Manual Usuario Servidor Radius

Telefnica Data Espaa, S.A.
18/01/02 Pgina 1 de 192 www.telefonica-data.com

Propiedad de Telefnica Data Espaa, S.A.
Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A.
MANUAL DE INSTALACION,
CONFIGURACION, OPERACION
Y MANTENIMIENTO DEL
SERVIDOR RADIUS DE PSI
Cdigo: 903468-668-6101
Revisin 3.00.3
28/05/2001
2002 Telefnica Data Espaa, S.A.
Reservados todos los derechos
18/01/02 Pg.: 2 de 192 www.telefonica-data.com
1 Introduccin........................................................................................................ 9
1.1 Objetivo....................................................................................................................9
1.2 Estructura del documento......................................................................................9
1.3 Breve Introduccin al Protocolo RADIUS............................................................10
1.3.1 Paquetes Radius......................................................................................................... 11
1.4 Particularidades del Servidor Radius de PSI ......................................................12
1.4.1 Caractersticas principales........................................................................................... 12
1.4.2 Escenarios de utilizacin del servidor Radius .............................................................. 18
1.4.3 Limitaciones ................................................................................................................ 21
2 Instalacin......................................................................................................... 23
2.1 Instalacin para Solaris 2.5.1 ...............................................................................23
2.2 Instalacin para Linux ..........................................................................................23
2.3 Instalacin para Microsoft Windows NT..............................................................23
2.4 Directorios de Instalacin.....................................................................................24
3 Configuracin.................................................................................................... 25
3.1 Configuracin del Servidor...................................................................................25
3.1.1 Solaris y Linux............................................................................................................. 25
3.1.2 Windows NT................................................................................................................ 25
3.2 Configuracin para Arranque automtico...........................................................26
3.2.1 Procedimiento para plataforma Solaris ........................................................................ 26
3.2.1.1 Informacin Adicional............................................................................................... 28
3.2.2 Procedimiento para plataforma Linux........................................................................... 28
3.2.2.1 Informacin Adicional............................................................................................... 30
3.3 Configuracin para encriptacin de datos de usuario .......................................31
3.3.1 Procedimiento para ejecutar radiusd en modo encriptado. ........................................... 31
3.3.2 Procedimiento para ejecutar radiusddll, con acceso a DBM, en modo encriptado. ....... 31
3.3.3 Procedimento para aadir usuarios con perfiles encriptados a la base de datos DBM.. 32
3.3.4 Procedimiento para crear una nueva clave.................................................................. 32
3.4 Ficheros de Configuracin...................................................................................32
3.4.1 diccionario_INFOVIA................................................................................................... 33
3.4.2 <diccionario_fabricante> ............................................................................................. 35
3.4.3 cfg_local_INFOVIA...................................................................................................... 36
3.4.4 clientes_hw_INFOVIA ................................................................................................. 38
3.4.5 clientes_INFOVIA........................................................................................................ 39
3.4.6 cfg_pool_INFOVIA ...................................................................................................... 39
3.4.7 cfg_pool_clie_INFOVIA............................................................................................... 39
3.4.8 usuarios_INFOVIA. ..................................................................................................... 40
3.4.9 usu.ini ......................................................................................................................... 42
3.4.10 redIP_delegado........................................................................................................... 43
3.4.11 cfg_OPERADOR_INFOVIA
1
........................................................................................ 44
3.4.12 criterios_PROXY......................................................................................................... 44
3.4.13 Criterios_PROXY_letra................................................................................................ 45
3.4.14 fichero.pre-conv .......................................................................................................... 46
3.4.15 fichero.post-conv......................................................................................................... 46
3.4.16 Lista_festivos .............................................................................................................. 46
3.4.17 Fichero_proximo_cambio_hora ................................................................................... 47
3.4.18 accion_llamada ........................................................................................................... 47
3.4.19 snmp_INFOVIA........................................................................................................... 49
3.4.20 clientes_SNMP............................................................................................................ 49
3.4.21 configuracion.routers................................................................................................... 50
4 Operacin.......................................................................................................... 51
4.1 Ejecucin del Servidor Radius.............................................................................51
4.1.1 Solaris 2.5.1 y Linux .................................................................................................... 51
4.1.2 Windows NT................................................................................................................ 51
4.2 Ejecutables del servidor RADIUS.........................................................................51
4.2.1 radiusd..................................................................................................................... 51
4.2.2 radiusddll .................................................................................................................... 52
4.2.3 rad_tool....................................................................................................................... 53
4.2.4 simula ......................................................................................................................... 56
4.2.5 builddbm..................................................................................................................... 57
4.2.6 builddbmmas............................................................................................................... 57
4.2.7 builddbmmen .............................................................................................................. 58
4.2.8 liberar_dirip.sh (liberacin de direcciones IP no reutilizadas)........................................ 58
4.3 Contabilidad ..........................................................................................................61
4.3.1 Gestin Automtica de los Ficheros de Detalle............................................................ 63
4.3.2 Obtencin de Estadsticas........................................................................................... 65
4.3.2.1 Script "ver_estadisticas.sh"-..................................................................................... 66
4.3.2.2 Fichero de configuracin "ver_estadisticas.config" ................................................... 69
4.4 Encriptacin ..........................................................................................................70
4.4.1 encriptar...................................................................................................................... 70
4.4.2 nueva_clave................................................................................................................ 70
5 Mantenimiento................................................................................................... 73
5.1 Ficheros de Trazas................................................................................................73
5.1.1 TRAZAS_INFOVIA...................................................................................................... 73
5.1.2 TRAZAS_INFOVIA_ERR............................................................................................. 75
5.2 Monitorizacin del servidor ..................................................................................75
5.3 Procedimientos de Contingencia.........................................................................80
5.3.1 Problemas en Servidor RADIUS.................................................................................. 80
5.3.1.1 El servidor RADIUS no arranca................................................................................ 80
5.3.1.2 El servidor RADIUS arranca con problemas............................................................. 81
5.3.1.3 No se autentica ningn usuario................................................................................ 81
5.3.1.4 Se produce un alto porcentaje de rechazos.............................................................. 83
5.3.1.5 No se autentica a ningn usuario estando en modo encriptado. ............................... 84
5.3.2 Problemas del servidor radius en modo SNMP............................................................ 84
5.3.3 Problemas en comando builddbm................................................................................ 84
5.3.4 Problemas en comando rad_tool............................................................................... 85
5.3.5 Problemas en comando encriptar.............................................................................. 86
5.3.6 Problemas en comando nueva_clave........................................................................ 86
5.3.7 Procedimientos comunes ............................................................................................ 86
5.3.7.1 Verificacin de Sesiones Pilladas .......................................................................... 86
A Librera de Acceso a Base de Datos ............................................................... 89
A.1 Mdulo UsuExt.c ...................................................................................................89
A.2 Mdulo EscribeFac ...............................................................................................91
B API para desarrollo de aplicaciones encriptadas. ......................................... 93
B.1 Inicializacin..........................................................................................................93
B.2 Encriptacin ..........................................................................................................93
B.3 Desencriptacin ....................................................................................................93
C Introduccin a la funcionalidad de Conversiones ......................................... 95
C.1 Objetivo..................................................................................................................95
C.2 Organizacin .........................................................................................................95
C.3 Gramtica de conversiones..................................................................................95
C.4 Semntica..............................................................................................................97
C.5 Ejemplos ................................................................................................................99
C.6 API para desarrollo de conversiones a medida ................................................101
C.6.1 Inicializacin.............................................................................................................. 102
C.6.2 Conversiones ............................................................................................................ 102
D Gestin de calidades ...................................................................................... 103
D.1 Descripcin de la funcionalidad.........................................................................103
D.2 API de gestin de calidades ...............................................................................103
D.2.1 Inicializacin.............................................................................................................. 103
D.2.2 Obtencin de niveles de calidad................................................................................ 104
E Cdigos de Respuesta................................................................................... 105
F Historia de las Versiones del Servidor Radius............................................. 107
F.1 Version 5.04.01 Radius de PSI (Plataforma Solaris, Linux y NT) .....................107
F.2 Version 5.04.00 Radius de PSI (Plataforma Solaris, Linux y NT) .....................108
F.3 Version 5.03 Radius Proxy Fase II (Plataforma Solaris, Linux y NT) ...............109
F.4 Version 5.02 Radius Proxy Fase II (Plataforma Solaris) ...................................109
F.5 Version 5.01 Radius Proxy Fase II(beta) (Plataforma Solaris)..........................109
F.6 Version 5.00 Radius Proxy Fase I (Plataforma Solaris) ....................................109
F.7 Version 4.00 Modalidad Delegada (Plataformas Solaris, Linux, NT)................110
F.8 Version 3.0b7 (Plataformas Solaris, Linux, NT).................................................110
F.9 Version 3.0 (Plataformas Solaris, Linux, NT).....................................................111
F.10 Version 2.03 (Plataformas Solaris, Linux, NT)...................................................111
G Atributos a Intercambiar entre el PSI y el CVCA (Infova Plus Bsico
Modalidad Delegada)............................................................................................ 113
G.1 Introduccin ........................................................................................................113
G.2 Mensajes a intercambiar entre el CVCA y el PSI Delegado..............................113
G.2.1 Authentication Request (1) (CVCA->PSI) .................................................................. 113
G.2.2 Authentication Accept (2) (PSI->CVCA)..................................................................... 113
G.2.3 Authorization Reject (3)(PSI->CVA)........................................................................... 114
G.2.4 Accounting Request (4) (CVCA->PSI) ....................................................................... 114
G.2.4.1 Accounting-Start (CVCA->PSI) ........................................................................... 114
G.2.4.2 Accounting-Stop................................................................................................. 114
G.2.5 Accounting Responses (5)(PSI->CVA) ...................................................................... 115
G.2.6 Atributos de Desconexin.......................................................................................... 115
H GUA DE INSTALACIN DE CENTROS PROVEEDORES DE INFORMACIN
117
H.1 INTRODUCCIN ..................................................................................................117
H.1.1 OBJETIVO................................................................................................................ 117
H.1.2 CONCEPTOS RELACIONADOS............................................................................... 118
H.1.3 BIBLIOGRAFA......................................................................................................... 119
H.2 DESCRIPCIN DE LOS CENTROS PROVEEDORES DE INFORMACIN.........119
H.2.1 CPI ACCESIBLE SLO DESDE Internet................................................................... 120
H.2.2 CPI ACCESIBLE SLO DESDE InfoVa.................................................................... 120
H.2.3 CPI ACCESIBLE DESDE InfoVa E Internet .............................................................. 121
H.2.4 CPI PARA EL ACCESO A Internet DESDE InfoVa ................................................... 122
H.3 ARQUITECTURA DE UN CPI...............................................................................123
H.4 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE SUN SPARC..................126
H.4.1 CONFIGURACIN DE LA MQUINA UNIX. ............................................................. 128
H.4.1.1 Configuracin de direcciones, interfaces y rutas. ................................................ 128
H.4.1.2 Configuracin del servidor de web...................................................................... 131
H.4.1.3 Configuracin del servidor de RADIUS............................................................... 133
H.4.1.4 Configuracin del servidor DNS.......................................................................... 134
H.4.2 CONFIGURACIN DEL ROUTER .......................................................................... 138
H.4.3 CONCLUSIONES...................................................................................................... 139
H.5 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE PC CON SISTEMA
OPERATIVO LINUX.......................................................................................................139
H.5.1 CONFIGURACIN DE LA MQUINA LINUX............................................................. 140
H.5.1.1 Instalacin de las dos tarjetas Ethernet............................................................... 141
H.5.1.2 Configuracin de direcciones, interfaces y rutas. ................................................ 141
H.5.1.3 Configuracin del servidor de web...................................................................... 143
H.5.1.4 Configuracin del servidor de RADIUS............................................................... 144
H.5.3 CONCLUSIONES...................................................................................................... 146
H.6 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE PC (INTEL) CON
MICROSOFT WINDOWS NT..........................................................................................146
H.6.1 CONFIGURACIN DE DIRECCIONES, INTERFACES Y RUTAS EN EL PC............ 148
H.6.2 CONFIGURACIN DE RUTAS ADICIONALES EN EL PC........................................ 150
H.6.3 Configuracin del servidor de RADIUS...................................................................... 155
H.6.5 CONCLUSIONES...................................................................................................... 156
H.7 CONFIGURACIN DEL SERVIDOR RADIUS Y DEL ROUTER.......................156
H.7.1 CONFIGURACIN DEL SERVIDOR RADIUS........................................................... 158
H.7.1.1 Fichero cfg_local_INFOVIA ................................................................................ 159
H.7.1.2 Fichero clientes_INFOVIA.................................................................................. 160
H.7.1.3 Fichero cfg_pool_INFOVIA................................................................................. 160
H.7.1.4 Fichero cfg_pool_clie_INFOVIA.......................................................................... 161
H.7.1.5 Fichero usuarios_INFOVIA................................................................................. 162
H.7.1.6 Configuracin de la herramienta rad_tool ......................................................... 164
H.8 INFORMACIN ADICIONAL PARA LA INSTALACIN DE UN CPI....................166
H.9 PROCESO ADMINISTRATIVO.............................................................................166
I Gua de Migracin del Radius de un PSI de Infova Plus Directo a Infova
Plus Bsico Modalidad Delegada........................................................................ 169
I.1 Introduccin ........................................................................................................169
I.2 Migracin de un servidor RADIUS PSI a Infova Plus Bsico (Modalidad
Delegada) ......................................................................................................................169
I.2.1 Modificacin de los ejecutables..................................................................................... 169
I.2.2 Modificacin del diccionario. ......................................................................................... 169
I.2.3 Clientes Delegados....................................................................................................... 170
I.2.4 Fichero cfg_OPERADOR_INFOVIA.............................................................................. 170
J REFERENCIAS ................................................................................................ 173
J.1 Obtencin de Estadsticas..................................................................................173
J.1.1 RADREPORT............................................................................................................... 173
J.1.2 RADIUSCONTEXT....................................................................................................... 173
K INTERFAZ DE OPERACION WEB .................................................................. 175
K.1 Instalacin ...........................................................................................................175
K.1.1 Directorios de Instalacin .......................................................................................... 175
K.1.2 Procedimiento de Instalacin..................................................................................... 175
K.2 Configuracin......................................................................................................176
K.3 Operacin ............................................................................................................176
K.3.1 Arrancar Servidor RADIUS........................................................................................ 177
K.3.2 Parar el Servidor RADIUS......................................................................................... 179
K.3.3 Consulta de Estado del Servidor RADIUS ................................................................. 180
L CONFIGURACIN DEL SERVIDOR RADIUS PARA DISTINTOS ESCENARIOS
181
L.1 Configuracion bsica para escenario servidor final con clientes SW.............181
L.1.1 Definicin del escenario ............................................................................................ 181
L.1.2 Configuracin bsica del servidor. ............................................................................. 181
L.1.3 Pruebas del servidor ................................................................................................. 184
L.1.3.1 Arranque del servidor Radius de PSI. .................................................................... 184
L.1.3.2 Pruebas del servidor .............................................................................................. 184
L.1.3.3 Prueba de rad_tool ................................................................................................ 185
M CONTROL DE CAMBIOS DEL DOCUMENTO................................................ 187
GLOSARIO DE TRMINOS Y ACRNIMOS ........................................................ 191
Figura 1-1: Dilogo entre Usuario, NAS y Servidor Radius ________________________________________ 11
Figura 1-2: Servidor final radius con clientes software ___________________________________________ 19
Figura 1-3: Servidor proxy+final radius con clientes software______________________________________ 20
Figura 1-4: Servidor final radius con clientes hardware___________________________________________ 20
Figura 1-5: Servidor proxy+final radius con clientes hardware_____________________________________ 21
Figura H-1: Diagrama de un CPI accesible slo desde Internet. ___________________________________ 120
Figura H-2: Diagrama de un CPI accesible slo desde InfoVa. ___________________________________ 121
Figura H-3: Diagrama de un CPI accesible desde InfoVa e Internet. _______________________________ 122
Figura H-4: CPI con a acceso a Internet desde InfoVa.__________________________________________ 123
Figura H-5: Arquitectura vlida para cualquier tipo de CPI.______________________________________ 125
Figura H-6: Descripcin del CPI tomado como ejemplo. _________________________________________ 128
Figura H-7: Descripcin de CPI tomado como ejemplo. _________________________________________ 140
Figura H-8: Descripcin de CPI tomado como ejemplo. _________________________________________ 148
Figura H-9: Panel de control. ______________________________________________________________ 149
Figura H-10: Configuracin de direcciones IP. ________________________________________________ 150
Figura H-11: Opcin Advanced de configuracin TCP/IP. _____________________________________ 150
Figura H-12: Definicin de bindings de protocolos.___________________________________________ 151
Figura H-13: Grupo de programas del Microsoft Internet Server. __________________________________ 152
Figura H-14: Herramienta de administracin de servidores. ______________________________________ 153
Figura H-15: Definicin de directorios web.___________________________________________________ 153
Figura H-16: Pantalla de definicin del virtual server. ________________________________________ 154
Figura H-17: Servidor web de Microsoft Corporation visto con Microsoft Internet Explorer 2.0 __________ 155
Figura K-1: Ventana de Operacin Web ______________________________________________________ 177
Figura K-2: Arranque de Servidor RADIUS ___________________________________________________ 178
Figura K-3: Parada de Servidor RADIUS_____________________________________________________ 179
Figura K-4: Consulta de Estado de Servidor RADIUS ___________________________________________ 180
1 Introduccin
1.1 Objetivo
En esta gua se presenta la documentacin relativa al Servidor RADIUS de PSI. El presente
servidor (versin 5.04 para Solaris, Linux y Windows NT) es plenamente compatible con los
anteriores (versiones usadas en Infova e Infova Plus)
1
, en el sentido de que incorpora las
funcionalidades y que puede emplearse sustituyendo a los servidores antiguos.
1.2 Estructura del documento
En este documento se proporciona una gua para la instalacin, configuracin operacin y
mantenimiento del Servidor RADIUS de un PSI. La estructura del documento es la
siguiente:
I ntroduccin. Este captulo, adems de los apartados de objetivo y estructura, presenta
una introduccin al protocolo RADIUS., y una visin global del servidor Radius,
atendiendo sobre todo a los distintos escenarios en los que se puede presentar.
I nstalacin. En este captulo se detallan los procedimientos de instalacin en las
distintas plataformas (Solaris , Linux, Microsoft Windows NT) para las que se suministra
el servidor; Se describe adems el contenido de los directorios creados en la instalacin.
Configuracin. Presenta la descripcin de los ficheros de configuracin del servidor
RADIUS y de la herramienta de desconexin de usuarios.
Operacin. En este captulo se describe la funcionalidad y el uso concreto de los
ejecutables suministrados (servidor RADIUS y herramienta adicionales).
Mantenimiento. Presenta una breve descripcin y ejemplos de los ficheros de trazas de
la operacin del servidor RADIUS, as como del registro de los mensajes de error
(fichero de log) del servidor Radius. Se presenta adems una serie de procedimientos de
actuacin ante determinados problemas).
Anexo A. Se describe el API de acceso a base de datos.
Anexo B. Se describe el API de la funcionalidad de conversiones.
Anexo C. Se describe el API de la funcionalidad de gestin de calidades.
Anexo D. Se describe el API de la funcionalidad de encriptacin.
Anexo E. Se describen los cdigos de mensajes utilizados por el RADIUS del PSI,
como extensin al protocolo RADIUS estndar.
Anexo F. Se describen todas las versiones y distribuciones del servidor RADIUS del
PSI, incluyendo la versin actual
1
Es compatible con los servicios de Infova, y los servicios de red IP: Infova Plus DIrecto e Infova
Plus Bsico Modalidad Delegada.
Anexo G. Se describen los atributos que se intercambian entre el CVCA y el RADIUS
de PSI en el servicio Infova Plus Bsico Modalidad Delegada.
Anexo H. Se presenta una gua de instalacin para Centros Proveedores de Informacin.
Esta gua se mantiene en el presente documento por compatibilidad con Infova.
Anexo I . Se describen los pasos necesarios para que un servidor RADIUS de PSI
utilizado en el servicio Infova Plus Directo, se pueda utiizar en el servicio Infova Plus
Bsico Modalidad Delegada.
Anexo J . Presenta una serie de referencias a herramientas freeware susceptibles de ser
usadas para el tratamiento de datos que produce el servidor RADIUS de PSI.
Anexo K. Se presenta la interfaz Web para operacin bsica del servidor RADIUS
Anexo L. Presenta una gua para la instalacin del servidor Radius de PSI para un
escenario propio del servicio Infova Plus Bsico Modalidad Delegada.
Anexo M. Detalla los cambios introducidos en el documentos en cada edicin.
1.3 Breve Introduccin al Protocolo RADIUS
RADIUS son las iniciales de Remote Authentication Dial-In User Service, es decir
autenticacin remota de usuarios de acceso telefnico. Los servidores Radius permiten
autenticar y tarificar a los usuarios que acceden a la red llamando a los servidores de
terminales.
RADIUS es un estndar de la comunidad Internet que fue originalmente desarrollado por
Livingston Enterprisesse y que se especifica en las siguientes RFCs:
Remote Authentication Dial In User Service (RADIUS). RFC 2865 Junio 2000
RADIUS Accounting. RFC 2866. Junio 2000
RADIUS Accounting Modifications for Tunnel Protocol Support. RFC 2867.
Junio 2000
RADIUS Attributes for Tunnel Protocol Support. RFC 2868. Junio 2000
RADIUS extensions. RFC 2869. Junio 2000
RADIUS surgi de la necesidad de centralizar la gestin de un gran nmero de pools de
modems. Los pools de modems son un enlace al mundo exterior y por lo tanto requieren que
se preste una especial atencin a la seguridad. La mejor manera de conseguirlo es
gestionando una nica base de datos de usuarios que permita la autenticacin (verificando el
usuario/ password) y que adems recoja informacin detallada sobre la configuracin del
tipo de servicio a prestar al usuario (por ejemplo, SLIP, PPP, telnet, rlogin), as como la
informacin especfica del dispositivo de acceso, tipo de acceso (RDSI, RTC) y
caractersticas del acceso (p.e: velocidad de transmisin).
El entorno del acceso remoto basado en RADIUS consta bsicamente de tres elementos,
como se observa en la figura; el usuario, el servidor de acceso a la red (NAS) y el servidor
RADIUS.
Figura 1-1: Dilogo entre Usuario, NAS y Servidor Radius
El usuario remoto se conecta a la red a travs de cualquier dispositivo de acceso remoto
(RAS, firewall o router), el dispositivo se comunica con el servidor Radius, mediante el
protocolo del mismo nombre, para determinar si el usuario tiene permiso de conectarse y si
as es, el tipo de conexin a establecer.
El servidor Radius acepta o rechaza la conexin, basndose en los resultados de la
autenticacin, y responde con la informacin necesaria autorizando un tipo particular de
conexin o de servicio. El servidor de acceso remoto (NAS) establece entonces la conexin
del usuario. Cuando el usuario se desconecta, el dispositivo de acceso remoto informa al
servidor Radius, que almacena un registro de contabilidad.
1.3.1 Paquetes Radius
Un servidor RADIUS y un cliente RADIUS se comunican mediante paquetes RADIUS. Los
paquetes RADIUS se formatean de acuerdo con las convenciones que se presentan en la
RFC 2865 para los paquetes de autenticacin, y la RFC 2866 para los paquetes de
contabilidad.
Bsicamente lo que hay que saber sobre los paquetes RADIUS es lo siguiente:
Transportan mensajes entre el cliente y el servidor RADIUS
1
.
Siguen una convencin de peticin/respuesta: El cliente enva una peticin y espera una
respuesta del servidor. Si la respuesta no llega, el cliente puede reintentar la peticin
peridicamente.
Cada paquete sirve para un propsito especfico: autenticacin o contabilidad.
Un paquete consta de la cabecera, donde se presenta el cdigo o tipo de mensaje, el
identificador del mensaje y la longitud y el autenticador del mensaje, y de una serie de
cero o ms atributos codificados segn la convencin de tipo, longitud, valor.
Los atributos especficos que contiene un mensaje dependen del tipo de paquete
(contabilidad o autenticacin) y del cliente que lo enva.
1
Los paquetes RADIUS se transportan usando el protocolo UDP (no orientado a conexin y recepcin
no garantizada), por lo que si la respuesta no llega en un tiempo determinado, se pueden producir
retransmisiones.
1.4 Particularidades del Servidor Radius de PSI
En este apartado se describen las caractersticas principales del producto objeto de este
manual, as como los escenarios ms comunes de utilizacin y finalmente las limitaciones
del presente servidor Radius.
1.4.1 Caractersticas principales
Plataforma de ejecucin
El Servidor Radius de PSI se suministra para las plataformas:
SUN/Solaris (probado con Solaris 2.5.1)
Linux (probado con Red Hat 5.2)
Windows NT (probado con NT4 Server con Service Pack 6)
Flexibilidad
El Servidor Radius admite tanto clientes hardware (servidores de tneles, por ejemplo),
como clientes software (otro servidor Radius) por separado o simultneamente. Tambin
puede actuar en modo Proxy -reenviando las peticiones a otro servidor Radius de acuerdo
con diversos criterios-.
Autenticacin de usuarios
Permite autenticar la identidad de los usuarios que se conectan mediante un mecanismo de
login/password y les asigna determinados atributos opcionales que caracterizan las
propiedades de su conexin.
Sigue las recomendaciones anunciadas en la RFCs de definicin del protocolo Radius.
Contabilidad de la conexiones establecidas
Permite recibir y almacenar la informacin de contabilidad de una sesin enviada por los
servidores de terminales. Son datos del tipo hora de inicio, hora de fin de conexin,
nmero de paquetes enviados, etc.
Sigue las recomendaciones anunciadas en la RFCs de definicin del protocolo Radius.
La informacin de contabilidad (horas de inicio y de final de la conexin, nmero de bytes
transmitidos, etc...) se guarda en un fichero distinto para cada cliente Radius, u
opcionalmente en el mismo fichero.
Base de Datos de Usuarios
La base de datos de usuarios puede consistir en un simple fichero de texto, en una base de
datos DBM, o bien en otra base de datos comercial que el cliente implemente usando el API
mencionada en el prrafo relativo a las libreras dinmicas.
Asignacin de Direcciones IP/ Asignacin de Calidades de Acceso a Internet
Si el servidor Radius atiende a clientes hardware, las direcciones IP se asignarn a partir de
los datos contenidos en un fichero de configuracin. Las direcciones IP se pueden distribuir
en pooles, los cuales tienen asociada una determinada calidad de acceso a Internet.
Si el servidor Radius atiende a clientes software, se podrn asignar distintas calidades de
acceso a Internet a distintos usuarios.
Funcionalidad Proxy, y criterios aplicables
El servidor Radius-Proxy podr ser configurado para funcionar en modo proxy, de tal forma
que reenve las peticiones Radius que le lleguen hacia uno o varios servidores Radius. Para
seleccionar el servidor Radius destino de la peticin, el servidor Proxy-Radius podr ser
configurado siguiendo los siguientes tipos de criterios que se indicarn en un fichero de
configuracin:
Para el caso de usuario que no sea de tarifa plana:
Por direccin IP de cliente Radius
Cuando llegue una peticin Radius procedente de la direccin IP indicada, se proceder
a reenviar dicha peticin hacia el servidor Radius destino configurado.
Por nemnico
Cuando llegue una peticin Radius procedente de un usuario que contenga el nemnico
indicado, se proceder a reenviar dicha peticin hacia el servidor Radius destino
configurado.
Por telfono llamante
Cuando llegue una peticin Radius procedente de un usuario cuyo telfono coincida con
el indicado en el criterio, se proceder a reenviar dicha peticin hacia el servidor Radius
destino configurado.
Para el caso de usuario de tarifa plana:
Por la inicial del login-name del usuario
Cuando llegue una peticin Radius procedente de un usuario cuya primera letra del
login-name coincida con la indicada en el criterio, se proceder a reenviar dicha peticin
hacia el servidor Radius destino configurado.
Asignacin de direccin IP
El servidor Radius, funcionando en modo proxy, conocer por configuracin que debe de
asignar direccin IP a los usuarios (por tratarse de paquetes procedentes de clientes radius
hardware) y proceder a interceptar los paquetes Radius de Auth y Stop, procediendo como
sigue:
En los paquetes de respuesta afirmativa a una peticin Auth se analizar dicho paquete
de respuesta en el Radius-Proxy y, en el caso de que el servidor final no haya asignado
una direccin IP, se proceder a asignar una direccin IP y a enviar el paquete Radius
modificado hacia el cliente Radius.
Para cada paquete de Stop recibido, se analizar su contenido y si corresponde al fin de
una sesin en la que el servidor Radius-Proxy asign anteriormente una direccin se
proceder a liberar dicha direccin IP.
Calidades de direccin IP
La calidad de las direcciones IP asignadas ser obtenida a partir del valor del atributo
Ascend-IP-Pool. En caso de que este atributo no exista, se asignara una direccin IP de una
calidad configurada por defecto.
Conversin de atributos
Esta funcionalidad permite configurar al servidor Radius-Proxy para que realice una
conversin de atributos y/o valores en los atributos antes de reenviar cada peticin al
servidor Radius final.
Para ello se emplea un fichero de configuracin en el cual se especifican los atributos o
parejas atributo/valor a modificar, aadir o borrar. Cuando el Servidor Radius-Proxy
funcionando en modo proxy reciba una peticin Radius proceder a analizar sus atributos
para realizar la conversin de atributos configurada. Despus se proceder al reenvo de la
peticin modificada.
El diccionario de datos del Servidor Radius-Proxy ser nico en entrada y en salida, no
permitindose por tanto la conversin del tipo de un mismo atributo (p.ej. no se permitir la
conversin de un atributo de tipo int como tipo char).
Esta conversin puede efectuarse en dos momentos distintos; antes del tratamiento del
paquete por el servidor radius proxy (pre-conversin) y despus del tratamiento del paquete
por dicho servidor (post-conversin).
Reutilizacin de direcciones IP no liberadas
Ocasionalmente se pueden producir inconsistencias entre la informacin que tiene el servidor
radius sobre las conexiones activas y la informacin que un terminador de tneles guarda.
Esto puede provocar que se agoten los pooles de direcciones de un cliente, debido a que no
se reutilizan las direcciones cuya sesin asociada ha sido liberada fsicamente.
La presente funcionalidad permite obtener las direcciones que el RADIUS errneamente
tiene asignadas, y en tal caso, reutilizarlas.
Se interrogar por SNMP a los equipos terminadores de tneles definidos en un fichero de
configuracin sobre las direcciones asignadas y se compararn con la informacin que tiene
el servidor radius. Aquellas direcciones que el radius tenga como asignadas, pero que no
estn asignadas por el terminador de tneles se reutilizarn. Al final el proceso, se emitir un
informe (en formato ASCII o HTML, segn se escoja) sobre el resultado de las operaciones.
La misma funcionalidad puede ejecutarse en modo informe, sin realizar la liberacin de
direcciones IP. Este informe de direcciones IP a reutilizar puede obtenerse en formato ASCII
o en formato HTML
La presente funcionalidad no requiere la intervencin de un operador, lo que permite
incorporarlas en procedimientos peridicos y automticos.
Servicio de tarifa plana y control de fraude
Proporciona un modo especial de funcionamiento para el servidor radius, cuando est
configurado como radius final, para soportar a los usuarios que contraten el servicio de tarifa
plana. Se deber configurar para ello un "alias" determinado para distinguir a los usuarios
con tarifa plana del resto de usuarios.
