7/1/2009

Manual do Administrador | Versão 2.4

ERADMANAGER

2

INDICE

eRadManager – Configuração Básica ................................................................................................................................. 3

Login Inicial ..................................................................................................................................................................... 3

Ecrã Inicial ....................................................................................................................................................................... 3

Gestão Básica .................................................................................................................................................................. 4

Utilizadores ................................................................................................................................................................. 4

Alteração da palavra-chave do administrador ............................................................................................................ 7

Sobre - Informação acerca da versão do Sistema ........................................................................................................... 9

Alteração da palavra-chave do utilizador ....................................................................................................................... 9

eRadManager - Configurações Avançadas ....................................................................................................................... 11

Menu Gestão ................................................................................................................................................................ 11

Utilizadores ............................................................................................................................................................... 11

Perfis ......................................................................................................................................................................... 11

NAS ........................................................................................................................................................................... 13

Realms / Proxys......................................................................................................................................................... 15

Certificados ............................................................................................................................................................... 18

Menu Configuração ...................................................................................................................................................... 19

Manutenção .............................................................................................................................................................. 19

Active Directory ........................................................................................................................................................ 20

FAQ ................................................................................................................................................................................... 24

3

ERADMANAGER – CONFIGURAÇÃO BÁSICA

O eRadManager é uma Interface gráfica de utilizador, do inglês GUI - Graphical User Interface, que permite

configurar determinados parâmetros do Servidor de Autenticação Radius.

Pode aceder à interface gráfica através do endereço web "https://IP_edgeBOX/, substituindo o IP_edgeBOX pelo IP à

qual está ligado. No caso da interface da LAN, o IP por omissão será: 10.1.2.252

Nesta página inicial surgem dois links diferentes:

Alterar Password do Utilizador: explicado na página 9

eRadManager: gestão do servidor Radius

Deverá seleccionar este ultimo link para aceder à aplicação de gestão do servidor de autenticação radius.

NOTA: A interface gráfica está optimizada para os browsers Firefox 2 e 3 e Internet

Explorer 7

LOGIN INICIAL

Na primeira vez que aceder ao GUI do eRadManager será apresentado o ecrã para introduzir as credenciais de

administrador. Por omissão o utilizador é administrador e a password radius.

ECRÃ INICIAL

No ecrã inicial surgem dois atalhos que permitem aceder mais rapidamente aos painéis onde poderá adicionar

utilizadores. O primeiro atalho "Adicionar um utilizador" permite adicionar utilizadores um a um, o segundo atalho

"Adicionar utilizadores em bloco" permite adicionar utilizadores em bloco.

4

GESTÃO BÁSICA

UTILIZADORES

LISTAR UTILIZADORES

Se seleccionar esta opção será mostrada uma listagem de todos os utilizadores existentes, separados por páginas com

25 entradas cada. As acções que pode efectuar são:

Seleccionar Todos - todos os utilizadores da corrente página serão seleccionados;

Seleccionar Nenhum - todos os utilizadores, se seleccionados, deixarão de estar seleccionados;

Apagar - todos os utilizadores seleccionados serão removidos;

Pode editar um determinado utilizador da lista carregando com o rato sobre o nome do utilizador. Pode ainda ordenar

as entradas da lista por ordem crescente ou decrescente de valores de uma das colunas.

Figura 1 - Listar Utilizadores

Na Figura 1 - Listar Utilizadores podemos ver que é possível exportar as palavras-chave iniciais dos utilizadores para

futura distribuição das mesmas.

5

NOVO UTILIZADOR

Para adicionar um utilizador deve preencher os campos "Nome do Utilizador", "Senha" e opcionalmente o "Perfil".

Para os campos "Nome do Utilizador" e "Senha" pode indicar valores ou então escolher valores aleatórios

seleccionando para isso o botão "Aleatório" à frente de cada um dos campos.

Os Perfis previamente configurados deverão ser atribuídos aos utilizadores que se encontram nos seguintes cenários:

Administrativos: Os utilizadores que irão fazem parte da rede Administrativa

Alunos: Os alunos das escolas.

Bloqueados: O utilizadores que se pretendem bloqueados.

Guest: Os utilizadores convidados/temporários.

Professores: Os professores da escola.

Existe um conjunto de caracteres que são inteiramente suportados quer como "nomes" quer como passwords (ver

abaixo Caracteres Válidos), no entanto será permitido adicionar nomes e passwords com caracteres não suportados

tendo o utilizador que ter em conta que estes poderão não funcionar como esperado.

Caracteres Válidos:

Nomes de Utilizadores: [a-zA-Z0-9-_.]

Nomes de Perfis: [a-zA-Z0-9-_.]

Senhas: [a-zA-Z0-9!"#%&'()*+,-./:;<=>?@[]_`{|}]

ADICIONAR UTILIZADORES EM BLOCO

Esta opção permite adicionar um número configurável de utilizadores com as mesmas características Deverá neste

caso fornecer os seguintes parâmetros:

Prefixo de nome de Utilizador - deve introduzir um prefixo do tipo "al", "prof", "gt", etc..

