Freeradius- Coovachilli Y Daloradius 3g3s64
This document was ed by and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this report form. Report 445h4w
Overview 1s532p
& View Freeradius- Coovachilli Y Daloradius as PDF for free.
More details 6h715l
- Words: 6,564
- Pages: 48
Área de la Energía, las Industrias y los Recursos Naturales No Renovables
“TESIS PREVIA A LA OBTENCIÓN DEL TÍTULO EN INGENIERO EN SISTEMAS”
AUTORES: Fabricio Alejandro Flores Gallardo Lisset Alexandra Neyra Romero DIRECTOR: Ing. Juan Manuel Galindo Vera Loja-Ecuador 2012
FreeRADIUS, CoovaChilli y daloRADIUS
MANUAL TÉCNICO 1. ÍNDICE GENERAL 1. ÍNDICE GENERAL ........................................................................................2 2. INDICE DE FIGURAS...................................................................................4 3. INTRODUCCIÓN...........................................................................................5 4. ¿A QUIÉN VA DIRIGIDO EL MANUAL? ...................................................5 5. CONSIDERACIONES PREVIAS ................................................................5 6. REQUERIMIENTOS DEL SISTEMA..........................................................5 7. CONFIGURACIONES PREVIAS ................................................................6 7.1. Instalación de paquetes ............................................................................6 7.2. Configuración de interfaces de red .........................................................9 7.3. Configuración del ip_forward .................................................................10 7.4. Activación del modo tun ..........................................................................11 8. CONFIGURACIÓN DEL SERVIDOR .......................................................11 8.1. FreeRADIUS .............................................................................................12 8.1.1. Instalación de paquetes de FreeRADIUS ........................................12 8.1.2. Configuración de la base de datos ....................................................12 8.1.3. Configuración de la conexión con la base de datos .......................14 8.1.4. Configuración de la Autorización y Contabilidad .............................15 8.1.5. Conexión con el web services del S.G.A..........................................16 8.1.6. Configuración del cliente localhost ....................................................17 8.1.7. Arrancando FreeRADIUS ....................................................................18 8.2. Coovachilli .................................................................................................20 8.2.1. Instalación ..............................................................................................20 8.2.2. Configuración del archivo principal de CoovaChilli .........................20 8.2.3. Configuración del portal cautivo .........................................................23 8.2.4. Archivo hotspot.php .....................................................................24
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
2
FreeRADIUS, CoovaChilli y daloRADIUS
8.2.5. Creación del archivo ipup.sh ..............................................................35 8.2.6. Generación de certificados SSL apache2 .......................................38 8.2.7. Creación de host virtual .......................................................................39 8.3. daloRADIUS ..............................................................................................43 8.3.1. Instalación ..............................................................................................43 8.3.2. Configuración ........................................................................................44 8.4. Errores Comunes .....................................................................................46 8.4.1. Error al crear el directorio /var/log/freeradius/radacct ....................46 8.4.2. Error de reinicio de servicio FreeRADIUS .......................................47 8.4.3. Error al leer los logs de daloRADIUS ................................................48
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
3
FreeRADIUS, CoovaChilli y daloRADIUS
2. INDICE DE FIGURAS Figura 1. Taskel............................................................................... 7 Figura 2. Introducir Contraseña MySQL para el root ........... 8 Figura 3. Ventana de configuración de certificado SSL ................. 39 Figura 4. Dirección de Ingreso con IP ........................................... 45 Figura 5. Dirección de Ingreso con dominio .................................. 45 Figura 6. Ventana de Logeo .......................................................... 46 Figura 7. Error al levantar el servicio FreeRADIUS ....................... 47 Figura 8. Archivo rc.local ............................................................... 48
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
4
FreeRADIUS, CoovaChilli y daloRADIUS
3. INTRODUCCIÓN El presente manual técnico tiene como objetivo fundamental presentar de una manera detallada y concreta los pasos a seguir para poder configurar adecuadamente el servidor RADIUS con un portal cautivo para la Universidad Nacional de Loja. 4. ¿A QUIÉN VA DIRIGIDO EL MANUAL? El manual va dirigido a los es de red de la Unidad de Telecomunicaciones e Información de la Universidad Nacional de Loja. Además se plantea como una solución para personas que deseen implementar una solución similar en cualquier otro ámbito. 5. CONSIDERACIONES PREVIAS Para configurar adecuadamente el servidor se debe tomar en cuenta que primeramente se debe tener ciertas consideraciones como: Conocimientos previos en Linux Ubuntu Server (Instalación y Configuración) Conocimientos previos de networking (redes, NAT, iptables) 6. REQUERIMIENTOS DEL SISTEMA Para la instalación y configuración del servidor RADIUS con un portal cautivo para la Universidad Nacional de Loja es necesario ciertos requerimientos importantes tanto en hardware como en software. Tomando en cuenta el estudio realizado durante el desarrollo del presente proyecto se ha considerado que los requerimientos
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
5
FreeRADIUS, CoovaChilli y daloRADIUS
mínimos para el correcto funcionamiento del servidor son los siguientes: Hardware: Procesador: Intel Core2Duo U E7500 @ 2.93 GHz x 2 2 GB de Memoria RAM 320 GB de Disco Duro Dos tarjetas de red Ethernet Software: Ubuntu Server 12.04 FreeRADIUS versión 2.1.10 CoovaChilli versión 1.2.6 daloRADIUS versión 0.9.9 7. CONFIGURACIONES PREVIAS Para la configuración adecuada del servidor es necesario realizar primeramente unas configuraciones al sistema operativo. 7.1. Instalación de paquetes Luego de la instalación del sistema operativo lo primero que se debe hacer es actualizar el listado de paquetes, lo que se realiza con el siguiente comando. $ sudo apt-get update Posteriormente procedemos a instalar tasksel, que es un sistema de instalación de paquetes por consola. Tasksel agrupa los
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
6
FreeRADIUS, CoovaChilli y daloRADIUS
paquetes de software por tareas y ofrece un modo sencillo de instalar todos los paquetes que son necesarios para dicha tarea. Se Instala tasksel con el siguiente comando: $ sudo apt-get install tasksel Ahora se ejecuta Tasksel: $ sudo tasksel A continuación se presentará dentro del terminal una pantalla con varios paquetes de software, en donde se va a seleccionar los paquetes que interesan: LAMP server y OpenSSH server.
Figura 1. Taskel Tasksel se encargará de descargar todos los paquetes y dependencias tanto del LAMP Server (Apache, MySQL y Php) y de OpenSSH. Durante la instalación del LAMP Server va a pedir la contraseña de root para MySQL, entonces se procederá a colocarla.
