_UAMSECRET, también se fijó en la variable
$redirurl = 'http://www.unl.edu.ec'; ya que esto
permitirá que después de logearse el e l portal cautivo lo redireccione a la pagina de la universidad. Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
24
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
1.0.1/1.png">
Si experimenta errores en conexion contactarse
por favor al (07) 2547252 ext. 127 o envie un correo a
[email protected] ">[email protected] .e c '; # attempt to login if ($_GET['login'] == login) { $hexchal = pack ("H32", $_GET['chal']); if (isset ($uamsecret)) { $newchal = pack ("H*", md5($hexchal . $uamsecret)); } else { $newchal = $hexchal; } Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
25
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
$response = md5("\0" . $_GET['Password'] . $newchal); $newpwd = pack("a32", $_GET['Password']); $_GET['Password']); $pappassword = implode ("", unpack("H32", ($newpwd ^ $newchal))); $titel = 'Inicio de Sesion red UNL'; $headline = 'Inicio de Sesion red UNL'; $bodytext = ''; print_header(); if ((isset ($uamsecret)) && isset($userpassword)) isset($userpassword)) { print '<meta http-equiv="refresh" http-equiv="refresh" content="0;url=http://' content="0;url=http://' . $_GET['uamip'] . ':' . $_GET['uamport'] $_GET['uamport'] . '/logon?username=' '/logon?username=' . $_GET['UserName'] $_GET['UserName'] . '&password=' . $pappassword . '">'; } else { print '<meta http-equiv="refresh" http-equiv="refresh" content="0;url=http://' content="0;url=http://' . $_GET['uamip'] . ':' . $_GET['uamport'] $_GET['uamport'] . '/logon?username=' '/logon?username=' . $_GET['UserName'] $_GET['UserName'] . '&response=' . $response . '&userurl=' . $_GET['userurl'] . '">'; } print_body(); print_footer(); } # 1: Login successful if ($_GET['res'] == success) { $result = 1; $titel = 'Registrado en red UNL'; $headline = 'Registrado en red UNL'; $bodytext = 'Bienvenido'; $body_onload = 'onLoad="javascript:popUp(' 'onLoad="javascript:popUp(' . $loginpath . '?res=popup&uamip=' . $_GET['uamip'] Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
26
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
. '&uamport=' . $_GET['uamport'] $_GET['uamport'] . '&timeleft=' $_GET['timeleft'] $_GET['timeleft'] . ')"';
.
print_header(); print_body(); if ($reply) { print '
' . $reply . ''; } print '
Cerrar '/logoff">Cerrar Sesion'; Sesion'; print_footer(); } # 2: Login failed if ($_GET['res'] == failed) { $result = 2; $titel = 'Registro Fallido'; $headline = 'Registro Fallido'; $bodytext = 'Disculpe, intente nuevamente
'; print_header(); print_body(); if ($_GET['reply']) { print '
' . $_GET['reply'] . ''; } print_login_form(); print_footer(); } # 3: Logged out if ($_GET['res'] == logoff) {
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
27
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
$result = 3; $titel = 'Desconectado de red UNL'; $headline = 'Desconectado de red UNL'; $bodytext = '
Login'; print_header(); print_body(); print_footer(); } # 4: Tried to login while already logged in if ($_GET['res'] == already) { $result = 4; $titel = 'Sesion ya iniciada en red UNL'; $headline = 'Sesion ya iniciada en red UNL'; $bodytext = '
Logout'; print_header(); print_body(); print_footer(); } # 5: Not logged in yet if ($_GET['res'] == notyet) { $result = 5; $titel = 'Bienvenido a la red UNL'; $headline = 'Bienvenido a la red UNL'; $bodytext = 'Usted esta intentando acceder a la red de la UNL