Número de Instâncias a criar - número de utilizadores que quer criar

Comprimento do texto da senha - número de caracteres, aleatórios, que deve ter a senha de cada

utilizador.

Perfil - perfil ao qual serão adicionados os utilizadores a criar.

Por exemplo, se quer criar 100 alunos (perfil Alunos) com passwords com 8 caracteres, e já tem utilizadores até ao

"al2500", pode usar esta função com os seguintes parâmetros:

6

Prefixo de nome de Utilizador - al

Número de Instâncias a criar - 100

Comprimento do texto da senha - 8

Perfil - Alunos

Irá obter no final entradas que vão desde o al2501, al2502 ... al2600.

EDITAR UTILIZADOR

Pode editar um utilizador colocando o seu nome na caixa de texto abaixo de "Editar Utilizador" e seleccionando

"Editar Utilizador". No painel que é mostrado no centro da página pode alterar a senha do utilizador e / ou o perfil do

mesmo. Se seleccionar "Aplicar" as alterações terão efeito imediato.

PESQUISAR UTILIZADOR

Pode pesquisar um utilizador colocando o seu nome na caixa de texto abaixo de "Pesquisar Utilizador" e

seleccionando "Pesquisar Utilizador". No painel que é mostrado no centro da página pode alterar a senha do utilizador

e / ou o perfil do mesmo. Se seleccionar "Aplicar" as alterações terão efeito imediato.

REMOVER UTILIZADOR

Pode remover um utilizador seleccionando esta opção. Deve introduzir o nome do utilizador a ser removido no campo

"Nome do Utilizador" e seleccionando "Aplicar". Pode também remover um grupo de utilizadores utilizando meta

caracteres. Por exemplo, para remover todos os utilizadores com um nome semelhante a "al001xx" pode usar a

seguinte expressão: "al001%'. Para remover todos os utilizadores "Guest", utilizadores com nomes que começam por

"gt", pode usar a expressão "gt%". Para remover todos os utilizadores pode simplesmente usar "%" (sem as aspas) no

campo do nome de utilizador.

IMPORTAR UTILIZADORES

Pode importar utilizadores usando um ficheiro CSV que deve seguir o seguinte modelo: "Utilizador,Senha,Perfil" (com

separação por virgulas). O nome dos utilizadores, senhas e perfis deve seguir o estabelecido em "1.2. Novo Utilizador".

O documento CSV não deve ter cabeçalho, i.e, deve conter apenas linhas com entradas a adicionar. Linhas com nomes

duplicados serão ignoradas. Linhas inválidas terminarão o processo de importação, no entanto as entradas de

utilizadores que antecedem a linha inválida são adicionados ao sistema.

7

ALTERAÇÃO DA PALAVRA-CHAVE DO ADMINISTRADOR

A aplicação que permite gerir o servidor de autenticação faz o controlo de acesso através do nome de utilizador e

palavra-chave. Esta aplicação está configurada por defeito com um administrador e a respectiva palavra-chave. Estas

credenciais devem ser usadas apenas no momento da instalação do sistema. Por motivos de segurança deve alterar a

palavra-chave que está configurada por defeito assim que terminar a instalação.

Para alterar a palavra-chave proceda da seguinte maneira:

1. Faça login na interface gráfica web;

2. Seleccione o separador “Configuração”

3. Seleccione depois o sub separador “Operadores”

4. Escolha, no menu do lado esquerdo, a opção “Listar Operadores”

5. Clique no nome de utilizador “administrador”

Figura 2: Login

Figura 3: Listar Operadores

8

6. Na caixa de texto “Palavra-chave” escreva a nova palavra-chave do administrador

7. Na caixa de texto “Verificação da Palavra-chave” escreva novamente a palavra-chave que introduziu

na caixa de texto de anterior.

8. Clique em “Aplicar”

Figure 4: Configuração da conta do administrador

9

SOBRE - INFORMAÇÃO ACERCA DA VERSÃO DO SISTEMA

Esta

opção exibe um conjunto de dados que poderão ser muito importantes para o apoio aos clientes. A informação

disponível inclui a versão do eRadManager, a versão do edgeBOX e o Identificador da Licença.

ALTERAÇÃO DA PALAVRA-CHAVE DO UTILIZADOR

De modo a poderem efectuar a mudança da palavra-chave, para cenários não

integrados com Acitve Directory, os utilizadores devem dirigir-se ao administrador do

eRadManager.

Cada conta de utilizador é composta por um nome de utilizador e uma palavra-chave, estes elementos são as

credenciais de autenticação para aceder à rede. Sempre que é criada uma conta, a palavra-chave pode ser gerada

automaticamente. Por motivos de segurança e/ou porque a palavra-chave resultou num conjunto de caracteres difícil

de memorizar, o utilizador tem a possibilidade de a alterar procedendo do seguinte modo:

1. O utilizador deve contactar o administrador para que este lhe dê acesso ao GUI onde pode efectuar a

alteração da palavra-chave. A página onde se pode efectuar a mudança da password está disponível em

https://<ip edgeBOX>/ sobre o menu “Alterar Password do Utilizador”.