As mismo, las fechas de comienzo y final de la tarifa plana sern tambin parametrizables
mediante la inclusin de nuevas variables en el correspondiente fichero de configuracin. Se
considerarn como das festivos los sbados y los domingos, as como los festivos de mbito
nacional que se indiquen en un determinado fichero de configuracin.
Ante una llamada de un usuario que ha contratado la tarifa plana, se devolver a los
servidores de terminales el timeout de conexin del usuario.
Para el mecanismo de control de fraude, se aplicarn las siguientes facilidades:
Configuracin del nmero de sesiones simultneas por usuario
En el perfil de cada usuario del servicio de tarifa plana se puede indicar el nmero mximo
de sesiones simultneas que pueden establecerse.
En el caso de estar establecida una sesin desde RTB con un nmero de telfono A y
recibirse una nueva peticin de conexin desde el mismo nmero A, no se incrementar el
nmero de sesiones simultneas establecidas por el usuario. Se supone que no se ha recibido
an el paquete de stop de la primera sesin. En el mismo caso pero con la llamada por RDSI,
se incrementar el nmero de sesiones.
Configuracin de la accin a realizar con usuarios de RTB que no
lleven nmero de telfono llamante
Se podr configurar la realizacin de una de las siguientes acciones en respuesta a una
llamada de un usuario de RTB del servicio de tarifa plana que no lleve nmero de telfono
llamante:
o Rechazar, o aceptar, en funcin del mnemnico
o Rechazar, o aceptar, en funcin del loginname
o Rechazar, o aceptar, en funcin del tiempo
Configuracin de la accin a realizar con los usuarios de RDSI
que empleen el mismo nmero llamante
Se podr configurar la realizacin de una de las siguientes acciones en respuesta a una
llamada de un usuario de RDSI del servicio de tarifa plana que emplee el mismo nmero
llamante que el utilizado para otra conexin todava activa:
o Rechazar, o aceptar, los accesos desde el mismo nmero origen
o Rechazar, o aceptar, en funcin del tiempo
Encriptacin de loginames y passwords en los ficheros de perfiles de
usuario
Se proporcionan los mecanismos necesarios para la encriptacin de los atributos de "login" y
"password" de los perfiles de usuario, tanto sobre ficheros de perfiles de texto como sobre
fichero de perfiles en formato DBM.
El servidor Radius se puede configurar para funcionar en cualquiera de las dos modalidades,
acceso a datos de perfiles de usuario "en claro", o trabajo con datos de perfiles de usuario
encriptados.
Gestin SNMP del servidor Radius
El servidor Radius cumple las siguientes RFCs de acceso por protocolo SNMP y definicin
de datos y estadsticas a almacenar en el servidor:
RADIUS Authentication Client MIB. RFC 2618. Junio 1999.
RADIUS Authentication Server MIB. RFC 2619. Junio 1999.
RADIUS Accounting Client MIB. RFC 2620. Junio 1999.
RADIUS Accounting Server MIB. RFC 2621. Junio 1999.
Asi pus se acepta peticiones SNMP, versin 1 y versin 2, de cualquier gestor (cliente)
SNMP sobre la informacin definida en dichas RFCs.
La informacin que puede ser consultada es de dos tipos:
Informacin sobre la configuracin interna del cliente o servidor Radius, por ejemplo,
direccin IP y puerto UDP donde reside el proceso Radius, secretos compartidos.
Informacin de operacin, como por ejemplo, nmero de paquetes recibidos de
autenticacin, rechazados, descartados, de contabilidad, etc.
Solo se aceptarn peticiones SNMP recibidas desde los clientes SNMP declarados en el
oportuno fichero de configuracin y que empleen la correspondiente clave definida en dicho
fichero.
Libreras Dinmicas (APIs)
El Radius de TID posee una serie de APIs que se implementan como libreras dinmicas. Se
proporciona el cdigo fuente de estas libreras, al objeto de que se puedan adaptar fcilmente
al entorno. Son las siguientes:
Librera de acceso a Base de Datos. Permite utilizar diversos gestores de base de datos
(p.e. Oracle) como base de datos de usuarios. A modo de ejemplo se ofrece la
implementacin del acceso a una base de datos DBM y a fichero plano.
Libreria para gestin de calidades de direcciones IP. El servidor Proxy- Radius podr ser
configurado para que llame a una funcin de una librera dinmica cada vez que tenga
que asignar una direccin IP. Dicha funcin tendr como parmetro el paquete radius
recibido y su salida se interpretar como la calidad de la direccin IP a asignar por el
servidor Radius-Proxy.
Libreria para conversin de atributos. El servidor Proxy-Radius podr ser configurado
para que llame a una funcin de una librera dinmica cada vez que recibe un paquete
Radius. Dicha funcin tendr como parmetros de entrada el paquete radius recibido, el
origen de dicho paquete, el destino al que se enviara dicho paquete y tendr como salida
el paquete radius modificado a reenviar.
Librera de contabilidad: Escribe registros de contabilidad. Se proporciona como
ejemplo la implementacin de escritura sobre fichero plano.
Librera de encriptacin: Permite que el servidor radius acceda a determinados
algoritmos de encriptacin para que sean utilizados a la hora de leer un fichero de
perfiles de usuario encriptado con esos mismos algoritmos.
Gestin bsica del servidor Radius
Se proporciona una herramienta de gestin y monitorizacin del servidor radius que permite
las siguientes facilidades de gestin:
Activacin y desactivacin de escritura en fichero de mensajes de trazas.
Consulta del estado actual del servidor Radius.
Parada del servidor Radius.
Consulta de usuarios conectados.
Liberacin local de una sesin, para clientes hardware.
Liberacin de una sesin, para clientes software.
Obtener las direcciones asignadas en un determinado momento por el servidor Radius-
Proxy y las direcciones libres.
Liberar direcciones IP asignadas por el servidor Radius-Proxy y liberar sesiones en el
servidor Radius destino del proxy. Mediante esta opcin se garantiza la liberacin tanto
de la direccin IP asignada en el servidor Radius-Proxy como de la sesin Radius
establecida en el servidor Radius final. Para ello la herramienta rad_tool junto con el
Radius Proxy simularn un paquete de Stop de la sesin del usuario.
Consulta del nmero de sesiones, se podr obtener el nmero de usuarios que estn
conectados en un momento dado.
Consulta de los datos de las sesiones que tenga establecidas un usuario concreto.
Utilidades adicionales
El producto presenta la siguientes utilidades adicionales:
Herramienta de simulacin: Permite simular el envo de cualquier paquete Radius y
verificar la respuesta recibida. Esta herramienta se implementa mediante un comando de
la lnea de comandos, por lo que se pueden realizar pruebas ms complejas mediante
Scripts.
Gestin automtica de ficheros de log: Herramienta que pasar los histricos (ficheros
de logs) a formato comprimido pasado un cierto tiempo o cuando la ocupacin del
disco sobrepase un cierto margen y borre los histricos sin comprimir.
Arranque automtico del servidor: Posibilidad de incluir una llamada al arranque del
servidor en los ficheros de arranque de la mquina en la que se ejecuta.
Actualizacin de ficheros DBM en tiempo real: Permite dar de alta y de baja usuarios en
ficheros DBM en tiempo real, sin tener que regenerar todo el fichero.
Obtencin de estadsticas a partir de los logs del servidor: Permite obtener
informacin de estadsticas sobre llamadas producidas, tiempos medios, etc, a partir de
los ficheros de logs generados por el servidor Radius. Permite asmismo formatear la
salida de dicha informacin como salida HTML o en formato tabular (colunmas de
nmeros sin cabeceras) para ser importadas directamente por herramientas de ofimtica
como Excel.
Monitorizacin del servidor
Se genera un fichero que contiene un registro de los mensajes de error producidos por el
sistema.
Existe tambin la posibilidad de depuracin de la ejecucin mediante los ficheros de trazas.
Estas pueden tener distinto nivel de detalle segn se especifique en los parmetros de
lanzamiento del servidor, o bien posteriormente mediante la ejecucin de un comando.
1.4.2 Escenarios de utilizacin del servidor Radius
El servidor radius puede emplearse en los siguientes escenarios. Tambin puede emplearse
combinando a la vez varios de estos escenarios.
Servidor final radius con clientes software
Escenario propio del servicio Infova Plus Bsico Modalidad Delegada de la red IP
En este escenario el servidor radius atiende a clientes software (clientes que se definen en el
fichero redIP_delegado), no asigna direcciones, puede guardar informacin sobre las
sesiones de los usuarios.
En la siguiente figura se presenta un ejemplo de este escenario:
Figura 1-2: Servidor final radius con clientes software
Servidor proxy+final radius con clientes software
Escenario propio del servicio Infova Plus Bsico Modalidad Delegada de la red IP
En este escenario se emplean dos instancias del servidor radius, una configurada como
servidor proxy y otra configurada como servidor final. Estas instancias pueden encontrarse
en la misma o en en distintas mquinas. Cualquiera de estas instancias puede ser sustituida
por un servidor radius distinto al aqu presentado, siempre y cuando sea compatible con el
protocolo Radius tal y como se indican en las RFCs detalladas ms arriba. Las tareas
realizadas por cada instancia son:
Como servidor proxy, atiende a clientes software y no realiza asignacin de direcciones
IP ni realiza control de sesiones de usuario. Puede realizarse conversin de atributos
sobre los paquetes recibidos y progresados.
Como servidor final, atiende como cliente software al servidor proxy, no realiza
asignacin de direcciones IP, puede guardar informacin sobre las sesiones de los
usuarios.
Figura 1-3: Servidor proxy+final radius con clientes software
Servidor final radius con clientes hardware
Escenario propio del servicio Infova Plus Directo de la red IP
En este escenario el servidor radius atiende a clientes hardware (clientes que se definen en el
fichero clientes_hw_INFOVIA), asigna direcciones IP y controla las sesiones de los usuarios
cuyas peticiones de autenticacin se realicen a travs de este tipo de clientes.
Figura 1-4: Servidor final radius con clientes hardware
Servidor proxy+final radius con clientes hardware
Escenario propio del servicio Infova Plus Directo de la red IP
En este escenario se emplean dos instancias del servidor radius, una configurada como
servidor proxy y otra configurada como servidor final. Estas instancias pueden encontrarse
en la misma o en en distintas mquinas. Cualquiera de estas instancias puede ser sustituida
por un servidor radius distinto al aqu descrito, siempre y cuando sea compatible con el
protocolo Radius tal y como se indican en las RFCs detalladas ms arriba. Las tareas
realizadas por cada instancia son:
Como servidor proxy, atiende a clientes hardware, realiza asignacin de direcciones IP
(en el caso de que el servidor final, al aceptar una conexin, no haya asignado
previamente direccin IP) ni realiza control de sesiones de usuario. Puede realizarse
conversin de atributos sobre los paquetes recibidos y progresados.
Como servidor final, atiende como cliente (hardware o software) al servidor proxy,
puede realizar asignacin de direcciones IP (si el servidor proxy est definido como
cliente hardware), y guarda informacin sobre las sesiones de los usuarios.
Figura 1-5: Servidor proxy+final radius con clientes hardware
Nota: El servidor Radius puede ser utilizado en entornos que no sean el de la red IP
dada su compatibilidad con las RFCs que definen el protocolo Radius.
1.4.3 Limitaciones
El servidor Radius presenta las siguientes limitaciones:
Las siguientes facilidades no estn disponibles para plataformas Linux:
Facilidad de obtencin de estadsticas a partir de los logs del servidor.
Facilidad de liberacin automtica de sesiones pilladas
Las siguientes facilidades no estn disponibles para plataformas Windows NT:
Facilidad de gestin automtica de ficheros de log.
Facilidad de arranque automtico del servidor.
Facilidad de acceso a ficheros DBM, ni actualizacin de ficheros DBM en tiempo
real.
Facilidad de obtencin de estadsticas a partir de los logs del servidor.
Facilidad de liberacin automtica de sesiones pilladas
La facilidad de liberacin automtica de sesiones pilladas slo se garantiza su
compatibilidad con la versin 12.0(7)T del IOS de los equipos de Cisco.
El correcto funcionamiento del Radius-Proxy depende de que el cliente radius a utilizar
enve la informacin necesaria para realizar el proxy en los paquetes Radius. Esta
informacin puede consistir en el login de usuario, el telfono llamado o cualquier otro
atributo que forme parte del criterio por el que se hace proxy de los paquetes radius. En
el caso de que el radius proxy no tenga la informacin necesaria reenviar la peticin a
un servidor radius configurado como defecto.
El correcto funcionamiento del Radius-Proxy depende de que el servidor Radius al que
se reenvan los mensajes cumplan las directivas recogidas en las RFCs del protocolo
Radius. En particular, debe de cumplir las directivas que indican que un servidor debe
devolver intactos los atributos marcados como Proxy en el paquete de respuesta.
El servidor Radius-Proxy se limitar a reenviar una y solo una vez cada uno de los
paquetes que reciba, recayendo en el cliente Radius la labor de los reintentos de
peticiones Radius.
No existirn funcionamientos mixtos Proxy-No Proxy. El servidor Radius.Proxy
funcionando en modo proxy no realizar nunca validacin local de ningn tipo. En caso
de que est configurado en modo no proxy realizar siempre una validacin local y
nunca actuar como proxy.
La cada o parada no controlada del servidor Radius-Proxy provocar la perdida de la
informacin de direcciones IP asignadas y su correspondiente desincronizacin con las
sesiones en curso en los servidores Radius finales.
2 Instalacin
2.1 Instalacin para Solaris 2.5.1
El servidor de Radius Delegado para SUN/Solaris 2.5.1 se suministra en un paquete
denominado p001PS54.
Para realizar la instalacin deber ejecutarse como usuario root el comando:
pkgadd -d <directorio_del_paquete> <nombre_del_paquete>
El paquete instala los ficheros binarios, documentacin y fuentes en el directorio /opt/
radius5.04
1
.
Nota: En el caso de una reinstalacin se precisa borrar previamente las antiguas
libreras de nombre libInfovia*, libCalidades* y libFiltro* que pudieran
encontrarse en el directorio /usr/lib.
2.2 Instalacin para Linux
El servidor de Radius para Linux se suministra por medio de un fichero con formato tar
denominado radiusPSI_LINUX_V5_04_xy.tar
2
.
Para instalar el servidor deben ejecutarse los siguientes comandos como usuario root:
cd /opt
tar -xvf <nombre_del_fichero_tar>
El paquete instala los ficheros binarios, documentacin y fuentes bajo el directorio donde se
ha ejecutado el comando tar, es decir ./radius5.04
1
.
Nota: En el caso de una reinstalacin se precisa borrar previamente las antiguas
libreras de nombre libInfovia* que pudieran encontrarse en el directorio
/usr/lib.
2.3 Instalacin para Microsoft Windows NT
El servidor de RADIUS se suministra como un fichero autoejecutable
radiusPSI_NT_V5_04_xy.exe
2
. Al ejecutarlo se instala en el directorio
c:\radius5.04
1
.
1
Se aconseja hacer un link simblico de tal manera que /opt/radius ---> /opt/radius5.04, ./radius --> ./
radius5.04 y c:\radius5.04 se renombra como c:\radius. A este directorio genrico nos referiremos a
partir de ahora como directorio de instalacin.
2
5.04 representan la versin instalada , xy representa el nmero de distribucin.
2.4 Directorios de Instalacin.
El paquete genera los siguientes directorios y ficheros bajo el directorio de instalacin:
bin/ Contiene los ejecutables del servidor RADIUS, que se explican en el captulo
siguiente.
doc/ Contiene el presente documento.
lib/ Contiene libreras y ficheros fuente de diversas utilidades. Se incluye un fichero
de documentacin denominado LEEME_msj. Las libreras se emplean para poder usar
diversas fuentes de datos para la informacin sobre perfiles de usuario y el
almacenamiento de la contabilidad, para la gestin de calidades y para la conversin de
atributos. Para consultar mas detalles sobre su uso, consultese el apartado Apartado
4.2.2 radiusddll .
raddb/ Contiene los ficheros de configuracin necesarios para el funcionamiento del
servidor. Se describen individualmente ms adelante.
bateria_infovia/ Este directorio contiene un conjunto de ficheros de
configuracin de ejemplo, y un script denominado bateria, un programa que
permite realizar automticamente un conjunto de pruebas para el Servidor RADIUS. Las
pruebas se realizan localmente utilizando las herramientas simula_infovia y
rad_tool. Se simulan las peticiones que efectuara un cliente NAS para usuarios del
servicio Infova+ Directo.
bateria_delegado/ Este directorio contiene un conjunto de ficheros de
configuracin de ejemplo, y un script denominado bateria, un programa que
permite realizar automticamente un conjunto de pruebas para el Servidor RADIUS. Las
pruebas se realizan localmente utilizando las herramientas simula_delegado y
rad_tool. Se simulan las peticiones que efectuara el CVCA de la Red IP para
usuarios del servicio Infova + Bsico (Modalidad Delegada).
Adems de los directorios anteriores, pueden ser de utilidad los siguientes ficheros de texto
que se encuentran en el directorio de instalacin:
LEEME_INFOVIA. Documentacin general sobre el Servidor RADIUS para el CPI de
Infova, funcionalidad, ficheros de configuracin, procedimiento de instalacin...
LEEME_VERSION. Notas sobre las distintas versiones del servidor RADIUS.
LEEME_DELEGADO. Documentacin general sobre el Servidor RADIUS para el PSI
de la Red IP, funcionalidad, ficheros de configuracin, procedimiento de instalacin...
INSTALL_MENS.txt. Detalle de los procedimientos de instalacin y lanzamiento del
servidor y el demonio distribuidor de mensajes
Todos las actuaciones sobre los ficheros del RADIUS, ya sean de configuracin o ejecucin
de las herramientas suministradas, se harn como usuario root en el caso de las
plataformas Solaris y Linux.
3 Configuracin
3.1 Configuracin del Servidor
En el caso de utilizar el servidor RADIUS que emplea librerias dinmicas, hay que realizar
las siguientes operaciones previas a la configuracin. El procedimiento concreto depende de
la plataforma.
3.1.1 Solaris y Linux
Una vez instalado el paquete, o descomprimido el fichero tar, deben seguirse los siguientes
pasos:
1. El ejecutable radiusddll (consultar el Apartado 4.2.2 radiusddll ) emplea para el
acceso a perfiles de usuario la siguiente librera dinmica que se encuentra en el
directorio: <directorio_instalacion>/bin :
libInfovia.so
Tras el proceso de instalacin queda instalada como libInfovia.so una copia de la
librera libInfoviadbm.so.1. Esta ltima es una librera de perfiles y de almacenamiento
de contabilidad que usa un fichero DBM.
Se puede utilizar como alternativa a libInfoviadbm.so.1 cualquiera de las siguientes
libreras, lo nico que hay que hacer para ello es copiar (en el mismo directorio
<directorio_instalacion>/bin) la librera seleccionada como libInfovia.so y
volver a arrancar el radiusddll:
libInfovia.so.1. Librera de perfiles y de almacenamiento de contabilidad que usa
fichero plano.
libInfoviamsj.so.1. Librera de perfiles y de almacenamiento de contabilidad que
usa fichero plano y mensajera
libInfoviamsjdbm.so.1. Librera de perfiles y de almacenamiento de contabilidad
que usa fichero DBM y mensajera.
2. Se debe incluir en la variable de entorno LD_LIBRARY_PATH del usuario root,
usuario que ejecuta el servidor, el directorio: <directorio_instalacion>/bin.
Se recomienda introducir dicha definicin de la variable LD_LIBRARY_PATH en el
fichero .profile del usuario correspondiente.
3.1.2 Windows NT
Una vez instalado el producto debe seguirse el siguiente paso:
1. El ejecutable radiusNT.exe emplea la siguiente librera dinmica que se encuentra
en el directorio: <directorio_instalacion>/bin :
RadInfovia.dll
Tras el proceso de instalacin queda instalada como RadInfovia.dll una copia de la
librera RadInfovia.dll.1. Esta ltima es una librera que utiliza un fichero plano para
acceder a los perfiles de usuarios y para almacenar la informacin de contabilidad.
Se puede utilizar como alternativa a RadInfovia.dll la siguiente librera, lo nico que
hay que hacer para ello es copiarla (en el mismo directorio
<directorio_instalacion>/bin) como RadInfovia.dll y volver a arrancar el
radiusNT.exe:
RadInfoviamsj.dll.1. Librera de perfiles y de almacenamiento de contabilidad que
usa tambin fichero plano pero proporciona adems la facilidad de mensajera
3.2 Configuracin para Arranque automtico
1
En ste apartado se proporciona el mtodo que permite arrancar el servidor RADIUS de
forma automtica y con los parmetros deseados cada vez que se rearranque la mquina.
Si el proceso no se realizara con xito, se podr consultar los ficheros de trazas y errores (ver
Apartado 5.1.1 TRAZAS_INFOVIA., y Apartado 5.2 Monitorizacin del servidor) para
obtener cul es el error y corregirlo manualmente.
3.2.1 Procedimiento para plataforma Solaris
1. Entrar en la mquina que ejecuta el servidor Radius como usuario root.
2. Comprobar cual es el nivel de ejecucin por defecto al arrancar la mquina, ejecutando
el comando:
more /etc/inittab
Un ejemplo de salida del comando anterior es lo siguiente:
ap::sysinit:/sbin/autopush -f /etc/iu.ap
ap::sysinit:/sbin/soconfig -f /etc/sock2path
fs::sysinit:/sbin/rcS >/dev/console 2<>/dev/console </dev/console
is:3:initdefault:
p3:s1234:powerfail:/usr/sbin/shutdown -y -i5 -g0 >/dev/console 2<>/dev/
console
s0:0:wait:/sbin/rc0 >/dev/console 2<>/dev/console </dev/console
s1:1:wait:/usr/sbin/shutdown -y -iS -g0 >/dev/console 2<>/dev/console </
dev/console
fw:0:wait:/sbin/uadmin 2 0 >/dev/console 2<>/dev/console </dev/console
of:5:wait:/sbin/uadmin 2 6 >/dev/console 2<>/dev/console </dev/console
sc:234:respawn:/usr/lib/saf/sac -t 300
1
No se proporciona procedimiento de arranque automtico para la plataforma Windows NT.
co:234:respawn:/usr/lib/saf/ttymon -g -h -p "uname -n console login: "
-T sun -d /dev/console -l console -m ldterm,ttcompat
En la entrada "is:3:initdefault:" contiene el nivel de ejecucin por defecto, en este caso
el 3.
En el proceso de arranque se ejecutarn los comandos de las entradas que tienen sysinit
en el campo de ejecucin as como todas las entradas del fichero /etc/inittab que tenga
en su campo de estado el valor del nivel de ejecucin por defecto, en nuestro ejemplo el
3. Por tanto se ejecutaran:
ap::sysinit:/sbin/autopush -f /etc/iu.ap
ap::sysinit:/sbin/soconfig -f /etc/sock2path
fs::sysinit:/sbin/rcS >/dev/console 2<>/dev/console </dev/console
sc:234:respawn:/usr/lib/saf/sac -t 300
co:234:respawn:/usr/lib/saf/ttymon -g -h -p "uname -n console login: "
-T sun -d /dev/console -l console -m ldterm,ttcompat
Como vemos se ejecutarn los ficheros de comandos /sbin/rc2 y /sbin/rc3 que a su vez
ejecutan los ficheros de comandos contenidos en los directorios /etc/rc2.d y /etc/rc3.d,
respectivamente, que empiezan por K y s (con K se nombran a los que matan procesos y
con S a los que los arrancan).
3. Crear un fichero de ejecucin en el directorio /etc/init.d (por ejemplo: /etc.init.d/
arranque_radius). Este fichero controlar el arranque del servidor radius.
En este fichero de ejecucin definiremos la secuencia de arranque del servidor radius
segn se define en Apartado 4.2.1 radiusd Deberemos darle permiso de ejecucin.
Para ello ejecute los siguientes comandos:
cd /etc/init.d
vi arranque_radius
Se introduce la siguiente lnea
/opt/radius/bin/radiusd -d /opt/radius/raddb -a /opt/radius/radacct -X
Por ltimo se ejecuta el comando:
chmod +x arranque_radius
4. En el directorio /etc/rc#.d, donde # es el nmero del nivel de ejecucion -por defecto el 3-
, crear un fichero cuyo nombre comience por S seguido del nmero de secuencia en que
deseamos que se arranque el servidor y del nombre del fichero que creamos en el
directorio /etc/init.d (en nuestro ejemplo, con nmero de secuencia 99 sera, y teniendo
definido en el fichero de arranque /etc/inittab que al arrancar con nivel 3 arranque
tambien el 2, podra ser: /etc/rc2.d/S99arranque_radius). A continuacion hacer un link
con el fichero de ejecucin creado en el /etc/init.d (es decir: /etc/rc2.d/
S99arranque_radius -> /etc.init.d/arranque_radius). La secuencia de comandos sera:
cd /etc/rc2.d
ln -s /etc/init.d/arranque_radius S99arranque_radius
3.2.1.1 Informacin Adicional
Se recomienda arrancar el servidor radius con nivel mximo de trazas. Es
posible posteriormente cambian este nivel a uno inferior tal y como se indica
en el Apartado 4.2.3 rad_tool..
Se puede introducir en el fichero de arranque del servidor (/etc/init.d/
arranque_radius) un pequeo script de comprobacin de todo aquello que el
operador considere oportuno. As por ejemplo si quiere comprobar la existencia
del ejecutable de arranque, podra hacer:
if [ -f /opt/radius/bin/radiusd ]
then
/opt/radius/bin/radiusd -d /opt/radius/raddb -a
/opt/radius/radacct -X
Las trazas que el ejecutable manda a la salida estndar pueden ser redirigidas a
otros ficheros o que se borren si no interesan.
Para redirigir la salida estndar y la de error al mismo fichero:
/opt/radius/radacct -X 1>/tmp/trazas_arranque_radius.txt 2>&1 &
Para redirigir la salida estndar y la de error a distintos ficheros:
/opt/radius/radacct -X 1>/tmp/trazas_arranque_radius.txt
2>/tmp/errores_arranque_radius.txt &
Para borrar la salida estndar y la de error:
/opt/radius/radacct -X 1>/dev/null 2>&1 &
3.2.2 Procedimiento para plataforma Linux
1. Entrar en la mquina que ejecuta el servidor Radius como usuario root.
2. Comprobar cual es el nivel de ejecucin por defecto al arrancar la mquina, ejecutando
el comando:
more /etc/inittab
Un ejemplo de salida del comando anterior es lo siguiente:
id:3:initdefault:
# System initialization.
si::sysinit:/etc/rc.d/rc.sysinit
l0:0:wait:/etc/rc.d/rc 0
# Things to run in every runlevel.
ud::once:/sbin/update
# Trap CTRL-ALT-DELETE
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
# When our UPS tells us power has failed, assume we have a few minutes
# of power left. Schedule a shutdown for 2 minutes from now.
# This does, of course, assume you have powerd installed and your
# UPS connected and working correctly. pf::powerfail:/sbin/shutdown -f -
h +2 "Power Failure; System Shutting Down"
# If power was restored before the shutdown kicked in, cancel it.
pr:12345:powerokwait:/sbin/shutdown -c "Power Restored; Shutdown
Cancelled"
# Run gettys in standard runlevels
1:2345:respawn:/sbin/mingetty tty1
# Run xdm in runlevel 5
# xdm is now a separate service
x:5:respawn:/etc/X11/prefdm -nodaemon
La entrada "id:3:initdefault:" contiene el nivel de ejecucin por defecto, en este caso el
3.
En el proceso de arranque se ejecutarn los comandos de las entradas del fichero /etc/
inittab que tengan en su campo de estado el valor del nivel de ejecucin por defecto, en
nuestro ejemplo el 3. Por tanto se ejecutaran:
Como vemos se ejecutar el fichero de comandos /etc/rc.d/rc al que se le pasa como
parametro el nivel de arranque (en nuestro ejemplo el 3). Este a su vez ejecuta los
ficheros de comandos contenidos en el directorio /etc/rc.d/rci.d , siendo i el nivel de
arranque que se le pasa como parmetro en la llamada a script, que empiezan por K y S
(con K se nombran a los que matan procesos y con S a los que los arrancan).
3. Crear un fichero de ejecucin en el directorio /etc/rc.d/init.d (por ejemplo:
/etc/rc.d/init.d/ arranque_radius). Este fichero controlar el arranque del servidor radius.
En este fichero de ejecucin definiremos la secuencia de arranque del servidor radius
segn se define en Apartado 4.2.1 radiusd Deberemos darle permiso de ejecucin.
Para ello ejecute los siguientes comandos:
cd /etc/rc.d/init.d
vi arranque_radius
Se introduce la siguiente lnea
/opt/radius/bin/radiusd -d /opt/raduis/raddb -a /opt/radius/radacct -X
Por ltimo se ejecuta el comando:
chmod +x arranque_radius
4. En el directorio /etc/rc.d/rci.d, donde i es el nmero del nivel de ejecucion -por defecto
el 3-, crear un fichero cuyo nombre comience por S seguido del nmero de secuencia en
que deseamos que se arranque el servidor y del nombre del fichero que creamos en el
directorio /etc/rc.d/init.d (en nuestro ejemplo, con nmero de secuencia 99, y teniendo
definido en el fichero de arranque /etc/inittab que arranque con nivel 3, sera: /etc/rc.d/
rc3.d/S99arranque_radius). A continuacion hacer un link con el fichero de ejecucin
creado en el /etc/rc.d/init.d (es decir: /etc/rc.d/rc3.d/S99arranque_radius -> /etc/rc.d/
init.d/arranque_radius). La secuencia de comandos sera:
$ cd /etc/rc.d/rc3.d
$ ln -s /etc/rc.d/init.d/arranque_radius S99arranque_radius
3.2.2.1 Informacin Adicional
Se recomienda arrancar el servidor radius con nivel mximo de trazas. Es
posible posteriormente cambian este nivel a uno inferior tal y como se indica
en el Apartado 4.2.3 rad_tool..
Se puede introducir en el fichero de arranque del servidor (/etc/rc.d/init.d/
arranque_radius) un pequeo script de comprobacin de todo aquello que el
operador considere oportuno. As por ejemplo si quiere comprobar la existencia
del ejecutable de arranque podra hacer:
if [ -f /opt/radius/bin/radiusd ]; then
/opt/radius/bin/radiusd -d /opt/raduis/raddb -a
/opt/radius/radacct -X
fi
Las trazas que el ejecutable manda a las salidas estndar pueden ser redirigidas
a otros ficheros o que se borren si no interesan.
Para redirigir la salida estndar y la de error a un mismo fichero:
/opt/radius/radacct -X 1>/tmp/trazas_arranque_radius.txt 2>&1 &
Para redirigir la salida estndar y la de error a distintos ficheros:
/opt/radius/radacct -X 1>/tmp/trazas_arranque_radius.txt
2>/tmp/errores_arranque_radius.txt &
Para borrar la salida estndar y la de error:
/opt/radius/radacct -X 1>/dev/null 2>&1 &
3.3 Configuracin para encriptacin de datos de usuario
En este apartado se muestran los pasos a seguir para el funcionamiento del servidor Radius
en modo encriptado. En este caso se encriptarn tanto los loginnames como passwords de los
usuarios del fichero de perfiles.
3.3.1 Procedimiento para ejecutar radiusd en modo encriptado.
Debe aplicarse la siguientes secuencia de acciones:
1. Crear una clave para la encriptacin con el ejecutable nueva_clave. (explicado en el
Apartado 4.4.2 nueva_clave). Dicha clave se almacenar en el fichero clave_cripto,
fichero que debe encontrarse en el directorio de configuracin.