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
7
FreeRADIUS, CoovaChilli y daloRADIUS
Figura 2. Introducir Contraseña MySQL para el root Además de los paquetes anteriores, es también necesario instalar algunos paquetes indispensables para el correcto funcionamiento de todas las aplicaciones que van a funcionar en el servidor. $
sudo
apt-get
libpam0g-dev libgdbm-dev
install
debhelper
libmysqlclient15-dev libldap2-dev
libltdl3-dev
build-essential
libsasl2-dev
libiodbc2-
dev libkrb5-dev snmp autotools-dev dpatch libperldev libtool dpkg-dev libpq-dev libsnmp-dev libssldev
php5
php5-mysql
libxml-simple-perl
php-pear
php5-gd
php-DB
libxml-libxml-simple-perl
libtest-xml-simple-perl libdbi-perl libwww-perl
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
8
FreeRADIUS, CoovaChilli y daloRADIUS
7.2. Configuración de interfaces de red Como se dijo anteriormente, el equipo necesita dos tarjetas de red. Una tarjeta de red (eth0) tiene que estar conectada a la red y configurada para internet. La otra tarjeta de red tiene que dejarse sin configuración. Esto significa, no IP estática y no DH. Esto se logra previniendo que el de Red, manipule la tarjeta. Para evitar que el de Red manipule la tarjeta, se tiene que editar /etc/network/interfaces. $ sudo vi /etc/network/interfaces En el archivo se debe añadir la interfaz como una tarjeta de configuración manual. En este caso, la tarjeta de red en la que funcionara con el portal cautivo (hacia la red inalámbrica) es eth1, y con la configuración estática de la interfaz de red eth0 para que se conecte a internet, el archivo quedará de la siguiente manera. auto lo iface lo inet loopback auto eth0 iface eth0 inet static address x.x.x.x netmask x.x.x.x network x.x.x.x broadcast x.x.x.x
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
9
FreeRADIUS, CoovaChilli y daloRADIUS
gateway x.x.x.x dns-nameservers x.x.x.x dns-search unl.edu.ec iface eth1 inet manual Luego se procede a reiniciar los servicios de red para que se apliquen los cambios con el siguiente comando: $ sudo /etc/init.d/networking restart De esta forma se esta configurando el interfaz eth0 para que tenga una dirección IP estática, dejando la interfaz eth1 (que estará conectada a los puntos de ) a merced del portal cautivo, que será el que la istre. 7.3. Configuración del ip_forward El mecanismo de IP forwarding se encarga de la retransmisión de los paquetes que se reciben por una interfaz física y de retransmitirlos por otra interfaz. El IP forwarding debe ser habilitado, pues una vez que el se autentique a través del portal cautivo se redireccionará su tráfico hacia la interfaz de red eth0, permitiendo así que el pueda navegar. Para habilitar la función de IP forwarding se necesita configurar el archivo /etc/sysctl.conf con el siguiente comando: $ vi /etc/sysctl.conf Allí se busca la línea net.ipv4.ip_forward=1 y se la descomenta. net.ipv4.ip_forward=1
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
10
FreeRADIUS, CoovaChilli y daloRADIUS
Además, es necesario cambiar el valor a 1 del IP forwarding en /proc/sys/net/ipv4/ip_forward con el siguiente comando: $ echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward Y se reinicia nuevamente el servicio de networking. $ sudo /etc/init.d/networking restart 7.4. Activación del modo tun Para finalizar con la configuración de las interfaces de red, se debe habilitar el módulo tun, ya que este permitirá a Coovachilli hacer un “túnel” entre las interfaces eth0 y la red virtual que crea en eth1. Para ello ejecutamos los siguientes comandos: $ sudo modprobe tun Con esta orden cargamos el módulo tun en el kernel del sistema directamente sin tener que reiniciar. Además tenemos que agregarlo la palabra “tun” al final del archivo /etc/modules $ sudo vi /etc/modules 8. CONFIGURACIÓN DEL SERVIDOR Luego de dejar preparado el servidor con todas las configuraciones anteriormente explicadas se procederá a instalar y configurar los paquetes de software utilizados para el correcto funcionamiento del servidor. Ellos son: FreeRADIUS, CoovaChilli y daloRADIUS.
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
11
FreeRADIUS, CoovaChilli y daloRADIUS
8.1. FreeRADIUS A continuación se describirá el procedimiento correcto para la instalación
y
configuración
del
servidor
RADIUS
usando
FreeRADIUS. 8.1.1.Instalación de paquetes de FreeRADIUS La instalación de FreeRADIUS sobre Ubuntu no es compleja, puesto que se encuentran los paquetes dentro de los repositorios. $ sudo apt-get install freeradius freeradius-mysql freeradius-utils Con el comando anterior se realiza el proceso de instalación de FreeRADIUS y de las librerías adicionales que va a requiere para su correcto funcionamiento. 8.1.2.Configuración de la base de datos Luego de la instalación de los paquetes de FreeRADIUS se tiene que realizar la configuración de la base de datos que va a usar FreeRADIUS para obtener los s. Cabe resaltar que primeramente los s
los va a obtener mediante el web
services del Sistema de Gestión Académica de la Universidad Nacional de Loja, pero se van a almacenar en una base de datos local, para asegurar conectividad así el web services no esté disponible. Se accede a la consola de MySQL, se digita la contraseña y se crea la base de datos que va a utilizar FreeRADIUS en este caso se llama radius.
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
12
FreeRADIUS, CoovaChilli y daloRADIUS
$ mysql –u root –p Enter : Welcome to the MySql monitor. Commands end with ; or \g. mysql> CREATE DATABASE radius; Luego se debe de crear un para que pueda acceder a la base de datos con todos los privilegios. mysql> GRANT ALL ON radius.*TO radius@localhost IDENTIFIED BY ”clavesegura”; En este caso se asume que la Base de datos se llama "radius" y se creó un también "radius" con la contraseña "clavesegura". Finalmente se debe de salir del promp de MySQL. mysql> exit; Las tablas que usa FreeRADIUS se encuentran almacenadas dentro
del
directorio
/etc/freeradius/sql/mysql/.
Para
ello
primeramente se tiene que loguear como super (root) para acceder a ese directorio. radius@radius:~# sudo su [sudo] for radius: root@radius:/home/radius# cd /etc/freeradius/sql/mysql/ Se debe ejecutar los scripts sql que se encuentran en ese directorio. root@radius:/etc/freeradius/sql/mysql# mysql –u root –p radius < ippool.sql
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
13
FreeRADIUS, CoovaChilli y daloRADIUS
root@radius:/etc/freeradius/sql/mysql# mysql –u root –p radius < nas.sql root@radius:/etc/freeradius/sql/mysql# mysql –u root –p radius < schema.sql 8.1.3.Configuración de la conexión con la base de datos Aquí se configurará los parámetros para se conecte FreeRADIUS con la base de datos ya creada anteriormente para lo cual se realiza lo siguiente: Se edita el archivo /etc/freeradius/sql.conf que es un archivo donde se encuentran todas las configuraciones de conexión de FreeRADIUS con MySQL. root@radius:#~ vi /etc/freeradius/sql.conf En el archivo se debe modificar las líneas correspondientes a la conexión con el server de MySQ como lo son: Server: “localhost” : “radius” que es el que se creó anteriormente. : “clavesegura” que es la clave que corresponde a ese . sql { database = “mysql” driver = “rlm_sql_${database}” server = “localhost” = “radius” = “clavesegura”
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
14
FreeRADIUS, CoovaChilli y daloRADIUS
Además dentro del mismo archivo se descomenta la variable: readclients = yes. El descomentar esta línea permite que se lea los clientes radius desde la base de datos. readclients = yes 8.1.4.Configuración de la Autorización y Contabilidad Se debe editar el Archivo: /etc/freeradius/sites-available/default y agregar
la
variable
"sql"
en
las
secciones
de: authorize{},
ing{}, session{}, post-auth{}. También se agrega la variable “perl” antes de “sql” en authorize. Esto permitirá que primero se realice la conexión con el web services del S.G.A. y luego realizar la autorización y la contabilidad desde MySQL. root@radius:#~ vi /etc/freeradius/sitesavailable/default authorize { preprocess chap mschap digest suffix eap { ok = return } files perl sql expiration time pap } ing { detail unix
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
15
FreeRADIUS, CoovaChilli y daloRADIUS
radutmp sql exec attr_filter.ing_response } Luego
se
edita
el
archivo
de
configuración
FreeRADIUS, y se procede a descomentar
principal
de
la línea $INCLUDE
sql.conf root@radius:#~ vi /etc/freeradius/radiusd.conf # Include another file that has the SQL-related configuration. # This is another file only because it tends to be big. # $INCLUDE slq.conf
8.1.5.Conexión con el web services del S.G.A Para la conexión de FreeRADIUS con el web services del S.G.A. es necesario desarrollar un script en el lenguaje Perl, en el cual se deben enviar como parámetros el y la contraseña obtenidos de la solicitud (request) y agregarlos a la base de datos local. El código del scipt Perl se encuentran en el CD ajunto a la documentación. El script debe estar ubicado dentro del directorio principal de FreeRADIUS
/etc/freeradius/
y
se
debe
editar
el
archivo
/etc/freeradius/modules/perl root@radius:#~ vim /etc/freeradius/modules/perl
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
16
FreeRADIUS, CoovaChilli y daloRADIUS
Y en la línea module especificar la ruta del archivo. Perl { module = ${confdir}/example.pl
8.1.6.Configuración del cliente localhost Es necesario agregar un cliente en FreeRADIUS para que el portal cautivo se comunique con el servidor RADIUS, ya que en este caso tanto FreeRADIUS como el portal cautivo estarán instalados en el mismo equipo el cliente va a ser localhost en caso de que estén en distintos equipos ahí se debería de configurar la dirección IP del portal cautivo. Para mayor seguridad, se requiere que se coloque una contraseña para el cliente localhost puesto que ese cliente va a ser el portal cautivo que va a estar en el mismo servidor. Para ello se modifica el archivo clients.conf root@radius:#~ vi /etc/freeradius/clients.conf Se edita la contraseña que se encuentra en el parámetro secret dentro del cliente localhost. client localhost { ipaddr = 127.0.0.1 secret = clavesegura2
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
17
FreeRADIUS, CoovaChilli y daloRADIUS
8.1.7.Arrancando FreeRADIUS Es importante saber que cuando se instaló FreeRADIUS se ejecutó el servicio es por eso que se debe de parar para poder iniciarlo nuevamente con el sript de perl. root@radius:#~ /etc/init.d/freeradius stop La razón por la que se para el servicio y no se lo reinicia es porque para arrancar correctamente es necesario que antes del comando de iniciar el servicio se coloque un comando, el cual hace que las librerías que utiliza el script perl se carguen antes de la ejecución de freeRadius y se pueda levantar el servicio y ejecutar el script. Para ver que versión de perl que esta en el equipo se ejecuta el siguiente comando. root@radius:#~ perl -V | grep libperl
Cuando se conoce la versión de perl en este caso libperl.so.5.14.2 se puede ejecutar el
comando para iniciar, reiniciar o detener
FreeRADIUS. root@radius:#~ LD_PRELOAD=/usr/lib/libperl.so.5.14.2 /etc/init.d/freeradius restart
Para comprobar la conexión y funcionalidad tanto del script perl como la configuración de FreeRADIUS existe el comando radtest el
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
18
FreeRADIUS, CoovaChilli y daloRADIUS
cual permite simular una solicitud de RADIUS y comprueba tanto conectividad como parámetros de envío. root@radius:#~ radtest SGA claveSGA 127.0.0.1 1812 clavesegura2
Donde: radtest: nombre del comando SGA: almacenado en el Sistema de Gestión Académico claveSGA: clave del almacenado en el Sistema de Gestión Académico 127.0.0.1: cliente de FreeRADIUS 1812: Puerto por donde escucha la solicitud FreeRADIUS clavesegura2: clave del cliente de FreeRADIUS Una vez enviada la solicitud de , FreeRADIUS se encarga de receptar esta solicitud y dar una respuesta. Sending Access-Request of id 42 to 127.0.0.1 port 1812 -Name = “SGA” - = “claveSGA” NAS-IP-Address = x.x.x.x NAS-Port = 1812 rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=42, length=20 En este caso, al ser correctas las credenciales la solicitud de receptada se acepta al .