Por favor use sus datos del S.G.A.'; print_header(); print_body(); print_login_form(); print_footer(); } Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
28
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
#11: Popup1 if ($_GET['res'] == popup1) { $result = 11; $titel = 'Ingresando a red UNL'; $headline = 'Ingresando a red UNL'; $bodytext = 'por favor espere...'; print_header(); print_body(); print_footer(); } #12: Popup2 if ($_GET['res'] == popup2) { $result = 12; $titel = 'Sesion iniciada en red UNL'; $headline = 'Sesion iniciada en red UNL'; $bodytext = '
Cerrar Sesion'; print_header(); print_body(); print_footer(); } #13: Popup3 if ($_GET['res'] == popup3) { $result = 13; $titel = 'Desconectado de red UNL'; $headline = 'Desconectado de red UNL'; $bodytext = '
Iniciar Sesion'; print_header(); print_body(); print_footer(); } # 0: It was not a form request # Send out an error message if ($_GET['res'] == "") { Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
29
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
$result = 0; $titel = 'Atencion. No debe estar aqui'; $headline = 'Inicio de Sesion Fallido'; $bodytext = 'Salga de aqui inmediatamente. El logueo debe realizarse mediante el demonio'; print_header(); print_body(); print_footer(); } # functions function print_header(){ global $titel, $loginpath; $uamip = $_GET['uamip']; $uamport = $_GET['uamport'] $_GET['uamport']; ; print "
$titel <meta http-equiv=\"Cac http-equiv=\"Cache-control\" he-control\" content=\"no-cache\"> <meta http-equiv=\"Pragma\" content=\"nocache\"> <meta http-equiv=\"Con http-equiv=\"Content-Type\" tent-Type\" content=\"text/html; charset=ISO-88591\"> <SCRIPT LANGUAGE=\"JavaS LANGUAGE=\"JavaScript\"> cript\"> var blur = 0; var starttime = new Date(); var startclock = starttime.getTim starttime.getTime(); e(); var mytimeleft = 0; function doTime() { window.setTimeout( window.setTimeout( \"doTime()\", 1000 ); t = new Date();
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
30
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
time = Math.round((t.getTime() starttime.getTime())/1000); if (mytimeleft) { time = mytimeleft - time; if (time <= 0) { window.location = \"$loginpath?res=popup3&uamip=$ \"$loginpath?res=popup3&uamip=$uamip&uamport=$ua uamip&uamport=$uamp mp ort\"; } } if (time < 0) time = 0; hours = (time - (time % 3600)) / 3600; time = time - (hours * 3600); mins = (time - (time % 60)) / 60; secs = time - (mins * 60); if (hours < 10) hours = \"0\" + hours; if (mins < 10) mins = \"0\" + mins; if (secs < 10) secs = \"0\" + secs; title = \"Online time: \" + hours + \":\" + mins + \":\" + secs; if (mytimeleft) { title = \"Remaining time: \" + hours + \":\" + mins + \":\" + secs; } if(document.all if(document.all || document.getElementById){ document.getElementById){ document.title = title; } else { self.status = title; } } function popUp(URL) { if (self.name != \"chillispot_popup\") \"chillispot_popup\") { chillispot_popup chillispot_popup = window.open(URL, window.open(URL, 'chillispot_popup', 'toolbar=0,scrollbars=0,locatio 'toolbar=0,scrollbars=0,location=0,statusbar=0,m n=0,statusbar=0,men en ubar=0,resizable=1,width=500,height=375'); } } function doOnLoad(result, URL, userurl, redirurl, timeleft) { Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
31
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