2. Realizar una copia de seguridad del fichero de perfiles de usuario.
3. Encriptar el fichero de perfiles de usuario con el ejecutable encriptar. (explicado en el
Apartado 4.4.1 encriptar).
4. Introducir la linea:
MODO_ENCRIPTADO 1
en el fichero cfg_local_INFOVIA
5. Arrancar el radiusd (ver Apartado 4.2.1 radiusd ) haciendo referencia al fichero
encriptado.
3.3.2 Procedimiento para ejecutar radiusddll, con acceso a DBM, en modo
encriptado.
1. Crear una clave para la encriptacin con el ejecutable nueva_clave. (explicado en el
Apartado 4.4.2 nueva_clave). Dicha clave se almacenar en el fichero clave_cripto,
fichero que debe encontrarse en el directorio de configuracin.
2. Realizar una copia de seguridad del fichero de perfiles de usuario.
3. Encriptar el fichero de perfiles de usuario con el ejecutable encriptar. (explicado en el
Apartado 4.4.1 encriptar)
4. Ejecutar builddbm (ver ), para construir la base de datos DBM a partir del fichero de
perfiles encriptado.
5. Asegurarse que la librera libInfoviadbm.so.1 est copiada como libInfovia.so
6. Asegurarse que en la variable de entorno LD_LIBRARY_PATH del usuario que ejecuta
el servidor se encuentra el directorio: <directorio_instalacin>/bin.
7. Introducir la linea:
MODO_ENCRIPTADO 1
en el fichero cfg_local_INFOVIA
8. Arrancar el radiusddll (ver Apartado 4.2.2 radiusddll ) haciendo referencia al nombre
de los ficheros DBM.
3.3.3 Procedimento para aadir usuarios con perfiles encriptados a la base de
datos DBM.
1. Crear el fichero de texto con los nuevos usuarios que quieren aadirse a la base de datos.
Debe conservarse el formato del fichero plano de usuarios.
2. Realizar una copia de seguridad del nuevo fichero de perfiles de usuario
3. Encriptar este fichero con el ejecutable encriptar. (explicado en el Apartado 4.4.1
encriptar)
4. Renombrar el fichero encriptado para que quede del siguiente modo:
<fichero_usuarios_radius>.mas.
5. Ejecutar el comando builddbmmas. (explicado en el ).
3.3.4 Procedimiento para crear una nueva clave
Es aconsejable generar una nueva clave peridicamente, y si en algn caso se piensa que
alguien ha tenido acceso a la clave existente. Para ello deben seguirse lo siguientes pasos:
1. Utilizar el ejecutable nueva_clave (explicado en Apartado 4.4.2 nueva_clave) para
crear una nueva clave que se almacenar en el fichero clave_cripto. Dicho fichero debe
encontrarse en el directorio de configuracin.
2. Encriptar nuevamente el fichero de perfiles de usuario para que el servidor radius pueda
emplear la nueva clave con ellos. Seguir para ello los procedimientos presentado en loss
apartados anteriores.
3.4 Ficheros de Configuracin
Los siguientes ficheros debern aparecer en el directorio de configuracin por defecto o en el
directorio que se indique como parmetro en el arranque del servidor (ver Apartado 4.2.1
radiusd ). De aqu en adelante nos referiremos a l simplemente como directorio de
configuracin.
Estos ficheros se editarn para realizar los cambios convenientes y se deber parar y
rearrancar el servidor Radius para que los cambios tengan efecto -exceptuando el fichero
usuarios_INFOVIA-.
3.4.1 diccionario_INFOVIA
En general este fichero no se debe editar ya que el fichero suministrado es vlido. Este
fichero contiene todos los atributos estndar de los paquetes RADIUS, y tambin los
aadidos -que se caracterizan porque en el nombre del atributo se aade -INFOVIA- para
el caso particular del servidor RADIUS que estamos describiendo.
Contiene lneas de tres tipos:
1. $INCLUDE <diccionario_fabricante>
2. ATTRIBUTE <nombre_atributo> <tipo> <codigo_correspondiente>
3. VALUE <nombre_atributo> <nombre_constante> <valor-correspondiente>
A continuacin se presenta como ejemplo la cabecera y unas lneas de este fichero:
# @(#)dictionary 27.3 (96/03/27 17:05:15)
#
# This file pertains to Ascend MAX/Pipeline software
# version 4.5 and later.
#
# This file contains dictionary translations for parsing
# requests and generating responses. All transactions are
# composed of Attribute/Value Pairs. The value of each attribute
# is specified as one of 4 data types. Valid data types are:
#
# string - 0-253 octets
# abinary - 0-254 octets
# ipaddr - 4 octets in network byte order
# integer - 32 bit value in big endian order (high byte first)
# date - 32 bit value in big endian order - seconds since
# 00:00:00 GMT, Jan. 1, 1970
#
# Enumerated values are stored in the user file with dictionary
# VALUE translations for easy administration.
#
# Example:
#
# ATTRIBUTE VALUE
# --------- -----
#Framed-Protocol = PPP
# 7 = 1 (integer encoding)
#
$INCLUDE diccionario.fabricanteX
ATTRIBUTE User-Name string
ATTRIBUTE Password 2 string
ATTRIBUTE CHAP-Password 3 string
ATTRIBUTE NAS-IP-Address 4 ipaddr
ATTRIBUTE NAS-Port 5 integer
ATTRIBUTE User-Service 6 integer
ATTRIBUTE Framed-Protocol 7 integer
ATTRIBUTE Framed-Address 8 ipaddr
ATTRIBUTE Framed-Netmask 9 ipaddr
ATTRIBUTE Framed-Routing 10 integer
ATTRIBUTE Framed-Filter 11 string
ATTRIBUTE Framed-MTU 12 integer
ATTRIBUTE Framed-Compression 13 integer
....
#------------I N F O V I A ----------------------------------
ATTRIBUTE PROXY-INFOVIA 33 ibinary
ATTRIBUTE HARDWARE-INFOVIA 34 integer
ATTRIBUTE SESIONES-INFOVIA 224 integer
ATTRIBUTE NIVEL-INFOVIA 151 integer
ATTRIBUTE NIVEL-MAX-INFOVIA 152 integer
ATTRIBUTE RDSI-INFOVIA 153 integer
ATTRIBUTE TIPO_PWD_INFOVIA 154 string
#
......
# User Types
VALUE User-Service Login-User 1
VALUE User-Service Framed-User 2
VALUE User-Service Dialback-Login-User 3
VALUE User-Service Dialback-Framed-User 4
VALUE User-Service Dialout-Framed-User 5
VALUE User-Service Shell-User 6
# Framed Protocols
VALUE Framed-Protocol PPP 1
VALUE Framed-Protocol SLIP 2
VALUE Framed-Protocol ARA 255
VALUE Framed-Protocol MPP 256
VALUE Framed-Protocol EURAW 257
VALUE Framed-Protocol EUUI 258
VALUE Framed-Protocol X25 259
VALUE Framed-Protocol COMB 260
VALUE Framed-Protocol FR 261
3.4.2 <diccionario_fabricante>
Este fichero contiene todos los atributos de los paquetes RADIUS particulares de un
fabricante. Tiene un formato similar al del fichero diccionario_INFOVIA.
Los atributos definidos en el diccionario del fabricante pueden emplearse en los perfiles de
usuario como un atributo normal, y en ese caso son enviados empaquetados dentro del
atributo vendor-specific indicando el cdigo del fabricante. Igualmente, cuando se recibe
un atributo vendor-specific se recupera el atributo propietario concreto y el cdigo del
fabricante, y se busca en los diccionarios el atributo recibido (debe estar asociado a dicho
cdigo de fabricante).
Contiene lneas de tres tipos:
1. VENDOR <nombre_fabricante> <codigo_fabricante>
(Slo debe existir una lnea de tipo VENDOR)
2. ATTRIBUTE <nombre_atributo> <tipo> <codigo_correspondiente>
<nombre_fabricante>
3. VALUE <nombre_atributo> <nombre_constante> <valor-correspondiente>
La instalacin proporciona un fichero ejemplo de nombre diccionario.fabricanteX.
A continuacin, como ejemplo, se presenta este fichero:
#
# diccionario.fabricanteX
#
# Version: @(#)diccionario.fabricanteX 1.00 5-febrero-2001
#
VENDOR FabricanteX 69
#
# Standard attribute
#
ATTRIBUTE FabricanteX-AVPair 1 string FabricanteX
#
# Extra attributes sent by the FabricanteX.
#
ATTRIBUTE FabricanteX-Multilink-ID 187 integer
FabricanteX
ATTRIBUTE FabricanteX-Num-In-Multilink 188 integer
FabricanteX
ATTRIBUTE FabricanteX-Pre-Input-Octets 190 integer
FabricanteX
ATTRIBUTE FabricanteX-Disconnect-Cause 195 integer
FabricanteX
VALUE FabricanteX-Disconnect-Cause Unknown 2
VALUE FabricanteX-Disconnect-Cause CLID-Authentication-Failure 4
VALUE FabricanteX-Disconnect-Cause No-Carrier 10
VALUE FabricanteX-Disconnect-Cause Lost-Carrier 11
VALUE FabricanteX-Disconnect-Cause No-Detected-Result-Codes 12
3.4.3 cfg_local_INFOVIA
En este fichero se indican diversos parmetros relativos a la configuracin del servidor. En
cada lnea del fichero aparece una de las siguientes palabras clave seguida de un valor:
UDP_AUTH. Indica el puerto UDP usado por ese proceso para escuchar peticiones de
autentificacin. Si falta este campo se tomara el puerto definido en el /etc/services
1
. Si
no est definido en alguno de los anteriores, el RADIUS no arranca.
UDP_ACCT. Indica el puerto UDP usado por ese proceso para escuchar peticiones de
contabilidad. Si falta este campo se tomara el puerto definido en el /etc/services
2
. Si
tampoco est definido en el /etc/services se tomara como puerto el siguiente al puerto de
autenticacin (UDP_AUTH+1).
HASHSIZE. Numero de entradas en la tabla hash de usuarios conectados. Se
recomienda poner un numero similar al numero maximo de conexiones simultneas. El
valor por defecto es 100.000.
HORA_IP. Indica el tiempo durante el cual, una vez liberada una direccin IP, est
disponible para ser reutilizada por el mismo usuario que la liber. Si no se especifica un
valor para este parmetro, tomar un tiempo de 5 minutos.
HARDWARE_INFOVIA_OMISION. Si esta variable toma el valor 1, se permitirn
clientes Hardware, en otro caso deber especificarse en cada perfil de usuario la variable
HARDWARE_INFOVIA(ver Apartado 3.4.8 usuarios_INFOVIA.). El valor por
defecto es 0.
MODO_PROXY. Si esta variable toma el valor 1 el servidor radius actua como proxy
frente a todos los clientes. Si MODO_PROXY toma el valor 0 -valor por defecto-
funciona como servidor final.
MODO_ENCRIPTADO. Si esta variable toma el valor 1, el servidor radius autenticar
contra el fichero de usuarios que anteriormente ha sido encriptado. Si toma el valor 0
(valor por defecto) se considera que el fichero de usuarios no est encriptado.
ALIAS. Nemnicos admitidos en los nombres de usuario que sern tratados localmente
por el servidor.
SUBRED_FICTICIA. Para clientes SW, subred de la que asignarn las direcciones
ficticias antes de que llegue el paquete de Start con la direccin asignada por la red. Si el
valor es incorrecto o el parmetro no est definido, toma por defecto el valor 0.
1
La lnea que debe aparecer en el fichero /etc/services es la siguiente:
radius num-puerto/udp
2
radacct num-puerto/udp
CHK_RESPUESTA_PROXY. Para Modo Proxy, permite activar (valor 1) el registro y
control de las peticiones progresadas hacia los servidores finales. Si toma el valor 0
(valor por defecto) no se guarda registro ni se controla la respuestas procedentes de
servidores finales.
Los siguientes parmetros son especifcicos para la funcionalidad relacionada con el servicio
de tarifa plana:
NEMONICO_PLANO. Nemnicos admitidos para tarifa plana en los nombres de
usuario que sern tratados localmente por el servidor.
HORA_FIN_TARIFA_PLANA. Hora de fin de la tarifa plana. Toma valores entre 0 y
23.
MIN_FIN_TARIFA_PLANA. Minutos de fin de la tarifa plana. Toma valores entre 0 y
59.
HORA_INICIO_TARIFA_PLANA. Hora de inicio de la tarifa plana. Toma valores entre
0 y 23.
MIN_INICIO_TARIFA_PLANA. Minutos de inicio de la tarifa plana. Toma valores
entre 0 y 59.
Los siguientes parmetros son especifcicos para la funcionalidad relacionada con el acceso
por protocolo SNMP al servidor radius:
UDP_SNMP. Indica el puerto UDP usado por el servidor radius para escuchar peticiones
SNMP. Si falta este campo se tomar el puerto definido en el /etc/services
1
. Solo se
precisa en el caso de que el radius deba atender a peticiones SNMP.
MODO_SNMP. Si esta variable toma el valor 1 el servidor radius atiende tambin
peticiones SNMP que reciba por el puerto indicado en UDP_SNMP. Si MODO_SNMP
toma el valor 0 -valor por defecto- no atender peticiones SNMP.
Un ejemplo de dicho fichero es el siguiente:
UDP_AUTH 1645
UDP_ACCT 1646
ALIAS nemonico
HARDWARE_INFOVIA_OMISION 1
MODO_PROXY 1
CHK_RESPUESTA_PROXY 1
SUBRED_FICTICIA 1
Otro ejemplo, pero para el servicio de tarifa plana:
UDP_AUTH 1645
UDP_ACCT 1646
NEMONICO_PLANO pruebas
HORA_FIN_TARIFA_PLANA 8
MIN_FIN_TARIFA_PLANA 0
1
snmp num-puerto/udp
HORA_INICIO_TARIFA_PLANA 18
MIN_INICIO_TARIFA_PLANA 0
MODO_PROXY 0
ALIAS pruebas
SUBRED_FICTICIA 2
MODO_ENCRIPTADO 1
Otro ejemplo, pero para el acceso por protocolo SNMP al servidor radius:
UDP_AUTH 1645
UDP_ACCT 1646
UDP_SNMP 1444
ALIAS nemonico
MODO_PROXY 0
MODO_SNMP 1
SUBRED_FICTICIA 1
3.4.4 clientes_hw_INFOVIA
Contiene datos de los clientes que se pueden conectar al PSI. Este fichero se emplea para
definir los clientes HW. Tambin hay que tener en cuenta que para poder incluir clientes en
este fichero se debe indicar en el fichero cfg_local_INFOVIA el parmetro
HARDWARE_INFOVIA_OMISION con valor 1, pudiendo venir indicado en cada perfil de
usuario individual con la variable HARDWARE_INFOVIA.
El servidor RADIUS asigna direcciones IP a los usuarios de los clientes presentes en este
fichero. Tambin deben incluirse en este fichero los servidores radius finales que actan
como destinos del proxy.
El fichero consta de una serie de lneas. Cada lnea representa a un cliente HW.
El primer campo es la direccin IP del cliente (formato: xx.xx.xx.xx siendo xx cualquier
nmero del intervalo 0-255)
El segundo campo es la palabra clave asociada a ese cliente (formato: cualquier string
menor de 32 caractres)
El tercer campo es el puerto UDP (formato: un valor numrico menor que 65536)
El cuarto campo es el identificador del cliente (formato: caualquier valor numrico que
ocupe menos de cuatro octetos). Este valor debe ser nico para cada cliente y no puede
repetirse como identificador de cliente en ninguno de los ficheros de clientes
(clientes_hw_INFOVIA, clientes_INFOVIA, redIP_delegado).
Las siguientes opciones solo se aplican en la funcionalidad de Proxy
o SIN_ALIAS Se elimina el alias (dominio) del campo Username al reenviar los
paquetes al servidor radius final.
o SIN_PREFIJO <prefijo>. Se elimina el prefijo <prefijo> del campo Username al
reenviar los paquetes al servidor radius final.
Se presenta a continuacin un ejemplo:
1.2.3.4 Secreto 1645 1 SIN_PREFIJO IPASS//
3.4.5 clientes_INFOVIA
Este fichero se emplea para definir los clientes INFOVIA (CSIV). Contiene los datos de los
clientes de este tipo que se conectan al PSI .El formato es el mismo que el del fichero
clientes_hw_INFOVIA, exceptuando las opciones. Por lo tanto se puede prescindir de este
fichero si no se esta empleando el servidor RADIUS con la antigua Infovia.
3.4.6 cfg_pool_INFOVIA
Datos sobre los diferentes pools definidos. Estos datos incluyen la direccin IP origen de
los mismos, su tamao, identificador, y su nivel de privilegio. Este fichero se emplea tan solo
para clientes HW.
Cada lnea del fichero representa un pool de direcciones. Los campos de cada lnea son los
siguientes:
El primer campo es un nmero que identifica el pool. Pueden existir varias lineas con
este mismo numero.
El segundo campo es un nmero que identifica la direccin inicial del trozo del pool
El tercer campo es un nmero que especifica el tamao del pool, entendiendo por
tamao el nmero de direcciones que forman el pool.
El cuarto campo es un nmero que especifica el nivel del usuario, entendiendo por nivel
el que tienen que tener los usuarios para obtener una direccion del pool.
A continuacin se muestra un ejemplo de este fichero:
#id_pool ip_rango tamano nivel_minimo_usuario
#-----------------------------------------------
1 192.168.2.10 5 1
2 192.168.2.20 1 2
2 192.168.2.60 1 2
3 192.168.2.30 1 3
3 192.168.2.70 2 3
4 192.168.2.40 2 4
3.4.7 cfg_pool_clie_INFOVIA
En este fichero se relaciona el identificativo de los pools y el identificativo de los clientes
a los que se les asigna ese pool. Este fichero tan solo es necesario para los clientes HW.
Los campos son los siguientes:
El primer campo es un nmero que identifica el pool Pueden existir varias lneas con
este mismo nmero.
El segundo campo es un nmero que representa el identificativo del cliente
#id_pool id_cliente
#-------------------
1 2
2 2
3 2
4 2
3.4.8 usuarios_INFOVIA.
Datos de los usuarios autorizados por el PSI. Para una descripcin completa de los atributos
que pueden incluirse en este fichero debe consultarse el anexo: Atributos a Intercambiar
entre el PSI y el CVCA (Infova Plus Bsico Modalidad Delegada).
Este fichero incluye el formato definido por ASCEND para su interfaz con RADIUS.
Contiene informacin de seguridad y configuracin para cada usuario. Para construir la base
de datos a partir de este fichero, se utiliza la utilidad builddbm que se describe en el .
El primer campo es el nombre de usuario. En la misma lnea puede seguir una lista con los
requerimientos de autenticacin para cada usuario con la sintaxis siguiente:
<nombre de atributo>=<valor>
Esta puede incluir el password, nombre de usuario, y una fecha de expiracin del password
del usuario. Cuando se recibe una peticin de autenticacin , se comprueban estos valores.
Por lo tanto esta lnea constituye lo que se puede denominar la Check-list constituida por
una serie de Check-items.
Existe la posibilidad de crear un usuario especial llamado DEFAULT el cual siempre deber
estar al final del fichero. Este perfil tratar los nombre de usuarios no contenidos en este
fichero. Si a este perfil se le asigna como password UNIX , se buscar el password del
usuario en el fichero /etc/passwd.
En las lneas siguientes se pueden definir una serie de parmetros de ASCEND, como por
ejemplo los necesarios para establecer la llamada PPP, la direccin que se le va a asignar a
ese usuario, si se le da una subred, etc. Todos los atributos definidos se progresarn en la
respuesta -constituyendo lo que se denomina Return-list-, salvo aquellos en los que se
indique expresamente.
Adems de los parmetros definidos por ASCEND se han definido/modificado los siguientes
valores que son de aplicacin para clientes HW (Estos atributos se utilizan para control
interno, no progresndose en la respuesta):
SESIONES-INFOVIA = N
Donde N es el nmero de sesiones simultneas que se quieren permitir para el usuario
definido en el fichero. Por defecto toma valor 1. El valor 0 es un valor especial que
indica que no hay control de sesiones para ese usuario
NIVEL-INFOVIA = M
Donde M es el nmero que indica el nivel de uso del usuario. Esto quiere decir que el
usuario podra utilizar aquel pool que tenga una categora igual a M. Por defecto toma
valor 1.
NIVEL-MAX-INFOVIA = N
Donde N es el numero que indica el nivel mximo del usuario. Esto quiere decir que el
usuario podra utilizar desde el pool de su nivel hasta el pool de nivel mximo N. Por
defecto es igual al valor del anterior atributo.
Framed-Address =
Si no aparece este parmetro en el perfil de usuario, tomar el valor 255.255.255.255. Si
aparece tendr el valor de la direccin IP que se le quiera asignar a ese usuario. En caso
contrario puede provocar errores en la direccion asignada al usuario. Este atributo s se
progresa en la respuesta
RDSI-INFOVIA = 0
En este caso las llamadas del usuario a travs de RDSI son rechazadas. Si no aparece se
permiten llamadas a travs de RDSI del usuario en cuestin.
HARDWARE-INFOVIA = 1
Si se especifica este valor se permiten clientes hardware.
Para los clientes SW se han definido/modificado los siguientes atributos que s se progresan
en la respuesta :
Max-Num-Connections = N
Mximo numero de conexiones permitidas para ese usuario. Por defecto se toma valor
1. Este valor es equivalente al de SESIONES- INFOVIA, por lo que si aparece uno de
los dos, no es necesario que aparezca el otro.
Nivel-Internet = N
Calidad de Acceso a Internet definido para ese usuario. Por defecto se toma valor 1.
Bienvenida-Id = cadena_identificadora
Identificador para particularizar los mensajes de usuario
1
.
Si adems estamos en modo proxy, el atributo Ascend-Assign-IP-Pool ser utilizado como
nivel de calidad para la eleccin del pool de direcciones a asignar (equivale a NIVEL-
INFOVIA para clientes HW) . Por lo tanto este atributo lo debe devolver el servidor
RADIUS final.
1
En el servicio Infova Plus Bsico Modalidad Delegada, este valor constituye la clave de la entrada del
usuario en el servicio de directorio de la red IP. Se recomienda que en este valor se concatene el
nemnico del PSI correspondiente, para asegurar la unicidad de la entrada.
Si se desea emplear atributos propietarios de un fabricante es suficiente con definir dichos
atributos en un fichero diccionario propio del fabricante (ver Apartado 3.4.2
<diccionario_fabricante>), incluir dicho fichero en el diccionario_INFOVIA y
posteriormente hacer mencin a dichos atributos de fabricante como si fueran atributos
normales (ver ejemplo).
A continuacin se indica un perfil de usuario de ejemplo:
prueba Password= "madrid"
Nivel-Internet = 1,
Bienvenida-Id = "psi1_PRUEBA",
Session-Timeout = 0,
Idle-Timeout = 10,
Max-Num-Connections = 5,
Port-Limit = 5,
Cisco-Xmit-Rate = 1000,
Cisco-Maximun-Time = 300
Los nicos atributos obligatorios en un perfil de usuario son el nombre del usuario (login) y
el password.
3.4.9 usu.ini
Se puede prescindir de este fichero si no se est empleando el servidor RADIUS con la
antigua Infovia.
El fichero contiene datos de configuracin de la funcionalidad de mensajera. La sintaxis a
seguir es:
[<loginame1>]
MSJ=<mensaje>
DNS=<servidor dns>
TNA=<servidor ftp>
URL=<url>
[<loginame2>]
MSJ=<mensaje>
DNS=<servidor dns>
TNA=<servidor ftp>
URL=<url>
.
.
.
[__comun__]
MSJ=<mensaje>
DNS=<servidor dns>
TNA=<servidor ftp>
URL=<url>
Cada usuario tiene una serie de datos asociados, y los que no estn asociados al mismo se
toman del ltimo prrafo (__comun__)
[usu01]
MSJ="hola usu01"
[usu02]
MSJ="hola usu02"
[__comun__]
DNS=194.179.1.100 194.179.1.100 30
TNA=ftp://ftp.asip.ttd.es/pub/telecarga/00000000.tlf
MSJ="Bienvenido a InfoViaPlus"
URL=http://www.ttd.es
3.4.10 redIP_delegado
En este fichero figuran los datos de los clientes SW con los que va a conectarse el PSI. Cada
lnea del fichero representa a un cliente SW y est formada por cuatro campos ms opciones:
El primer campo es la direccin IP del cliente SW.
El segundo campo es la palabra clave (secreto) asociada a ese cliente.
El tercer campo es el puerto UDP del cliente.
El cuarto campo es el identificador del cliente.
Opciones: Se pueden aadir las siguientes opciones
o CONTROL_SESIONES Se efecta un control de sesiones sobre las peticiones de
ese cliente.
o DETALLE_UNICO. Si se incluye esta opcion se usara un nico fichero de detalle
para todos los clientes, situado en el fichero de contabilidad.
o DIRECCION_START. Si se emplea esta opcion se actualiza la direccion recibida en
el paquete de Start en la lista de sesiones. Esta opcin es util en el caso de querer
usar el control de sesiones (opcion CONTROL_SESIONES) para clientes
delegados.
Las siguientes opciones solo se aplican en la funcionalidad de Proxy
o SIN_ALIAS Se elimina el alias (dominio) del campo Username al reenviar los
paquetes al servidor radius final.
o SIN_PREFIJO <prefijo>. Se elimina el prefijo <prefijo> del campo Username al
reenviar los paquetes al servidor radius final.
A continuacin se muestra un ejemplo:
1.0.11.23 secreto 1645 22 CONTROL_SESIONES
1.23.40.23 secreto 1645 23
1.58.128.45.10 secreto 1645 24
3.4.11 cfg_OPERADOR_INFOVIA
1
Este fichero sirve para configurar la herramienta rad_tool. Su contenido ser de la forma:
IDENTIFICADOR (Nombre del parmetro), un espacio o ms y VALOR (Valor que
adquiere ese parmetro).
Existen los siguientes identificadores
1
:
UDP_PSI. Representa el puerto por el que escucha el servidor Radius del PSI. El valor
correspondiente puede ser cualquier nmero entre 1 y 65535, recordando que para usar
puertos menores que 1024, se debe ejecutar como root.
UDP_RAD_TOOL. Representa el puerto por el que envia y recibe paquetes la
herramienta rad_tool.
IP_PSI. Representa la direccin IP de la mquina donde se encuentra instalado el
servidor Radius del PSI. El valor correspondiente debe presentar formato de direccin
IP, es decir xx.xx.xx.xx, siendo xx cualquier nmero entre 0 y 255.
UDP_CVCA. Representa el puerto UDP por el que el cliente SW escucha las peticiones
de autenticacin.
IP_CVCA. Representa la direccin IP del cliente SW. Se admiten hasta 256 entradas con
este identificador.
SECRETO_PSI. Representa el Secreto del servidor RADIUS local. El valor
correspondiente puede ser cualquier string menor o igual que 32 caractres.
SECRETO_CVCA. Representa el Secreto del cliente SW.
3.4.12 criterios_PROXY
En este fichero se configura los criterios a seguir en el caso de que el servidor RADIUS del
PSI est en modo proxy .
El formato de cada lnea es el siguiente:
1
Los identificadores en los que aparece _CVCA, slo son necesarios en el caso del servicio de red IP
Infova Plus Bsico Modalidad Delegada.
<CLAVE> <ORIGEN> <DESTINO>
Donde :
El primer campo, <CLAVE>, es el criterio de proxy, que puede ser:
DIRIP
NEMONICO
TEL (Telefono llamado)
El segundo campo, <ORIGEN>, representa el valor de la "CLAVE" que corresponde al
paquete de origen.
El tercer campo, <DESTINO>, es el identificador del cliente que corresponder al
destino del paquete recibido.
Se admite tambien una lnea con el valor por defecto de las redirecciones con un formato
como el siguiente
DEFAULT <Identificador de Cliente>
A continuacin se presenta un ejemplo de este fichero:
DIRIP 1.0.15.151 2
DIRIP 172.16.1.0 2
DEFAULT 2
Nota: El fichero criterios_PROXY ser utilizado en el caso de que no exista el fichero
criterios_PROXY_letra.
3.4.13 Criterios_PROXY_letra
En este fichero se configuran los criterios a seguir en el caso de que el servidor radius del
PSI est en modo proxy por la primera letra del login del usuario.
<CLAVE> <ORIGEN> <DESTINO>
Donde:
El primer campo, <CLAVE>, es el criterio de proxy, que puede ser:
LETRA
El segundo campo, <ORIGEN>, representa el valor de la "CLAVE" que corresponde al
paquete de origen. No se distinguir entre maysculas y minsculas. El alfabeto
considerado ser de la A-Z sin la ee.
El tercer campo, <DESTINO>, es el identificador del cliente que corresponder al
destino del paquete llamante.
Es OBLIGATORIO incluir una lnea con el valor por defecto de las redirecciones, con un
formato como el siguiente:
DEFAULT <Identificador de Cliente>
Un ejemplo de configuracin de dicho fichero sera:
LETRA a-k 2
LETRA l-r 3
LETRA s-z 4
DEFAULT 2
Nota: Si existe el fichero criterios_PROXY_letra, ser el utilizado para hacer proxy
segn los criterios especificados en el mismo.
3.4.14 fichero.pre-conv
En este fichero se indican las conversiones de atributos que deben aplicarse a los paquetes
Radius entrantes antes de que comience su procesamiento en el servidor Radius. Para
conocer su sintaxis consltese el Anexo C Introduccin a la funcionalidad de
Conversiones
1
.
3.4.15 fichero.post-conv
En este fichero se indican las conversiones de atributos que deben aplicarse a los paquetes
Radius una vez que se ha completado su procesamiento en el servidor Radius. Para conocer
su sintaxis consltese el Anexo C Introduccin a la funcionalidad de Conversiones
2
.
3.4.16 Lista_festivos
Fichero de configuracin creado para el servicio de tarifa plana, donde se encuentran el
conjunto de das festivos para el ao 2001. Esta lista de festivos no se limita solamente a ese
ao, sino que tambin se pueden aadir los de aos sucesivos. No obstante, debe
comprobarse que los das includos en este fichero estn declarados realmente como
oficiales.
Los sbados y domingos "normales" son considerados tambin como das festivos, aunque
no estn includos en esta lista.
Cada lnea del fichero se corresponde con un festivo concreto con el formato:
<AO> <MES> <DIA>
donde:
El primer campo, <AO>, toma valores de cuatro dgitos.
El segundo campo, <MES>, toma valores entre 1 y 12.
Y el tercer campo, <DIA>, toma valores entre 1 y 31.
Un ejemplo de configuracin de dicho fichero sera:
1
Esta funcionalidad tan solo es accesible cuando el servidor RADIUS est en modo PROXY
2
Esta funcionalidad tan solo es accesible cuando el servidor RADIUS est en modo PROXY
2001 01 01
2001 01 06
2001 03 19
2001 04 12
2001 04 13
2001 05 01
2001 07 25
2001 08 15
2001 10 12
2001 11 01
2001 12 06
2001 12 08
2001 12 25
3.4.17 Fichero_proximo_cambio_hora
Fichero de configuracin creado para el servicio de tarifa plana, donde se contemplan los dos
cambios de hora oficiales que se producen cada ao. Este fichero slo podr contener UNA
LINEA con la fecha del prximo cambio.
<AO> <MES> <DIA> <HORA_CAMBIO> <EFECTO>
donde:
El primer campo, <AO>, contiene valores de cuatro dgitos.
El segundo campo, <MES>, toma valores entre 1 y 12.