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
19
FreeRADIUS, CoovaChilli y daloRADIUS
8.2. Coovachilli A continuación de detalla cuidadosamente el procedimiento de la instalación y configuración de CoovaChilli (portal cautivo) lo que permitirá su adecuado funcionamiento.
8.2.1.Instalación Para configurar Coovachilli lo primero
que hay que realizar es
descargar la última versión desde la página oficial de Coovachilli. root@radius:#~ wget hhtp://ap.coova.org/chilli/coovachilli_1.2.6_i386.deb Luego se procede a instalar del paquete descargado. root@radius:#~ dpkg –i coova-chilli_1.2.6_i386.deb 8.2.2.Configuración del archivo principal de CoovaChilli Dentro de los archivos de CoovaChilli viene un archivo de ejemplo donde están todas las configuraciones globales del portal cautivo. Se procede a copiar el archivo de muestra y renombrarlo como config. root@radius:#~ /etc/chilli/defaults /etc/chilli/config
Se edita el archivo anteriormente creado en donde se encuentran todas las directivas, las cuales se modificaran de acuerdo a las necesidades.
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
20
FreeRADIUS, CoovaChilli y daloRADIUS
root@radius:#~ vi /etc/chilli/config En este caso se seleccionó la red 10.1.0.0 /24 para la interfaz eth1 que es donde se va a recibir las solicitudes de y la interfaz eth0 es donde va tener la conexión con la red de la universidad y el internet. A continuación se muestra los parámetros configurados. HS_WANIF=eth0 #WAN Interface toward the Internet HS_LANIF=eth1 #Subscriber Interface for client devices HS_NETWORK=10.1.0.0 #HotSpot Network (must include HS_UAMLISTEN) HS_NETMASK=255.255.255.0 #HotSpot Network Netmask HS_UAMLISTEN=10.1.0.1 #HotSpot IP Address (on subscriber network) HS_UAMPORT=3990 #HotSpot UAM Port (on subscriber network) HS_DNS1=x.x.x.x HS_DNS2=10.1.0.1 ### # HotSpot settings for simple Captive Portal # HS_NASID=nas01 HS_RADIUS=127.0.0.1 #o localhost HS_RADIUS2=127.0.0.1 HS_UAMALLOW=10.1.0.1/24 HS_RADSECRET=clavesegura2 # Set to be your RADIUS shared secret HS_UAMSECRET=clavesegura3 # Set to be your UAM secret HS_UAMALIASNAME=chilli HS_UAMFORMAT=https://\$HS_UAMLISTEN/cgibin/hotspot.php HS_DEFSESSIONTIMEOUT=7200
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
21
FreeRADIUS, CoovaChilli y daloRADIUS
HS_DEFIDLETIMEOUT=1800 Donde: HS_LANIF: Interfaz de red donde se va a escuchar las peticiones DH y donde se conecta los puntos de en este caso es la eth1. HS_NETWORK: Dirección de red del portal cautivo. HS_NETMASK: Dirección de mascara de la red del portal cautivo. HS_UAMPORT: Puerto donde escucha CoovaChilli. HS_DNS1: Dirección IP del DNS (Sistema de Nombres de Dominio). HS_RADIUS: Aquí se define la dirección IP del servidor RADIUS en este caso como el servidor esta en el mismo equipo que el portal cautivo se define la IP del localhost. HS_RADIUS2: Dirección de IP del servidor RADIUS. HS_RADSECRET:
Clave
FreeRADIUS
se
que
secreta
agregó
del
cliente
anteriormente
localhost en
el
de
archivo
clients.conf. HS_UAMSECRET: clave segura del portal cautivo. HS_UAMFORMAT: Ruta donde se ubica el archivo que se muestra al al momento de conectarse al servidor RADIUS, en este caso se llama hotspot.php el cual se lo describe más adelante. HS_DEFSESSIONTIMEOUT: tiempo que va a durar las sesiones de los s logeados definido en segundos.
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
22
FreeRADIUS, CoovaChilli y daloRADIUS
HS_DEFIDLETIMEOUT: tiempo de inactividad para desconectar a un , también esta definido en segundos. 8.2.3.Configuración del portal cautivo Se crea el directorio donde van a estar almacenados archivos propios del portal cautivo. root@radius:#~ mkdir –p /var/www/hotspot/uam Luego se debe de copiar los archivos necesarios para el funcionamiento de Coovachilli al directorio anteriormente creado. root@radius:#~ /etc/chilli/www/* /var/www/hotspot Se accede al directorio en donde
se va a descargar archivos
adicionales para el correcto funcionamiento del portal cautivo. root@radius:#~ cd /var/www/hotspot/uam Y se procede a descargarlas root@radius:#~ wget http://ap.coova.org/uam/ Se
hace
un
cambio
dentro
del
archivo
/var/www/hotspot/uam/index.html ubicando la dirección IP del portal cautivo. root@radius:#~ sed –i ‘s/coova.org\/js\/chilli.js/10.1.0.1\/uam\/chilli. js/g’ /var/www/hotspot/uam/index.html
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
23
FreeRADIUS, CoovaChilli y daloRADIUS
Se edita el archivo /etc/default/chilli y se modifica la ruta del archivo de configuración. root@radius:#~ vi /etc/default/chilli Para que inicie coovachilli automáticamente se debe poner 1 en START_CHILLI y además para no tener problemas con el que va a manipular el Coovachilli se coloca root en HS_ START_CHILLI=1 CONFFILE=”/etc/chilli.conf” HS_=”root” 8.2.4.Archivo hotspot.php Para la parte visible al donde ingresara los credenciales (Cedula de identidad y clave del SGA) se procedió a modificar un archivo proporcionado por chillispot.org que originalmente esta hecho en perl el cual se lo convirtió a un archivo php. Este archivo se encuentra ubicado en el directorio del servidor web apache2 en /var/www/hotspot/cgi-bin/. tambien se adecuó de acuerdo a las sugerencias de los es del departamento de redes de la Unidad de Redes y Telecomunicaciones. A continuación se muestra el archivo hotspot.php $uamsecret debido a que aquí se pone la clave que se configuró en el archivo principal de CoovaChilli en HS_UAMSECRET, también se fijó en la variable
$redirurl = 'http://www.unl.edu.ec'; ya que esto
permitirá que después de logearse el portal cautivo lo redireccione a la pagina de la universidad.