2. Preencha a caixa de texto do “Utilizador” com o nome do utilizador que pretende alterar a chave;

3. Preencha a caixa de texto “Palavra Chave” com a palavra-chave actual;

Figura 5: Sobre

10

4. Preencha a caixa de texto “Nova Palavra Chave” com a palavra-chave que pretende usar no futuro;

5. Preencha a caixa de texto “Novamente a nova Palavra Chave” repetindo a nova palavra-chave;

6. Clique em “Entrar” para executar a alteração.

Figura 6: Página de alteração da palavra-chave do utilizador

11

ERADMANAGER - CONFIGURAÇÕES AVANÇADAS

Neste capítulo apresentam-se algumas das opções mais avançadas do eRadManager, tipicamente úteis para cenários

mais restritos de utilização.

MENU GESTÃO

Todos os subcapítulos que se seguem recaem sobre o menu Gestão do eRadManager.

UTILIZADORES

No painel de Gestão de Utilizadores pode adicionar endereços de acesso ao meio, MAC - do inglês Media Control

Access, em vez de utilizadores. Uma estação de trabalho pode ser autenticada fornecendo o endereço MAC em vez de

se autenticar com um nome de utilizador e uma senha. Para adicionar endereços MAC deve primeiro seleccionar a

opção "Autenticação por Endereço MAC" e em seguida deve preencher o campo "Endereço MAC" com o endereço de

placa de rede da estação de trabalho na forma "0019db45cc1b", removendo os separadores ":" ou "-" e em

minúsculas. Deve ter em atenção que é necessário configurar o cliente, que irá ser intermediário no processo de

autenticação, para este método de autenticação. Para isso deve consultar o manual do equipamento. Tal como para

os utilizadores, pode também indicar o Perfil ao qual deve ser associada a estação de trabalho identificada pelo

"Endereço MAC".

PERFIS

LISTAR PERFIS

Se seleccionar esta opção será mostrada uma listagem de todos os Perfis existentes, separados por páginas com 25

entradas cada. As acções que pode efectuar são:

Seleccionar Todos - todos os Perfis da corrente página serão seleccionados;

Seleccionar Nenhum - todos os Perfis, se seleccionados, deixarão de estar seleccionados;

Apagar - todos os Perfis seleccionados serão removidos;

Pode editar um determinado Perfil da lista carregando com o rato sobre o nome do Perfil. Pode ainda ordenar as

entradas da lista por ordem alfabética, crescente ou decrescente, do "Nome do Perfil".

12

NOVO PERFIL

Para adicionar um Perfil deve preencher o nome do Perfil e, opcionalmente, o identificador de VLAN, VLAN ID, com

um número inteiro positivo. O VLAN ID é usado apenas por clientes NAS com suporte de atribuição dinâmica de

VLANs. Caso não preencha o VLAN ID com um valor válido, os utilizadores que pertençam a esse perfil, quando se

autenticarem, não serão colocados dinamicamente em nenhuma VLAN. Caso este valor esteja preenchido com um

valor válido, os utilizadores quando se autenticarem no cliente NAS, serão dinamicamente colocados na VLAN com um

identificador igual ao identificador configurado para o perfil. Para configurar o cliente NAS com suporte à atribuição

dinâmica de VLANs deve consultar o manual de utilização do cliente NAS.

Neste painel pode ainda seleccionar a opção "Mostrar Atributos do perfil" o qual mostrará um painel avançado. Para

esconder de novo o painel avançado deve seleccionar "Esconder Atributos do perfil".

ATENÇÃO: Estas opções avançadas podem ter efeitos contrários aos esperados se mal

configurados. Não altere nada neste painel se não souber exactamente o que está a

fazer.

Neste painel avançado poderá configurar diversos atributos Radius, entre os quais atributos proprietários, que serão

reconhecidos apenas por equipamentos de uma determinada marca, ou atributos standard, que serão reconhecidos

pelos equipamentos compatíveis Os atributos que poderá configurar para um determinado perfil inserem-se em duas

categorias:

Atributos Check - Quando o Servidor Radius recebe um pedido de autenticação do cliente NAS,

verifica a existência destes atributos e em caso afirmativo, aplica as configurações do atributo. Por

exemplo se configuramos um atributo "Auth-Type" com a Op. ":=" e o valor "Reject", então todos os

utilizadores que pertençam a este perfil irão ver rejeitados todos os pedidos de autenticação,

mesmo que introduzam as credenciais correctas. Este é o funcionamento do grupo "Bloqueados".