if (timeleft) { mytimeleft = timeleft; } if ((result == 1) && (self.name == \"chillispot_popup\")) \"chillispot_popup\")) { doTime(); } if ((result == 1) && (self.name != \"chillispot_popup\")) \"chillispot_popup\")) { chillispot_popup chillispot_popup = window.open(URL, window.open(URL, 'chillispot_popup', 'toolbar=0,scrollbars=0,locatio 'toolbar=0,scrollbars=0,location=0,statusbar=0,m n=0,statusbar=0,men en ubar=0,resizable=1,width=500,height=375'); } if ((result == 2) || result == 5) { document.form1.UserName.focus() } if ((result == 2) && (self.name != \"chillispot_popup\")) \"chillispot_popup\")) { chillispot_popup chillispot_popup = window.open('', 'chillispot_popup', 'toolbar=0,scrollbars=0,locatio 'toolbar=0,scrollbars=0,location=0,statusbar=0,m n=0,statusbar=0,men en ubar=0,resizable=1,width=400,height=200'); chillispot_popup.close(); } if ((result == 12) && (self.name == \"chillispot_popup\")) \"chillispot_popup\")) { doTime(); if (redirurl) { opener.location = redirurl; } else if (opener.home) { opener.home(); } else { opener.location = \"about:home\"; } self.focus(); blur = 0; } if ((result == 13) && (self.name == \"chillispot_popup\")) \"chillispot_popup\")) { Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
32
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
self.focus(); blur = 1; } } function doOnBlur(result) { if ((result == 12) && (self.name == \"chillispot_popup\")) \"chillispot_popup\")) { if (blur == 0) { blur = 1; self.focus(); } } } "; } function print_body(){ global $headline, $bodytext, $body_onload, $result, $loginpath; $uamip = $_GET['uamip']; $uamport = $_GET['uamport'] $_GET['uamport']; ; $userurl = $_GET['userurl'] $_GET['userurl']; ; $redirurl = 'http://www.unl.edu.ec'; 'http://www.unl.edu.ec'; $userurldecode = $_GET['userurl']; $_GET['userurl']; $redirurldecode = $_GET['redirurl'] $_GET['redirurl']; ; $timeleft = $_GET['timeleft']; $_GET['timeleft']; print "
$headline
$bodytext"; } function print_login_form( print_login_form(){ ){ global $loginpath; print '
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
33
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
'; } function print_footer(){ global $footer_text; print $footer_text . ''; exit(0); } exit(0); ?>
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
34
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
8.2.5.Creación del archivo ipup.sh En el paquete CoovaChilli, existen archivos con reglas tipo iptables ya creadas. Se usó estas mismas reglas y se añadió más reglas acordes con las políticas de seguridad de la Unidad de Telecomunicaciones e Información. Existen dos scripts de shell que contienen las reglas de iptables que maneja CoovaChilli los que son up.sh y down.sh, estos scripts se ejecutan al instante en que se levanta el proceso de CoovaChilli. Para agregar mas reglas de iptables se debe a crear el scripts de Shell llamado ipup.sh donde se establecieron los siguientes aspectos:
Conexión ssh
Para permitir administrar remotamente el servidor mediante SSH desde la interfaz eth0, ya que por defecto está inhabilitado se procedió a abrir el puerto que se usa dentro de la unidad de telecomunicaciones.
Resolución de Nombres (DNS)
Se procedió a abrir el puerto 53 udp donde el DNS DNS trabaja y ahí se especifico la dirección IP del DNS de la universidad.
Peticiones http
Para que se permita la navegación se procedió a abrir el puerto 80 tcp.
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
35
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
Conexión segura
Para que el servidor web escuche por el puerto de conexión segura se procedio a abrir el puerto 443 tcp.
Puerto por el que escucha CoovaChilli
Para que CoovaChilli escuche las peticiones de los usuarios se procedió a abrir el puerto 3990 tcp.