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
24
FreeRADIUS, CoovaChilli y daloRADIUS
<style type="text/css"> #body{ background-image: url(https://10.1.0.1/fondo3.jpg); background-repeat: no-repeat; background-attachment: fixed; background-position: 50% 0%; }
Si experimenta errores en conexion arse
por favor al (07) 2547252 ext. 127 o envie un correo a
[email protected] c '; # attempt to if ($_GET[''] == ) { $hexchal = pack ("H32", $_GET['chal']); if (isset ($uamsecret)) { $newchal = pack ("H*", md5($hexchal . $uamsecret)); } else { $newchal = $hexchal; }
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
25
FreeRADIUS, CoovaChilli y daloRADIUS
$response = md5("\0" . $_GET[''] . $newchal); $newpwd = pack("a32", $_GET['']); $pap = implode ("", unpack("H32", ($newpwd ^ $newchal))); $titel = 'Inicio de Sesion red UNL'; $headline = 'Inicio de Sesion red UNL'; $bodytext = ''; print_header(); if ((isset ($uamsecret)) && isset($)) { print '<meta http-equiv="refresh" content="0;url=http://' . $_GET['uamip'] . ':' . $_GET['uamport'] . '/logon?name=' . $_GET['Name'] . '&=' . $pap . '">'; } else { print '<meta http-equiv="refresh" content="0;url=http://' . $_GET['uamip'] . ':' . $_GET['uamport'] . '/logon?name=' . $_GET['Name'] . '&response=' . $response . '&url=' . $_GET['url'] . '">'; } print_body(); print_footer(); } # 1: successful if ($_GET['res'] == success) { $result = 1; $titel = 'Registrado en red UNL'; $headline = 'Registrado en red UNL'; $bodytext = 'Bienvenido'; $body_onload = 'onLoad="javascript:popUp(' . $path . '?res=popup&uamip=' . $_GET['uamip']
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
26
FreeRADIUS, CoovaChilli y daloRADIUS
. '&uamport=' . $_GET['uamport'] . '&timeleft=' $_GET['timeleft'] . ')"';
.
print_header(); print_body(); if ($reply) { print '
' . $reply . '
'; } print '
Cerrar Sesion
'; print_footer(); } # 2: failed if ($_GET['res'] == failed) { $result = 2; $titel = 'Registro Fallido'; $headline = 'Registro Fallido'; $bodytext = 'Disculpe, intente nuevamente
'; print_header(); print_body(); if ($_GET['reply']) { print '
' . $_GET['reply'] . '
'; } print__form(); print_footer(); } # 3: Logged out if ($_GET['res'] == logoff) {
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
27
FreeRADIUS, CoovaChilli y daloRADIUS
$result = 3; $titel = 'Desconectado de red UNL'; $headline = 'Desconectado de red UNL'; $bodytext = ''; print_header(); print_body(); print_footer(); } # 4: Tried to while already logged in if ($_GET['res'] == already) { $result = 4; $titel = 'Sesion ya iniciada en red UNL'; $headline = 'Sesion ya iniciada en red UNL'; $bodytext = ''; print_header(); print_body(); print_footer(); } # 5: Not logged in yet if ($_GET['res'] == notyet) { $result = 5; $titel = 'Bienvenido a la red UNL'; $headline = 'Bienvenido a la red UNL'; $bodytext = 'Usted esta intentando acceder a la red de la UNL
Por favor use sus datos del S.G.A.'; print_header(); print_body(); print__form(); print_footer(); }
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
28
FreeRADIUS, CoovaChilli y daloRADIUS
#11: Popup1 if ($_GET['res'] == popup1) { $result = 11; $titel = 'Ingresando a red UNL'; $headline = 'Ingresando a red UNL'; $bodytext = 'por favor espere...'; print_header(); print_body(); print_footer(); } #12: Popup2 if ($_GET['res'] == popup2) { $result = 12; $titel = 'Sesion iniciada en red UNL'; $headline = 'Sesion iniciada en red UNL'; $bodytext = 'Cerrar Sesion'; print_header(); print_body(); print_footer(); } #13: Popup3 if ($_GET['res'] == popup3) { $result = 13; $titel = 'Desconectado de red UNL'; $headline = 'Desconectado de red UNL'; $bodytext = 'Iniciar Sesion'; print_header(); print_body(); print_footer(); } # 0: It was not a form request # Send out an error message if ($_GET['res'] == "") {
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
29
FreeRADIUS, CoovaChilli y daloRADIUS
$result = 0; $titel = 'Atencion. No debe estar aqui'; $headline = 'Inicio de Sesion Fallido'; $bodytext = 'Salga de aqui inmediatamente. El logueo debe realizarse mediante el demonio'; print_header(); print_body(); print_footer(); } # functions function print_header(){ global $titel, $path; $uamip = $_GET['uamip']; $uamport = $_GET['uamport']; print "$titel 4p4pg <meta http-equiv=\"Cache-control\" content=\"no-cache\"> <meta http-equiv=\"Pragma\" content=\"nocache\"> <meta http-equiv=\"Content-Type\" content=\"text/html; charset=ISO-88591\"> <SCRIPT LANGUAGE=\"JavaScript\"> var blur = 0; var starttime = new Date(); var startclock = starttime.getTime(); var mytimeleft = 0; function doTime() { window.setTimeout( \"doTime()\", 1000 ); t = new Date();
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
30
FreeRADIUS, CoovaChilli y daloRADIUS
time = Math.round((t.getTime() starttime.getTime())/1000); if (mytimeleft) { time = mytimeleft - time; if (time <= 0) { window.location = \"$path?res=popup3&uamip=$uamip&uamport=$uamp ort\"; } } if (time < 0) time = 0; hours = (time - (time % 3600)) / 3600; time = time - (hours * 3600); mins = (time - (time % 60)) / 60; secs = time - (mins * 60); if (hours < 10) hours = \"0\" + hours; if (mins < 10) mins = \"0\" + mins; if (secs < 10) secs = \"0\" + secs; title = \"Online time: \" + hours + \":\" + mins + \":\" + secs; if (mytimeleft) { title = \"Remaining time: \" + hours + \":\" + mins + \":\" + secs; } if(document.all || document.getElementById){ document.title = title; } else { self.status = title; } } function popUp(URL) { if (self.name != \"chillispot_popup\") { chillispot_popup = window.open(URL, 'chillispot_popup', 'toolbar=0,scrollbars=0,location=0,statusbar=0,men ubar=0,resizable=1,width=500,height=375'); } } function doOnLoad(result, URL, url, redirurl, timeleft) {
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
31
FreeRADIUS, CoovaChilli y daloRADIUS
if (timeleft) { mytimeleft = timeleft; } if ((result == 1) && (self.name == \"chillispot_popup\")) { doTime(); } if ((result == 1) && (self.name != \"chillispot_popup\")) { chillispot_popup = window.open(URL, 'chillispot_popup', 'toolbar=0,scrollbars=0,location=0,statusbar=0,men ubar=0,resizable=1,width=500,height=375'); } if ((result == 2) || result == 5) { document.form1.Name.focus() } if ((result == 2) && (self.name != \"chillispot_popup\")) { chillispot_popup = window.open('', 'chillispot_popup', 'toolbar=0,scrollbars=0,location=0,statusbar=0,men ubar=0,resizable=1,width=400,height=200'); chillispot_popup.close(); } if ((result == 12) && (self.name == \"chillispot_popup\")) { doTime(); if (redirurl) { opener.location = redirurl; } else if (opener.home) { opener.home(); } else { opener.location = \"about:home\"; } self.focus(); blur = 0; } if ((result == 13) && (self.name == \"chillispot_popup\")) {
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
32
FreeRADIUS, CoovaChilli y daloRADIUS
self.focus(); blur = 1; } } function doOnBlur(result) { if ((result == 12) && (self.name == \"chillispot_popup\")) { if (blur == 0) { blur = 1; self.focus(); } } } "; } function print_body(){ global $headline, $bodytext, $body_onload, $result, $path; $uamip = $_GET['uamip']; $uamport = $_GET['uamport']; $url = $_GET['url']; $redirurl = 'http://www.unl.edu.ec'; $urldecode = $_GET['url']; $redirurldecode = $_GET['redirurl']; $timeleft = $_GET['timeleft']; print "
$bodytext
"; } function print__form(){ global $path; print '
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
33
FreeRADIUS, CoovaChilli y daloRADIUS
'; } function print_footer(){ global $footer_text; print $footer_text . '