Atributos Reply - Os Atributos configurados como reply serão incluídos no pacote Radius de

resposta ao pedido de autenticação. Por exemplo a atribuição dinâmica de VLAN ID é efectuado

recorrendo a um destes atributos: Atributo - "Tunnel-Private-Group-Id"; Op - ":="; Valor - "3";

Pode ver o tipo de dados esperado para cada um dos atributos carregando com o rato no botão "Tipo do Atributo"

para cada atributo seleccionado na caixa de selecção de atributos. Para aplicar as configurações deve seleccionar a

opção "Aplicar". As alterações terão efeito imediato para todos os novos pedidos de autenticação.

13

EDITAR PERFIL

Pode editar um Perfil colocando o seu nome na caixa de texto abaixo de "Editar Perfil" e seleccionando "Editar Perfil".

No painel que é mostrado no centro da página pode alterar os valores dos atributos Reply, dos atributos Check ou

ainda adicionar novos atributos.

NOTA: Se remover todos os atributos de um perfil, o perfil será automaticamente removido.

REMOVER PERFIL

Pode remover um Perfil seleccionando esta opção. Deve introduzir o nome do Perfil a ser removido no campo "Nome

do Perfil" e seleccionando "Aplicar". Deve ter em atenção que todos os utilizadores que pertenciam a este perfil

ficarão sem perfil atribuído com todas as implicações que daí advêm. Após seleccionar "Aplicar" as alterações serão

aplicadas de imediato para todos os novos pedidos de autenticação.

NAS

NAS é o termo usado para definir um cliente, Ponto de Acesso Wireless ou Comutador de Rede, que será

intermediário no envio de pedidos de autenticação ao Servidor Radius, com base em pedidos de clientes conectados a

esse NAS. Para estes pedidos serem considerados o NAS e o Servidor Radius devem partilhar uma senha comum e o

NAS deve ser adicionado à lista de clientes NAS do Servidor Radius, caso contrário todos os pedidos de autenticação

recebidos com origem no NAS serão ignorados.

LISTAR NAS

Se seleccionar esta opção será mostrada uma listagem de todos os clientes NAS existentes, separados por páginas

com 25 entradas cada. As acções que pode efectuar são:

Seleccionar Todos - todos os clientes NAS da corrente página serão seleccionados;

Seleccionar Nenhum - todos os clientes NAS, se seleccionados, deixarão de estar seleccionados;

Apagar - todos os clientes NAS seleccionados serão removidos;

Pode editar um determinado cliente NAS da lista carregando com o rato sobre o atalho "Editar" na coluna "Acções".

Pode remover um determinado cliente NAS da lista carregando com o rato sobre o atalho "Eliminar" na coluna

"Acções". Pode ainda ordenar as entradas da lista por ordem crescente ou decrescente de valores de uma das

colunas.

14

NOVO NAS

Para adicionar um cliente NAS deve preencher os seguintes campos:

Tipo de NAS - deve escolher um valor da caixa de escolha adequado ao tipo de cliente NAS. Por

exemplo se o cliente é um equipamento Cisco, deve escolher o valor "cisco". Caso o seu

equipamento não seja mencionado na caixa de escolha, deve escolher o tipo "other".

Nome do NAS - deve ser preenchido com um nome que descreve sucintamente o cliente NAS. Este

campo é apenas descritivo.

NAS IP/Host - deve conter o endereço IP do cliente NAS. São permitidas entradas quer de

endereços de rede simples, por exemplo 10.1.2.2, quer de entradas do tipo 10.1.2.0/24;

Código Secreto do NAS - deve conter o código que será partilhado entre o NAS e o Servidor

Radius;

Para aplicar as configurações deve seleccionar a opção "Aplicar". O Servidor Radius será reiniciado para que as

alterações tenham efeito, o que pode demorar até 10 / 15 segundos.

EDITAR NAS

Pode editar um cliente NAS colocando o seu nome na caixa de texto abaixo de "Editar NAS" e seleccionando "Editar

NAS". No painel que é mostrado no centro da página pode alterar qualquer dos valores do cliente NAS pelo valor

pretendido. Se seleccionar "Aplicar" as alterações serão aplicadas e o Servidor Radius será reiniciado para que as

alterações tenham efeito imediato.

REMOVER NAS

Pode remover um cliente NAS seleccionando esta opção. Deve introduzir o nome do cliente NAS a ser removido no

campo "NAS IP/Host" e seleccionando "Aplicar". Após seleccionar "Aplicar" as alterações serão aplicadas e o Servidor

Radius será reiniciado para que as alterações tenham efeito imediato.