NAT (Traducciones de direcciones de red)
El NAT permite la traducciones de direcciones ip en este caso se da con la Red 10.1.0.0/24, de modo que todo el trafico generado en esta red pueda salir por la IP x.x.x.x/x, ya que esta ip esta configura en la interfaz eth0 que es el medio por el cual se da acceso a internet. A continuación se detalla las las reglas que se aplicó en el archivo. archivo. #! /bin/sh echo "Iniciando Script | aplicancdo reglas" #Interfaces eth0: x.x.x.x IPTABLES="/sbin/iptables" IPETH0="eth0" IPETH1="eth1" DNS=x.x.x.x INTRANET=x.x.x.x/x HOST=x.x.x.x CERO=0.0.0.0/0
eth1: 10.1.0.1
#Limpiando todo filter - nat $IPTABLES -F $IPTABLES -X $IPTABLES -Z $IPTABLES -t nat -F Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
36
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
$IPTABLES -t nat -X $IPTABLES -t nat -Z #estableciendo politicas por default DROP #$IPTABLES -P INPUT DROP #$IPTABLES -P OUTPUT DROP #$IPTABLES -P FORWARD DROP ##Estableciendo reglas en las cadenas INPUT y OUTPUT ##aceptar todas las acciones en localhost 127.0.0.1 $IPTABLES -A INPUT -i lo -j ACCEPT $IPTABLES -A OUTPUT -o lo -j ACCEPT #acciones sobre ICMP todos "type" 0-8 $IPTABLES -A INPUT -i eth0 -p icmp --icmp-type 8 s $INTRANET -d $HOST -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p icmp --icmp-type 0 -s $HOST -d $INTRANET -j ACCEPT $IPTABLES -A INPUT -i eth0 -p icmp --icmp-type 0 s $CERO -d $HOST -j ACCEPT $IPTABLES -A OUTPUT -o eth0 -p icmp --icmp-type 8 -s $HOST -d $CERO -j ACCEPT #abriendo puerto 3779 para desconectar usuarios $IPTABLES -A INPUT -p udp -m udp --dport 3779 -j ACCEPT #DNS $IPTABLES -A INPUT -s $DNS -d x.x.x.x -i eth0 -p udp --sport 53 --dport 1024: -j ACCEPT $IPTABLES -A OUTPUT -s x.x.x.x -d $DNS -o eth0 -p udp --sport 1024: --dport 53 -j ACCEPT #abriendo el puerto 80 $IPTABLES -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT #abriendo puerto 443 Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
37
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
$IPTABLES -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT $IPTABLES -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT # puerto 3990 $IPTABLES -A INPUT -p tcp -m tcp --dport 3990 -syn -j ACCEPT #nat $IPTABLES -t nat -A POSTROUTING -o $IPETH0 -j MASQUERADE echo final
8.2.6.Generación de certificados SSL apache2 Como se va a usar conexiones SSL para mayor seguridad. Se tiene que instalar el módulo SSL. root@radius:~# apt-get install apache2 ssl-cert
Se debe crear un directorio llamado ssl dentro de /etc/apache2 root@radius:~# mkdir /etc/apache2/ssl
Es necesario saber el nombre del equipo esto va a servir al generar el certificado. Se lo obtiene con el e l siguiente comando. root@radius:~# hostname -f
A continuación, habrá que hacer un certificado SSL que será utilizado por el host virtual que se detalla más adelante. El sistema preguntará por una serie de parámetros (Localidad, Provincia, etc.), siendo el más importante el nombre del host. En este caso será “10.1.0.1”. De esta forma se consigue que el nombre del host y el
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
38
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
del certificado coincidan, ya que los navegadores dan avisos de posibilidad de intrusión en caso de que no coincidan: root@radius:~# make-ssl-cert /usr/share/ssl-
cert/ssleay.cnf /etc/apache2/ssl/apache.pem /etc/apache2/ssl/apache.pem
Aparecerá
una ventana donde se debe escribir el nombre del
equipo que ya anteriormente se obtuvo con el comando hostname – f. En este caso es radius.unl.edu.ec.
Figura 3. Ventana de configuración de certificado SSL Para activar el módulo ssl se debe ejecutar el siguiente comando. root@radius:~# a2enmod ssl
8.2.7.Creación de host virtual Para la configuración correcta del virtual host es necesario tener en cuenta los siguientes aspectos.
NameVirtualHost: se indica la dirección IP de la tarjeta de red y el puerto.
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
39
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
DocumentRoot: Directorio principal que contiene la estructura de directorios visible desde la Web Esta directiva especifica el directorio desde el cuál apache2 servirá los ficheros.
ServerName: La directiva ServerName especifica el nombre de host y el puerto que usa el servidor para identificarse.
Directory index: Engloba a un grupo de directivas que se aplicarán solamente al directorio del sistema de ficheros especificado y a sus subdirectorios. Aquí es donde se indica el nombre de la página principal del sitio.
ServerAdmin: Dirección de email que el servidor incluye en los mensajes de error que se envían al cliente.