“TESIS PREVIA A LA OBTENCIÓN DEL TÍTULO EN INGENIERO EN SISTEMAS”
AUTORES: Fabricio Alejandro Flores Gallardo Lisset Alexandra Neyra Romero DIRECTOR: Ing. Juan Manuel Galindo Vera Loja-Ecuador 2012
FreeRADIUS, CoovaChilli y daloRADIUS
MANUAL TÉCNICO 1. ÍNDICE GENERAL 1. ÍNDICE GENERAL ........................................................................................2 2. INDICE DE FIGURAS...................................................................................4 3. INTRODUCCIÓN...........................................................................................5 4. ¿A QUIÉN VA DIRIGIDO EL MANUAL? ...................................................5 5. CONSIDERACIONES PREVIAS ................................................................5 6. REQUERIMIENTOS DEL SISTEMA..........................................................5 7. CONFIGURACIONES PREVIAS ................................................................6 7.1. Instalación de paquetes ............................................................................6 7.2. Configuración de interfaces de red .........................................................9 7.3. Configuración del ip_forward .................................................................10 7.4. Activación del modo tun ..........................................................................11 8. CONFIGURACIÓN DEL SERVIDOR .......................................................11 8.1. FreeRADIUS .............................................................................................12 8.1.1. Instalación de paquetes de FreeRADIUS ........................................12 8.1.2. Configuración de la base de datos ....................................................12 8.1.3. Configuración de la conexión con la base de datos .......................14 8.1.4. Configuración de la Autorización y Contabilidad .............................15 8.1.5. Conexión con el web services del S.G.A..........................................16 8.1.6. Configuración del cliente localhost ....................................................17 8.1.7. Arrancando FreeRADIUS ....................................................................18 8.2. Coovachilli .................................................................................................20 8.2.1. Instalación ..............................................................................................20 8.2.2. Configuración del archivo principal de CoovaChilli .........................20 8.2.3. Configuración del portal cautivo .........................................................23 8.2.4. Archivo hotspot.php .....................................................................24
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
2
FreeRADIUS, CoovaChilli y daloRADIUS
8.2.5. Creación del archivo ipup.sh ..............................................................35 8.2.6. Generación de certificados SSL apache2 .......................................38 8.2.7. Creación de host virtual .......................................................................39 8.3. daloRADIUS ..............................................................................................43 8.3.1. Instalación ..............................................................................................43 8.3.2. Configuración ........................................................................................44 8.4. Errores Comunes .....................................................................................46 8.4.1. Error al crear el directorio /var/log/freeradius/radacct ....................46 8.4.2. Error de reinicio de servicio FreeRADIUS .......................................47 8.4.3. Error al leer los logs de daloRADIUS ................................................48
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
3
FreeRADIUS, CoovaChilli y daloRADIUS
2. INDICE DE FIGURAS Figura 1. Taskel............................................................................... 7 Figura 2. Introducir Contraseña MySQL para el root ........... 8 Figura 3. Ventana de configuración de certificado SSL ................. 39 Figura 4. Dirección de Ingreso con IP ........................................... 45 Figura 5. Dirección de Ingreso con dominio .................................. 45 Figura 6. Ventana de Logeo .......................................................... 46 Figura 7. Error al levantar el servicio FreeRADIUS ....................... 47 Figura 8. Archivo rc.local ............................................................... 48
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
4
FreeRADIUS, CoovaChilli y daloRADIUS
3. INTRODUCCIÓN El presente manual técnico tiene como objetivo fundamental presentar de una manera detallada y concreta los pasos a seguir para poder configurar adecuadamente el servidor RADIUS con un portal cautivo para la Universidad Nacional de Loja. 4. ¿A QUIÉN VA DIRIGIDO EL MANUAL? El manual va dirigido a los es de red de la Unidad de Telecomunicaciones e Información de la Universidad Nacional de Loja. Además se plantea como una solución para personas que deseen implementar una solución similar en cualquier otro ámbito. 5. CONSIDERACIONES PREVIAS Para configurar adecuadamente el servidor se debe tomar en cuenta que primeramente se debe tener ciertas consideraciones como: Conocimientos previos en Linux Ubuntu Server (Instalación y Configuración) Conocimientos previos de networking (redes, NAT, iptables) 6. REQUERIMIENTOS DEL SISTEMA Para la instalación y configuración del servidor RADIUS con un portal cautivo para la Universidad Nacional de Loja es necesario ciertos requerimientos importantes tanto en hardware como en software. Tomando en cuenta el estudio realizado durante el desarrollo del presente proyecto se ha considerado que los requerimientos
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
5
FreeRADIUS, CoovaChilli y daloRADIUS
mínimos para el correcto funcionamiento del servidor son los siguientes: Hardware: Procesador: Intel Core2Duo U E7500 @ 2.93 GHz x 2 2 GB de Memoria RAM 320 GB de Disco Duro Dos tarjetas de red Ethernet Software: Ubuntu Server 12.04 FreeRADIUS versión 2.1.10 CoovaChilli versión 1.2.6 daloRADIUS versión 0.9.9 7. CONFIGURACIONES PREVIAS Para la configuración adecuada del servidor es necesario realizar primeramente unas configuraciones al sistema operativo. 7.1. Instalación de paquetes Luego de la instalación del sistema operativo lo primero que se debe hacer es actualizar el listado de paquetes, lo que se realiza con el siguiente comando. $ sudo apt-get update Posteriormente procedemos a instalar tasksel, que es un sistema de instalación de paquetes por consola. Tasksel agrupa los
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
6
FreeRADIUS, CoovaChilli y daloRADIUS
paquetes de software por tareas y ofrece un modo sencillo de instalar todos los paquetes que son necesarios para dicha tarea. Se Instala tasksel con el siguiente comando: $ sudo apt-get install tasksel Ahora se ejecuta Tasksel: $ sudo tasksel A continuación se presentará dentro del terminal una pantalla con varios paquetes de software, en donde se va a seleccionar los paquetes que interesan: LAMP server y OpenSSH server.
Figura 1. Taskel Tasksel se encargará de descargar todos los paquetes y dependencias tanto del LAMP Server (Apache, MySQL y Php) y de OpenSSH. Durante la instalación del LAMP Server va a pedir la contraseña de root para MySQL, entonces se procederá a colocarla.