15

REALMS / PROXYS

REALMS

Um Realm é um identificador de Domínio de Autenticação de um determinado Servidor Radius. Na forma mais

simples, os Realms são a parte do nome do utilizador a seguir à @ (arroba). Por exemplo se um determinado nome de

utilizador é "joaosilva@escola23.pt" então "escola23.pt" é o Realm. O encaminhamento dos pedidos de autenticação

pode ser efectuado baseado nos Realms. Por exemplo se um utilizador de uma escola "aluno1@escolaX.pt" quiser

autenticar-se na escolaY.pt, então a escolaY.pt tem de ter configurado um Realm "escolaX.pt" que contém a

informação relativa ao servidor de autenticação:

Nome do Realm - "escolaX.pt"

Tipo - "radius" (se não souber o tipo pode usar radius)

Servidor de Autenticação - radius.escolax.pt (podem ser usados quer endereços IP quer nomes

de máquinas FQDN)

Servidor de Acct. - radius.escolax.pt (podem ser usados quer endereços IP quer nomes de

máquinas FQDN)

Código Secreto do Realm - segredo (senha que será usada na comunicação com o Servidor Radius

que serve o Realm - deverá ser igual nos dois)

No Servidor Radius responsável pelo Realm "escolaX.pt", deve ser adicionado um cliente NAS com as credenciais de

cada um dos Servidores Radius que poderão redireccionar os pedidos de autenticação para ele. As senhas "Código

Secreto do Realm" e "Senha" do cliente NAS têm de ser iguais, caso contrário os pedidos serão descartados.

LISTAR REALMS

Se seleccionar esta opção será mostrada uma listagem de todos os Realms existentes, separados por páginas com 25

entradas cada. As acções que pode efectuar são:

Seleccionar Todos - todos os Realms da corrente página serão seleccionados;

Seleccionar Nenhum - todos os Realms, se seleccionados, deixarão de estar seleccionados;

Apagar - todos os Realms seleccionados serão removidos;

Pode editar um determinado Realm da lista carregando com o rato sobre o nome do Realm. Pode ainda ordenar as

entradas da lista por ordem alfabética, crescente ou decrescente, do "Nome do Realm".

16

NOVO REALM

Para adicionar um Realm deve preencher os seguintes campos:

Nome do Realm - "escolaX.pt"

Tipo - "radius" (se não souber o tipo pode usar radius)

Servidor de Autenticação - radius.escolax.pt (podem ser usados quer endereços IP quer nomes

de máquinas FQDN)

Servidor de Acct. - radius.escolax.pt (podem ser usados quer endereços IP quer nomes de

máquinas FQDN)

Código Secreto do Realm - segredo (senha que será usada na comunicação com o Servidor Radius

que serve o Realm - deverá ser igual nos dois)

Para aplicar as configurações deve seleccionar a opção "Aplicar". O Servidor Radius será reiniciado para que as

alterações tenham efeito, o que pode demorar até 10 / 15 segundos.

EDITAR REALM

Pode editar um Realm seleccionando o seu nome na caixa de escolha abaixo de "Editar Realm" e seleccionando

"Editar Realm". No painel que é mostrado no centro da página pode alterar todos os campos com a excepção do

nome do Realm. Se seleccionar "Aplicar" o Servidor Radius será reiniciado de modo a aplicar as alterações de

imediato.

REMOVER REALM

Pode remover um Realm seleccionando esta opção. Deve introduzir o nome do Realm a ser removido no campo

"Nome do Realm" e seleccionando "Aplicar". Após seleccionar "Aplicar" as alterações serão aplicadas e o Servidor

Radius será reiniciado para que as alterações tenham efeito imediato.

PROXYS

Um Proxy é um Servidor Radius para onde devem ser reencaminhados todos os pedidos de Autenticação e / ou

Accounting. Quando um Servidor Radius tem configurado um Proxy de Autenticação, então encaminhará todos os

pedidos de autenticação para esse Proxy.

17

LISTAR PROXIES

Se seleccionar esta opção será mostrada uma listagem de todos os Proxys existentes, separados por páginas com 25

entradas cada. As acções que pode efectuar são:

Seleccionar Todos - todos os Proxys da corrente página serão seleccionados;

Seleccionar Nenhum - todos os Proxys, se seleccionados, deixarão de estar seleccionados;

Apagar - todos os Proxys seleccionados serão removidos;

Pode editar um determinado Proxy da lista carregando com o rato sobre o nome do Proxy. Pode ainda ordenar as

entradas da lista por ordem alfabética, crescente ou decrescente, do "Nome do Proxy".

NOVO PROXY

Para adicionar um Realm deve preencher os seguintes campos:

Nome do Proxy - nome descritivo do Servidor Radius para onde serão encaminhados os pedidos de

autenticação;

Tempo entre Tentativas - tempo a esperar após um pedido de autenticação não respondido para

voltar a enviar um novo pedido (em segundos);

Número de Tentativas - número de tentativas a efectuar em caso de pedidos não respondidos (em

segundos);

Inactivo Após - o servidor será marcado como inactivo após este tempo (em segundos)

Resolver Localmente - os valores possíveis são "yes" ou "no". Se for "yes" então o servidor irá

tentar resolver o pedido localmente, caso contrário não.

Para aplicar as configurações deve seleccionar a opção "Aplicar". O Servidor Radius será reiniciado para que as

alterações tenham efeito, o que pode demorar até 10 / 15 segundos.