ErrorLog: Ubicación del fichero en el que se almacenan los mensajes de error.
CustomLog: Ubicación de donde esta el archivo en el cual se registran los accesos al sitio.
SSLCertificateFile: Aquí se ubica la ruta del certificado ssl. Se procede a crear un archivo llamado hotspot hotspot donde se va a agregar el host virtual dentro del directorio /etc/apache2/sitesavailable. root@radius:~# vim /etc/apache2/sites/etc/apache2/sites-
available/hotspot
A continuación se muestra la configuración del virtual host . Aquí se agrega la ruta donde se creó el certificado certificado ssl.
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
40
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
ServerAdmin webmaster@localho webmaster@localhost st DocumentRoot /var/www/hotspot ServerName radius.unl.edu.ec radius.unl.edu.ec Options FollowSymLinks AllowOverride None /var/www/hotspot/> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all Alias "/dialupadmin/" "/usr/share/freeradiusdialupadmin/htdocs/" Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all ScriptAlias /cgi-bin/ /var/www/hotspot /var/www/hotspot/cgi/cgibin/ Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
41
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
"/var/www/hotspot/cgi-bin/"> AllowOverride None Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch Order allow,deny Allow from all ErrorLog ${APACHE_LOG_DIR}/error.log ${APACHE_LOG_DIR}/error.log LogLevel warn CustomLog ${APACHE_LOG_DIR} ${APACHE_LOG_DIR}/ssl_access.log /ssl_access.log combined Alias /doc/ "/usr/share/doc/" "/usr/share/doc/"> Options Indexes MultiViews FollowSymLinks AllowOverride None Order deny,allow Deny from all Allow from 127.0.0.0/255.0. 127.0.0.0/255.0.0.0 0.0 ::1/128 SSLEngine on SSLCertificateFile /etc/apache2/ssl/apache.pem LogLevel warn CustomLog ${APACHE_LOG_DIR} ${APACHE_LOG_DIR}/ssl_access.log /ssl_access.log combined Alias /doc/ "/usr/share/doc/" Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
42
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
Se ejecuta los siguientes comandos para finalizar la configuración de apache2 root@radius:~# root@radius:~# root@radius:~#
a2ensite hotspot apache2ctl -t
/etc/init.d/apache2 /etc/init.d/apache2 reload
Finalmente se reinicia todos los servicios (FreeRADIUS y CoovaChilli) y se tendrá al servidor RADIUS funcionando con el portal cautivo. Es importante tener en cuenta que al reiniciar el servicio de FreeRADIUS debe de ser con las instrucciones ya anteriormente mencionadas.
8.3. daloRADIUS A continuación se detalla el proceso de instalación y configuración del daloRADIUS, daloRADIUS, al ser una herramienta de administración administración web, web, el uso correcto se detalla en el manual de usuario.
8.3.1.Instalación El siguiente paso es descargar daloRADIUS desde su Web . root@radius:~#wget http://sourceforge.net/projects http://sourceforge.net/projects/daloradius/files /daloradius/files/d /d aloradius/daloradius0.9-9/dalora aloradius/daloradius0.9-9/daloradius-0.9-9.tar.gz dius-0.9-9.tar.gz
Una vez descargado el paquete de daloRADIUS se procede a descomprimir la aplicación y se debe crear la base de datos con las las tablas pertinentes. Como root se ejecuta los siguientes comandos: Se descomprime el paquete descargado
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
43
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
root@radius:~# tar xvzf daloradius-0.9-9 daloradius-0.9-9.tar.gz .tar.gz
Se copia la carpeta daloradius-0.9-9 al directorio de /var/www/ root@radius:~# cp daloradius-0.9-9 daloradius-0.9-9
/var/www/daloradius –R
Se da permiso al apache sobre el directorio del daloRADIUS que esta en el directorio /var/www/daloradius www-data:www-data a root@radius:~# chown www-data:www-dat /var/www/daloradius/ /var/www/dalorad ius/ -R
Se cambian los permisos del archivo daloradius.conf.php root@radius:~# chmod 644