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
7
FreeRADIUS, CoovaChilli y daloRADIUS
Figura 2. Introducir Contraseña MySQL para el root Además de los paquetes anteriores, es también necesario instalar algunos paquetes indispensables para el correcto funcionamiento de todas las aplicaciones que van a funcionar en el servidor. $
sudo
apt-get
libpam0g-dev libgdbm-dev
install
debhelper
libmysqlclient15-dev libldap2-dev
libltdl3-dev
build-essential
libsasl2-dev
libiodbc2-
dev libkrb5-dev snmp autotools-dev dpatch libperldev libtool dpkg-dev libpq-dev libsnmp-dev libssldev
php5
php5-mysql
libxml-simple-perl
php-pear
php5-gd
php-DB
libxml-libxml-simple-perl
libtest-xml-simple-perl libdbi-perl libwww-perl
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
8
FreeRADIUS, CoovaChilli y daloRADIUS
7.2. Configuración de interfaces de red Como se dijo anteriormente, el equipo necesita dos tarjetas de red. Una tarjeta de red (eth0) tiene que estar conectada a la red y configurada para internet. La otra tarjeta de red tiene que dejarse sin configuración. Esto significa, no IP estática y no DH. Esto se logra previniendo que el de Red, manipule la tarjeta. Para evitar que el de Red manipule la tarjeta, se tiene que editar /etc/network/interfaces. $ sudo vi /etc/network/interfaces En el archivo se debe añadir la interfaz como una tarjeta de configuración manual. En este caso, la tarjeta de red en la que funcionara con el portal cautivo (hacia la red inalámbrica) es eth1, y con la configuración estática de la interfaz de red eth0 para que se conecte a internet, el archivo quedará de la siguiente manera. auto lo iface lo inet loopback auto eth0 iface eth0 inet static address x.x.x.x netmask x.x.x.x network x.x.x.x broadcast x.x.x.x
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
9
FreeRADIUS, CoovaChilli y daloRADIUS
gateway x.x.x.x dns-nameservers x.x.x.x dns-search unl.edu.ec iface eth1 inet manual Luego se procede a reiniciar los servicios de red para que se apliquen los cambios con el siguiente comando: $ sudo /etc/init.d/networking restart De esta forma se esta configurando el interfaz eth0 para que tenga una dirección IP estática, dejando la interfaz eth1 (que estará conectada a los puntos de ) a merced del portal cautivo, que será el que la istre. 7.3. Configuración del ip_forward El mecanismo de IP forwarding se encarga de la retransmisión de los paquetes que se reciben por una interfaz física y de retransmitirlos por otra interfaz. El IP forwarding debe ser habilitado, pues una vez que el se autentique a través del portal cautivo se redireccionará su tráfico hacia la interfaz de red eth0, permitiendo así que el pueda navegar. Para habilitar la función de IP forwarding se necesita configurar el archivo /etc/sysctl.conf con el siguiente comando: $ vi /etc/sysctl.conf Allí se busca la línea net.ipv4.ip_forward=1 y se la descomenta. net.ipv4.ip_forward=1
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
10
FreeRADIUS, CoovaChilli y daloRADIUS
Además, es necesario cambiar el valor a 1 del IP forwarding en /proc/sys/net/ipv4/ip_forward con el siguiente comando: $ echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward Y se reinicia nuevamente el servicio de networking. $ sudo /etc/init.d/networking restart 7.4. Activación del modo tun Para finalizar con la configuración de las interfaces de red, se debe habilitar el módulo tun, ya que este permitirá a Coovachilli hacer un “túnel” entre las interfaces eth0 y la red virtual que crea en eth1. Para ello ejecutamos los siguientes comandos: $ sudo modprobe tun Con esta orden cargamos el módulo tun en el kernel del sistema directamente sin tener que reiniciar. Además tenemos que agregarlo la palabra “tun” al final del archivo /etc/modules $ sudo vi /etc/modules 8. CONFIGURACIÓN DEL SERVIDOR Luego de dejar preparado el servidor con todas las configuraciones anteriormente explicadas se procederá a instalar y configurar los paquetes de software utilizados para el correcto funcionamiento del servidor. Ellos son: FreeRADIUS, CoovaChilli y daloRADIUS.
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
11
FreeRADIUS, CoovaChilli y daloRADIUS
8.1. FreeRADIUS A continuación se describirá el procedimiento correcto para la instalación
y
configuración
del
servidor
RADIUS
usando
FreeRADIUS. 8.1.1.Instalación de paquetes de FreeRADIUS La instalación de FreeRADIUS sobre Ubuntu no es compleja, puesto que se encuentran los paquetes dentro de los repositorios. $ sudo apt-get install freeradius freeradius-mysql freeradius-utils Con el comando anterior se realiza el proceso de instalación de FreeRADIUS y de las librerías adicionales que va a requiere para su correcto funcionamiento. 8.1.2.Configuración de la base de datos Luego de la instalación de los paquetes de FreeRADIUS se tiene que realizar la configuración de la base de datos que va a usar FreeRADIUS para obtener los s. Cabe resaltar que primeramente los s
los va a obtener mediante el web
services del Sistema de Gestión Académica de la Universidad Nacional de Loja, pero se van a almacenar en una base de datos local, para asegurar conectividad así el web services no esté disponible. Se accede a la consola de MySQL, se digita la contraseña y se crea la base de datos que va a utilizar FreeRADIUS en este caso se llama radius.
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
12
FreeRADIUS, CoovaChilli y daloRADIUS
$ mysql –u root –p Enter : Welcome to the MySql monitor. Commands end with ; or \g. mysql> CREATE DATABASE radius; Luego se debe de crear un para que pueda acceder a la base de datos con todos los privilegios. mysql> GRANT ALL ON radius.*TO radius@localhost IDENTIFIED BY ”clavesegura”; En este caso se asume que la Base de datos se llama "radius" y se creó un también "radius" con la contraseña "clavesegura". Finalmente se debe de salir del promp de MySQL. mysql> exit; Las tablas que usa FreeRADIUS se encuentran almacenadas dentro
del
directorio
/etc/freeradius/sql/mysql/.
Para
ello
primeramente se tiene que loguear como super (root) para acceder a ese directorio. radius@radius:~# sudo su [sudo] for radius: root@radius:/home/radius# cd /etc/freeradius/sql/mysql/ Se debe ejecutar los scripts sql que se encuentran en ese directorio. root@radius:/etc/freeradius/sql/mysql# mysql –u root –p radius < ippool.sql
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
13
FreeRADIUS, CoovaChilli y daloRADIUS
root@radius:/etc/freeradius/sql/mysql# mysql –u root –p radius < nas.sql root@radius:/etc/freeradius/sql/mysql# mysql –u root –p radius < schema.sql 8.1.3.Configuración de la conexión con la base de datos Aquí se configurará los parámetros para se conecte FreeRADIUS con la base de datos ya creada anteriormente para lo cual se realiza lo siguiente: Se edita el archivo /etc/freeradius/sql.conf que es un archivo donde se encuentran todas las configuraciones de conexión de FreeRADIUS con MySQL. root@radius:#~ vi /etc/freeradius/sql.conf En el archivo se debe modificar las líneas correspondientes a la conexión con el server de MySQ como lo son: Server: “localhost” : “radius” que es el que se creó anteriormente. : “clavesegura” que es la clave que corresponde a ese . sql { database = “mysql” driver = “rlm_sql_${database}” server = “localhost” = “radius” = “clavesegura”
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
14
FreeRADIUS, CoovaChilli y daloRADIUS
Además dentro del mismo archivo se descomenta la variable: readclients = yes. El descomentar esta línea permite que se lea los clientes radius desde la base de datos. readclients = yes 8.1.4.Configuración de la Autorización y Contabilidad Se debe editar el Archivo: /etc/freeradius/sites-available/default y agregar
la
variable
"sql"
en
las
secciones
de: authorize{},
ing{}, session{}, post-auth{}. También se agrega la variable “perl” antes de “sql” en authorize. Esto permitirá que primero se realice la conexión con el web services del S.G.A. y luego realizar la autorización y la contabilidad desde MySQL. root@radius:#~ vi /etc/freeradius/sitesavailable/default authorize { preprocess chap mschap digest suffix eap { ok = return } files perl sql expiration time pap } ing { detail unix
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
15
FreeRADIUS, CoovaChilli y daloRADIUS
radutmp sql exec attr_filter.ing_response } Luego
se
edita
el
archivo
de
configuración
FreeRADIUS, y se procede a descomentar
principal
de
la línea $INCLUDE
sql.conf root@radius:#~ vi /etc/freeradius/radiusd.conf # Include another file that has the SQL-related configuration. # This is another file only because it tends to be big. # $INCLUDE slq.conf
8.1.5.Conexión con el web services del S.G.A Para la conexión de FreeRADIUS con el web services del S.G.A. es necesario desarrollar un script en el lenguaje Perl, en el cual se deben enviar como parámetros el y la contraseña obtenidos de la solicitud (request) y agregarlos a la base de datos local. El código del scipt Perl se encuentran en el CD ajunto a la documentación. El script debe estar ubicado dentro del directorio principal de FreeRADIUS