El tercer campo, <DIA>, toma valores entre 1 y 31.
El cuarto campo, <HORA_CAMBIO>, toma valores entre 0 y 23.
Y el quinto campo, <EFECTO> toma uno de los dos siguientes valores:
RETRASO
ADELANTO
Debe comprobarse que la fecha includa en este fichero est declarada realmente como fecha
del cambio de hora oficial.
Como ayuda se muestra como quedara el fichero con el prximo cambio de hora:
# El 25 de Marzo de 2001 a las 2:00 se adelanta una hora
2001 03 25 2 ADELANTO
3.4.18 accion_llamada
Fichero de configuracin creado para el servicio de tarifa plana, donde se contemplan los
criterios a realizar sobre usuarios RTB que no lleven nmero llamante (o nmero A) y los
criterios a realizar sobre usuarios RDSI que llamen por el mismo nmero origen.
Criterios a realizar sobre usuarios RTB que no lleven nmero llamante:
Se esperan lneas con el siguiente formato:
NEMONICO <nemonico> <accion>
donde:
<nemonico> indica el nemnico que debe aceptarse o rechazar. As pus, las conexiones
de usuarios asociados a dicho nemnico que no informen del nmero de telfono
llamante se les aplicar a accin asociada (aceptacin o rechazo).
<accion>, puede tomar uno de los siguientes valores: ACEPTAR o RECHAZAR.
LOGINNAME <loginname> <accion>
donde:
<loginname>, indica el loginname que debe aceptarse o rechazar. As pus, las
conexiones con dicho loginname que no informen del nmero de telfono llamante se
les aplicar a accin asociada (aceptacin o rechazo).
TIEMPO <segundos>
donde:
<segundos> indica el nmero de segundos mnimo desde que se inici la conexin
activa de dicho usuario ms reciente.. As pus, las conexiones de un usuario que no
informen del nmero de telfono llamante y que se realicen menos de <segundos>
despus de la ltima conexin activa sern .
El orden de aparicin de las lneas anteriores determina el orden de aplicacin de las reglas.
Debe introducirse una lnea OBLIGATORIA con el valor por defecto, para el caso de no
aplicarse ningn criterio anterior:
DEFAULT <ACCION>
donde:
Un ejemplo de configuracin de dicho fichero:
NEMONICO terra RECHAZAR
LOGINNAME usu101 ACEPTAR
TIEMPO 3
DEFECTO RECHAZAR
Criterios a realizar sobre usuarios RDSI con el mismo nmero origen:
Cada lnea del fichero ser de la forma:
Existen los siguientes identificadores:
MISMONUMERO: Indica la accin a tomar ante una llamada RDSI realizada sobre el
mismo nmero. Los valores permitidos son ACEPTAR o RECHAZAR.
TIEMPORDSI: Indica el tiempo mnimo en segundos entre llamadas RDSI
consecutivas.
Ejemplo de configuracin:
MISMONUMERO ACEPTAR
TIEMPORDSI 3
3.4.19 snmp_INFOVIA
Fichero de configuracin necesario para que el servidor radius acepte peticiones SNMP
recibidas por el puerto SNMP habilitado para ello. Su contenido ser de la forma:
Existen los siguientes identificadores:
TIEMPO_ENTRE_PETICIONES: Indica el tiempo en milisegundos, durante el cual el
servidor radius esperar a atender peticiones snmp consecutivas.
MODO_DEBUG: Indica si se desea debug(1) o no(0) en el fichero de trazas SNMP
(snmpd.log).
Un ejemplo de configuracin de dicho fichero sera el siguiente:
TIEMPO_ENTRE_PETICIONES 100
MODO_DEBUG 0
3.4.20 clientes_SNMP
Fichero de configuracin que contiene las direcciones IPs y los secretos de los clientes
SNMP a los que se les permite realizar consultas.
Cada lnea del fichero ser de la forma:
ACCESO <DireccionIP> <Secreto>
Donde:
ACCESO es elidentificador reservado (Nombre del parmetro).
DireccionIP es la direccin de la maquina cliente snmp (formato: xx.xx.xx.xx siendo xx
cualquier nmero del intervalo 0-255).
Secreto es el palabra clave asociada a ese cliente (formato: cualquier string).
Un ejemplo de configuracin de dicho fichero sera el siguiente:
ACCESO 123.24.3.134 claveinf
ACCESO 192.167.22.4 clavesecreta
3.4.21 configuracion.routers
Fichero empleado por la herramienta liberar_dirIP para definir los datos de los equipos a
interrogar por SNMP para determinar las direcciones IP pilladas.
Ejemplo de fichero configuracion.routers:
# DireccionIP COMUNITY TIMEOUT(microsg) REINTENTOS
193.130.7.1 public 1000000 2
4 Operacin
4.1 Ejecucin del Servidor Radius
4.1.1 Solaris 2.5.1 y Linux
Una vez instalado el paquete y realizada la configuracin del servidor RADIUS tal y como
se especifica en los captulos anteriores, existen 2 opciones:
Si se desea emplear una librera dinmica, el ejecutable a utilizar es el radiusddll
(consultar el Apartado 4.2.2 radiusddll para ver todas la opciones) :
radiusddll -d <directorio_configuracin> -a <directorio_contabilidad>
Si no se desea emplear libreras dinmicas el ejecutable utilizado es el radiusd. Para
lanzarlo, debe ejecutarse el comando ( pueden consultarse todas las opciones del
servidor en el Apartado 4.2.1 radiusd ):
radiusd -d <directorio_configuracin> -a <directorio_contabilidad>
4.1.2 Windows NT
Para lanzar el servidor RADIUS debe usarse el siguiente comando:
start radiusnt -d <directorio_config.> -a <directorio_contabilidad>
4.2 Ejecutables del servidor RADIUS
En este captulo se presentan la sintaxis delos ejecutables con las siguientes convenciones:
[...] indica un elemento opcional. En el caso de no incluirlo, se tomar el valor por
defecto que se indica en la explicacin del elemento correspondiente.
{...} Indica que se debe incluir una de las opciones que aparecen entre { y }.
<...> representa un parmetro a sustituir. En el caso de no incluirlo o de incluir un valor
errneo (p.e. directorio que no existe), se producir un error.
Los ficheros ejecutables del servidor RADIUS, situados en el directorio de instalacin son
los siguientes:
4.2.1 radiusd
Es el fichero ejecutable del servidor RADIUS. Las opciones con las que se ejecuta son las
siguientes:
radiusd [-d <directorio_configuracion_radius>]
[ -a <directorio_contabilidad_radius>]
[ -u <fichero de usuarios_radius> ]
[ - x <nivel_trazas>] [ -X ] [ -v ]
Las opciones, junto con sus valores por defecto, se explican a continuacin::
-d <directorio_configuracion_radius>. Directorio en el que se
encuentran los ficheros de configuracin del servidor RADIUS que se describen en el
siguiente apartado. Por defecto se tomar el directorio /etc/raddb y c:\raddb
para Windows NT.
-a <directorio_contabilidad_radius>. Directorio donde se deposita la
informacin de contabilidad (ver Apartado 4.3 Contabilidad).
-u <fichero_usuarios_radius>. Fichero donde se definen los usuarios que
tienen acceso al PSI, as como sus caractersticas. Por defecto se tomar el fichero
denominado usuarios_INFOVIA en el directorio raddb, bajo el directorio de
instalacin correspondiente.
-x <nivel_trazas>. Si se indica esta opcin se registrarn las trazas de nivel 1 a
8
1
, sobre el funcionamiento del sistema, dependiendo del valor adquirido por
<nivel_trazas> . Los ficheros de trazas se crean en directorio de configuracin
indicado y se denominan TRAZAS_INFOVIA y TRAZAS_INFOVIA_ERR. En el caso
de no especificar el nivel se tomar nivel 1 por defecto.
-X. Con esta opcin se permiten activar las trazas de Nivel 2 (Los mensajes aparecen
en hexadecimal)
-v. Permite consultar la versin del servidor.
Nota: En mquinas UNIX el uso de las opciones -x y -X impide que radiusd acte
como demonio.
Nota: Para la funcionalidad de acceso por protocolo SNMP, tanto este ejecutable como
el radiusddll, el servidor RADIUS soporta las versiones 1 y 2 de SNMP.
4.2.2 radiusddll
Es el fichero ejecutable del servidor RADIUS que usa libreras dinmicas. Las opciones con
las que se ejecuta son las mismas que las utilizadas por el servidor RADIUS (radiusd), es
decir:
radiusddll [-d <directorio_configuracion_radius>]
[ -a <directorio_contabilidad_radius>]
[ -u <fichero de usuarios_radius> ]
[ - x <nivel_trazas>] [ -X ] [ -v ]
1
Las trazas de nivel 1 presentan un registro de los mensajes con explicaciones textuales. Las trazas de
nivel 2 presentan los mensajes Radius en formato hexadecimal. Las trazas de niveles 3-8 presentan las
trazas de la conversin de atributos (el nivel 3 representa un menor detalle y el nivel 8 el mayor).
Las libreras dinmicas ofrecen tres tipos de funcionalidades, adems de las proporcionadas
por el servidor Radius (radiusd) del apartado anterior:
o Acceso a bases de datos de usuarios y mensajera. Se puede usar una librera dinmica
para poder acceder a una fuente de datos de perfiles de usuarios distinta a la que se
ofrece por defecto (en forma de fichero plano, el denominado usuarios_INFOVIA). Se
ofrece una librera dinmica para el acceso a bases de datos en formato dbm
(libInfoviadbm.so
1
), aunque el usuario puede desarrollar la suya propia con los fuentes
de las mismas que se proporcionan en el directorio lib (bajo el directorio de
instalacin) de la distribucin.
Si se utiliza la base de datos dbm cada vez que se incluya o elimine un usuario en el
fichero usuarios_INFOVIA habr que utilizar el programa builddbm
2
.
En la versin para Windows NT slo se proporcionan la librera
radinfoviamsj.lib. Para usarla debe copiarse en el directorio de ejecucin del
servidor radius con el nombre RadInfovia.lib.
Se proporciona el cdigo fuente de estas libreras junto con los makefiles
correspondientes, de manera que se pueda programar el acceso a otra base de datos. La
informacin de esta librera se presenta en el Anexo A
o Conversion de atributos
3
. El usuario puede especificar la sustiticin, adicin o
eliminacin de atributos del paquete Radius, mediante unos ficheros de configuracin de
esta librera (libFiltro.so
1
), o bien especificar su propia funcin de conversion de
atributos modificando las funciones de la librera. La informacin detallada de esta
librera se presenta en el Anexo B.
o Obtencin de calidades (libCalidades.so). Recibe como parmetro la informacin del
usuario que solicita una direccin IP, el usuario puede especificar la calidad de la
direccin IP que se le debe asignar. La informacin detallada de esta librera se presenta
en el Anexo C
o Encriptacin de loginnames y passwords (libcripto.so). El usuario puede utilizar
ficheros de definicin de perfiles de usuario, bien en modo texto plano o bien en modo
DBM, encriptados mediante el comando encriptar. La informacin de esta librera se
presenta en el Anexo B API para desarrollo de aplicaciones encriptadas..
4.2.3 rad_tool.
Este ejecutable permite las siguientes opciones:
rad_tool [-v] [-d <directorio_configuracin>]
[-a <directorio_contabilidad>]
[usuarios_conectados]
[desconectar_ usuario <dir_ip>]
1
Librera disponible para las plataformas Solaris y Linux.
2
Existen ejecutables que permiten acortar este procedimiento; estos son builddbmmas (para aadir
usuarios) y builddbmmen (para eliminar usuarios).
3
El formato de un paquete Radius y la significacin del trmino atributo del paquete Radius se explica
en el Apartado 1.3.1 Paquetes Radius
[reutilizar_direccion <dir_ip>]
[parar_radius]
[ver_status]
[liberar_direccion_delegada <dir_ip>]
[enviar_stop_psi <dir_ip>]
[ver_usuario <usuario>]
[numero_usuarios_conectados]
[activar_trazas_1][desactivar_trazas_1]
[activar_trazas_2][desactivar_trazas_2]
[activar_trazas <nivel_trazas>]
+ Opciones generales
-v muestra la versin de la herramienta.
-d <directorio_configuracin> permite buscar el archivo de
configuracin de la herramienta cfg_OPERADOR_INFOVIA en un directorio
diferente del que se lanza esta aplicacin ( ./ por defecto).
parar_radius fuerza la parada del servidor RADIUS.
activar_trazas_1, activar_trazas_2 activa las trazas de nivel 1 y 2
respectivamente.
desactivar_trazas_1, desactivar_trazas_2 desactiva las trazas de
nivel 1 y 2 respectivamente.
activar_trazas <nivel_trazas>, activa las trazas del nivel que se
especifique en el parmetro posterior.
ver_usuario <usuario>, permite obtener el nmero de sesiones que tiene un
usuario concreto. El resultado se muestra en un fichero de texto
Estado_del_usuario que contiene el resultado de la consulta.
numero_usuarios_conectados, permite obtener el nmero total de usuarios
que estn conectados en un momento dado. El resultado de esta consulta se vuelca
en un fichero de texto llamado Numero_de_usuarios.
+ Opciones para clientes SW
-a <directorio_contabilidad> permite buscar los ficheros de
contabilidad en en un directorio diferente del que se lanza esta aplicacin ( ./ por
defecto). Se emplea para la opcin [usuarios_conectados].
usuarios_conectados, busca en los ficheros de contabilidad (archivos que
almacenan la informacin de contabilidad para una direccin IP de un cliente SW)
las direcciones IP de los usuarios conectados y que no han sido asignadas por el
servidor RADIUS en cuestin. Esta opcin resulta til para conocer qu direcciones
pueden liberarse con la opcin liberar_direccin_delegada. Si se emplea
junto a la opcin -a los ficheros de contabilidad se buscarn en el directorio
<directorio_contabilidad>/<IP_CVCA>. Si no se incluye, por defecto
se buscarn en el directorio actual.
liberar_direccion_delegada
1
<dir_ip> libera y desconecta la
direccin IP dir_ip de las asignadas por el RADIUS del CVCA. Esta opcin
funciona tan slo en el caso de que el cliente SW sea el CVCA de la red IP de
Espaa.
+ Opciones para clientes HW
reutilizar_direccin <dir_ip> libera la direccin IP dir_ip del pool
de direcciones de un PSI. De esta manera la direccin liberada est disponible para
ser asignada a un usuario que se conecte.
ver_status.Permite consultar el estado del servidor RADIUS en el momento
actual, es decir, usuarios conectados y direcciones IP que quedan libres. Con esta
opcin se crean los ficheros: Estado_del_cliente_aa.bb.cc.dd (donde
aa.bb.cc.dd es la direccin de cada cliente RADIUS), con los usuarios
conectados en ese momento en el cliente dado, y Estado_del_pool_X (donde
X es el identificador de cada pool) con las direcciones libres en ese pool.
+ Opciones para modo proxy
enviar_stop_psi <dir_ip> envia un paquete de stop al servidor Radius
final que tenga tenga asignada la direccin IP que se especifica como parmetro. Se
suele utilizar junto con la opcin liberar_direccion_delegada o reutilizar_direccion
para que el servidor Radius en modo proxy pueda volver a disponer de una
direccin IP que estaba previamente asignada.
+ Opciones que se mantienen por compatibilidad con la antigua Infova
desconectar_usuario <dir_ip> desconecta un usuario de un PSI con
direccin IP dir_ip.
Debe incluirse la direccin IP de la mquina donde reside el Radius del PSI en el fichero
clientes_hw_INFOVIA o en el fichero redIP_delegado con identificador 1000 tal como
aparece en el siguiente ejemplo:
<IP_PSI> <SECRETO_PSI> <UDP_RAD_TOOL> 1000
Donde <IP_PSI>, <SECRETO_PSI> y <UDP_RAD_TOOL> son los que figuran en el
fichero cfg_OPERADOR_INFOVIA.
Se muestra a continuacin un ejemplo de la salida que se produce ante una peticin de
liberacin de direccin en el caso de cliente SW y particularmente para el servicio Infova
Plus Bsico Modalidad Delegada:
$ ./rad_tool liberar_direccion_delegada 1.1.1.1
Codigo de respuesta: 41
2
1
Esta opcin funciona tan slo en el caso de que el cliente SW sea el CVCA de la red IP, ya que
requiere una extensin en el protocolo Radius. Es decir, funciona para el servicio Infova Plus Bsico
Modalidad Delegada de la red IP.
2
Los cdigos de los mensajes se presentan en el Anexo E Cdigos de Respuesta
Identificador_recibido: 35 , identificador_enviado: 35
La sesion ya finalizo o la direccion IP no esta asignada a ese proveedor
En el caso de que se haya producido un error o existan problemas de comunicacin con el
servidor RADIUS del CVCA la salida es la siguiente:
$ ./rad_tool liberar_direccion_delegada 1.1.1.1
Temporiza ... id 181
Codigo de respuesta: 0
Identificador_recibido: 0 , identificador_enviado: 181
Problema de conexion con el servidor.
Nota: Se proporciona una interfaz grfica (ver Anexo de "INTERFAZ DE
OPERACION WEB") que permite realizar las operaciones ms bsicas de este
comando de una forma ms amigable.
4.2.4 simula
Esta aplicacin simula el funcionamiento de un cliente RADIUS, software o hardware. Su
utilidad consiste en enviar peticiones radius al servidor RADIUS del PSI para probar su
correcta configuracin y comportamiento.
Para utilizar el simulador deben realizarse los siguientes pasos:
1. En el fichero de clientes del servidor radius, clientes_hw_INFOVIA si desea utilizarse el
simulador como un cliente hardware o redIP_delegado si se desea emplear como cliente
software, se debe aadir una nueva definicin de cliente radius con la direccin IP de la
maquina donde se est ejecutando el simulador.
2. Configurar el fichero cfg_OPERADOR_INFOVIA situado en el directorio de bateria
correspondiente, por ejemplo:
UDP_PSI 1645
IP_PSI 127.0.0.1
SECRETO_PSI Operador
La forma de utilizarlo, desde el directorio de bateria de pruebas correspondiente, es:
../bin/simula { Auth | Start | Stop } <Archivo>
Auth, para simular el envo de un paquete de peticin de autentificacin al PSI. El
contenido del paquete de peticin de autentificacin est en <Archivo>, que tambin
contiene los para los paquetes de accounting de Start y Stop.
Start,para simular un paquete de comienzo de tarificacin para el usuario
almacenado en <Archivo>.
Stop,para simular un paquete de liberacin de la conexin y fin de tarificacin del
usuario almacenado en <Archivo>.
<Archivo> contiene los paquetes de Auth, Start y Stop, con sus atributos respectivos.
Cada lnea tiene el nombre de un atributo, el signo =, y un valor. No se pueden cambiar,
aadir o quitar nombres de atributos, pudiendo nicamente modificar los valores.
En el directorio bateria_infovia se suministran ejemplo de Archivo para simular
conexiones desde un cliente hardware. Se puede ejecutar el script bateria de dicho directorio
para realizar de forma seguida todas las conexiones definidas en los ficheros.
En el directorio bateria_delegado se suministra un ejemplo de Archivo para simular
conexiones desde un cliente software. Se puede ejecutar el script bateria de dicho directorio
para realizar de forma la conexin definida en dicho fichero.
Nota: En el caso de querer quitar o aadir atributos, es necesario editar el cdigo
fuente
1
y recompilarlo.
Nota: La ejecucin de las baterias de pruebas precisa la utilizacin de los perfiles de
usuario existentes en el fichero usuarios_INFOVIA disponible tras la
instalacin.
4.2.5 builddbm
2
Es una aplicacin que permite la creacin de una base de datos dbm a partir de un fichero de
texto. Para consultar el formato del fichero de texto a partir del cual se puede generar la base
de datos (ver Apartado 3.4.8 usuarios_INFOVIA.).
La sintaxis es la siguiente:
builddbm[-d <directorio_configuracion>] [-u <fichero de usuarios>][-v]
-d <directorio_configuracion>, permite buscar el fichero de perfiles de usuario en un
directorio diferente del que se lanza esta aplicacin (./ por defecto).
-u <fichero de usuarios>, sirve para especificar el nombre del fichero de
perfiles de usuario.
-v, presenta la versin del ejecutable no generando la base de datos dbm.
4.2.6 builddbmmas
3
Este ejecutable se encarga de insertar uno o varios usuarios en una base de datos en formato
DBM. De esta forma, se evita realizar la insercin de dichos usuarios en el fichero de texto
en que se encuentran los actuales usuarios registrados en la base y regenerar por completo la
base DBM a partir del mismo.
builddbmmas [-d <directorio_configuracion>] [-e] [-h] [-u
<fichero_usuarios_radius>] [-v]
Nota:
1
El cdigo fuente est en el directorio lib.
2
Este comando no est disponible para la plataforma Windows NT.
3
-d <directorio_configuracion>. Es el directorio donde se encuentran los distintos
archivos de configuracin del servidor radius. Por defecto es /etc/raddb.
-e.Permite redirigir la salida a la stdout, en lugar de a la stderr (por defecto).
-h. Imprime por pantalla la ayuda con las opciones disponibles.
-u <fichero_usuarios_radius>. Indica el fichero de texto donde se
encuentran los nuevos usuarios radius a aadir a la base de datos DBM. Se buscar en el
directorio de configuracin un fichero de nombre <fichero_usuarios_radius>.mas. As
pus, en esta opcin se indicar tan solo el nombre del fichero sin extension. El valor
por defecto es usuarios_INFOVIA. El formato de este fichero ser idntico al utilizado
para el fichero de perfiles de usuario en modo texto.
-v. Activa el modo "verbose" que imprime por salida estndar la evolucin de las
distintas operaciones de aadido de usuarios. Con esta opcin aparece la versin del
ejecutable.
4.2.7 builddbmmen
1
Este ejecutable se encarga de eliminar un usuario de una base de datos en formato DBM, sin
tener que realizar la operacin de borrado en el archivo de texto correspondiente y regenerar
por completo la base DBM.
builddbmmen [-d <directorio_configuracion>] [-e] [-h] [-u
<fichero_usuarios_radius>] -n <usuario_a_borrar>
-d <directorio_configuracion>. Es el directorio donde se encuentran los
distintos archivos de configuracin del servidor radius. Por defecto es /etc/raddb
-e . Permite redirigir la salida a la stdout, en lugar de a la stderr (por defecto)
-h . Imprime por pantalla la ayuda con las opciones disponibles
-u <fichero_usuarios_radius>. Es el nombre de los ficheros donde se
encuentran los perfiles de usuarios radius en formato DBM, sin extensin. Es decir, si
tenemos una base de datos DBM, tendremos dos archivos, de la forma
<fichero_usuarios_radius>.dir y <fichero_usuarios_radius>.pag. El valor por defecto
es usuarios_INFOVIA. De esta base de datos DBM se borrar el perfil del usuario que
se especifique.
-n <usuario_a_borrar>. Especifica el username del usuario que se desea
eliminar
4.2.8 liberar_dirip.sh (liberacin de direcciones IP no reutilizadas)
2
En algunas ocasiones los servidores de terminales no registran adecuadamente la finalizacin
de la sesin de un usuario y no se enva el correspondiente registro, o por algn motivo el
1
2
Este comando slo est disponible para plataformas Solaris.
servidor RADIUS no recibe ese registro. En ese caso, las direcciones IP asignadas a la sesin
continuarn asignadas mientras que no se liberen de forma explcita (utilizando el programa
rad_tool suministrado con el RADIUS).
El script liberar_dirip.sh identifica de forma automtica las direcciones IP que tienen que
liberarse en estos casos, y si se le pide, las libera tambin, ofreciendo un informe de las
operaciones realizadas.
La herramienta puede ejecutarse en dos modos:
modo informe, en el que solamente se identifican las direcciones IP no reutilizadas, pero
no se liberan.
modo liberacin, en el que adems, se liberan las direcciones IP no reutilizadas por el
RADIUS.
Descripcin
El uso del script se detalla a continuacin:
liberar_dirip.sh [-c directorio] [-e directorio] [-f fichero] [-t
directorio] [-dHhisv]
-c directorio: Es el directorio en el que se encuentran los ficheros de configuracin del
servidor RADIUS de PSI. En caso de que no se pase como parmetro se buscar por
defecto en el directorio /opt/radius/raddb.
-e directorio: Es el directorio en el que se encuentran instalados los ejecutables
del servidor RADIUS de PSI. En concreto, se necesita la herramienta rad_tool. En este
directorio se van a instalar tambin los scripts que se utilizan para la liberacin de
direcciones. En caso de que no se pase este parmetro se buscar por defecto en el
directorio /opt/radius/ bin.
-f fichero: Es el nombre del fichero de informe de resultados. Su valor por defecto
es informeAAAAMMDDhhmmss.txt dentro del directorio de configuracin de
RADIUS, donde AAAAMMDDhhmmss indica la fecha y hora de inicio de ejecucin.
Esta opcin es vlida tanto en el modo informe como en el modo liberacin.
-t directorio: Es el directorio en el que se van a ir dejando los ficheros
intermedios generados durante el proceso. Su valor por defecto es un directorio llamado
datos que cuelgue del directorio de configuracin del RADIUS.
-d: Muestra informacin adicional del proceso durante su ejecucin (depuracin). Por
defecto esta opcin est deshabilitada.
-H: Genera el informe en formato HTML. Por defecto, el informe de salida es ASCII.
-h: Muestra la ayuda.
-i: La ejecucin ser en modo informe. Por defecto, se realiza la ejecucin en modo
liberacin.
-s: Esta opcin impide que se muestren mensajes por la pantalla (silencioso). Es til en
el caso de que se quiera incluir el comando en el cron. Por defecto, est deshabilidata.
-v: Muestra la versin del script.
En el modo de funcionamiento por defecto, el script considera que la herramienta rad_tool
est instalada en /opt/radius/bin, que la configuracin del RADIUS se coge de /opt/radius/
raddb; el directorio de ficheros temporales es /opt/radius/raddb/datos; se ejecuta en modo
liberacin, sin depuracin, y los mensajes que aparecen por pantalla se pueden consultar
tambin en el fichero liberar_dirip.sh.AAAAMMDDhhmmss del directorio de
configuracin de RADIUS.
Configuracin
El script utiliza los siguientes directorios::
directorio de ficheros temporales. . Adems, en este directorio se van a generar los
ficheros temporales necesarios para el funcionamiento del script. Este directorio es el
directorio datos, y que, por defecto, colgar del directorio de configuracin del
RADIUS.
directorio de ejecutables del RADIUS. En este directorio se encuentra el ejecutable
rad_tool y los scripts que se necesitan en el proceso.
directorio de configuracin del RADIUS. Es el directorio en el que se va a consultar la
configuracin del RADIUS. Adems, contiene la configuracin necesaria para el script.
En este directorio se guardan por defecto los informes de ejecucin y un fichero con un
resumen de la ejecucin (liberar_dirip.sh-AAAAMMDDhhmmmss.log).
El operador tendr que configurar el fichero "configuracion.routers" (directorio de
configuracin del RADIUS), que tiene una lnea por cada terminador de tneles que realiza
peticiones contra el servidor RADIUS. El formato de cada lnea viene determinado por el
orden de los campos dentro de cada lnea, separados entre ellos por espacios en blanco:
la direccin IP del equipo. Este parmetro ser obligatorio.
la comunidad de acceso (community) a los datos de la MIB. Este parmetro es
obligatorio.
el nmero de reintentos de las peticiones SNMP. Este parmetro es opcional y tomar un
valor por defecto en caso de que no se indique ningn valor. Este parmetro resultar
til en aquellas configuraciones en las que la comunicacin con el router no se realice
por lneas de gran velocidad o el equipo tenga una importante carga de trabajo.
el tiempo de espera en caso de incomunicacin. Este parmetro es opcional y tomar un
valor por defecto en caso de que no se indique ningn valor. Este parmetro resultar
til en aquellas configuraciones en las que la comunicacin con el router no se realice
por lneas de gran velocidad o el equipo tenga una importante carga de trabajo.
Si no existe este fichero de configuracin, no se podr utilizar el script.
Crontab
Para realizar la comprobacin peridicamente, habr que crear (o modificar si ya existe) un
fichero crontab donde se programar la ejecucin del comando. Se utiliza el comando
"crontab -e" para editar o crear un fichero crontab (por defecto el editor utilizado es ed ,
fijando la variable de entorno EDITOR se puede cambiar el editor utilizado), y con el
comando "crontab -l" se puede ver el contenido de dichos ficheros.
La estructura del fichero crontab debe tener los siguientes campos (Un carcter * en el
valor de un campo indica todos los valores posibles):
campo_1 campo_2 campo_3 campo_4 campo_5 comando
donde:
campo_1: Minutos, con valores comprendidos entre 0 y 59
campo_2: Hora, con valores comprendidos entre 0 y 23.
campo_3: Da del mes, con valores comprendidos entre 1 y 31.
campo_4: Mes, con valores comprendidos entre 0 y 11.
campo_5: Da de la semana, con valores comprendidos entre 0 y 7 (Domingo 0 7).
comando, indica el comando que debe ejecutarse, con el path completo.
As, si quisieramos que la herramienta se ejecute todos los domingos (0) y jueves (4) a las
03:10 horas, generando un informe en HTML, sin mostrar mensajes, la entrada a introducir
sera:
10 3 * * 0,4 /opt/radius/liberar_dirip/liberar_dirip.sh -H -s
Se debe fijar la ejecucin del comando de forma que no se solapen unas ejecuciones con
otras, puesto que se corromperan los ficheros de datos intermedios que se utilizan. Para
evitar esta circunstancia, el script comprueba si ya hay una copia ejecutndose y si es as, no
contina ejecutndose. De cualquier manera, el script puede ser ejecutado a mano en
cualquier momento.
Es conveniente recordar que si se incluye este comando en el crontab, el entorno de
ejecucin puede ser distinto del entorno shell habitual. Se recomienda que se ejecute una vez
en modo informe para asegurar la correcta configuracin del entorno, y que se utilicen rutas
absolutas en todos los casos en que sea requerida una ruta o fichero.
4.3 Contabilidad
Se denomina directorio de contabilidad al directorio donde se deposita la informacin de
contabilidad. En dicho directorio se crear un subdirectorio cuyo nombre ser la direccin IP
de cada uno de los clientes (tanto clientes hardware como clientes software) y en el cual se
crear un fichero denominado detalle
1
que contiene la informacin de contabilidad. Se
puede especificar el directorio en el arranque del servidor (ver Apartado 4.2.1 radiusd y
Apartado 4.2.2 radiusddll ). Si no se especifica en el arranque se tomar por defecto el
directorio /usr/adm/radacct y c:\radacct para Windows NT.
1
Se puede crear un nico fichero de contabilidad llamado detalle en el directorio de contabilidad si se
especifica la opcin DETALLE_UNICO en el fichero de clientes (clientes_hw_INFOVIA o
redIP_delegado)
En este fichero se muestran todos los paquetes de contabilidad , Start y Stop,
procedentes de un cliente RADIUS con una direccin IP dada. Se muestra el tipo de paquete,
y los nombres de los atributos con su valor. El nombre del atributo que se muestra es el que
aparece junto al cdigo correspondiente en el fichero diccionario_infovia. Si se desea
cambiar el formato, se puede utilizar el API del Anexo A y concretamente el mdulo
EscribeFac.