/var/www/daloradius/library/dal /var/www/daloradius/library/daloradius.conf.php oradius.conf.php
8.3.2.Configuración Para que daloRADIUS funcione correctamente, se requiere agregar algunas tablas más a la base de datos de MySQL. Estas tablas ya están incluidas en el directorio de daloRADIUS, por lo que solo es necesario ejecutar el siguiente comando: root@radius:~# mysql -u root -p radius <
/var/www/daloradius/contrib/db/fr2-mysqldaloradius-and-freeradius.sql
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
44
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
Seguidamente se edita el archivo daloradius.conf.php para poner los valores de la conexión al server de la base de datos: root@radius:~# vi /var/www/dalorad /var/www/daloradius/ ius/
daloradius.conf.php $configValues[‘CONFIG_DB_ENGINE $configValues[‘CONFIG_DB_ENGINE’] ’] = ‘mysql’; $configValues[‘CONFIG_DB_HOST’] $configValues[‘CONFIG_DB_HOST’]
= ‘127.0.0.1’;
$configValues[‘CONFIG_DB_USER’] $configValues[‘CONFIG_DB_USER’] = ‘radius’; $configValues[‘CONFIG_DB_PASS’] $configValues[‘CONFIG_DB_PASS’] = ‘clavesegura’; $configValues[‘CONFIG_DB_NAME’] $configValues[‘CONFIG_DB_NAME’] = ‘radius’;
Una vez esto, se reinicia el apache: root@radius:~# /etc/init.d/apac /etc/init.d/apache2 he2 restart
Para poder visualizar la interfaz de daloRADIUS se debe ingresar a un navegador de prefencia Mozilla Firefox y se coloca la dirección IP del servidor o el dominio: http://172.16.32.20/daloradius o http://radius.unl.edu.ec/daloradius
Figura 4. Dirección de Ingreso con IP
Figura 5. Dirección de Ingreso con dominio y en la sección de password se ingresa la contraseña: radius
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
45
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
Figura 6. Ventana de Logeo 8.4. Errores Comunes A continuación se detallan algunos de los errores más comunes y se presenta la solución correspondiente.
8.4.1. Error al crear el directorio /var/log/freeradius/radacct Uno de los errores que aparece al leer los log de FreeRADIUS en daloRADIUS es el siguiente: Failed to create directory /var/log/freeradius/radacct: /var/log/freeradius/radacct: Permission denied
Para corregir el error se debe seguir los siguientes pasos: root@radius:~# mkdir /var/log/freeradius/radacct/
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
46
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
root@radius:~# touch
/var/log/freeradius/radacct/sql-relayOpen
8.4.2.Error de reinicio de servicio FreeRADIUS Es importante recordar que el reinicio del servicio de freeradius no se lo puede ejecutar con los comandos comunes sino que se debe ejecutar un comando especial como lo es: LD_PRELOAD=/usr/lib/libperl.so.5.14.2 /etc/init.d/freeradius /etc/init.d/freeradius restart /etc/init.d/chilli /etc/init.d/chilli restart
Es por esto que cada vez que se reinicie el equipo se va a dar el siguiente error por el scrip que se agregó de perl.
Figura 7. Error al levantar el servicio FreeRADIUS Este error se lo solucionó agregando unas líneas en el archivo
/etc/rc.local que se ejecuta al reiniciar el equipo. A continuación se muestra los comandos agregados: Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
47
FreeRADIUS, CoovaChilli CoovaChilli y daloRADIUS daloRADIUS
Figura 8. Archivo rc.local
8.4.3.Error al leer los logs de daloRADIUS Este error aparece al momento de visualizar los logs de daloradius mediante su interfaz gráfica debido a que se guardan dentro de
/tmp/daloradius.log /tmp/daloradius.log y como es un archivo temporal se lo debe de crear dar permisos cada vez que se reinicie el equipo. Por esto se procedió a agregar en /etc/rc.local los siguientes comandos. touch /tmp/daloradius. /tmp/daloradius.log log chown www-data:www-data /tmp/daloradius.log
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
48