/etc/freeradius/
y
se
debe
editar
el
archivo
/etc/freeradius/modules/perl root@radius:#~ vim /etc/freeradius/modules/perl
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
16
FreeRADIUS, CoovaChilli y daloRADIUS
Y en la línea module especificar la ruta del archivo. Perl { module = ${confdir}/example.pl
8.1.6.Configuración del cliente localhost Es necesario agregar un cliente en FreeRADIUS para que el portal cautivo se comunique con el servidor RADIUS, ya que en este caso tanto FreeRADIUS como el portal cautivo estarán instalados en el mismo equipo el cliente va a ser localhost en caso de que estén en distintos equipos ahí se debería de configurar la dirección IP del portal cautivo. Para mayor seguridad, se requiere que se coloque una contraseña para el cliente localhost puesto que ese cliente va a ser el portal cautivo que va a estar en el mismo servidor. Para ello se modifica el archivo clients.conf root@radius:#~ vi /etc/freeradius/clients.conf Se edita la contraseña que se encuentra en el parámetro secret dentro del cliente localhost. client localhost { ipaddr = 127.0.0.1 secret = clavesegura2
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
17
FreeRADIUS, CoovaChilli y daloRADIUS
8.1.7.Arrancando FreeRADIUS Es importante saber que cuando se instaló FreeRADIUS se ejecutó el servicio es por eso que se debe de parar para poder iniciarlo nuevamente con el sript de perl. root@radius:#~ /etc/init.d/freeradius stop La razón por la que se para el servicio y no se lo reinicia es porque para arrancar correctamente es necesario que antes del comando de iniciar el servicio se coloque un comando, el cual hace que las librerías que utiliza el script perl se carguen antes de la ejecución de freeRadius y se pueda levantar el servicio y ejecutar el script. Para ver que versión de perl que esta en el equipo se ejecuta el siguiente comando. root@radius:#~ perl -V | grep libperl
Cuando se conoce la versión de perl en este caso libperl.so.5.14.2 se puede ejecutar el
comando para iniciar, reiniciar o detener
FreeRADIUS. root@radius:#~ LD_PRELOAD=/usr/lib/libperl.so.5.14.2 /etc/init.d/freeradius restart
Para comprobar la conexión y funcionalidad tanto del script perl como la configuración de FreeRADIUS existe el comando radtest el
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
18
FreeRADIUS, CoovaChilli y daloRADIUS
cual permite simular una solicitud de RADIUS y comprueba tanto conectividad como parámetros de envío. root@radius:#~ radtest SGA claveSGA 127.0.0.1 1812 clavesegura2
Donde: radtest: nombre del comando SGA: almacenado en el Sistema de Gestión Académico claveSGA: clave del almacenado en el Sistema de Gestión Académico 127.0.0.1: cliente de FreeRADIUS 1812: Puerto por donde escucha la solicitud FreeRADIUS clavesegura2: clave del cliente de FreeRADIUS Una vez enviada la solicitud de , FreeRADIUS se encarga de receptar esta solicitud y dar una respuesta. Sending Access-Request of id 42 to 127.0.0.1 port 1812 -Name = “SGA” - = “claveSGA” NAS-IP-Address = x.x.x.x NAS-Port = 1812 rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=42, length=20 En este caso, al ser correctas las credenciales la solicitud de receptada se acepta al .
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
19
FreeRADIUS, CoovaChilli y daloRADIUS
8.2. Coovachilli A continuación de detalla cuidadosamente el procedimiento de la instalación y configuración de CoovaChilli (portal cautivo) lo que permitirá su adecuado funcionamiento.
8.2.1.Instalación Para configurar Coovachilli lo primero
que hay que realizar es
descargar la última versión desde la página oficial de Coovachilli. root@radius:#~ wget hhtp://ap.coova.org/chilli/coovachilli_1.2.6_i386.deb Luego se procede a instalar del paquete descargado. root@radius:#~ dpkg –i coova-chilli_1.2.6_i386.deb 8.2.2.Configuración del archivo principal de CoovaChilli Dentro de los archivos de CoovaChilli viene un archivo de ejemplo donde están todas las configuraciones globales del portal cautivo. Se procede a copiar el archivo de muestra y renombrarlo como config. root@radius:#~ /etc/chilli/defaults /etc/chilli/config
Se edita el archivo anteriormente creado en donde se encuentran todas las directivas, las cuales se modificaran de acuerdo a las necesidades.
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
20
FreeRADIUS, CoovaChilli y daloRADIUS
root@radius:#~ vi /etc/chilli/config En este caso se seleccionó la red 10.1.0.0 /24 para la interfaz eth1 que es donde se va a recibir las solicitudes de y la interfaz eth0 es donde va tener la conexión con la red de la universidad y el internet. A continuación se muestra los parámetros configurados. HS_WANIF=eth0 #WAN Interface toward the Internet HS_LANIF=eth1 #Subscriber Interface for client devices HS_NETWORK=10.1.0.0 #HotSpot Network (must include HS_UAMLISTEN) HS_NETMASK=255.255.255.0 #HotSpot Network Netmask HS_UAMLISTEN=10.1.0.1 #HotSpot IP Address (on subscriber network) HS_UAMPORT=3990 #HotSpot UAM Port (on subscriber network) HS_DNS1=x.x.x.x HS_DNS2=10.1.0.1 ### # HotSpot settings for simple Captive Portal # HS_NASID=nas01 HS_RADIUS=127.0.0.1 #o localhost HS_RADIUS2=127.0.0.1 HS_UAMALLOW=10.1.0.1/24 HS_RADSECRET=clavesegura2 # Set to be your RADIUS shared secret HS_UAMSECRET=clavesegura3 # Set to be your UAM secret HS_UAMALIASNAME=chilli HS_UAMFORMAT=https://\$HS_UAMLISTEN/cgibin/hotspot.php HS_DEFSESSIONTIMEOUT=7200
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
21
FreeRADIUS, CoovaChilli y daloRADIUS
HS_DEFIDLETIMEOUT=1800 Donde: HS_LANIF: Interfaz de red donde se va a escuchar las peticiones DH y donde se conecta los puntos de en este caso es la eth1. HS_NETWORK: Dirección de red del portal cautivo. HS_NETMASK: Dirección de mascara de la red del portal cautivo. HS_UAMPORT: Puerto donde escucha CoovaChilli. HS_DNS1: Dirección IP del DNS (Sistema de Nombres de Dominio). HS_RADIUS: Aquí se define la dirección IP del servidor RADIUS en este caso como el servidor esta en el mismo equipo que el portal cautivo se define la IP del localhost. HS_RADIUS2: Dirección de IP del servidor RADIUS. HS_RADSECRET:
Clave
FreeRADIUS
se
que
secreta
agregó
del
cliente
anteriormente
localhost en
el
de
archivo
clients.conf. HS_UAMSECRET: clave segura del portal cautivo. HS_UAMFORMAT: Ruta donde se ubica el archivo que se muestra al al momento de conectarse al servidor RADIUS, en este caso se llama hotspot.php el cual se lo describe más adelante. HS_DEFSESSIONTIMEOUT: tiempo que va a durar las sesiones de los s logeados definido en segundos.
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
22
FreeRADIUS, CoovaChilli y daloRADIUS
HS_DEFIDLETIMEOUT: tiempo de inactividad para desconectar a un , también esta definido en segundos. 8.2.3.Configuración del portal cautivo Se crea el directorio donde van a estar almacenados archivos propios del portal cautivo. root@radius:#~ mkdir –p /var/www/hotspot/uam Luego se debe de copiar los archivos necesarios para el funcionamiento de Coovachilli al directorio anteriormente creado. root@radius:#~ /etc/chilli/www/* /var/www/hotspot Se accede al directorio en donde
se va a descargar archivos
adicionales para el correcto funcionamiento del portal cautivo. root@radius:#~ cd /var/www/hotspot/uam Y se procede a descargarlas root@radius:#~ wget http://ap.coova.org/uam/ Se
hace
un
cambio
dentro
del
archivo
/var/www/hotspot/uam/index.html ubicando la dirección IP del portal cautivo. root@radius:#~ sed –i ‘s/coova.org\/js\/chilli.js/10.1.0.1\/uam\/chilli. js/g’ /var/www/hotspot/uam/index.html
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
23
FreeRADIUS, CoovaChilli y daloRADIUS
Se edita el archivo /etc/default/chilli y se modifica la ruta del archivo de configuración. root@radius:#~ vi /etc/default/chilli Para que inicie coovachilli automáticamente se debe poner 1 en START_CHILLI y además para no tener problemas con el que va a manipular el Coovachilli se coloca root en HS_ START_CHILLI=1 CONFFILE=”/etc/chilli.conf” HS_=”root” 8.2.4.Archivo hotspot.php Para la parte visible al donde ingresara los credenciales (Cedula de identidad y clave del SGA) se procedió a modificar un archivo proporcionado por chillispot.org que originalmente esta hecho en perl el cual se lo convirtió a un archivo php. Este archivo se encuentra ubicado en el directorio del servidor web apache2 en /var/www/hotspot/cgi-bin/. tambien se adecuó de acuerdo a las sugerencias de los es del departamento de redes de la Unidad de Redes y Telecomunicaciones. A continuación se muestra el archivo hotspot.php $uamsecret debido a que aquí se pone la clave que se configuró en el archivo principal de CoovaChilli en HS_UAMSECRET, también se fijó en la variable
$redirurl = 'http://www.unl.edu.ec'; ya que esto
permitirá que después de logearse el portal cautivo lo redireccione a la pagina de la universidad.