A continuacin se muestra un ejemplo:
24-03-2000 12:00:28
User-Name = "dbuser"
NAS-IP-Address = 172.16.1.0
NAS-Port = 1298
NAS-Port-Type = Sync
Acct-Status-Type = Start
Acct-Delay-Time = 0
Acct-Session-Id = "298"
Acct-Authentic = RADIUS
Calling-Station-Id = "1432"
Called-Station-Id = "1055"
Framed-Protocol = PPP
Framed-Address = 22.0.27.116
24-03-2000 12:00:31
User-Name = "dbuser"
NAS-Port = 1298
NAS-Port-Type = Sync
Acct-Status-Type = Stop
Acct-Delay-Time = 0
Acct-Session-Id = "298"
Acct-Authentic = RADIUS
Acct-Session-Time = 31
Acct-Input-Octets = 2773
Acct-Output-Octets = 1986
Acct-Input-Packets = 39
Acct-Output-Packets = 30
Ascend-Disconnect-Cause = 45
Ascend-Connect-Progress = 60
Ascend-Data-Rate = 64000
Ascend-PreSession-Time = 3
Ascend-Pre-Input-Octets = 142
Ascend-Pre-Output-Octets = 125
Ascend-Pre-Input-Packets = 8
Ascend-Pre-Input-Packets = 8
Ascend-First-Dest = 10.0.1.1
Framed-Address = 22.0.27.116
4.3.1 Gestin Automtica de los Ficheros de Detalle
1
La herramienta proporcionada permitir realizar la compresin de el/los ficheros de detalle
(registros de contabilidad) del Servidor Radius. Dicha compresin se efectuar agrupando
todos los ficheros de contabilidad en un nico fichero en formato tar que posteriormente
ser comprimido.
La gestin por tiempo permitir configurar en detalle da y hora de realizacin.
La gestin por ocupacin ser a travs de un parmetro configurable que especifique el
umbral de mxima ocupacin del sistema de ficheros donde se encuentre el directorio de
contabilidad del Radius.
Se ha incluido un sistema de semforos que impide que se puedan anidar llamadas a la
herramienta que usen el mismo fichero de configuracin => Evitar que dos procesos
trabajen sobre los mismos ficheros de detalle.
El semaforo funciona de la siguiente manera: Cuando comienza la ejecucin de la
herramienta se inicializa un fichero temporal que contiene el path exacto donde est el
fichero de configuracin. Si se lanza otra ejecucin de la herramienta lo primero que se
hace es comprobar si existe dicho fichero temporal. Si no existe se contina la
ejecucin, y si existe se comprueba que el path que contiene no coincida con el del
fichero de configuracin de la actual ejecucin. Si coinciden se da un mensaje de error
en el fichero de trazas y se da por finalizada la ejecucin. Si no coinciden, se contina
con el proceso normalmente inicializando el correspondiente fichero de semforo.
Los ficheros sin comprimir desaparecern cuando se compriman, pero en el caso de que
surgiera un error durante el proceso, los ficheros no comprimidos no se eliminarn.
Descripcin
El uso del script se detalla a continuacin:
gestion_log.sh -o {0 | 1} [-c <configfile>] [-t <logfile>]
0, 1: Indica si se ha de comprimir en cualquier caso (0) o slo si se pasa el margen de
mxima ocupacion del sistema de ficheros donde se encuentra el directorio (1).
1
Esta herramienta no est disponible para la plataforma Windows NT.
configfile: Path completo donde est el fichero de configuracin de la aplicacin. En
caso de que no se pase como parmetro se buscar por defecto en el directorio:
/opt/radius/ raddb.
logfile: Path completo donde est el fichero de trazas de la aplicacin. En caso de
que no se pase como parmetro se escribir por defecto en el fichero:
/tmp/trazas_gest_log.txt
El operador tendr que configurar el fichero "gestion_log.cnf" de donde el script lee los
siguientes parmetros:
FILE_LOG: Directorio donde estn los ficheros de detalle a comprimir.
FILE_COMPRESS: Directorio donde almacenar los ficheros de detalle comprimidos.
Para optimizar los recursos del sistema, se recomienda al operador que los site en un
sistema de ficheros diferente del usado por el servidor Radius para almacenar los
ficheros de log.
FILE_LOG_NAME: Nombre de los ficheros de detalle.
PORCEN_MAX_OCUPACION_PERMITIDO: Porcentaje de ocupacin mximo
permitido por encima del cual hay que comprimir los ficheros de log. No hay que poner
el tanto por ciento () al final. El valor de est variable debe ser mayor que 0 y menor que
100.
Si el fichero de configuracion no se encuentra, se cargarn los valores por defecto en las
variables.
El script escribe trazas en el fichero "trazas_gest_log.txt" dentro del directorio que se le pasa
como parmetro (en caso de que no se pase o se cometa algn error en la sintaxis del
comando se escribirn en el directorio /tmp). Inicializa las mismas con la fecha completa del
momento del arranque de la aplicacin. En caso de no querer trazas, se debe poner como
fichero /dev/null. En el fichero de trazas se informa de los posibles errores ocurridos en la
ejecucin del script. Tambin se informa del desarrollo de la ejecucin, nombre de los
ficheros que se comprimen y borran, nombre y ubicacin del fichero generado, etc. Cada
ejecucin comienza por una cabecera en la que se indica la fecha y hora de comienzo de la
misma y la versin del ejecutable, tal y como se muestra a continuacin:
************************************
VERSION: 1.00.00
ARRANQUE: Mon Jun 12 19:04:50 2000
************************************
El fichero comprimido que se genera se nombra de la siguiente manera: Nombre de los
ficheros de detalle_fecha.tar.Z as por ejemplo, si el nombre de los ficheros de detalle es:
"detalle", y la hora del sistema es: "Tue May 16 12:20:25 2000", el nombre del fichero ser:
"detalle_12:20:25_16-05-2000.tar.Z".
Para agrupar los ficheros se usa el comando tar. El nombre de los ficheros aadidos se
escribe en las trazas. El compresor usado es "compress".
Para realizar la gestin por tiempo, habr que crear (o modificar si ya existe) un fichero
crontab donde se programar la ejecucin del comando. Se utiliza el comando "crontab -e"
para editar o crear un fichero crontab (por defecto el editor utilizado es ed , fijando la
variable de entorno EDITOR se puede cambiar el editor utilizado), y con el comando
"crontab -l" se puede ver el contenido de dichos ficheros.
La estructura del fichero crontab debe tener los siguientes campos (Un carcter * en el
valor de un campo indica todos los valores posibles):
campo_1 campo_2 campo_3 campo_4 campo_5 comando
donde:
campo_1: Minutos, con valores comprendidos entre 0 y 59
campo_2: Hora, con valores comprendidos entre 0 y 23.
campo_3: Da del mes, con valores comprendidos entre 1 y 31.
campo_4: Mes, con valores comprendidos entre 0 y 11.
campo_5: Da de la semana, con valores comprendidos entre 0 y 7 (Domingo 0 7).
comando, indica el comando que debe ejecutarse, con el path completo.
As, si quisieramos que la herramienta se ejecute todos los domingos (0) y jueves (4) a las
03:10 horas, que sea cual sea el nivel de ocupacin del sistema de ficheros donde se
encuentran los ficheros de detalle, se compriman y borren los mismos, la entrada a introducir
sera:
10 3 * * 0,4 /opt/radius/bin/gestion_log.sh /opt/radius/raddb -o 0 -c
/opt/radius/raddb -t /tmp
De cualquier manera, el script puede ser ejecutado en cualquier momento. El operador puede
elegir si desea que slo se compriman los ficheros en caso de que se sobrepase el umbral de
mxima ocupacin permitida del sistema de ficheros que haya definido o que se ejecute
indiferentemente del valor de ste.
Procedimiento para recuperar el fichero original
Para desagrupar los ficheros usar el comando:
tar xvf <nombre_fichero.tar>
Para descomprimir usar el comando:
/usr/bin/uncompress <nombre_fichero.Z>
4.3.2 Obtencin de Estadsticas
1
Se presenta a continuacin un script que se provee en el paquete distribuido. Hay que
mencionar tambin que existen herramientas freeware que pueden ser de utilidad, y que se
presentan brevemente en el anexo de referencias.
1
Esta herramienta solo est disponible para la plataforma Solaris.
4.3.2.1 Script "ver_estadisticas.sh"-
Este script se encarga de obtener una serie de estadsticas sobre los ficheros de
logs obtenidos por el Servidor Radius del PSI. Estas estadsticas se podrn
presentar de forma agregada o por cliente y adems formateadas en HTML o
tabularmente para su posterior tratado con un navegador o herramienta
ofimtica.
La sintaxis de dicho script es la siguiente:
ver_estadisticas.sh
1
[-d <directorio_configuracion>]
[-p {Cliente | Agregado} ]
[-r {Html | Tabular} ]
-o { Num_llmd | Num_llmd_IP |
Tiempo_promedio_cnx |
Tlfn_mas_frec [-l <tamao_lista>] |
Tlfn_dif |
Trafico_octetos |
Ratio_cnx [-l <tamao_lista>] |
Causa_dcnx [-l <tamao_lista] |
Cliente_desc |
Usuario_desc |
Distinto_sec |
Pools_agotados |
Password_erronea |
Num_llmd_sin_duplicados }
-t {Hoy | Todo | <dd/mm/yyyy_inicio> -f <dd/mm/yyyy_final>}
A continuacin se explican las opciones:
-d <directorio_configuracion>
Con esta opcin se permite indicar el directorio donde se encuentra
ubicado el fichero de configuracin de la herramienta. Si no se selecciona
dicha opcin o el directorio indicado no existe, se tomar la ruta
"/opt/radius/ raddb" como directorio de configuracin por defecto.
-p [Cliente | Agregado]
Las estadsticas podrn ser presentadas agrupndolas por Terminador de
Tnel, o de manera agregada, excepto las estadsticas obtenidas por las
opciones Cliente_desc, Usuario_desc, Distinto_sec, Pools_agotados y
Password_erronea, que slo se presentarn de manera agregada.
1
No es recomendable que se ejecute como usuario "root" en mquinas monoprocesador, porque ante
ficheros de estadsticas bastante grandes, puede llegar a ocupar un porcentaje alto de CPU."
Por defecto, si no se selecciona ninguna de las dos posibilidades o se
introduce una entrada errnea, se mostrar una pequea ayuda de como
ejecutar la herramienta.
-r [Html | Tabular]
Las estadsticas, adems, podrn ser formateadas en HTML o tabularmente
(para su procesamiento posterior en una hoja de clculo). Para ello, la
salida de la ejecucin de este script deber redirigirse a un fichero con
extension HTML o a un fichero de texto.
Por defecto, si no se selecciona ninguna de las dos posibilidades o se
introduce una entrada errnea, el resultado de la ejecucin del script se
mostrar por la lnea de comandos.
-o {Num_llmd | Num_llmd_IP | Tiempo_promedio_cnx |
Tlfn_mas_frec [-l <tamao_lista>] | Tlfn_dif |
Trafico_octetos | Ratio_cnx [-l <tamao_lista>] |
Causa_dcnx [-l <tamao_lista> ] | Cliente_desc |
Usuario_desc | Distinto_sec | Pools_agotados |
Password_erronea | Num_llmd_sin_duplicados}
Con esta opcin se elige qu estadstica se quiere obtener. Es obligatorio la
eleccin de una de ellas. A continuacin se explicar cada una de ellas:
Num_llmd. Con esta opcin se mostrar el nmero de llamadas
producidas.
Num_llmd_IP. Con esta opcin se mostrar el nmero de llamadas
agrupadas por la direccin IP del MAX-TNT.
Tiempo_promedio_cnx. Con esta opcin se mostrar el tiempo
promedio de conexin.
Tlfn_mas_frec [-l <tamao_lista>
1
]. Con esta opcin se
mostrar la lista ordenada con la cantidad de llamadas agrupadas por
telfono llamante. Con la opcin -l se podr poner lmite al tamao de
la lista resultado.
Tlfn_dif. Con esta opcin se mostrar el nmero de telfonos
llamantes diferentes.
Trafico_octetos. Con esta opcin se mostrar el trfico
recibido/ enviado promedio.
Ratio_cnx [-l <tamao_lista>
1
velocidades de conexin.
Causa_dcnx [-l <tamao_lista>
1
causa de desconexin.
1
Si tamao_lista se sustituye por un valor incorrecto, p.e: negativo o numrico.
Cliente_desc. Con esta opcin se mostrar el nmero de llamadas
rechazadas por cliente desconocido.
Usuario_desc. Con esta opcin se mostrar el nmero de llamadas
rechazadas por Usuario desconocido.
Distinto_sec. Con esta opcin se mostrar el nmero de llamadas
rechazadas por distinto secreto compartido.
Pools_agotados. Con esta opcin se mostrar el nmero de
llamadas rechazadas por falta dedirecciones IP disponibles en los
pools de direcciones.
Password_erronea. Con esta opcin se mostrar el nmero de
llamadas rechazadas por Password errnea.
Num_llmd_sin_duplicados. Con esta opcin se mostrar el
nmero de llamadas producidas eliminando los duplicados que
existiesen en los ficheros de logs.
-t {Hoy | Todo | <dd/mm/yyyy_inicio> -f <dd/mm/
yyyy_final>}.
Con estas opciones se elegir el perodo de estudio para la obtencin de
estadsticas. Es obligatorio elegir una opcin de entre las siguientes:
Hoy-> el da de la ejecucin del script.
Todo-> no hay lmite en la eleccin del perodo.
-t <dd/mm/yyyy_inicio> -f <dd/mm/yyyy_final>->
se elige un periodo de estudio.
A continuacin se describen algunos ejemplos:
ver_estadisticas.sh -d /opt/radius5.03/raddb -p Cliente -o
Num_llmd -t Hoy
Se obtienen estadsticas ordenadas por Cliente sobre el nmero de llamadas
producidas el da presente y segn el fichero de configuracin indicado.
ver_estadsticas.sh -d /opt/radius5.03/raddb -p agregado -r
tabular -o Tiempo_promedio_cnx -t todo > fichero.txt.
Se obtienen estadsticas presentadas de forma agregada y en formato tabular
sobre el tiempo promedio de conexin abarcando todos los tiempos de estudio.
Se redirige la salida a un fichero de texto para su posterior visualizacin.
ver_estadisticas.sh -d /opt/radius5.03/raddb -r html -o Tlfn_dif
-t 15/02/2000 -f 15/05/2000 > fichero.html.
Se obtienen estadsticas ordenadas por Terminador de Tneles sobre el nmero
de telfonos llamantes diferentes en un perodo de estudio determinado. Se
redirige la salida a un fichero html para su posterior visualizacin en un
navegador.
4.3.2.2 Fichero de configuracin "ver_estadisticas.config"
Este fichero de configuracin deber encontrarse en el directorio de
configuracin. Se especifican los paths a los directorios de contabilidad y a los
diversos scripts awk que son llamados desde el script "ver_estadisticas.sh".
Tambin se especifican las cadenas claves con los atributos asociados para la
obtencin de las diferentes estadsticas, adems de las cadenas claves para la
obtencin del nmero de llamadas rechazadas segn la opcin elegida.
Se presenta a continuacin como ejemplo el fichero distribuido:
# NO dejar espacios en blanco entre el nombre de la variable y el
=
# Dejar un espacio en blanco entre el = y el valor.
# Path de donde cuelgan las bases de accounting y logfiles.
DIR_BD_RADIUS= /opt/radius
# Nombre del directorio de la BD de accounting. Ficheros detalle.
BD_ACCT= radacct
# Path del fichero para operaciones temporales del script.
FICH_TMP= /tmp/ver_estadisticas_tmp.txt
# NO dejar espacios en blanco entre la variable y el =, ni
entre # el = y el valor.
#Cadena clave para el atributo del Servidor de Terminales
NAS_IP=NAS-IP-Address
#Cadena clave para el atributo velocidad de conexion
VELO_CONEX=Ascend-Data-Rate
#Cadena clave para el numero de llamadas por telefono llamante
NUM_LLAMADAS=Calling-Station-Id
#Cadena clave para el tiempo medio de conexion
TIEMPO_MEDIO=Acct-Session-Time
#Cadena clave para las causas de desconexion
CAUSA_DESC=Ascend-Disconnect-Cause
#Cadena clave para el numero de octetos recibidos
NUM_OCT_REC=Acct-Input-Octets
#Cadena clave para el numero de octetos enviados
NUM_OCT_ENV=Acct-Output-Octets
#Cadena clave para el eliminador de duplicados
ELIM_DUP=Acct-Session-Id
#Cadena clave para encontrar rechazos por Cliente inexistente.
EV_RCHZ_CLI_NE=Security Breach
#Cadena clave para encontrar rechazos por Sin IPs disponibles en
pool.
EV_RCHZ_IP_POOL=No hay direcciones
#Cadena clave para encontrar rechazos por Password erronea.
EV_RCHZ_PASSWD=Password incorrecta
#Cadena clave para encontrar rechazos por distinto Secreto
compartido.
EV_RCHZ_SECRETO=Bad authenticator
#Cadena clave para encontrar rechazos por Usuario inexistente.
EV_RCHZ_USR_NE=Neither User Nor Default Name
4.4 Encriptacin
4.4.1 encriptar
Este ejecutable se encarga de encriptar el fichero de perfiles de usuarios . Para ello es
imprescindible que exista una clave en el fichero clave_cripto del directorio de
configuracin. Esta clave ser generada previamente con el ejecutable nueva_clave.
encriptar [-d <directorio_configuracion>] [-u <fichero_entrada>] [-x] [-h]
donde:
-d <directorio_configuracion>. Es el directorio donde se encuentran tanto el fichero de
entrada como el que contiene la clave de encriptacin clave_cripto.
-u <fichero_entrada> .Es el nombre del fichero a encriptar. Por defecto ser el
usuarios_INFOVIA
-x. Permite la visualizacin de las trazas.
-h. Imprime por pantalla la ayuda con las opciones disponibles.
4.4.2 nueva_clave
Este ejecutable se encarga de generar una nueva clave, necesaria para la encriptacin de
ficheros de perfiles y para el uso del servidor radius en modo encriptado.
Su sintaxis es la siguiente:
nueva_clave [-d <directorio_configuracion>] [-h]
donde:
-d <directorio_configuracion>. Es el directorio en el que se crear el fichero
clave_cripto con la clave.
-h. Imprime por pantalla la ayuda con lasopciones disponibles.
Nota: El fichero generado, clave_cripto, debe encontrarse en el directorio de
configuracin que utilice el servidor radius.
5 Mantenimiento
5.1 Ficheros de Trazas.
El servidor Radius genera los ficheros de trazas que se describen a continuacin. Ambos se
generan en el directorio que se indique al arrancar el demonio radius con la opcin -x o -
X.
Existen ocho niveles de trazas (ver Apartado 4.2.1 radiusd y Apartado 4.2.2 radiusddll ).
Si se arranca el demonio con la opcin -x <nivel_trazas> se activan las trazas del nivel
indicado. En este caso, se vuelcan al fichero de trazas (TRAZAS_INFOVIA) informacin
sobre los pasos y errores que se producen en funcionamiento del servidor. Si se emplea la
opcin -X (mayscula) se activan las trazas de Nivel 2. Cuando estn activadas estas trazas,
se vuelcan en el mismo fichero el contenido de los paquetes (peticiones) entrantes y salientes
en formato hexadecimal.
Los ficheros de trazas se crean en el directorio de configuracin que se haya especificado en
el arranque del servidor.
Las trazas pueden activarse y desactivarse dinmicamente una vez arrancado el servidor
utilizando la herramienta rad_tool (ver Apartado 2.4.4 "rad_tool.").
Se describen a continuacin los ficheros de trazas generados por el servidor RADIUS.
5.1.1 TRAZAS_INFOVIA.
Contiene un seguimiento ms detallado de la ejecucin del servidor Radius, como se muestra
en el siguiente fragmento. Este fichero solo se generar si el servidor ha sido lanzado con la
opcin de depuracin de nivel 1 ( -x):
A continuacin se presenta un ejemplo del fichero, incluyendo explicaciones intermedias:
Inicio y lectura de configuracin:
INICIO stdout a FICHERO
..Var_tiempo_reutilizacion: 30..Inicio de crea_clien
INCLUYO EL CLIENTE 1.0.20.26(100141a) INTEGRACION1812?? 1645 16
..Entro en recupera_cfg..
..Paso a espera de mensajes..
radrecv: Request from host c19a2408 code=1, id=122, length=209
Lectura de atributos del mensaje del cliente:
Password = "\210B\015\237\227O"
NAS-Port = 10298
User-Name = "prueba@PSIDelegIntegr"
PROXY-INFOVIA = 00 00 00 0a e4 00 00 5c d6 00 00 65 a9 00 00 40 ea 00 00
77 7e ac 10 01 00 00 00 20 5a c1 9a 02 85 9c d1 15 70 72 75 65 62 61 40 50
53 49 44 65 6c 65 67 49 6e 74 65 67 72 00 00 00 00 00 00 00 02 00 00 00 06
00 00 13 88 00 00 00 02 00 00 c1 9a 24 02 05 f5 e1 ae 00 00 00 00 05
PROXY-INFOVIA = 02 00 00 04 00 00 00 00 00 00 02 d1 ac 10 01 00 01 00 04 ad
06 6d 59 11 42 ba c4 95 ac 39 9b c1 94 f1 3b 16 e3 dd
Procesamiento del mensaje:
rad_authenticate()
..busca_cliente..
..Fin de busca_cliente(fffffffd)..
User record PASSWORD type is Normal
authPapPwd
..estado_cliente..
..busca_cliente..
..Fin de busca_cliente(fffffffd)..
Confeccin del mensaje de respuesta:
get_attr_lvalue(6) == 2
get_attr_lvalue(4) == -1408237312
Busca direcciones IP libres:
..estado_cliente..
A continuacin se describe el mensaje de respuesta correcta y atributos de la respuesta:
Sending Ack of id 122 to c19a2408 (193.154.36.8)
Longitud al ppo : 20^M
User-Service = Framed-User
Session-Timeout = 0
Idle-Timeout = 10
Max-Num-Connections = 5
Port-Limit = 5
User-Name = "prueba@PSIDelegIntegr"
NIVEL-INFOVIA = 1
PROXY-INFOVIA = 02 00 00 04 00 00 00 00 00 00 02 d1 ac 10 01 00 01 00 04
ad 06 6d 59 11 42 ba c4 95 ac 39 9b c1 94 f1 3b 16 e3 dd
PROXY-INFOVIA = 00 00 00 0a e4 00 00 5c d6 00 00 65 a9 00 00 40 ea 00 00 77
7e ac 10 01 00 00 00 20 5a c1 9a 02 85 9c d1 15 70 72 75 65 62 61 40 50 53
49 44 65 6c 65 67 49 6e 74 65 67 72 00 00 00 00 00 00 00 02 00 00 00 06 00
00 13 88 00 00 00 02 00 00 c1 9a 24 02 05 f5 e1 ae 00 00 00 00 05
Total Longitud : 219
Pasa de nuevo a la espera de mensajes:
..Paso a espera de mensajes..
5.1.2 TRAZAS_INFOVIA_ERR
Contiene errores crticos que impiden que se complete el proceso de arranque del servidor. A
continuacin se presenta un ejemplo:
acct bind: Address already in use
INICIO stderr a FICHERO
5.2 Monitorizacin del servidor
Existe un nico fichero que presenta los posibles problemas del servidor. Este fichero se
denomina logfile y contiene un registro de los mensajes de error producidos en el sistema.
El fichero logfile se crea en el directorio de configuracin que se haya especificado en el
arranque del servidor.
A continuacin se presenta una relacinde lneas del fichero donde se muestran los posibles
errores y cuando es necesario se muestra en cursiva una explicacin del error que aparece en
la lnea siguiente.
Marca de arranque del sistema:
Trazas <nivel trazas> activadas
Puerto de ARRANQUE para Auth <puerto>
Puerto de ARRANQUE para Acct <puerto>
Sale uno de los dos mensajes siguientes:
..ARRANQUE en MODO PROXY..
..ARRANQUE en MODO RADIUS LOCAL..
ARRANQUE del sistema RADIUS-PSI 5.04.00
A partir de la lnea siguiente se muestran distintos errores detectados en el arranque
(errores en arranque, en lectura de la configuracin,, en la configuracin de la
converin de atributos y otros errores) del servidor Radius.
Concretamente, la lnea que sigue representa un error cuando el servidor se rearranca,
intentando recuperar el estado de las conexiones y pooles de direcciones. En el caso de
que se arranque por primera vez, no representa ningn problema.
..No se ha podido recuperar la situacion inicial ..
Despus aparece el nivel de trazas que ha sido activado.
Trazas <nivel_trazas> NO activadas
Trazas <nivel_trazas> activadas
INICIO stderr a FICHERO
Errores en arranque del RADIUS
Los siguientes errores ocurren cuando hay otro servidor RADIUS arrancado, por lo que
no se pueden abrir los ficheros de trazas.
NO freopen stdout
NO freopen stderr
Errores en rearranque. El primer mensaje se muestra tambin en un arranque, pero en
este caso no representa un error. En el caso de rearranque es un aviso.
..No se ha podido recuperar la situacion inicial ..
..Error recuperando datos de cliente:<cliente>
..Error recuperando datos de pool:<id pool>
Otros errores:
Acct: No se puede abrir el archivo <dir accounting >/<cliente>/ detalle
Errores en parada del RADIUS
..Error salvando datos de pool:
..Error salvando datos de cliente:
..Error salvando datos de cliente:
..No se ha podido realizar la parada controlada..
Errores en lectura de configuracin
Los siguientes errores son autoexplicativos.
No se pudo abrir <nombre fichero> para encontrar los pools asociados a
cada cliente
Fichero <nombre fichero> Erroneo linea <numero de linea>
Invalida longitud del rango de direcciones IP en la linea <numero de
linea> de pools
Invalido valor de tamano de rango IP en la linea <numero de linea> de
pools
Invalido valor de IP <valor> en la linea <numero de linea> de pools
Invalido rango de direcciones (<rango>)en la linea <numero de linea> de
pools
Numero maximo de trozos de pool alcanzado en la linea <numero de linea>
de pools
No se pudo abrir <fichero> para encontrar los pools
Faltan parametros <host> en la linea <numero de linea> del fichero
<fichero>
Invalido valor de IP <valor> en la linea <numero de linea> del fichero
<fichero>
Invalido valor de udp <valor> en la linea <numero de linea> del
fichero <fichero>
Cliente duplicado en la linea <numero de linea> del fichero <fichero>
No se pudo abrir <fichero> para encontrar clientes
No se pudo abrir <fichero> para encontrar clientes hardware
No se pudo abrir <fichero> para encontrar clientes CVCA
No se pudo abrir <fichero> para encontrar la configuracion local
"Invalido valor de puerto UDP del servidor local en la linea <numero de
linea> de cfg_local "
Invalido valor de hora limite para las direcciones IP en la linea
<numero de linea> de cfg_local
Invalido valor de puerto UDP del servidor local en la linea <numero de
linea> de cfg_local
Invalido valor de puerto UDP del servidor local en la linea <numero de
linea> de cfg_local
Valor invalido de en HARDWARE_INFOVIA_OMISION la linea <numero de
linea> de cfg_local
Valor invalido de en MODO_PROXY la linea <numero de linea> de
cfg_local. Se toma por defecto el valor 0
Valor invalido de SUBRED_FICTICIA en la linea <numero de linea> de
cfg_local
No se pudo abrir <fichero> para encontrar criterios_proxy
Fichero de criterios de proxy incorrecto en la linea <numero de linea>
faltan parametros
faltan parametros <valor linea> <clave> <id cliente> en la linea
<numero de linea>
Direccion IP incorrecta <direccion ip> en el fichero criterios_PROXY en
la linea <numero de linea>
Nemonico incorrecto <nemonico> en el fichero criterios_PROXY en la
linea <numero de linea>
No se ha encontrado el cliente <identificador cliente> de destino de
proxy
El fichero de definicin de direcciones IP del CVCA (redIP_delegado) es errneo.
"Fichero de clientes cvca erroneo ==> exit "
Errores en recepcin de paquetes RADIUS
Los siguientes representan errores en autenticacin:
Error en recepcin de paquete de contabilidad.
authenticateAcctReq: from , ID <id peticion>: <mensaje error>
Secreto demasiado largo.
rcv req from <dir ip cliente> plus secret : too long: s - ID: <id
sesion
Secreto de cliente incorrecto.
Bad authenticator: from <ip cliente>- ID: <id sesion>
Error en un paquete de peticin de servicio (p.e. rdenes dadas a travs de rad_tool).
autPetSer: desde <dir ip cliente>, ID <id peticion>: <mensaje error>
Las passwords de UNIX no se aceptan con CHAP.
CHAP Unix Attempt: user <usuario>, NAS <ip NAS>
Las passwords de INFOVIA no se aceptan con CHAP.
CHAP Crypt Attempt: user <usuario>, NAS <ip NAS>
Usuario no existe (y no hay entrada DEFAULT):
Authenticate: from <direccion_ip> - Neither User Nor Default Name:
xdbuser
Si existiera la entrada "DEFAULT" apareceria (nuevo version TL01 y 5.01)
No existe el usuario xdbuser
Password incorrecta para el usuario xdbuser
Alias incorrecto:
Authenticate: from <direccion_ip> - Neither User Nor Default Name:
dbuser@xpruebas
Password incorrecta (Nuevo version TL 01 y 5.01):
Password incorrecta para el usuario dbuser
No se envi el parmetro User_Name en el mensaje de autentificacin.
Authenticate: from <dir ip cliente> - No User Name
El cliente no existe.
Authenticate: from <dir ip cliente>- Security Breach: <usuario>
No se envi el atributo Password en el mensaje de autentificacin.
Authenticate: from <dir ip cliente>- No pwd in request!
Otros errores en paquetes de autenticacin:
Authenticate: from <dir ip cliente>- <usuario>: <mensaje>
Error en la descodificacion del identificador.
Calc_digest: from <dir ip cliente>, ID <id peticion>: <mensaje error>
Atributo incorrecto o desconocido en el perfil del usuario (en los check-items).
Parse.check error <mensaje de error> for user <usuario>
Falta un salto de lnea en la definicin del usuario en el fichero de usuarios.
Missing NL for user <usuario>
Atributo incorrecto o desconocido en el perfil del usuario (en los reply-items).
Parse.reply error <mensaje de error> for user <usuario>
No se permite nombre de usuario con longitud 0.
zero length username not permitted
Password demasiado larga para ese usuario definida en el fichero de usuarios.
.. from <fichero usuarios>, user <usuario>: pwd too long (<longitud>)
No se puede leer el fichero de usuarios.
Couldnt open <fichero de usuarios> for reading
No se encontr el atributo.
attribute name <Atributo> not found
No hay permiso para escribir en el directorio de usuarios.
Couldnt rename <fichero de usuarios> :
Rechazo de llamadas por problemas de asignacin de direcciones IP:
Usuario <usuario> sin sesiones
No hay direcciones para usuario <usuario>
No se ha establecido el valor de HW_INFOVIA_OMISION=1 en el fichero
cf_local_INFOVIA o en el perfil del usuario correspondiente.
Usuario <usuario> rechazado
Errores en la funcionalidad de Proxy
El secreto del servidor final es errneo.
Calc_digest Proxy: from <cliente>, ID <identificador peticion>
No se pudo obtener el destino del proxy
El Radius destino del proxy es el mismo Radius Origen. Rechazado"
No se ha encontrado la peticin en la cola de peticiones pendientes, o bien se ha
saturado dicha cola.