18

EDITAR PROXY

Pode editar um Proxy seleccionando o seu nome na caixa de escolha abaixo de "Editar Proxy" e seleccionando "Editar

Proxy". No painel que é mostrado no centro da página pode alterar todos os campos com a excepção do nome do

Proxy. Se seleccionar "Aplicar" o Servidor Radius será reiniciado de modo a aplicar as alterações de imediato.

REMOVER PROXY

Pode remover um Proxy seleccionando esta opção. Deve introduzir o nome do Proxy a ser removido no campo "Nome

do Proxy" e seleccionando "Aplicar". Após seleccionar "Aplicar" as alterações serão aplicadas e o Servidor Radius será

reiniciado para que as alterações tenham efeito imediato.

CERTIFICADOS

GERAR NOVO CERTIFICADO

Se escolher esta opção será gerado um novo certificado que será usado internamente pelo Sistema de Autenticação.

Este certificado será disponibilizado para download de forma a viabilizar a Validação do Certificado do Servidor de

Autenticação pelos clientes.

EXPORTAR

Se houver um certificado disponível para download, no painel no centro da página será disponibilizado o link de onde

pode ser feito o download de um arquivo zip contendo os certificados. O arquivo zip contém um certificado no

formato DER que deverá ser usado em sistemas Windows, e um certificado no formato PEM que poderá ser usado em

outros sistemas como Linux ou Mac OS.

19

MENU CONFIGURAÇÃO

Nos subcapítulos que se seguem serão apresentadas as funcionalidades avançadas que existem no menu

Configuração do eRadManager.

MANUTENÇÃO

TESTAR CONECTIVIDADE DO UTILIZADOR

Este painel permite testar se determinadas credenciais de um utilizador ou de um Servidor Radius estão correctas.

Deve preencher os seguintes campos:

Nome do Utilizador - nome do utilizador a usar no pedido de autenticação;

Senha - senha do utilizador a usar no pedido de autenticação;

Servidor Radius - endereço IP ou nome de host (FQDN) do Servidor Radius que deverá responder

ao pedido de autenticação;

Porto Radius - por defeito este valor deverá ser "1812";

Porto do NAS - este campo poderá ser preenchido com o valor "0";

Código Secreto do NAS - senha secreta que é partilhada entre esta máquina (Servidor Radius local)

e o Servidor Radius remoto. No Servidor Radius remoto deve estar configurado um cliente NAS com

o endereço IP do Servidor Radius local com a senha secreta;

DESLIGAR UTILIZADOR

Este painel permite enviar pedidos PoD, do inglês Packets of Disconnect, para clientes NAS com suporte a este tipo de

pedidos. Esta opção consiste num método de terminar uma sessão já estabelecida. Um PoD é um pacote radius,

Access-Request, que deve ser usado nas situações em que o administrador pretende terminar a sessão de um

determinado utilizador, por exemplo por ter detectado uso fraudulento. De salientar que o cliente NAS ao qual o

utilizador está ligado tem de suportar este tipo de pacotes.

20

ESTADO DO SERVIDOR

Esta opção permite ver se o Servidor de Autenticação está activo ou inactivo e permite ainda alterar o estado actual

do mesmo.

REGISTO DO SERVIDOR

Esta opção permite visualizar os registos (logs) do Servidor de Autenticação permitindo uma rápida avaliação de algum

problema que possa ter ocorrido desde as zero horas do dia actual. Neste registo pode também verificar os pedidos

de autenticação efectuados, quer com sucesso quer falhados.

REGISTO DA APLICAÇÃO

Esta opção permite ver o registo das operações efectuadas na Aplicação de Gestão desde as zero horas do dia actual.

Serão registados os acessos às várias páginas que compõem a aplicação.

ACTIVE DIRECTORY

É possível integrar o eRadManager com um servidor Windows 2000/2003 que esteja a funcionar como Active

Directory para gestão de utilizadores. Assim, o eRadManager delega a autenticação de utilizadores (a validação do

username e password) na Active Directory configurada.

A integração do eRadManager com a Active directory permite também delegar a gestão de Perfis de utilizadores para

a Active Directory. Opcionalmente essa gestão de Perfis poderá ser realizada no eRadManager, mas a autenticação de

utilizadores continua a ser feita na AD.

CONFIGURAÇÃO BÁSICA

Na configuração básica necessitamos dos parâmetros essenciais para uma ligação ao Active Directory. São eles:

Domínio AD: O domínio em questão, exemplo, TEST.LOCAL

Endereço IP: O Endereço IP do Active Directory para se estabelecer conexão, exemplo, 192.168.0.1

Tipo de AD: Windows 2000 ou Windows 2003

Utilizador/Administrador: o utilizador com privilégios de Administração do AD

Password: a palavra-chave de administrador

21

A gestão de perfis de utilizador pode ser realizada de duas formas:

Gerir Perfis de Utilizador no AD: Os grupos são criados no Active Directory e utilizadores são

atribuídos a esses grupos. Assim a equivalência do mesmo grupo no eRadManager faz com que a

uma autenticação de um utilizador na AD seja atribuída uma VLAN configurada no eRadManager. O