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
24
FreeRADIUS, CoovaChilli y daloRADIUS
<style type="text/css"> #body{ background-image: url(https://10.1.0.1/fondo3.jpg); background-repeat: no-repeat; background-attachment: fixed; background-position: 50% 0%; }
Si experimenta errores en conexion arse
por favor al (07) 2547252 ext. 127 o envie un correo a
[email protected] c '; # attempt to if ($_GET[''] == ) { $hexchal = pack ("H32", $_GET['chal']); if (isset ($uamsecret)) { $newchal = pack ("H*", md5($hexchal . $uamsecret)); } else { $newchal = $hexchal; }
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
25
FreeRADIUS, CoovaChilli y daloRADIUS
$response = md5("\0" . $_GET[''] . $newchal); $newpwd = pack("a32", $_GET['']); $pap = implode ("", unpack("H32", ($newpwd ^ $newchal))); $titel = 'Inicio de Sesion red UNL'; $headline = 'Inicio de Sesion red UNL'; $bodytext = ''; print_header(); if ((isset ($uamsecret)) && isset($)) { print '<meta http-equiv="refresh" content="0;url=http://' . $_GET['uamip'] . ':' . $_GET['uamport'] . '/logon?name=' . $_GET['Name'] . '&=' . $pap . '">'; } else { print '<meta http-equiv="refresh" content="0;url=http://' . $_GET['uamip'] . ':' . $_GET['uamport'] . '/logon?name=' . $_GET['Name'] . '&response=' . $response . '&url=' . $_GET['url'] . '">'; } print_body(); print_footer(); } # 1: successful if ($_GET['res'] == success) { $result = 1; $titel = 'Registrado en red UNL'; $headline = 'Registrado en red UNL'; $bodytext = 'Bienvenido'; $body_onload = 'onLoad="javascript:popUp(' . $path . '?res=popup&uamip=' . $_GET['uamip']
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
26
FreeRADIUS, CoovaChilli y daloRADIUS
. '&uamport=' . $_GET['uamport'] . '&timeleft=' $_GET['timeleft'] . ')"';
.
print_header(); print_body(); if ($reply) { print '
'; print_header(); print_body(); if ($_GET['reply']) { print '
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
27
FreeRADIUS, CoovaChilli y daloRADIUS
$result = 3; $titel = 'Desconectado de red UNL'; $headline = 'Desconectado de red UNL'; $bodytext = ''; print_header(); print_body(); print_footer(); } # 4: Tried to while already logged in if ($_GET['res'] == already) { $result = 4; $titel = 'Sesion ya iniciada en red UNL'; $headline = 'Sesion ya iniciada en red UNL'; $bodytext = ''; print_header(); print_body(); print_footer(); } # 5: Not logged in yet if ($_GET['res'] == notyet) { $result = 5; $titel = 'Bienvenido a la red UNL'; $headline = 'Bienvenido a la red UNL'; $bodytext = 'Usted esta intentando acceder a la red de la UNL
Por favor use sus datos del S.G.A.'; print_header(); print_body(); print__form(); print_footer(); }
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
28
FreeRADIUS, CoovaChilli y daloRADIUS
#11: Popup1 if ($_GET['res'] == popup1) { $result = 11; $titel = 'Ingresando a red UNL'; $headline = 'Ingresando a red UNL'; $bodytext = 'por favor espere...'; print_header(); print_body(); print_footer(); } #12: Popup2 if ($_GET['res'] == popup2) { $result = 12; $titel = 'Sesion iniciada en red UNL'; $headline = 'Sesion iniciada en red UNL'; $bodytext = 'Cerrar Sesion'; print_header(); print_body(); print_footer(); } #13: Popup3 if ($_GET['res'] == popup3) { $result = 13; $titel = 'Desconectado de red UNL'; $headline = 'Desconectado de red UNL'; $bodytext = 'Iniciar Sesion'; print_header(); print_body(); print_footer(); } # 0: It was not a form request # Send out an error message if ($_GET['res'] == "") {
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
29
FreeRADIUS, CoovaChilli y daloRADIUS
$result = 0; $titel = 'Atencion. No debe estar aqui'; $headline = 'Inicio de Sesion Fallido'; $bodytext = 'Salga de aqui inmediatamente. El logueo debe realizarse mediante el demonio'; print_header(); print_body(); print_footer(); } # functions function print_header(){ global $titel, $path; $uamip = $_GET['uamip']; $uamport = $_GET['uamport']; print "
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
30
FreeRADIUS, CoovaChilli y daloRADIUS
time = Math.round((t.getTime() starttime.getTime())/1000); if (mytimeleft) { time = mytimeleft - time; if (time <= 0) { window.location = \"$path?res=popup3&uamip=$uamip&uamport=$uamp ort\"; } } if (time < 0) time = 0; hours = (time - (time % 3600)) / 3600; time = time - (hours * 3600); mins = (time - (time % 60)) / 60; secs = time - (mins * 60); if (hours < 10) hours = \"0\" + hours; if (mins < 10) mins = \"0\" + mins; if (secs < 10) secs = \"0\" + secs; title = \"Online time: \" + hours + \":\" + mins + \":\" + secs; if (mytimeleft) { title = \"Remaining time: \" + hours + \":\" + mins + \":\" + secs; } if(document.all || document.getElementById){ document.title = title; } else { self.status = title; } } function popUp(URL) { if (self.name != \"chillispot_popup\") { chillispot_popup = window.open(URL, 'chillispot_popup', 'toolbar=0,scrollbars=0,location=0,statusbar=0,men ubar=0,resizable=1,width=500,height=375'); } } function doOnLoad(result, URL, url, redirurl, timeleft) {
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
31
FreeRADIUS, CoovaChilli y daloRADIUS
if (timeleft) { mytimeleft = timeleft; } if ((result == 1) && (self.name == \"chillispot_popup\")) { doTime(); } if ((result == 1) && (self.name != \"chillispot_popup\")) { chillispot_popup = window.open(URL, 'chillispot_popup', 'toolbar=0,scrollbars=0,location=0,statusbar=0,men ubar=0,resizable=1,width=500,height=375'); } if ((result == 2) || result == 5) { document.form1.Name.focus() } if ((result == 2) && (self.name != \"chillispot_popup\")) { chillispot_popup = window.open('', 'chillispot_popup', 'toolbar=0,scrollbars=0,location=0,statusbar=0,men ubar=0,resizable=1,width=400,height=200'); chillispot_popup.close(); } if ((result == 12) && (self.name == \"chillispot_popup\")) { doTime(); if (redirurl) { opener.location = redirurl; } else if (opener.home) { opener.home(); } else { opener.location = \"about:home\"; } self.focus(); blur = 0; } if ((result == 13) && (self.name == \"chillispot_popup\")) {
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
32
FreeRADIUS, CoovaChilli y daloRADIUS
self.focus(); blur = 1; } } function doOnBlur(result) { if ((result == 12) && (self.name == \"chillispot_popup\")) { if (blur == 0) { blur = 1; self.focus(); } } } "; } function print_body(){ global $headline, $bodytext, $body_onload, $result, $path; $uamip = $_GET['uamip']; $uamport = $_GET['uamport']; $url = $_GET['url']; $redirurl = 'http://www.unl.edu.ec'; $urldecode = $_GET['url']; $redirurldecode = $_GET['redirurl']; $timeleft = $_GET['timeleft']; print "
$headline 10713j
"; } function print__form(){ global $path; print '
Universidad Nacional de Loja
Lisset Neyra Fabricio Flores
33
FreeRADIUS, CoovaChilli y daloRADIUS
'; } function print_footer(){ global $footer_text; print $footer_text . '