ERROR: circular queue detected at <numero peticion>
Errores en la conversion de atributos
Errores en configuaracin de la funcionalidad (aparecen en arranque):
Error en la lectura del fichero de preconversiones.Exit
Error en la lectura del fichero de postconversiones.Exit
Error en la lectura de tipos de paquete
Errores en funcionamiento:
No se puede abrir el fichero de conversiones: <fichero>
Error en la ejecucion de una post-conversion"
Error en la ejecucion de una pre-conversion"
Tipo de paquete desconocido: <codigo paquete>;
No se encuentra el nombre del atributo: <atributo>
No entiendo el valor del atributo: <atributo>
TipoPaquete desconocido: <codigo paquete>
Sin memoria para CONV_CONVPAQUETE
Sin memoria para CONV_OPERACION
TipoOperacion desconocida: <operacion>
No se encuentra el nombre del atributo: <atrbuto>
Falta el signo igual en atributo <atributo>
No entiendo el valor del atributo <atributo>
Errores en herramienta rad_tool
Errores en liberacin de direcciones (rad_tool reutilizar_direccion):
Liberacion ip <direccion ip>
Liberacion perdida <direccion ip>
Direccion <direccion ip> no conectada
Direccion <direccion ip> localizada pero no liberada
Direccion <direccion ip> liberada
Direccion <direccion ip> conectada en <cliente>
Errores en parada del servidor (rad_tool parar_radius)
El estado del sistema ha sido volcado de forma OK
No se ha podido obtener el estado del sistema
Sistema Parado de forma OK
Sistema Parado de forma NO OK
Otros errores
No hay memoria ...
Sin memoria para campo proxy
5.3 Procedimientos de Contingencia
5.3.1 Problemas en Servidor RADIUS
5.3.1.1 El servidor RADIUS no arranca
Al lanzar el demonio sale inmediatamente.
Verificaremos si se cumplen los siguientes requisitos necesarios para el
arranque del servidor:
1. El puerto de autenticacin y contabilidad est libre. Para ello podemos leer
el fichero TRAZAS_INFOVIA_ERR. En el caso de que est ocupado, lo
ms probable es que exista otro proceso RADIUS en funcionamiento.
2. Permisos del usuario con el que se intenta ejecutar el servidor en el
directorio de arranque. El directorio de configuracin debe tener permisos
de lectura, escritura y ejecucin y el directorio de instalacin debe tener
permisos de lectura y ejecucin. En principio el usuario que ejecuta el
servidor debe ser el mismo que lo instal.
3. En el caso de lanzar el servidor RADIUS que utiliza librera dinmicas
(radiusddll), si las libreras no estn ubicadas en el mismo directorio que el
ejecutable (radiusddll), hay que comprobar que la variable de entorno
LD_LIBRARY_PATH tiene el valor correcto (indica el directorio donde
estn ubicadas las libreras).
4. Se pueden producir errores fatales debido a los ficheros de conversin de
atributos (en el caso de que estn erroneamente especificados). Para
detectar si ste es el caso, se debe leer el fichero logfile.
5.3.1.2 El servidor RADIUS arranca con problemas
El servidor RADIUS puede o bien no arrancar o arrancar incorrectamente. Este
segundo caso se produce cuando se producen errores al leer los ficheros de
configuracin, bien porque la sintaxis de los mismos sea incorrecta, o bien por
alguna incoherencia (p.e: en un fichero se refire a un cliente qu previamente no
ha sido dado de alta).
La nica manera de detectar este tipo de problemas es leyendo el fichero
logfile. A continuacin se muestra un ejemplo de la parte referida al arranque
en dicho fichero:
27-04-2000 11:50:18 INICIO stderr a FICHERO
27-04-2000 11:50:18 ..ARRANQUE en MODO PROXY..
27-04-2000 11:50:18 Invalido valor de IP 1.0.0.a en la linea 25
del fichero clientes_hw_INFOVIA
a es un valor invlido ya que debe estar comprendido entre 0 y 255.
27-04-2000 11:50:18 Faltan parametros en la linea 26 del
fichero
clientes_hw_INFOVIA
Este error indica que la lnea no est completa de acuerdo con la sintaxis de
clientes_hw_I NFOVI A.
27-04-2000 11:50:18 ARRANQUE del sistema RADIUS-PSI 5.01.01
27-04-2000 11:50:18 ..No se ha podido recuperar la situacion
inicial ..
27-04-2000 11:50:18 Puerto de ARRANQUE para Auth 9645
27-04-2000 11:50:18 Puerto de ARRANQUE para Acct 8646
5.3.1.3 No se autentica ningn usuario
Distinguiremos en primer lugar si el servidor RADIUS ha sido arrancado en
modo Servidor Final o en modo Proxy.
Modo Servidor Final
Se deben verificar los siguientes puntos:
1. Comprobar que el Servidor Radius est arrancado.
2. Comprobar trfico de entrada de mensajes
1
. En el caso de que no haya
trfico, existe un problema de red que debe ser solucionado previamente a
cualquier otra actuacin. Una vez que se haya solucionado se vuelve a
monitorizar el comportamiento.
3. Comprobar trfico de salida de mensajes (respuestas). Pueden ocurrir dos
casos:
+ No hay respuestas
Comprobar direccin IP, puerto y secreto en el cliente y en el
fichero de configuracin. Si existe un error de ste tipo, se puede
verificar leyendo el fichero logfile.
+ Hay respuestas (Reject)
Comprobar secreto en el cliente y en el fichero de configuracin.
Comprobar el perfil de los usuarios que no logran autenticarse.
Concretamente el password puede ser incorrecto, pero tambin
otros elementos de la check list. En el caso de ser el usuario o el
password incorrecto, dicha circunstancia se refleja en el fichero
logfile.
Si el cliente del que proceden las peticiones es un cliente HW
(est dado de alta en el fichero correspondiente), debe aparecer la
variable HARDWARE_INFOVIA_OMISION en el fichero de
configuracin cfg_local_INFOVIA, en el caso contrario debe
aparecer en el perfil de usuario concreto la variable
HARDWARE_INFOVIA con valor 1. En el fichero logfile
aparece el mensaje Usuario <...> rechazado.
Verificar que no se ha superado el nmero mximo de sesiones y
que hay direcciones IP disponibles para el usuario. Las
direcciones son un recurso limitado tan solo en el caso de clientes
hardware, mientras que las sesiones lo son en el caso de los
clientes hardware y opcionalmente en el caso de los clientes
software.
En el caso de no disponer de sesiones, aparecer en el fichero
logfile el mensaje: usuario <...> sin sesiones. Esto puede ser
debido a que existan sesiones pilladas (ver Apartado 5.3.7.1
Verificacin de Sesiones Pilladas).
En el caso de no disponer de direcciones IP, aparecer en el
fichero logfile el mensaje: No hay direcciones para <...>.
Esto puede indicar que no quedan direcciones en los pooles de
categora igual o inferior a la categora del usuario, pudiendo
1
En una mquina Solaris, esto se puede realizar mediante el comando (siendo usuario root):
snoop udp -x42 port <puerto_autenticacion> or <puerto_contabilidad> host <nombre_host>
En Linux se utiliza el comando tcpdump.
quedar en pooles de categora superior. Esto se puede
comprobar mediante el comando rad_tool.
Modo Servidor Proxy
1. Comprobar trfico de entrada de mensajes procedente del cliente. En el
caso de que no haya trfico, existe un problema de red.
2. Verificar trfico de salida (hacia el servidor final). Se pueden presentar dos
situaciones:
+ No hay trfico. Las posibles causas son:
No se encuentra el destino en el fichero criterios_PROXY. Esta
circunstancia se refleja en el fichero logfile.
Comprobar direccin IP, puerto y secreto en el cliente y en el
fichero de configuracin. Tambin aparece un mensaje en el
fichero logfile indicndolo.
Si el cliente del que proceden las peticiones es un cliente HW
(est dado de alta en el fichero correspondiente), se debe
comprobar el valor de la variable
HARDWARE_INFOVIA_OMISION en el fichero
correspondiente (cfg_local_INFOVIA). En este caso se enviarun
reject al cliente y se reflejar en el fichero logfile el mensaje:
Usuario <...> rechazado.
Verificar que existen direcciones IP disponibles (si es un cliente
hardware), de la misma manera que en el modo servidor final.
+ Hay trfico. Las posibles causas son:
No hay respuestas del servidor final.
Verificar direccin IP, puerto y secreto del servidor final en el
servidor proxy y viceversa.
Hay respuestas, pero todas son reject.
Verificar secreto del servidor proxy en el servidor final.
Verificar los perfiles de usuario en el servidor final de la misma
manera que en el apartado anterior.
5.3.1.4 Se produce un alto porcentaje de rechazos.
En este caso la hiptesis ms probable es que el servidor Radius se haya
quedado sin recursos. Esto lo podemos comprobar leyendo el fichero logfile:
No hay sesiones. Comprobar si hay sesiones pilladas -ver siguiente
Apartado 5.3.7.1 Verificacin de Sesiones Pilladas-, o simplemente
puede indicar que la CPU est muy cargada o que no hay memoria libre.
Estas ltimas circunstancias las comprobaremos mediante las utilidades
del sistema operativo.
No hay direcciones IP. La causa puede estar en que el pool de direcciones
de la categora requerida por el usuario sea muy pequeo, o bien que no se
liberen por existir sesiones pilladas - ver siguiente Apartado 5.3.7.1
Verificacin de Sesiones Pilladas-.
5.3.1.5 No se autentica a ningn usuario estando en modo encriptado.
La razn puede ser alguna de las siguientes:
Doble encriptacin:
Se vuelve a encriptar un fichero de perfiles previamente encriptado. De manera
que los datos en dicho fichero no son vlidos. Y el servidor Raidus no
autenticar a los usuarios.
Inconsistencia de clave:
Se ha utilizado una clave para la encriptacin del fichero de perfiles de usuario
y ms tarde se ha generado otra sin la actualizacin del fichero de perfiles
encriptado. De modo que el servidor Radius utiliza otra clave y no es capaz de
autenticar a los usuarios.
Lo recomendado en estos casos es realizar de nuevo el procemiento completo
para la ejecucin del servidor Radius en modo encriptado. (Apartado 3.3
Configuracin para encriptacin de datos de usuario).
5.3.2 Problemas del servidor radius en modo SNMP
En el fichero de configuracin snmp_INFOVIA, si se define en la variable
TIEMPO_ENTRE_PETICIONES un valor elevado, puede llegar a ocurrir que ante
peticiones de SNMP de objetos tabla, se queden peticiones de objetos sin responder.
Poniendo un valor pequeo en dicha variable no se dejarn de atender peticiones SNMP.
5.3.3 Problemas en comando builddbm
Normalmente el comando indica en su salida si hay algn error. En cualquier caso el
procedimiento general ser:
Se exponen a continuacin algunos ejemplos:
$ ../bin/builddbm -p
../bin/builddbm: illegal option -- p
../bin/builddbm options are:
-d dir radius directory
-e use stdout rather than stderr
-h request help
-u file radius users file
-v verbose mode
Mas mensajes de error
$ ../bin/builddbm -d /
../bin/builddbm: Couldnt open //usuarios_INFOVIA.pag for writing
$ ../bin/builddbm -u pepe
../bin/builddbm: Couldnt open /etc/raddb/pepe.pag for writing
$ ../bin/builddbm -d . -u pepe
../bin/builddbm: Couldnt open ./pepe for reading
5.3.4 Problemas en comando rad_tool
Este comando sale inmediatamente en el caso de detectar un error de sintaxis evidente. En
oros casos, temporizar para reintentar la conexin con el servidor RADIUS. Tambin se
pueden producir otros errores de comunicacin cuyos cdigos se recogen en el Anexo E
Cdigos de Respuesta.
En cualquier caso el procedimiento general ser:
1. Verificar sintaxis.
2. Verificar accesibilidad del fichero cfg_operador_INFOVIA.
3. Verificar que el cliente con identificador 1000 est definido en el fichero de clientes
(clientes_hw_INFOVIA o redIP_delegado).
Se exponen a continuacin un ejemplo de error sintctico:
$ ../bin/rad_tool -p
Uso: rad_tool [-v] [-d <config_dir>] <opcion>
Opciones disponibles:
<parar_radius>
<ver_status>
<desconectar_usuario> <dir_ip>
<reutilizar_direccion> <dir_ip>
<enviar_stop_psi> <dir_ip>
<liberar_direccion_delegada> <dir_ip>
[-a <acct_dir>] <usuarios_conectados>
<ver_usuario> <usuario>
<numero_usuarios_conectados>
<nivel_trazas> 0|1|..|8
<activar_trazas_1>
<desactivar_trazas_1>
<activar_trazas_2>
<desactivar_trazas_2>
5.3.5 Problemas en comando encriptar
Los errores son indicados por pantalla. Estos son algunos ejemplos:
$../bin/encriptar -d /opt/radius5.04/raddb -u usuarios_INFOVIA
Error en la apertura del fichero /opt/radius5.04/raddb/clave_cripto.
En este caso habra que crear el fichero clave_cripto con el ejecutable nueva_clave.
$../bin/encriptar -d /opt/radius5.04/raddb -u usuarios_INFOVIA
Error al abrir el fichero /opt/radius5.04/raddb/usuarios_INFOVIA
El fichero usuarios_INFOVIA no existe.
$../bin/encriptar -d /opt/radius5.04/raddb -s usuarios_INFOVIA
USO: encriptar [-d dir_configuracion] [-u fich_entrada] [-x]
USO: encriptar [-h]
No se han utilizado las opciones correctas del comando y se muestra la ayuda por pantalla.
5.3.6 Problemas en comando nueva_clave
Los errores son indicados por pantalla. Este es un ejemplo:
$../bin/nueva_clave -j
USO: nueva_clave [-d dir_configuracion]
USO: nueva_clave [-h]
No se han utilizado las opciones correctas del comando y se muestra la ayuda por pantalla.
5.3.7 Procedimientos comunes
5.3.7.1 Verificacin de Sesiones Pilladas
Dada la naturaleza del protocolo UDP, los mensajes RADIUS se pueden perder
dando lugar a inconsistencias cuando no llega un mensaje de contabilidad
correspondiente a un usuario. Esto se traduce en que aparentemente existen
usuarios conectados que en realidad no lo estn.
Existen dos tipos de paquetes de contabilidad: el paquete de start y el paquete
de stop
1. El servidor eliminar una sesin cuando se reciba el paquete de stop
correspondiente. Si el paquete de stop se pierde (o incluso el de start) la
sesin permanecer ocupada (pillada) hasta que no se libere manualmente.
Cuando se pierde el paquete de stop la sesin no acaba y aparece una
duracin de la sesin muy elevada puede indicar que este pillada. Esto se
comprueba mediante el comando:
rad_tool ver_status
2. Para comprobar si existen sesiones para las cuales no ha llegado el paquete
de Start, podemos realizar lo siguiente:
1. Ejecutar la orden:
rad_tool usuarios_conectados
Este comando examina el fichero de contabilidad (detalle) y nos
muestra las sesiones para las que ha llegado un paquete de start, pero
no su correspondiente de stop.
Si una sesin aparece en el fichero Estado_del_cliente_aa.bb.cc.dd
1
y no en el resultado del comando anterior durante un intervalo grande
de tiempo, la sesin esta pillada con gran probabilidad (Ha llegado
el paquete de auth y no el de start).
2. Tambien en el caso de usar las opciones CONTROL_SESIONES y
DIRECCION_START para los clientes SW hay una manera sencilla
de detectar sesiones para las que no se ha reibido el paquete de start:
Si al ejecutar el comando rad_tool ver_status una sesin aparece
con una direccin ficticia
2
mucho tiempo querr decir que no se ha
recibido su paquete de start y por tanto la sesin permanece colgada.
Cuando se detecta una sesin pillada hay que liberarla manualmente con el
comando:
1
Este fichero se debe actualizar antes de analizar su contenido. Esto se consigue mediante el comando:
rad_tool ver_status.
2
Las direcciones ficticias son las que se dan a los usuarios que hacen sus peticiones a travs de un
cliente SW, cuando hay control de sesiones. Se distinguen porque la direccin comienza tal y como se
especifica en el parmetro correspondiente de cfg_local_INFOVIA en el atributo SUBRED_FICTICIA.
rad_tool reutilizar_direccion aa.bb.cc.dd
Nota: La direccin liberada, no podr ser reutilizada hasta que no transcurra el
tiempo marcado en el parmetro HORA_IP del fichero cfg_local_INFOVIA.
A Librera de Acceso a Base de Datos
La librera de este anexo se generan a partir de dos archivos fuente: EscribeFac.c, el cual se
encuentra relacionado con el servicio de escritura de contabilidad y mensajera y UsuExt.c
que se encarga obtener los datos del perfil del usuario de una base de datos en formato dbm.
En el caso concreto de esta ltima, cabe constatar que la idea puede adaptarse a otro tipo de
base de datos diferente al dbm para generar una librera diferente que pueda ser utilizada por
el demonio radius. Modificando el primero podramos modificar el formato del fichero de
contabilidad.
Las libreras se generan compilando esos dos archivos atendiendo al Makefile que se
suministra en /opt/radius/lib o en el directorio equivalente para las plataformas Linux y NT.
A.1 Mdulo UsuExt.c
Se indican las cabeceras de las funciones:
/***********************************************************************
* Funcion: userinfo_open
* Prototipo:
* static int
* userinfo_open(userfd, infoname)
* FILE **userfd;
* char *infoname;
* Proposito: Abre el fichero de informacin de usuarios. Hacer cosas
* distintas de distintas maneras dependiendo de si utilizamos un
* fichero plano o una base de datos
*
* Retorno: CERO si tiene xito, distinto de cero si no lo tiene.
***********************************************************************/
/***********************************************************************
* Function: userinfo_close
* Prototipo:
* static void
* userinfo_close(userfd)
* FILE *userfd;
* Purpose: Cierra el fichero de informacin de usuarios. Hacer cosas
*distintas de distintas maneras dependiendo de si utilizamos un
* fichero plano o una base de datos
***********************************************************************/
/***********************************************************************
* Funcion: UsuExt
* Prototipo: int UsuExt(char * nombre_archivo,
* char * nombre_usuario,
* char * line,
* char * datos_paquete)
*
* nombre_archivo: Puntero al nombre del archivo de la de la base de
* datos de usuarios.
*
* nombre_usuario: Puntero al nombre del usuario a consultar.
*
* line: Puntero al array de 4096 caracteres ubicado por radiusd
* donde se debera copiar los datos del perfil del usuario localizado.
*
* datos_paquete: Puntero al array con todos los atributos del paquete
* en formato "Atributo=Valor, ..."
*
* Objetivo: Busca el nombre de usuario en la base de datos.
* Devuelve un string con los datos del usuario.
*
* Devuelve: 0 exito.
* 1 no se usa esta funcion. radiusd buscara el usuario internamente.
* <0 errores codificados por radiusd
*
* Errores:
* MISSING_NEWLINE (-93)
* NO_USER_OR_DEFAULT_NAME (-92)
* ZERO_LENGTH_NAME (-91)
* NO_USER_FILE (-90)
* NO_WHITESPACE (-89)
* USERFILE_RENAME_FAILED (-88)
* USERFILE_READ_ERR (-87)
* USERFILE_WRITE_ERR (-86)
* END_OF_USERS_LIST (-85)
* MEMORY_ERR (-84)
*
* Estructura de los datos de usuario:
*
* Los datos seran un string con dos lineas basados en la
* estructura de un usuario del archivo usuarios_INFOVIA.
*
* Ejemplo:
* Para el usuario usu1,
*
* usu1 Password = "madrid"
* SESIONES-INFOVIA = 0,
* NIVEL-INFOVIA = 1,
* Ascend-Idle-Limit = 0,
* Ascend-Maximum-Time = 10
*
* Se debera de rellenar en line
*
*strcpy(line,"Password=madrid\nSESIONESINFOVIA=0,NIVELINFOVIA=1,Asc..);
*
***********************************************************************/
A.2 Mdulo EscribeFac
/***********************************************************************
* Funcion: EscribeFac
*
* Prototipo: int EscribeFac( char * detail, char * buffer)
*
* detail: Puntero al nombre del archivo de la
* base de datos de tarificacion.
*
* buffer: Puntero a los datos de tarificacion.
*
* Objetivo: Entrega los datos de tarificacion para su almacenamiento o
* procesado.
*
* Devuelve: 0 exito.
* 1 fallo.
*
* Estructura de los datos de tarificacion:
*
* Los datos seran un string de pares <parametro>=<valor>
* separados por comas.
*
**********************************************************************/
B API para desarrollo de aplicaciones
encriptadas.
En este API se proporcionan las funciones necesarias para encriptar y desencriptar cadenas
utilizando el algoritmo de encriptacin DES.
El API es:
void init_des(char *path_key,char *clave);
int descifrar (char *encode,char *cadena,int *longCadena);
int cifrar (char *palabra, char *cadena, int *longCadena);
B.1 Inicializacin
La funcin init_des deber ser invocada una sola vez antes de encriptar o desencriptar.
Para la encriptacin/desencriptacin es necesaria la utilizacin de una clave, esta ser
almacenada en un fichero.
Esta funcin se encarga de leer dicha clave e inicializarla adecuadamente para su uso por el
DES.
En este interfaz se hace uso de los siguientes parmetros:
path del fichero de clave. Parmetro de entrada, camino en el cual se encuentra el
fichero clave-cripto en el cual se almacena la clave.
clave .Parmetro de salida, es la clave leda.
B.2 Encriptacin
La funcin cifrar encripta la cadena de caracteres que se le introduce. En primer lugar le
aplica a la cadena el algoritmo DES, utilizando la clave que previamente tiene que haber sido
inicializada. En segundo lugar codifica la cadena encriptada con Base64, con el fin de
convertir todos los caractereres de la cadena encriptada en caracteres del cdigo ASCII.
Deber ser invocada siempre que quiera encriptarse una cadena.
palabra. Parmetro de entrada, palabra a encriptar.
cadena. Parmetro de salida, cadena encriptada resultante.
longCadena. Parmetro de salida, longitud de la cadena encriptada (ser superior a la de
la cadena sin encriptar).
B.3 Desencriptacin
La funcin descifrar es la inversa de la funcin cifrar.
Esta funcin deseencripta la cadena de caracteres que se le introduce. Primeramente
decodifica la cadena con Base64, obtenindo la cadena encriptada. A continuacin
desencripta con DES, utilizando la clave que tiene que haber sido previamente inicializada.
Deber ser invocada siempre que quiera desencriptarse una cadena.
encode. Parmetro de entrada, cadena de caracteres a desencriptar.
cadena. Parmetro de salida, cadena desencriptada.
longCadena. Parmetro de salida, longitud de la cadena desencriptada (ser inferior a la
de la cadena encriptada).
C Introduccin a la funcionalidad de
Conversiones
C.1 Objetivo
Se describe la funcionalidad de conversin de atributos RADIUS, su configuracin y su
funcionamiento, as como las facilidades de particularizacin que se ofrecen a los PSI.
C.2 Organizacin
Se van a describir los siguientes contenidos:
Gramtica del fichero de descripcin de conversiones.
Semntica de las conversiones
Depuracin y seguimiento de las conversiones.
API para desarrollo de conversiones a medida
C.3 Gramtica de conversiones
A continuacin, se detalla la gramtica en formato BNF:
CONVERSIONES ::= <CONVERSION> <MAS_CONVERSIONES>
MAS_CONVERSIONES ::= <CONVERSIONES> | VACIO
CONVERSION ::= <LISTA_PAQUETES> ":" <CLAVE> <LISTA_OPERACIONES>
LISTA_PAQUETES ::= <TIPO_PAQUETE> <MAS_PAQUETES>
MAS_PAQUETES ::= "," <LISTA_PAQUETES> | VACIO
TIPO_PAQUETE ::= "AuthRequest"
| "AuthReject"
| "AuthAck"
| "Start"
| "Stop"
| "AccountResponse"
CLAVE ::= <PAREJACONCOMODIN> | <COMODIN>
PAREJACONCOMODIN ::= <ID_ATRIBUTO> <POSIBLE_VALOR>
|POSIBLE_VALOR ::= "=" <VALOR_COMODIN>
| VACIO
VALOR_COMODIN ::= <COMODIN>
| <VALOR_ATRIBUTO>
LISTA_OPERACIONES ::= <OPERACION> <MAS_OPERACIONES>
MAS_OPERACIONES ::= <LISTAS_OPERACIONES> | VACIO
OPERACION ::= <TIPO_OPERACION> <LISTA_PAREJAS>
TIPO_OPERACION ::= "Insertar"
| "Borrar"
| "Sustituir"
LISTA_PAREJAS ::= <PAREJACONCOMODIN> <MAS_PAREJAS>
MAS_PAREJAS ::= "," <LISTA_PAREJAS> | VACIO
ID_ATRIBUTO ::= <IDENTIFICADOR>
VALOR_ATRIBUTO ::= <CADENA>
| <NUMERO>
| <DIR_IP>
DIR_IP ::= <NUMERO> . <NUMERO> . <NUMERO> . <NUMERO>
COMODIN ::= *
CADENA ::= <CARACTERES>
Se permiten comentarios que empiecen con el caracter # (almohadilla); son vlidos hasta
el final de la lnea.
Cada elemento del fichero va separado del resto por espacios en blanco, tabuladores o
cambios de lnea.
Los atributos de tipo binario y cadena se representan mediante cadenas de caracteres,
rodeadas por comillas dobles.
Los caracteres se pueden representar mediante una secuencia de escape \xYY, donde YY
representa dos dgitos hexadecimales. Tambin puede utilizarse la secuencia \0ZZZ, donde
ZZZ representa tres dgitos octales.
Si se tiene que escribir el caracter de escape, se pondra \\. Para poner unas comillas dobles
dentro de una cadena, se escribir \. Se debern escapar los caracteres nulos (cdigo
ASCII 0) que formen parte de las cadenas.
Es posible incluir las siguientes secuencias de caracteres escapados, de igual forma que se
utilizan en C o C++:
Secuencia de
escape
Valor ASCII
\a Pitido de aviso
\b Retroceso
\f Avance de pgina
\n Nueva lnea
\r Retorno de carro
\t Tabulador horizontal
\w Tabulador vertical
Por ejemplo: para incluir un atributo de tipo Vendor-Specific se puede hacer de las
siguientes formas (las representaciones son equivalentes):
Vendor-Specific=\0\x3Cadena \de caracteres\n
Vendor-Specific=\x0\x3Cadena \de caracteres\n
Vendor-Specific=\0000\0003Cadena \de caracteres\0012
Es posible disponer de un conjunto de conversiones que se ejecutarn antes de procesar el
paquete por el servidor RADIUS (preconversiones) y otro conjunto de conversiones que se
ejecutarn una vez que el servidor RADIUS haya procesado la peticin (postconversiones).
C.4 Semntica
A cada paquete RADIUS que llega se le intenta aplicar todas las conversiones en el orden en
que aparecen en el fichero de conversiones. Cada conversin define en qu tipo de paquetes
se va a aplicar; adems, solo se realiza una conversin si el paquete tiene algn atributo que
coincida con la clave; el atributo clave es el desencadenante de la operacin. Dos atributos
coinciden en alguna de estas condiciones:
si alguno de ellos es el atributo COMODIN.
si los atributos son los mismos, y alguno de ellos tiene el valor COMODIN.
si los atributos son los mismos y sus valores coinciden.
Por tanto, el atributo clave es el desencadenante de la operacin.
Las operaciones de una conversin se realizan en el orden en el que aparecen en el fichero.
Cada operacin tiene asociada una lista de atributos (LISTA_PAREJAS en la gramtica). Los
atributos se borran o insertan en el orden en el que aparecen en el fichero. El significado de
cada operacion sera:
insercin. Se indica que se inserten los atributos que estn en la lista de atributos, cada
uno con el valor indicado.
Si algn atributo no tiene valor asociado o su valor es el COMODIN, se insertar con el
mismo valor que la clave; en este caso, es necesario que la clave y el atributo sean del
mismo tipo.
borrado. Se borrarn los atributos que estn en la lista de atributos, siempre que cada
uno tenga el valor indicado. En caso de que alguno de los atributos de la lista de
atributos estuviera repetido en el paquete RADIUS, se borrarn todas aquellas
ocurrencias en la que los valores coincidan. Por ejemplo: En un paquete RADIUS con
los siguientes atributos:
User-Name=usuario@psi
Password=zkjzkks
NAS-IP-Address=192.3.4.1
NAS-Port=3
Framed-Route=10.1.1.0 100.1.1.0
Framed-Route=30.1.1.0 130.1.71.0
Framed-Route=20.1.1.0 200.1.1.0
una operacin de borrado de la forma:
*: * Borrar Framed-Route
borrar todos los atributos Framed-Route del paquete.
Si algn atributo no tiene valor asociado o su valor es el COMODIN, se borra sin
comprobar su valor.
Nota: Esta operacin no significa que se borre el atributo clave, sino que el atributo
clave es el desencadenante de la operacin.
sustitucin. Se cambiar el atributo clave por los atributos de la lista de atributos, cada
uno con el valor indicado.
Si algn atributo no tiene valor asociado o su valor es el COMODIN, se inserta con el
mismo valor que la clave; en este caso, es necesario que la clave y el atributo sean del
mismo tipo.
Cuando el atributo clave es COMODIN, no se puede permitir un atributo con valor
COMODIN en las operaciones Sustituir. Si se analiza el significado de esta conversin,
querra decir para todos los paquetes, sean cuales sean sus atributos, cambiarlos por los
atributos de la lista, pero conservando sus valores. En este caso, no se puede garantizar
que el paquete RADIUS tenga todos los atributos compatibles (en cuanto a su tipo) con
los atributos de sustitucin.
Esta operacin es equivalente a una insercin de los atributos de la lista de atributos,
seguida de un borrado del atributo clave. En el caso de que el atributo clave est
repetido en un paquete RADIUS, se sustituirn todas aquellas ocurrencias del atributo
que coincidan con la clave. Por ejemplo: En un paquete RADIUS con los siguientes
atributos:
Password=zkjzkks
NAS-Port=3
Framed-Route=10.1.1.0 100.1.1.0
Framed-Route=30.1.1.0 130.1.71.0
Framed-Route=20.1.1.0 200.1.1.0
una operacin de sustitucin de la forma:
*: Framed-Route Sustituir Reply-Message
cambiar todos los atributos Framed-Route del paquete por atributos Reply-
Message.
C.5 Ejemplos
A continuacin, se reproduce un ejemplo de fichero de conversiones. Las conversiones que
se han incluido son ejemplos, que pueden no tener aplicacin en un caso real.
# Conversion 1
AuthRequest : NAS-IP-Address=133.11.67.1
Sustituir NAS-IP-Address= 192.3.2.2,
Acct-Input-Packets= 3,
Framed-Route=192.3.255.255
# Conversion 2
AuthRequest: Session-Timeout
Borrar
Acct-Input-Packets= 40,
Framed-Route=192.3.1.255
Sustituir
Acct-Input-Packets= 3
# Conversion 3
*: Ascend-Assign-IP-Pool
Insertar NIVEL-INFOVIA
# Conversion 4
Start: Acct-Input-Packets= 5
Insertar NAS-IP-Address= 192.3.2.2
Insertar SESIONES-INFOVIA
# Conversion 5
AuthAck:*
Borrar Framed-Route
# Conversion 6
AuthRequest:User-Name=infovia
InsertarPassword="zutano"
A continuacin, se describen cada una de las conversiones:
1. Si se recibe un paquete RADIUS de tipo AuthRequest, que contiene el atributo NAS-
IP- Address con el valor 133.11.67.1, se sustituir por la lista de atributos NAS-IP-
Address con valor 192.3.2.2, Acct-Input-Packets con valor 3 y Framed-Route
con valor 192.3.255.255.