único requisito deste esquema é os grupos existentes no Active Directory tenham a mesma

correspondência num Perfil no eRadManager. Por exemplo, o grupo AD "Alunos" se existir na AD,

tem também de existir no eRadManager para atribuir a VLAN definida no perfil Alunos do

eRadManager. Se não for encontrado grupo no AD que faça correspondência com o Perfil no

eRadManager a autenticação é negada.

o Consultar Global Catalog: Esta opção permite configurar a ligação ao AD no porto onde

corre o serviço de Global Catalog. Assim é possível ligar a uma Forest AD com vários

domínios Trusted replicados entre eles, e autenticar utilizadores que existam em qualquer

um dos domínios configurados: bastando para tal identificar no supplicant em qual dos

domínios irá ocorrer a autenticação.

Gerir Perfis de Utilizador no eRadManager: Os perfis de utilizador são geridos no eRadManager mas

a autenticação é feita no Active Directory. Para a gestão de Perfis ser feita no eRadManager é

necessário que o mesmo utilizador que existe no AD, também exista no eRadManager e pertença a

um determinado Perfil. No entanto a gestão de palavras-chave é feita no AD. Se o utilizador existir

no eRadManager e não existir no AD a autenticação é negada (e vice-versa).

No cenário onde a gestão de perfis de utilizador é executada no eRadManager, a ligação

a um Global Catalog é possível sem seleccionar a opção “Consultar Global Catalog”.

Note-se que neste cenário o edgeBOX é apenas responsável pela autenticação, sendo

necessário adicionar Realms com a opção ”nostrip=0” para remover o prefixo de

Domínio nos Usernames. Ver mais informação em como adicionar Realms na página 16

e a ultima nota do capítulo Notas a ter em Consideração, página 22.

CONFIGURAÇÃO AVANÇADA

A configuração avançada é Opcional. Na configuração avançada é possível especificar o Distinguish Name para

localização de Grupos e de Utilizadores no AD caso estes não estejam numa localização standard, isto é, os

utilizadores ou grupos estejam, por exemplo, numa Organizational Unit. Os parâmetros configuráveis são eles:

Administrator DN: O DN do utilizador/administrador responsável pelo acesso à AD, exemplo:

cn=Administrator,cn=users,dc=test,dc=local

Users search Base DN: O DN onde os utilizadores estão localizados, exemplo:

cn=users,dc=test,dc=local

Groups search Base DN: O DN onde os grupos estão localizados, exemplo: cn=users,dc=test,dc=local

22

No cenário de consulta ao Global Catalog estes parâmetros são dispensáveis, já que a

procura do utilizador é executada um nível global, encontrando assim o utilizador e

respectivo grupo em qualquer lugar na hierarquia da Forest.

Caso não sejam especificados valores em algum dos campos mencionados, serão inferidos valores standard em

substituição.

NOTAS A TER EM CONSIDERAÇÃO

Existem alguns requisitos a ter em consideração, bem como algumas particularidades quando a autenticação é

delegada para um Active Directory:

Os relógios do edgeBOX e do Active Directory necessitam estar sincronizados com um desfasamento

máximo de 5 minutos.

Deve ser colocado em primeiro lugar da lista, o servidor de DNS responsável por gerir a AD

(tipicamente o próprio servidor de AD), na lista de Forwarders de DNS da edgeBOX. Isto apenas pode

ser feito no painel de Administração da edgeBOX, disponível na porta 8011.

No cenário em que é utilizada autenticação no AD, mas a gestão de grupos é feita no eRadManager,

é requisito que o utilizador que existe na AD também exista no eRadManager. Isto é essencial para

o eRadManager saber qual perfil atribuir ao utilizador em questão. É ainda criado um grupo

DEFAULT no eRadManager que é o grupo que é atribuído aos utilizadores que autenticam no AD,

mas não existem no eRadManager. A política por omissão é de rejeitar o acesso a esses utilizadores.

Para outra politica basta editar o perfil DEFAULT e definir os atributos a serem respondidos pelo

perfil.

Sempre que é configurado um novo AD no eRadManager, o perfil DEFAULT é adicionado

automaticamente caso ainda não exista. O perfil DEFAULT é responsável por controlar o acesso dos

utilizadores que se autenticam com sucesso no AD mas não pertencem a nenhum perfil. Por omissão

a politica do grupo DEFAULT é rejeitar a autenticação, mas podem ser configurados os atributos do

perfil na gestão de Perfis do eRadManager.

O controlo de acesso da autenticação de máquina executada pelos clientes Windows (aquando do

arranque/desligar da máquina ou no evento de ligar/desligar a ligação de rede) é feito no perfil

DEFAULT, que é criado aquando da configuração de um novo AD no eRadManager. Se a máquina

estiver registada no Domínio AD deverá autenticar com sucesso, sendo o VLAN ID atribuído aquele

que está configurado no perfil DEFAULT. Como o comportamento por omissão deste perfil é o de

rejeitar a autenticação, deverá apagar o mesmo no eRadManager e voltar a criar o perfil DEFAULT

com o VLAN ID 5.