2. Si se recibe un paquete RADIUS de tipo AuthRequest con un atributo Session-
Timeout con cualquier valor:
borrar el atributo Acct-Input-Packets si tiene el valor 40, y el atributo
Framed- Route si tiene el valor "192.3.1.255".
sustituir el atributo Session-Timeout por el atributo Acct-Input-Packets con
valor 3.
3. Si un paquete RADIUS de cualquier tipo tiene un atributo Ascend-Asign-IP-Pool con
cualquier valor, se sustituye por el atributo NIVEL-INFOVIA con el mismo valor.
4. Si un paquete RADIUS de tipo Start tiene un atributo Acct-Input-Packets con el valor
4, se insertar un atributo NAS-IP-Address con el valor 192.3.2.2 y un atributo
SESIONES-INFOVIA con el mismo valor que el atributo Acct-Input-Packets.
5. En todos los paquetes RADIUS de tipo AuthAck borrar el atributo Framed-Route.
6. En todos los paquetes RADIUS de tipo AuthRequest, para el usuario infovia, insertar
el atributo Password con el valor zutano.
Si llega un paquete de AuthRequest con el siguiente contenido de atributos:
NAS-Port = 1
NAS-Port-Type = Virtual
User-Name = "infovia"
Password = "zzttuuzz"
Ascend-Assign-IP-Pool = 3
Framed-Route = "192.22.255.255"
el resultado sera:
Acct-Input-Packets = 3
Framed-Route = "192.3.255.255"
NAS-Port = 1
NAS-Port-Type = Virtual
User-Name = "infovia"
Password = "zzttuuzz"
Ascend-Assign-IP-Pool = 3
Framed-Route = "192.22.255.255"
NIVEL-INFOVIA = 3
Password = "zutano"
Se han aplicado las conversiones 1, 3 y 6, en ese orden.
C.6 API para desarrollo de conversiones a medida
Al margen de las conversiones que se pueden especificar por medio de los ficheros de
configuracin, es posible realizar conversiones de atributos a medida, realizando su
programacin en el lenguaje C. Para ello, se ofrece un interfaz para programadores que les
permite codificar las conversiones en este lenguaje.Este API se incorpora en una librera de
enlace dinmico, llamada libFiltro.so. Para poder utilizar esta funcionalidad se tiene que
emplear el servidor radiusddll, tal y como se describe en el Apartado 4.2.2 radiusddll .
Este interfaz define los siguientes parmetros:
tipo de paquete RADIUS. Se definen unas etiquetas para facilitar la asociacin entre el
nmero asignado y el tipo de paquete RADIUS.
atributos de entrada. Se trata de una cadena de caracteres, en el formato
Atributo=valor (tal y como se describen los pares en la gramtica), separadas por
comas y sin ningn cambio de lnea. Los atributos estarn codificados segn el
diccionario disponible durante la ejecucin del programa. Este diccionario no incluir el
COMODIN.
atributos de salida. Como resultado de la conversin se espera una cadena de caracteres
en el mismo formato anterior. Los nombres de los atributos debern ser los nombres con
los que aparezcan en el diccionario disponible durante la ejecucin del programa. No se
permitir el empleo del COMODIN.
El API es:
void iniciarPreConversiones();
void iniciarPostConversiones();
int preConvertirAtributos( int tipoPaquete, char *cadenaEntrada, char
**cadenaSalida);
int postConvertirAtributos( int tipoPaquete, char *cadenaEntrada, char
**cadenaSalida);
C.6.1 Inicializacin
Las funciones inicializarPreConversiones y
inicializarPostConversiones se utilizan para que el programador pueda
inicializar las estructuras de datos que pueda necesitar posteriormente durante las
conversiones (diccionario, listas de atributos, trazas,...).
De esta forma, no es necesario realizar operaciones muy largas en las funciones de
conversin, que deben ser lo ms rpidas posibles, para permitir unas buenas prestaciones
del servidor RADIUS.
C.6.2 Conversiones
Las funciones preConvertirAtributos y postConvertirAtributos se ejecutan
inmediatamente despus de haber procesado las conversiones (pre y post respectivamente)
de los ficheros de configuracin.
tipo de paquete RADIUS. Las conversiones pueden ser distintas segn el tipo de paquete
que se reciba. Se definen unas etiquetas para facilitar la asociacin entre el nmero
asignado y el tipo de paquete RADIUS.
atributos de entrada. Es la lista de atributos del paquete RADIUS. Est representado
como una cadena de caracteres, en el formato Atributo=valor (tal y como se describen
los pares en la gramtica), separadas por comas y sin ningn cambio de lnea. Los
atributos estarn codificados segn el diccionario disponible durante la ejecucin del
programa. Este diccionario no incluir el COMODIN.
atributos de salida. Como resultado de la conversin se espera una cadena de caracteres
en el mismo formato que la cadena de entrada. Los nombres de los atributos debern ser
los nombres con los que aparezcan en el diccionario disponible durante la ejecucin del
programa. No se permitir el empleo del COMODIN.
El cdigo del demonio RADIUS que enlaza con la librera de conversin no espera
liberar el espacio de la cadena de salida, por lo que se recomienda que se asigne
utilizando un
static char vector[ XXX];
Las conversiones a medida se ejecutan inmediatamente despus de haber procesado las
conversiones de los ficheros de configuracin.
La implementacin de esta funcin corre a cargo del desarrollador, que tendra que
decodificar la cadena de entrada, procesarla y producir una cadena de salida. No hay que
olvidar que el ncleo del demonio RADIUS no va a liberar la memoria asociada a la cadena
de salida, asi es que el programador debe asegurarse de que esa memoria sea liberada, u
ofrecer una cadena esttica.
Si no se reescribe esta funcion se suministra una funcin que no realiza ninguna conversin.
Esta funcin se encuentra en la librera libFiltro.so.
Este proceso de conversin puede restar prestaciones al servidor RADIUS, en funcin de la
complejidad de las funciones de conversin.
D Gestin de calidades
Se van a describir los siguientes contenidos:
Descripcin de la funcionalidad.
API para desarrollo de gestin de calidades.
D.1 Descripcin de la funcionalidad
El proceso radiusd servidor RADIUS en modo proxy utiliza el atributo Ascend-Assign-IP-
Pool (cdigo 218) para determinar el nivel de calidad para asignar direcciones IP. En caso de
que este atributo no exista, se utiliza un nivel de calidad por defecto.
Por ejemplo, en un paquete RADIUS del tipo AuthAck con los siguientes atributos:
Password=zkjzkks
NAS-Port=3
Ascend-Assign-IP-Pool=3
la funcin devolver un 3.
D.2 API de gestin de calidades
El servidor RADIUS en modo proxy podr ser configurado para que llame a una funcin de
una librera dinmica cada vez que tenga que asignar una direccin IP. Dicha funcin recibir
como parmetro el tipo de paquete RADIUS que se ha recibido y la lista de atributos del
paquete; la salida de la funcin se interpretar como el nivel de calidad de la direccin IP que
asignar el servidor RADIUS.
En este caso, es el proceso radiusddll el que actuar como servidor RADIUS (vase el
Apartado 4.2.2 radiusddll )
El API es:
void inicializarCalidades();
int ObtenerCalidad( int tipoPaquete, char *strAtributos);
D.2.1 Inicializacin
La funcin inicializarCalidades se utilizan para que el programador pueda iniciar
las estructuras de datos que pueda necesitar posteriormente para la gestin de los niveles de
calidad (diccionario, listas de atributos, trazas,...).
De esta forma, no es necesario realizar operaciones muy largas en la funcin
ObtenerCalidad del API, que deben ser lo ms rpidas posibles, para permitir unas
buenas prestaciones del servidor RADIUS.
Esta funcin es invocada una sola vez y nicamente cuando se arranca el proceso servidor.
D.2.2 Obtencin de niveles de calidad
La funcin ObtenerCalidad se ejecuta en el proceso en el que se va a determinar la
direccin IP que se va a asignar a una peticin.
tipo de paquete RADIUS. Las conversiones pueden ser distintas segn el tipo de paquete
que se reciba. Se definen unas etiquetas para facilitar la asociacin entre el nmero
asignado y el tipo de paquete RADIUS.
atributos de entrada. Es la lista de atributos del paquete RADIUS. Est representado
como una cadena de caracteres, en el formato Atributo=valor (tal y como se describen
los pares en la gramtica), separadas por comas y sin ningn cambio de lnea. Los
atributos estarn codificados segn el diccionario disponible durante la ejecucin del
programa. Este diccionario no incluir el COMODIN.
Esta funcin devolver un nmero entero que se interpretar como el nivel de calidad de
direcciones IP a asignar por el servidor RADIUS.
El programador de esta funcin puede devolver un nmero negativo para indicar que ha sido
imposible determinar un nivel de calidad. En ese caso, el servidor RADIUS comprueba si el
paquete RADIUS tiene el atributo Ascend-Assign-IP-Pool (cdigo 218) y devuelve su valor;
si tampoco existiera este atributo, se devolver el nivel de calidad por defecto.
E Cdigos de Respuesta
Los siguientes cdigos de mensajes se utilizan en el Radius del PSI como una extensin al
protocolo RADIUS, para satisfacer diversas funcionalidades de los servicios que puede
soportar el Radius del PSI.
Cdigo Significado
0 error
41 libera_direccion (ACK)
42 libera_direccion (NAK)
52 parar_radius (ACK)
53 status_radius (ACK)
55 reutilizar_direccion (ACK)
60 fijar trazas (ACK)
62 liberar_direccion_delegada (ACK)
64 mandar_stop_psi (ACK)
F Historia de las Versiones del Servidor Radius
Nota sobre Nombrado de Versiones
El paquete o distribucin entregado presenta un nmero de versin con 3 grupos de dgitos:
xx.yy.zz
El primer grupo xx, representa cambios importantes en la funcionalidad; as, por ejemplo,
xx=4 incluye la funcionalidad desarrollada para el servicio Infova Plus Bsico (Modalidad
delegada) y xx=5 incluye la nueva funcionalidad de Proxy.
El segundo grupo yy, representa mejoras dentro de una funcionalidad, o pequeas
funcionalidades adicionales. Por ejemplo, al aadir nuevas herramientas (gestion de logs,
herramienta de estadsticas), hay que incrementar este nmero.
El tercer grupo zz representa correccin de errores, se incrementa cada vez que se distribuye
el producto de nuevo corrigiendo un error, por lo que no es necesario modificar la
documentacin (excepto que la nueva entrega corrija errores de la propia documentacin).
Nos referiremos a una versin del paquete como xx.yy. Pero para identificar una distribucin
concreta necesitamos los tres grupos de dgitos xx.yy.zz.
Los ejecutables que componen la distribucin siguen el mismo sistema de nombrado, es
decir se utilizan tambin tres grupos de dgitos, pero de una manera independiente a la del
paquete global.
Se presenta a continuacin la descripcin de las funcionalidades de cada versin y dentro de
cada versin las distintas distribuciones, indicando los errores que corrigen.
F.1 Version 5.04.01 Radius de PSI (Plataforma Solaris, Linux y
NT)
Se corrigen las siguientes incidencias:
CVCA-69755: valores por defecto incorrectos en cfg_local_INFOVIA...
CVCA-88463: error en nombre de ejecutable de instalacon, NT
CVCA-88570: fichero usu.ini no documentado...
CVCA-88961: Confusion en el uso de criterios_PROXY_letra y criterios_PROXY
CVCA-88963: Problema en la ejecucion de gestion_log.sh, Linux
CVCA-88977: Problemas llamadas TarifaPlana desde Canarias, Linux
CVCA-88982: Faltan ficheros en bateria_infovia y bateria_delegado, NT
CVCA-88983: Fallo en la autenticacion con usuario DEFAULT, NT
CVCA-88984: Puertos incorrectos en el fichero de TRAZAS
CVCA-88994: Error al atender a criterios en accion_llamada con RDSI, NT
CVCA-88997: Error al renombrar RadInfovia.dll por RadInfoviamsj.dll, NT
CVCA-89423: Core con radiusddll+libInfoviadbm+usuario-DEFAULT, Linux
CVCA-89490: RadiusNT no muestra ayuda con opcion incorrecta, NT
CVCA-89643: Error al ejecutar rad_tool con la opcion usuarios_conectados, NT
CVCA-91538: Error en la documentacion de arranque automatico, Linux
F.2 Version 5.04.00 Radius de PSI (Plataforma Solaris, Linux y
NT)
Se permite configurar el numero de sesiones simultaneas por usuario del servicio de
tarifa plana.
Se permite configurar la accion a realizar con usuarios de RTB que no lleven numero A.
Se permite configurar la accion a realizar con usuarios de RDSI ya conectados por el
mismo numero.
Se permite configurar, en modo proxy, el registro y control de peticiones progresadas a
servidor final.
Encriptacin de loginnames y passwords en los ficheros de perfiles de usuario.
Soporte de las nuevas RFCs del protocolo Radius (RFCs 2865-2869)
Acceso SNMP al servidor radius, y almacenamiento de datos definidos en las MIBs
(RFCs 2618-2621)
Se incorporan las siguientes funcionalidades procedentes de la versin TR03 y TR04:
o Se entrega sin informacion de depuracion.
o Se entrega compilado con opciones de optimizacion en velocidad.
o En modo proxy, evita los ocasionales problemas de autenticacion al acceder por
CHAP o por PAP.
o En modo servidor final, acceso indexado a las sesiones establecidas.
Se incorporan las siguientes funcionalidades procedentes de la versin TR02:
o Se incorpora la funcionalidad de proxy por inicial de loginname.
o Se incluye la opcion "ver_usuario <usuario>" para la herramienta rad_tool.
o Se incluye la opcion "numero_usuarios_conectados" para la herramienta rad_tool.
o Se corrige el problema de parametros corruptos en el fichero usuario_INFOVIA.
o Se incorpora la funcionalidad para la tarifa plana.
o Se incluye la funcionalidad de "control de fraude".
F.3 Version 5.03 Radius Proxy Fase II (Plataforma Solaris, Linux
y NT)
Se incluye una herramienta para liberacin de sesiones pilladas.
Se actualiza la versin de Linux, incluyendose todas las funcionalidades de la versin de
Solaris a excepcin de la herramienta de liberacin de sesiones pilladas y la herramienta
para obtencin de estadsticas de llamadas recibidas.
Se actualiza la versin de Windows NT, incluyendose todas las funcionalidades de la versin
de Solaris a excepcin de la herramienta de liberacin de sesiones pilladas, la herramienta
para obtencin de estadsticas de llamadas recibidas, las herramientas herramientas
relacionada con los ficheros DBM y la herramienta de gestin automtica de ficheros de
Log.
F.4 Version 5.02 Radius Proxy Fase II (Plataforma Solaris)
Se corrige un error relacionado con el control de sesiones. En determinadas ocasiones se
asignaban direcciones duplicadas a los usuarios.
Se incluye una herramienta para gestin de ficheros de logs.
Se incluye una herramienta para actualizacin de ficheros DBM en tiempo real.
Se incluye una herramienta para obtencin de estadsticas de llamadas recibidas.
F.5 Version 5.01 Radius Proxy Fase II(beta) (Plataforma Solaris)
Se incorpora la funcionalidad de Conversin de Atributos y la configuracin del destino del
proxy por diversos criterios.
Incluye tambin nuevas APIs para conversin de atributos y obtencin de Calidades
F.6 Version 5.00 Radius Proxy Fase I (Plataforma Solaris)
5.00.03 (Plataforma Solaris)
Corrige un error que se producia al recibir multiples paquetes de contabilidad de una misma
sesion, en cuyo caso la opcion "usuarios_conectados" de la herramienta rad_tool mostraba
multiples sesiones
5.00.02 Radius Proxy Fase I(Plataforma Solaris)
Se corrigen diversios errores existentes en la version beta.
5.00.01 Radius Proxy Fase I(beta) (Plataforma Solaris)
Se incorpora la funcionalidad de Proxy. El servidor Radius puede reenviar las peticiones de
Autentificacin a un servidor RADIUS Final. Cuando se recibe una respuesta afirmativa se
finaliza el procesamiento de la peticin y se enva la respuesta al cliente.
Slo se permite un nico destino de las peticiones.
F.7 Version 4.00 Modalidad Delegada (Plataformas Solaris,
Linux, NT)
4.00.03 Modalidad Delegada (Plataformas Solaris, Linux, NT
Corrige un error que se produca al recibir mltiples paquetes de contabilidad de una misma
sesin, en cuyo caso la opcin "usuarios_conectados" de la herramienta rad_tool mostraba
multiples sesiones.
4.00.02 Modalidad Delegada (Plataformas Solaris, Linux, NT)
Permite un nuevo tipo de Cliente: El CVCA de la Red IP, frente al cual el servidor
Radius actua nicamente en el proceso de autentificacin de usuarios, pudiendo
prescindirse del control de sesiones y asignacin de direcciones IP.
Se aaden a la herramienta rad_tool nuevas funcionalidades de desconexin contra el
CVCA y de consulta de usuarios conectados en modalidad delegada.
Se aaden nuevos atributos al diccionario : Nivel-Internet (225) y Num-Max-
Conexiones(224).
Problemas Detectados pendientes de solucion:
Eventual perdida de memoria durante las primeras peticiones (hasta 100-200KB) hasta que
su tamanio se estabiliza y a partir de entonces no vuelve a perder memoria.
F.8 Version 3.0b7 (Plataformas Solaris, Linux, NT)
3.0b7.105 (Plataformas Solaris, Linux, NT)
Permite el uso de clientes PROXY distintos de los CSIV de Infova.
Soporte para el sistema de mensajes del Kit de usuario de InfoviaPlus.
F.9 Version 3.0 (Plataformas Solaris, Linux, NT)
Permite clientes Hardware, es decir clientes RADIUS distintos de los CSIVs. As un
CPI podr autentificar a usuarios que accedan a su red local a travs de un servidor de
acceso distinto de los de InfoVia con el mismo RADIUS.
Incluye un nuevo atributo: HARDWARE-INFOVIA, que permite o deniega la
autenticacion de usuarios hardware.
El valor por defecto del atributo HARDWARE-INFOVIA puede alterarse introduciendo
en el archivo cfg_local_INFOVIA una lnea del tipo
Soporta como cliente hardware a Windows NT 5.0 Beta 1
Permite el uso de CHAP en la autenticacin.
F.10 Version 2.03 (Plataformas Solaris, Linux, NT)
Corrige un bug que se produca al utilizar DBM y haber algun parmetro mal en el
fichero usuarios_INFOVIA.
Al realizar una parada controlada se guarda ahora tambin el estado de sincronismo de
cada CSIV y se recupera en el arranque. Anteriormente si se recuperaba la situacin
previa a la parada se sobreentenda que el estado era SINCRONIZADO.
G Atributos a Intercambiar entre el PSI y el CVCA
(Infova Plus Bsico Modalidad Delegada)
G.1 Introduccin
Se detallan en este anexo el contenido de los mensajes y atributos RADIUS que deben
intercambiarse los servidores RADIUS en el PSI con el Centro de Validacin y Control de
Acceso de la Red IP (CVCA). Estas especificaciones debern ser de obligado cumplimiento
cualquiera que sea el servidor RADIUS que se instale en el PSI.
G.2 Mensajes a intercambiar entre el CVCA y el PSI Delegado
Se muestran entre parntesis los cdigos de atributo o de paquete, siguiendo las RFCs 2138 y
2139.
G.2.1 Authentication Request (1) (CVCA->PSI)
Atributos de envo garantizado:
User-Name (1)
User-Password (2)/ CHAP Password (3)
NAS-IP-Address (4)
Nas-Port-Type (61)
Atributos frecuentemente enviados pero NO garantizados:
NAS-Port (5)
Called-Station-Id (30)
Calling-Station-Id (31)
Proxy-State (33), el cual se denomina PROXY-INFOVIA en el diccionario.
G.2.2 Authentication Accept (2) (PSI->CVCA)
Atributos que han de venir obligatoriamente caso de que se enviara en la peticin:
Proxy-State (33, PROXY-INFOVIA)
Atributos admitidos no obligatorios:
Session-Timeout (27). Para Ascend es Ascend-Maximum-Time(194)
Iddle-Timeout (28). PAra Ascend es Ascend-Idle-Limit (244)
Port-Limit (62) (Solo para usuarios RDSI)
Atributos propietarios(no obligatorios):
Max-Num-Connections(224)
Nivel-Internet(225)
Bienvenida-Id(226)
Atributos NO permitidos (sern ignorados)
Todos los dems.
G.2.3 Authorization Reject (3)(PSI->CVA)
Proxy-State (33, PROX-INFOVIA))
G.2.4 Accounting Request (4) (CVCA->PSI)
G.2.4.1 Accounting-Start (CVCA->PSI)
Acct-Status-Type (40)
Acct-Session-Id (44)
NAS-IP-Address (4)
Atritutos de envio garantizado caso de que se enviaran en la peticin:
User-Name (1)
NAS-Port (5)
NAS-Port-Type (61)
Framed-IP-Address (8), el cual figura como Framed-Address en el
diccionario.
Acct-Delay-Time (41)
G.2.4.2 Accounting-Stop
Acct-Status-Type (40)
Acct-Session-Id (44)
NAS-IP-Address 84)
Acct-Session-Time (46)
Acct-Terminate-Cause (49)
Proxy-State (33, PROXY-INFOVIA) (si se envi y todos los que se
enviaran)
NAS-Port (5)
Acct-Delay-Time (41)
Acct-Input-Octets (43)
Acct-Output-Octets (43)
Acct-Input-Packets (47)
Acct-Output-Packets (48)
NAS-Port-Type (61)
G.2.5 Accounting Responses (5)(PSI->CVA)
G.2.6 Atributos de Desconexin
Atributos obligatorios de peticin de desconexin (cdigo de paquete 40) (PSI-> CVCA):
Framed-IP-Address (8, Framed-Address)
Atributos garantizados de respuesta a desconexin(cdigos de paquete 41 y 42) (CVCA->
PSI)
Respuesta afirmativa (cdigo de paquete 41)
Reply-Message (18)
Respuesta negativa (cdigo de paquete 42)
Reply-Message (18)
H GUA DE INSTALACIN DE CENTROS
PROVEEDORES DE INFORMACIN
H.1 INTRODUCCIN
En el presente anexo se presenta una solucin nica para Centros Proveedores de
Informacin (CPI). Esta solucin es vlida para CPIs conectados a Internet o a InfoVa, e
incluso para CPIs conectados tanto a InfoVa como a Internet.
Se ha buscado una solucin que sea vlida para cualquier tipo de CPI. Esta solucin se basa
en una nica arquitectura, la cual, se caracteriza por el reducido equipamiento que necesita.
De este modo se simplifica y abarata la construccin de un CPI.
H.1.1 OBJETIVO
En este anexo se explica una solucin global para la construccin de centros proveedores de
informacin. Esta solucin es vlida para cualquier tipo de CPI: los conectados slo a
InfoVa o a Internet, as como los conectados tanto a InfoVa como a Internet.
La estructura de este anexo es la siguiente:
Apartado H.26 INTRODUCCIN: Introduccin.
Presenta una introduccin al resto del anexo. Tambin incluye una explicacin de los
conceptos relacionados con los CPIs. Por ltimo se adjunta una relacin de la
bibliografa utilizada.
Apartado H.27 DESCRIPCIN DE LOS CENTROS PROVEEDORES DE
INFORMACIN: Descripcin de los centros proveedores de informacin.
En este apartado se presentan los distintos tipos de centros proveedores de informacin,
cuya integracin en una nica arquitectura es el objetivo del presente anexo.
Apartado H.28 ARQUITECTURA DE UN CPI: Arquitectura de un CPI.
Se explica en detalle la arquitectura propuesta para un CPI.
Apartado H.29 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE SUN
SPARC: Ejemplo de configuracin de un CPI sobre SUN SPARC.
Se presenta un ejemplo de cmo habra que configurar un CPI de acuerdo con la
arquitectura presentada en el apartado anterior. Para el ejemplo se ha elegido un CPI
que sea accesible tanto desde InfoVa como desde Internet, con pasarela a Internet
desde InfoVa. En este ejemplo se emplea una mquina UNIX de SUN Microsystems y
un servidor web NCSA.
Apartado H.30 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE PC CON
SISTEMA OPERATIVO LINUX: Ejemplo de configuracin de un CPI sobre PC
con sistema operativo Linux.
En este apartado se explica cmo habra que configurar un CPI de acuerdo con la
arquitectura presentada en el apartado G.3. Para el ejemplo se ha elegido un CPI
accesible tanto desde InfoVa como desde Internet, con pasarela a Internet desde
InfoVa. En este ejemplo se emplea un PC con sistema operativo Linux, y un servidor
web NCSA.
Apartado H.31 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE PC
(INTEL) CON MICROSOFT WINDOWS NT: Ejemplo de configuracin de un
CPI sobre un PC (Intel) con Microsoft Windows NT.
Se presenta un ejemplo de cmo se ha de configurar un CPI de acuerdo con la
arquitectura presentada en el tercer apartado. Para el ejemplo se ha elegido un CPI que
sea accesible tanto desde InfoVa como desde Internet, con pasarela a Internet desde
InfoVa. En este ejemplo se emplea un PC con microporcesador Intel, con Microsoft
Windows NT y Microsoft Internet Information Server.
Apartado H.32 CONFIGURACIN DEL SERVIDOR RADIUS Y DEL
ROUTER: Configuracin del servidor RADIUS y del ROUTER. En los
ejemplos contenidos en los apartados que van del 4 al 6, se ha supuesto que se est
trabajando con la versin actualmente disponible de radius (vase en la portada la fecha
del presente anexo). En este apartado se describe el nuevo radius y todas las
modificaciones que supone su instalacin respecto a lo descrito en los apartados
anteriores.
Apartado H.33 INFORMACIN ADICIONAL PARA LA INSTALACIN DE UN
CPI: Informacin adicional para la instalacin de un CPI.
Se informa que el cdigo de un servidor RADIUS, compilado para diferentes
plataformas, est disponible en un servidor ftp annimo.
Apartado H.34 PROCESO ADMINISTRATIVO: Proceso administrativo.
Se detallan los aspectos administrativos que un proveedor de informacin deber de
realizar para establecer un CPI.
H.1.2 CONCEPTOS RELACIONADOS
InfoVa es una red que permite el acceso a los usuarios a centros proveedores de
informacin bien a travs de la red telefnica bsica (RTB), de la RDSI GSM.
InfoVa multiplexa y demultiplexa el trfico procedente de los usuarios a los diferentes
centros proveedorees de informacin. Los CPIs se conectarn a los Centros de Servicio
InfoVa (CSIV) a travs de enlaces frame relay.
Centro Proveedor de Informacin (CPI), expresin con la que se designa al conjunto
de equipos que proporcionan informacin al usuario. La informacin de un CPI podr
ser accesible desde InfoVa o desde Internet. Tambin puede ser accesible desde
InfoVa e Internet. Existe una ltima opcin de CPI que es la de pasarela a Internet:
se trata de un centro accesible desde InfoVa que permite a los usuarios autorizados el
acceso a Internet.
Centro de Servicio InfoVa (CSIV), con este nombre se denomina al conjunto de
equipos que ofrecen la funcionalidad InfoVa al usuario de una zona geogrfica
concreta. Es decir, el servicio ofrecido por InfoVa se encuentra distribuido en varios
centros repartidos por el territorio nacional en funcin de la demanda y utilizacin del
servicio. En general se usar el termino InfoVa indistintamente para referirse al
servicio prestado como a los equipos (red) sobre los que se presta dicho servicio.
Centro de Gestin de InfoVa (CGIV), es el conjunto de equipos que permiten a
Telefnica realizar la gestin de los distintos centros que soportan la prestacin del
servicio. En el anexo se usar el trmino Sistema de Gestin para referenciarlo.
El usuario llamante es la persona que realiza la llamada a un CPI a travs de InfoVa.
Para ello deber poseer un PC con la torre de comunicaciones TCP/IP instalada, y un
modem (acceso a travs de la RTB) o un adaptador de terminal (acceso a travs de la
RDSI).
El proveedor del servicio o cliente, es la persona o entidad que desea suministrar
informacin a travs de InfoVa, de Internet, o a travs de ambas redes.
Frame relay, es el protocolo utilizado entre dispositivos de usuario y equipos de red
(por ejemplo nodos de conmutacin). Es un protocolo ms eficiente que el de X.25. Este
servicio se provee por tcnicas de Circuitos Virtuales Permanentes (PVC).
Servidor RADIUS, es un software que puede correr en una mquina de las instalaciones
del proveedor de informacin. Su misin es realizar, en colaboracin con InfoVa, la
autentificacin de los abonados suscritos al proveedor de informacin.
IANA, la autoridad que asigna los direcciones en Internet.
RFCs, son los documentos oficiales de Internet.
CIR, es un parmetro de contratacin de una conexin frame relay, para cada uno de
los circuitos virtuales permanentes contratados por interfaz. Este parmetro de
contratacin determina el nmero mnimo de bits por segundo que la red va a ser capaz
de conmutar para ese circuito virtual permanente.
H.1.3 BIBLIOGRAFA
Especificacin funcional del servicio InfoVa. Telefnica Investigacin y Desarrollo.
Requisitos de conexin a InfoVa de los centros proveedores de informacin.
Telefnica Investigacin y Desarrollo.
H.2 DESCRIPCIN DE LOS CENTROS PROVEEDORES DE
INFORMACIN
Existen distintos tipos de centros proveedores de informacin. En este apartado se describe
la arquitectura y los servicios que puede soportar cada uno de ellos.
Los tipos de CPI son los siguientes:
CPI accesible slo desde Internet.
CPI accesible slo desde InfoVa.
CPI accesible desde InfoVa e Internet.
CPI para el acceso a Internet desde InfoVa.
Estas configuraciones son optimizables. En el Apartado H.28 ARQUITECTURA DE UN
CPI se indica cmo hacerlo en un contexto UNIX, y en el Apartado H.29 EJEMPLO DE
CONFIGURACIN DE UN CPI SOBRE SUN SPARC se proponen ejemplos de CPIs
configurados de acuerdo a la solucin presesentada en el Apartado H.28
ARQUITECTURA DE UN CPI . En los siguientes apartados de este apartado se describe
en detalle cada uno de estos tipos de CPI.
H.2.1 CPI ACCESIBLE SLO DESDE Internet
Este CPI slo estar conectado a la red Internet. Los servicios que ofrecer a los usuarios
que accedan sern todos los que puede ofrecer Internet como son entre otros:
Servidor de web.
Servidor de mail.
Servidor de news.
Este tipo de CPI que slo es accesible desde Internet no forma parte de InfoVa. Todas las
direcciones de los equipos que integran el CPI han de estar registradas en Internet.
En la figura Figura H-1: Diagrama de un CPI accesible slo desde Internet. se representa
un diagrama de cmo es un CPI de este tipo.
Figura H-1: Diagrama de un CPI accesible slo desde Internet.
H.2.2 CPI ACCESIBLE SLO DESDE InfoVa
Este CPI slo estar conectado a la red InfoVa. Los servicios que ofrecer a los usuarios
que accedan sern todos los que puede ofrecer Internet, dado que la red InfoVa emplea
tambin protocolos IP y las direcciones reservadas por Internet para redes privadas (RFC
1597). Entre estos servicios est:
Servidor de web.
Servidor de mail.
Servidor de news.
En este tipo de centros, las direcciones de los equipos que lo integran las proporciona
InfoVa.
En la figura adjunta se representa un diagrama de cmo es un CPI de este tipo.
Figura H-2: Diagrama de un CPI accesible slo desde InfoVa.