É obrigatório que o nome do perfil DEFAULT seja em maiúsculas, sob pena

de este ser considerado um perfil normal em caso contrário.

23

No cenário em que é feita a gestão de perfis no servidor de Active Directory, o perfil “Guest” não

pode ser utilizado. O Active Directory não permite criar o grupo “Guest” pelo que o perfil do

eRadManager “Guest” deverá ser renomeado para “Convidados”. Basta para tal apagar o grupo

Guest no eRadManager e adicionar um novo grupo “Convidados” para o mesmo efeito. No projecto

PTEDU o grupo Guest/Convidados tem o VLAN ID 5.

No cenário de consulta ao Global Catalog existem alguns requisitos essenciais para garantir que a

atribuição de perfis aos utilizadores acontece sem ambiguidades; são eles:

o Os grupos (perfis) dos utilizadores são grupos universais (Universal Groups), isto é, são

grupos especiais que existem em todos os domínios do AD e identificam quais são os

utilizadores que pertencem ao grupo no contexto de uma consulta ao Global Catalog. Este

requisito inviabiliza a possibilidade de utilizar AD com Domínio Funcional Misto (Mixed

Mode Domain), ou seja, para poder criar Universal Groups é necessário activar o Domínio

Funcional Nativo: 2000 ou 2003.

o Não podem existir utilizadores repetidos ao longo da Forest AD, isto é, um utilizador tem

que existir somente num domínio. Caso não se verifique a autenticação será negado por ser

encontrado um resultado ambíguo na autenticação do utilizador.

No cenário de integração com Active Directory Global Catalog onde a gestão de grupos é executada

no eRadManager, para autenticar utilizadores de outros domínios que não o local do servidor

identificado como Global Catalog, são necessários os requisitos da nota anterior, mais os seguintes:

o Para autenticar utilizadores de outros domínios é necessário indicar no supplicant qual o

domínio AD a autenticar.

o É obrigatório ter Realms, com a opção “nostrip=0” para remover o prefixo de domínio AD

do username. Ao autenticar num domínio da Forest que não o por omissão, o nome de

utilizador que é fornecido ao Radius é DOMINIO\\username. Neste sentido, o Realm

“DOMINIO” com a opção “nostrip=0” removerá o prefixo DOMINIO e tornará o utilizador

válido no contexto do Radius. Todos os domínios da Forest devem ter Realms registados

para remover os prefixos em questão.

O Dominío que anteriormente referimos para a criação dos Realms deverá ser na

realidade o Netbios name do Active Directory.

24

FAQ

Este capítulo será dedicado a algumas perguntas frequentes que crescerá em futuras versões deste manual.

Pergunta 1: “Como apago todos os utilizadores do eRadManager?”

No menu Utilizadores / Apagar Utilizador coloque a palavra reservada % e seleccione aplicar. Todos os utilizadores

serão removidos.

Pergunta 2: “Não consigo ver a palavra-chave de um utilizador.”

Por razões de segurança foi desabilitada a visualização das palavras-chave dos utilizadores. É sempre possível alterar a

palavra-chave dos utilizadores em caso de esquecimento ou extravio da mesma em Utilizadores / Editar Utilizador.

Pergunta 3: “Não consigo encontrar o link para “Exportar contas iniciais”. Onde foi parar?”

Após o Upgrade se o link de “Exportar contas iniciais” não estiver presente é necessário apagar os utilizadores todos

(Pergunta 1) e reinicializar a base de dados do eRadManager em

https://<IP_EDGEBOX>/eradmanager/index_firsttime.php introduzindo novamente o nome da escola e o código

GEPE.

Pergunta 4: “Não consigo autenticar utilizadores: No menu de estado da ligação do eRadManager com o Active

Directory aparece a mensagem “Estado da ligação ao Active Directory: Não é possível autenticar utilizadores” mas

os serviços Samba, Radius e Winbind encontram-se activos. “

Verifique a conectividade do servidor de Active Directory com a edgeBOX e se o relógio se encontra sincronizado. Se

ainda assim se verificar a problema por favor tente configurar novamente no eRadManager a ligação ao Active

Directory.

Pergunta 5: “Como faço para que a autenticação de máquina dos clientes Windows seja válida e tenha uma VLAN

atribuída?“

Se máquina Windows pertencer ao domínio AD, a autenticação de computador deverá ocorrer com sucesso. Para

atribuir uma VLAN para os computadores, deverá configurar o perfil DEFAULT no eRadManager. Por omissão o perfil

DEFAULT rejeita as autenticações, como tal deverá apagar o mesmo e criar um novo perfil DEFAULT agora com o VLAN

ID 5.

É obrigatório que o nome do perfil DEFAULT seja em maiúsculas, sob pena de este ser

considerado um perfil normal em caso contrário.