H.2.3 CPI ACCESIBLE DESDE InfoVa E Internet
Este CPI est conectado a las dos redes, a InfoVa y a Internet. Una caracterstica
fundamental de este tipo de centros proveedores de informacin es que aun cuando son
accesibles desde las dos redes, no se mezclan los accesos. Es decir, cuando un usuario
acceda desde Internet, toda la informacin solicitada se le enviar a travs de Internet. Si el
acceso del usuario es por InfoVa, toda la informacin la recibir a travs de InfoVa. Esto
ha de ser as puesto que en InfoVa el direccionamiento empleado es el reservado a redes
privadas. Por tanto, cualquier CPI que se instale de este tipo deber respetar esta condicin.
Los servicios que ofrecer a los usuarios que accedan por cada una de ellas sern todos los
que puede ofrecer Internet .Entre estos servicios estn:
Servidor de web.
Servidor de mail.
Servidor de news.
En la figura adjunta se representa un diagrama de cmo es un CPI de este tipo.
Figura H-3: Diagrama de un CPI accesible desde InfoVa e Internet.
Como se observa en la Figura H-3: Diagrama de un CPI accesible desde InfoVa e
Internet. , un CPI accesible desde InfoVa e Internet, ha de disponer de un router
encargado de encaminar el trfico correspondiente a los accesos de InfoVa, y de otro
router encargado de encaminar el trfico correspondiente a los accesos desde Internet. As,
no se mezclan los trficos de las dos redes. De este modo, conceptualmente, un CPI
accesible desde InfoVa e Internet se comporta como dos CPIs independientes, aunque eso
s, los equipos pueden ser compartidos (mquinas con dobles interfaces y doble direccin,
una de InfoVa y otra de Internet).
H.2.4 CPI PARA EL ACCESO A Internet DESDE InfoVa
Este tipo de CPI est conectado a las dos redes, a InfoVa y a Internet. La peculiaridad de
este tipo de centros es que permite a un usuario procedente de InfoVa el acceso a Internet.
Para ello, en una de las mquinas del centro se ha de instalar un servidor RADIUS cuya
misin es la de asignar direcciones de Internet a los usuarios de InfoVa que se lo soliciten.
Para que un CPI pueda actuar como pasarela de InfoVa a Internet, ha de disponer de un
rango (pool) de direcciones vlidas de Internet. El usuario que vaya a acceder a Internet
desde InfoVa lo ha de hacer con una de las direcciones de ese rango, es decir, con
direcciones de Internet. Esto es as dado que con las direcciones empleadas por InfoVa no
se puede acceder a Internet (son direcciones reservadas para redes privadas).
Cuando un usuario quiera acceder a Internet a travs de este CPI, el cliente RADIUS
instalado en el CSIV al que ha accedido el usuario, se conectar al servidor RADIUS del
CPI. El cliente solicitar al servidor una de las direcciones IP que administra este servidor
RADIUS. Para ello el cliente ha de indicar al servidor el nombre (login) y la clave
(password) del usuario llamante. Si el nombre y la clave son vlidos, y al CPI le quedan
direcciones de Internet disponibles, el servidor enviar al cliente RADIUS del CSIV la
direccin IP con la que el usuario puede acceder a Internet.
La comunicacin entre el cliente RADIUS del CSIV y el servidor RADIUS del CPI se hace
siempre por medio de direcciones de InfoVa.
Este tipo de centros, adems puede dar servicios tanto a los usuarios que acceden desde
InfoVa como a los que acceden desde Internet. Es decir, este centro adems de servir a los
usuarios llamantes como pasarela desde InfoVa a Internet, tambin puede servir como un
CPI del tipo descrito en el apartado anterior, el Apartado H.27.3 CPI ACCESIBLE
DESDE InfoVa E Internet . En la Figura H-4: CPI con a acceso a Internet desde
InfoVa. se muestra un diagrama de un CPI con acceso a Internet desde InfoVa.
Figura H-4: CPI con a acceso a Internet desde InfoVa.
H.3 ARQUITECTURA DE UN CPI
En este apartado se presenta una arquitectura nica para cualquier tipo de CPI. Se trata de
una solucin vlida tanto para CPIs accesibles slo desde InfoVa o Internet, as como para
un CPI accesible desde las dos redes o con pasarela a Internet desde InfoVa.
Las razones por las cuales se ha buscado una arquitectura nica para cualquier tipo de CPI
son dos:
1. Facilitar el montaje a todas las entidades que quieran instalar un CPI, cualquiera que sea
el tipo de CPI que vaya a instalar.
2. Dar una solucin con el menor nmero posible de equipos, lo que implica una reduccin
en los costes de instalacin del CPI.
Para proponer una nica arquitectura en los CPIs, cualquiera que sea su tipo, se ha tenido en
cuenta lo siguiente:
Por medio del protocolo frame relay un mismo enlace admite mltiples circuitos
virtuales permanentes (PVC), cada uno de los cuales puede dar soporte a una conexin
distinta. De este modo un nico enlace frame relay con dos PVCs, podra conectar a un
CPI con Internet y con un Centro de Servicio (CSIV) de InfoVa. El primer PVC
soportara la conexin con Internet. Por medio del segundo PVC, el CPI se conectara
con el CSIV de InfoVa.
Algunas mquinas UNIX admiten mltiples direcciones (y tambin mltiples mscaras)
en cada una de sus interfaces. Esto hace posible que una nica mquina UNIX, con una
nica interfaz, pueda comportarse como si se tratase de dos mquinas diferentes, cada
una con su direccin y mscara propia. Es decir, se puede hacer que una misma mquina
acte como si se tratase de dos mquinas, cada una de las cuales forma parte de una red
diferente.
Esta caracterstica que tienen algunas mquinas UNIX evita el tener que adquirir e instalar
una tarjeta con mltiples interfaces para cada mquina que se quiere que sea accesible desde
redes distintas (InfoVa e Internet), ya que esto mismo se puede conseguir va software.
Un router admite en cada una de sus interfaces (tanto en las interfaces ethernet como
en las interfaces serie) mltiples direcciones y mscaras. Esto permite estructurar cada
una de las interfaces de un router en subinterfaces.
Esta peculiaridad permite a partir de una nica interfaz serie, disponer en realidad de
mltiples interfaces. Para ello basta configurar multiples subinterfaces en esa nica interfaz.
Los servidores de web NCSA o NetScape instalados en una mquina UNIX con
mltiples direcciones IP, pueden proporcionar diferentes pginas HTML en funcin de
la direccin IP. Es decir, un servidor NCSA, o NetScape, instalado en una mquina
UNIX con varias direcciones IP, se puede configurar de forma que se comporte como
varios servidores de web diferentes, cada uno con sus propios contenidos. Cada uno de
estos servidores virtuales se corresponde con una de las direcciones IP asignadas a la
mquina.
En la siguiente figura se muestra la arquitectura propuesta para cualquier tipo de CPI.
Figura H-5: Arquitectura vlida para cualquier tipo de CPI.
Teniendo en cuenta todos los puntos anteriores y lo mostrado en la Figura H-5:
Arquitectura vlida para cualquier tipo de CPI. , para instalar un CPI lo nico que hace
falta es lo siguiente:
Un enlace frame relay. El nmero de circuitos virtuales permanentes necesarios ser:
CPI accesible slo desde Internet: 1 PVC.
CPI accesible slo desde InfoVa: 1 PVC por cada CSIV de InfoVa al que se
conecte el CPI.
CPI accesible desde InfoVa e Internet: 1 PVC para Internet, y 1 PVC por cada
uno de los CSIV de InfoVa al que se conecte el CPI.
CPI con acceso a Internet desde InfoVa: 1 PVC para Internet, y 1 PVC por cada
uno de los CSIV de InfoVa al que se conecte el CPI.
Un nico router con una interfaz ethernet y una interfaz serie. Por medio de la interfaz
ethernet, el router se conecta a la red de rea local (RAL) del CPI. El enlace frame
relay se lleva a la interfaz serie. Segn sea el tipo de CPI habrn de configurarse las
interfaces del router del siguiente modo:
CPI accesible slo desde Internet: 1 PVC.
Interfaz ethernet: 1 direccin y mscara IP dentro del rango de direcciones vlidas
de Internet asignado por el IANA al proveedor.
Interfaz serie: 1 subinterfaz al que se ha de asignar el nico PVC del enlace frame
relay.
CPI accesible slo desde InfoVa: 1 PVC como mnimo.
Interfaz ethernet: 1 direccin y mscara IP dentro del rango de direcciones utilizado
en InfoVa.
Interfaz serie: tantas subinterfaces como el nmero de CSIVs de InfoVa a los que
est conectado el CPI. A cada subinterfaz se le asigna un PVC que conecta con un
determinado CSIV.
CPI accesible desde InfoVa e Internet: 2 PVCs como mnimo.
Interfaz ethernet: 2 direccines y las correspondientes mscaras IP. Una dentro del
rango de direcciones empleado en InfoVa, y la otra dentro del rango de direcciones
vlidas de Internet asignado por el IANA al proveedor.
Interfaz serie: 2 ms subinterfaces. A una de las subinterfaces se le asigna el PVC
que conecta con Internet. A las restantes subinterfaces se les asignan los restantes
PVCs del enlace frame relay, ya que son los PVCs que permiten la conexin del
CPI con los CSIVs de InfoVa.
CPI con acceso a Internet desde InfoVa: 2 PVCs como mnimo.
Interfaz ethernet: 2 direccines y las correspondientes mscaras IP. Una dentro del
rango de direcciones empleado en InfoVa, y la otra dentro del rango de direcciones
vlidas de Internet asignado por el IANA al proveedor.
Interfaz serie: 2 ms subinterfaces. A una de las subinterfaces se le asigna el PVC
que conecta con Internet. A las restantes subinterfaces se les asignan los restantes
PVCs del enlace frame relay, ya que son los PVCs que permiten la conexin del
CPI con los CSIVs de InfoVa.
Una mquina UNIX, siempre que la capacidad (velocidad, disco duro, ...) sea suficiente
como para soportar todos los servicios de informacin que se pretende que de el CPI. El
nmero de interfaces a configurar en la mquina es el siguiente:
CPI accesible slo desde Internet: 1 direccin y mscara IP, dentro del rango de
direcciones vlidas de Internet asignado por el IANA al proveedor.
CPI accesible slo desde InfoVa: 1 direccin y mscara IP, dentro del rango de
direcciones empleado en InfoVa.
CPI accesible desde InfoVa e Internet: 2 direcciones y mscaras IP. Una dentro
del rango de direcciones empleado en InfoVa, y la otra dentro del rango de
CPI con acceso a Internet desde InfoVa: 2 direcciones y mscaras IP. Una dentro
del rango de direcciones empleado en InfoVa, y la otra dentro del rango de
H.4 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE SUN
SPARC
La mejor manera de explicar cmo se ha de instalar un CPI es ilustrarlo con un ejemplo. En
este apartado se presenta un ejemplo de un CPI. Las caractersticas de este CPI son las que
se enumeran en la siguiente lista:
Tipo del CPI: es un CPI con acceso a Internet desde InfoVa. El CPI est a conectado
a dos CSIV de InfoVa: el CSIV de Madrid y el CSIV de Barcelona.
Servicios ofrecidos por el CPI:
Servidor de web para InfoVa.
Servidor de web para Internet.
Servicio de pasarela a Internet.
Direcciones IP del CPI:
Direcciones en InfoVa:
El centro tiene asignado un rango de 256 direcciones en InfoVa. Este rango se
emplea para dar direcciones de InfoVa a las mquinas del centro.
Direcciones: Para las mquinas del centro: 10.128.102.0 a 10.128.102.255.
Direcciones en Internet (asignadas por el IANA al proveedor):
El centro tiene asignada una clase C de direcciones en Internet:
Direcciones: 194.179.42.0 a 194.179.42.255
El servidor de RADIUS del CSIV es el que se encarga de asignar direcciones de
InfoVa a los usuarios llamantes a cada uno de los CPIs conectados a ese CSIV. Son
por tanto los CSIV de Madrid y Barcelona los que controlarn lospools de direcciones
de InfoVa.
Para los usuarios que accedan a Internet desde InfoVa, el CPI tiene definido un
pool (rango) de direcciones que puede asignar dinmicamente a los usuarios
llamantes.Este pool atender tanto a los usuarios llamantes al CSIV de Madrid como a
los usuarios llamantes al CSIV de Barcelona. Este pool comprende las siguientes
direcciones:
De 194.179.42.129 a 194.179.42.188, es decir un pool de 60 direcciones.
Cuando cualquiera de los dos CSIV (Madrid o Barcelona) detecta que un usuario quiere
acceder a Internet a travs de este CPI, el cliente de RADIUS del CSIV
correspondiente consultar al servidor RADIUS del CPI elegido por el usuario
llamante.
El equipamiento del CPI es el siguiente:
Una mquina Sun SPARC-20, equipada con una nica interfaz ethernet. Sistema
operativo SunOS 5.3, con Open Windows 3.4 y Netra Internet Server 2.0.
Un router CISCO 2500, equipado con una interfaz ethernet y dos interfaces serie.
Slo se van a emplear la interfaz ethernet y una de las interfaces serie.
Un enlace frame relay a 48 Kbit/s con tres PVCs, el 17 (para Internet), el 18 (para el
CSIV de Madrid), y el 19 (para el CSIV de Barcelona). Cada PVC garantiza una
velocidad mnima de 16 Kbit/s.
Un hub con 8 tomas. Por tanto, la RAL del CPI se ha construido con el hub y
cables de pares trenzados (UTP).
En la Figura H-6: Descripcin del CPI tomado como ejemplo. se muestra el centro as
como las direcciones asignadas a cada uno de los equipos que integran el centro.
Figura H-6: Descripcin del CPI tomado como ejemplo.
En los siguientes apartados se detalla la configuracin de cada una de las mquinas que
integran el CPI del ejemplo.
H.4.1 CONFIGURACIN DE LA MQUINA UNIX.
En la mquina UNIX del CPI se han instalado los siguientes servidores:
Un servidor de web NCSA. Se configura de modo que se comporte como dos servidores
de web independientes. Uno de ellos dar servicio a los usuarios que accedan por
Internet, mientras que el segundo da servicio a los que accedan por InfoVa.
Un servidor de RADIUS cuya misin es la de asignar dinmicamente las direcciones del
pool de direcciones de Internet manejado por el CPI.
Un servidor DNS.
En los siguientes puntos se detalla la configuracin de la mquina as como de los diferentes
servidores instalados en ella.
H.4.1.1 Configuracin de direcciones, interfaces y rutas.
La mquina slo dispone de una interfaz, la le0, a la que se le asignan dos
direcciones IP. Estas direcciones son:
Direccion IP de Internet: 194.179.42.2
Direccin IP de InfoVa: 10.128.102.2
En el ejemplo se ha supuesto que el proveedor divide la clase C (256
direcciones) que se le ha concedido en subredes de 64 mquinas cada una. Por
otra parte, en InfoVa, para los usuarios llamantes y los CPIs se asignan
direcciones de la clase A 10.0.0.0 reservada por Internet para redes privadas.
Esta clase A se subdivide en dos redes, la que va de 10.0.0.0 a 10.127.255.255
para los usuarios, mientras que las direcciones 10.128.0.0 a 10.255.255.255
para los CPIs. De acuerdo con esto, las mscaras correspondientes sern:
Mscara para la direccin IP de Internet: 255.255.255.192
Mscara para la direccin IP de InfoVa: 255.128.0.0
En lo que a rutas se refiere, ha de habilitarse una ruta que permita encaminar el
trfico de los usuarios de InfoVa y el trfico con el CSIV. En esta ruta, todo el
trfico de las direcciones que van de la 10.0.0.0 a la 10.127.255.255, ha de
encaminarse a travs del router del CPI, el 10.128.102.1, y adems permite
que los paquetes salientes de la mquina tengan como direccin origen la de
InfoVa.
Los ficheros necesarios para configurar las direcciones son:
/etc/hosts
/etc/nodename
/etc/hostname.le0
/etc/hostname.le0:1
/etc/netmasks
/etc/defaultrouter
/etc/rc2.d/S72inetsvc
El contenido de estos ficheros es el que se indica en los prximos subapartados.
H.4.1.1.1 Fichero /etc/hosts
127.0.0.1 localhost loghost timehost
194.179.42.2 maquina
10.128.102.2 maquina-inf
194.179.42.1 router
10.128.102.1 router-inf
H.4.1.1.2 Fichero /etc/nodename
maquina
H.4.1.1.3 Fichero /etc/hostname.le0
maquina
H.4.1.1.4 Fichero /etc/hostname.le0:1
maquina-iv
H.4.1.1.5 Fichero /etc/netmasks
Por medio de este fichero se definen las mscaras a aplicar en cada una de las
interfaces (ya sean hardware o software) de la mquina.
194.179.42.0 255.255.255.192
10.0.0.0 255.128.0.0
H.4.1.1.6 Fichero /etc/defaultrouter
Este fichero indica cul es el router por defecto de la mquina. Es decir, a
qu router se ha de enviar todo el trfico que llegue a la mquina y que sta
no sepa por donde encaminar segun las rutas definidas. El contenido del fichero
es:
router
H.4.1.1.7 Fichero /etc/rc2.d/S72inetsvc
En este fichero se pueden configurar y activar o desactivar interfaces. Tambin
en este fichero se definen rutas.
En este fichero ha de incluirse el siguiente comando UNIX, con el objeto de
asignar a la interfaz le0 de la mquina una segunda direccin IP, la
correspondiente a InfoVa.
/usr/sbin/ifconfig le0:1 10.128.102.2 netmask 255.128.0.0 up
Esta ltima instruccin no es necesaria si se ha creado el fichero /etc/
hostname.le0:1 en el que se le dice a la mquina la direccin de InfoVa, y en
el fichero /etc/netmasks se le ha asignado la mscara 255.128.0.0 a la red
10.0.0.0.
Para que el CPI pueda encaminar el trfico de los usuarios llamantes a InfoVa
y que los paquetes con destino a esos usuarios tengan como direccin origen la
de InfoVa, hay que definir en el fichero la siguiente ruta:
/usr/sbin/route add net 10.0.0.0 10.128.102.1 1
Para que el CPI pueda encaminar la informacin con destino al cliente
RADIUS del CSIV de InfoVa al que se ha conectado, as como al router
del CSIV al que se conecta el CPI, debe incluirse en el fichero estas rutas:
/usr/sbin/route add host 172.16.192.1 10.128.102.1 1
/usr/sbin/route add host 172.16.193.1 10.128.102.1 1
Si en un futuro se aaden ms CSIVs, debern aadirse ms rutas de hosts
como las anteriores. Lo nico que cambiar es la direccin IP de lo hosts de
los nuevos CSIVs.
H.4.1.2 Configuracin del servidor de web
Para instalar un servidor de web NCSA, y que se comporte como dos
servidores independientes, han de configurarse los siguientes ficheros:
/opt/SUNWweb/sun_httpd/conf/httpd.conf
/opt/SUNWweb/sun_httpd/conf/access.conf
/opt/SUNWweb/sun_httpd/conf/srm.conf
La ruta de acceso (path) de los tres ficheros anteriores no tiene por qu ser
esa, ya que puede instalarse el servidor en otro sitio. Pero en el ejemplo que
aqu se presenta, se ha instalado el servidor en el directorio /opt/SUNWweb/
sun_httpd. Los tres ficheros de configuracin del servidor instalado estn en el
directorio /opt/SUNWweb/sun_httpd/conf.
H.4.1.2.1 Fichero httpd.conf
# standalone configuration (not inetd spawned)
# This is the main server configuration file
ServerType standalone
Port 80
User nobody
Group nobody
ServerName maquina.subdominio.dominio.es
ServerAdmin postmaster@maquina.subdominio.dominio.es
ServerRoot /opt/SUNWweb/sun_httpd
ErrorLog logs/error_log
TransferLog logs/access_log
PidFile logs/htppd.pid
<VirtualHost maquina_inf>
ServerName maquina_inf
ServerAdmin postmaster@maquina_inf
DocumentRoot /opt/SUNWweb/htdocs/maquina_inf
ErrorLog logs/1-error_log
TransferLog logs/1-access_log
</VirtualHost>
H.4.1.2.2 Fichero access.conf
# access.conf: Global access configuration
# Access permissions for your executable CGI programs
<Directory /opt/SUNWweb/cgi-bin>
Options Indexes FollowSymLinks
</Directory>
# Access permissions for your html files
<Directory /opt/SUNWweb/htdocs>
Options Indexes FollowSymLinks Includes
AllowOverride All
<Limit GET>
order allow, deny
allow from all
</Limit>
</Directory>
# Place any other directories you wish to access here
H.4.1.2.3 Fichero srm.conf
#
DocumentRoot /opt/SUNWweb/htdocs/maquina
Alias /icons /opt/SUNWweb/images
ScriptAlias /cgi-bin/ /opt/SUNWweb/cgi-bin/
#
UserDir public_html
DirectoryIndex index.html
FancyIndexing on
AddIconByType (TXT,/icons/text.xbm) text/*
AddIconByType (IMG,/icons/image.xbm) image/*
AddIconByType (SND,/icons/sound.xbm) audio/*
AddIcon /icons/movie.xbm .mpg .qt
AddIcon /icons/binary.xbm .bin
AddIcon /icons/back.xbm ..
AddIcon /icons/menu.xbm ^^DIRECTORY^^
AddIcon /icons/blank.xbm ^^BLANKICON^^
DefaultIcon /icons/unknown.xbm
ReadmeName README
HeaderName HEADER
IndexIgnore */.??* *~ *# */HEADER* */README*
AccessFileName .htaccess
DefaultType text/plain
#
# Advanced topics - see tutorial
#
#AddEncoding x-compress Z
#AddEncoding x-gzip gz
# If you want to use server side includes, or CGI outside
# ScriptAliased directories, uncomment the following lines.
#AddType text/x-server-parsed-html .html
#AddType text/x-server-parsed-html .shtml
#AddType application/x-httpd-cgi .cgi
H.4.1.3 Configuracin del servidor de RADIUS
El CPI elegido para el ejemplo permite el acceso a Internet a travs de
InfoVa. Por lo tanto deber instalarse en la mquina UNIX del CPI un
servidor de RADIUS que gestione el pool de direcciones de Internet y las
vaya asignando a los usuarios llamantes. En el ejemplo propuesto, este pool
de direcciones IP asignadas por el IANA al proveedor comprende desde la
direccin 194.179.42.129 a la 194.179.42.188 y atender a los dos CSIV.
Para obtener el fichero ejecutable del servidor, los ficheros fuente del servidor
RADIUS debern compilarse para una mquina UNIX de Sun con sistema
operativo Solaris 2.4. En el ejemplo, el servidor RADIUS del CPI se ha
instalado en el directorio:
/export/home/prueba/radius_cpi_pr
Los ficheros del servidor, almacenados todos en el mismo directorio, son los
siguientes:
radiusd
Es el fichero ejecutable del servidor RADIUS. La opcin con la que se
ejecuta es:
-d <directorio_radius_configuracin> -a
<directorio_radius_accounting>
radpass
Es una aplicacin creada para facilitar el cambio de la clave (password)
de un usuario.
rad_tool
Se ha creado esta aplicacin de usuario que permite:
Monitorizar las direcciones IP ocupadas.
Desconectar usuarios y liberar as las direcciones que hayan quedado
ocupadas.
En el directorio donde se encuentre esta aplicacin deber aparecer
tambin el fichero cfg_OPERADOR_INFOVIA.
cfg_local_INFOVIA
En este fichero se indica el nombre del CPI (ALIAS), el puerto UDP y la
HORA_IP.
clientes_INFOVIA
Datos de los CSIV con los que se va a conectar el CPI.
usuarios_INFOVIA
Datos de los usuarios autorizados por el CPI.
cfg_pool_INFOVIA
Datos sobre los diferentes pools definidos. Estos datos incluyen la
direccin IP origen de los msmos, su tamao, su identificador y su nivel
de privilegio.
cfg_pool_clie_INFOVIA
En este fichero se relacionan el identificativo de los pools y el
identificativo de los clientes a los que se les asigna ese pool.
README
Este fichero contiene una ayuda que puede resultar muy til a la hora de
instalar el servidor.
Existe un ejemplo de la configuracin de todos estos ficheros en el capitulo 13.
Arranque desde el directorio /export/home/prueba/radius_cpi_pr del
comando:
./radiusd -d . -a .
El servidor estar activo si al ejecutar el comando:
ps -ef | grep radiusd
Se obtiene como respuesta:
prueba 24024 23998 4 16:28:00 pts/1 0:00 grep radiusd
prueba 22623 1 71 Oct 16 pts/0 0:01 radius -d . -a .
H.4.1.4 Configuracin del servidor DNS
El servidor DNS se ha instalado en la misma mquina que el servidor RADIUS
y el servidor NCSA. Para configurar el servidor DNS, se ha de incluir en el
directorio /etc de la mquina UNIX el fichero named.boot. En este fichero se
define de qu dominios es servidor de nombres la mquina. Tambin se indica
en qu directorio se encuentran los ficheros que emplea el servidor DNS para la
traduccin de nombres a direcciones, y viceversa.
Para comprobar que una vez arrancada la mquina el servidor DNS est activo,
se puede emplear el comando:
ps -ef | grep in.named
Si el servidor est activo, la respuesta al comando anterior ser similar a la
siguiente:
root 244 1 80 Dic 15 ? 50:19 /usr/sbin/in.named
root 20858 8639 6 08:25:56 pts/12 0:00 grep in.named
En los siguientes apartados, se adjuntan los listados de los ficheros empleados
por el servidor DNS.
H.4.1.4.1 Fichero /etc/named.boot
Es el primer fichero de configuracin de un servidor DNS. En este fichero se
encuentran los parmetros bsicos.
En qu directorio se encuentran los restantes ficheros que precisa el
servidor DNS.
Los dominios de los que es servidor primario.
Los dominios de los que es servidor secundario. En el ejemplo no lo es de
ninguno.
En este fichero las lneas se comentan por medio de ;. El contenido del
fichero /etc/named.boot es el siguiente:
directory /var/named
cache . db.cache
primary cpi.telefonica.es db.cpi.telefonica.es
primary 42.179.194.IN-ADDR.ARPA db.194.179.42
primary 10.IN-ADDR.ARPA db.10
primary 0.0.127.IN-ADDR.ARPA db.127.0.0
La primera lnea no comentada seala el directorio en el que estn todos los
ficheros de datos que se referencian posteriormente
En la lnea que empieza por cache ..., se indica que en el fichero db.cache se
encuentran los datos de los servidores de los dominios raiz. Este fichero se
obtiene a travs del proveedor de Internet (IBERNET, red IRIS, ...).
En las lneas que comienzan por primary se indica de qu dominios es
servidor primario el servidor DNS. Tambin se indican los ficheros con la
informacin de esos dominios. Los dominios 42.179.194.IN-ADDR.ARPA,
10.IN- ADDR.ARPA y 0.0.127.IN-ADDR.ARPA son los que permiten dada
una direccin de las clase 194.179.42.0 y 10.0.0.0, as como la direccin
127.0.0.1, obtener el nombre correspondiente.
Si fuese servidor secundario de algn dominio, se pondra en primer lugar
secondary, luego el nombre del dominio del que fuese servidor secundario, en
tercer lugar la direccin IP del servidor DNS primario de ese dominio, y por
ltimo el nombre del fichero en el que se va a almacenar la informacin de ese
dominio proporcionada por el servidor primario al secundario.
H.4.1.4.2 Fichero /var/named/db.cpi.telefonica.es
@ IN SOA maquina.cpi.telefonica.es.
postmaster.cpi.telefonica.es.
(
96013000 ; Serie
28800 ; Refresco 8 horas
7200 ; Reintento 2 horas
604800 ; Expira 7 dias
86400 ; Minimo TTL 1 dia
)
IN NS minerva.ibernet.es.
IN NS maquina.cpi.telefonica.es.
maquina.cpi.telefonica.es. IN A 194.179.42.2
router.cpi.telefonica.es. IN A 194.179.42.1
cpi.telefonica.es. IN MX 10 194.179.42.2
El significado de este fichero es el siguiente:
@ indica que el dominio que cubre este fichero es cpi.telefonica.es.
IN indica direcciones de Internet.
SOA (Start Of Authority): Tipo de recurso.
maquina.cpi.telefonica.es es el nombre de la mquina en la que est este
fichero.
postmaster.cpi.telefonica.es es la direccin de correo del responsable del
servidor.
El nmero de serie es un entero de 32 bits que indica la versin del
fichero. Puede constyruirse como en el ejemplo o de cualquier otra forma.
Cada vez que se modifica el fichero, debe incrementarse el nmero de
serie.
Refresco indica cada cuanto tiempo (en segundos) un servidor de nombres
secundario de un dominio debe consultar al servidor primario del mismo
dominio para ver si es necesaria una actualizacin.
Reintento indica cada cuanto tiempo (en segundos) intentar un servidor
de nombres secundario realizar una consulta en caso de fallo.
Expiracin es el lmite superior de tiempo (en segundos) que un servidor
secundario usar los datos que no hayan sido refrescados.
Tiempo de vida es el nmero de segundos, por defecto, que se usar en el
campo de tiempo de vida de los registros de recursos que no tengan
indicado explcitamente otro valor.
A continuacin, en el fichero vienen los registros de servidores de nombres
(NS) donde minerva.ibernet.es es un servidor de nombres secundario y
donde maquina .cpi.telefonica.es es el servidor de nombres primario.
Los siguientes registros son de direcciones (A) y es a partir de donde el
servidor de nombres obtiene las direcciones. Si en la red hubiese ms
mquinas que las del ejemplo, se incluira su nombre y direccin en estos
registros.
El ltimo registro es el del Mail Exchanger (MX) y especifica la mquina
que sabe distribuir el correo en el dominio indicado (o a ciertas mquinas
del dominio). Puede haber ms de un registro de este tipo.
H.4.1.4.3 Fichero /var/named/db.194.179.42
(
96013000 ; Serie
)
IN NS minerva.ibernet.es.
2.42.179.194.IN-ADDR.ARPA. IN PTR maquina.cpi.telefonica.es.
1.42.179.194.IN-ADDR.ARPA. IN PTR router.cpi.telefonica.es.
En este fichero, los registros SOA y NS tienen el mismo significado que en el
fichero anterior (vase el Apartado H.29.1.4.2 Fichero
/var/named/db.cpi.telefonica.es ) db.cpi.telefonica.es. Los registros de tipo
PTR proporcionan informacin para obtener el nombre de una mquina a partir
de la direccin IP.
direccin _IP_al_revs.IN-ADDR.ARPA IN PTR nombre_mquina
De la primera clase de registros de este tipo debe haber tantos registros como
registros del tipo A haya en el fichero del Apartado H.29.1.4.2 Fichero
/var/named/db.cpi.telefonica.es (en el ejemplo el fichero
db.cpi.telefonica.es).
H.4.1.4.4 Fichero /var/named/db.10
(
96013000 ; Serie
)
2.102.128.10.IN-ADDR.ARPA. IN PTR maquina-inf.telefonica.inf.
Los registros de este fichero tienen el mismo significado que los del fichero
anterior ( Apartado H.29.1.4.3 Fichero /var/named/db.194.179.42 ). Este
fichero se ha incluido para que el servidor pueda resolver direcciones de
InfoVa. La inclusin de este fichero evita que el servidor DNS propague
preguntas sobre direcciones de InfoVa (de la clase A 10.0.0.0) a otros
servidores DNS de Internet. Esto contribuye a separar claramente lo que es
InfoVa de lo que es Internet.
H.4.1.4.5 Fichero /var/named/db.127.0.0
(
96013000 ; Serie
)
IN PTR maquina.cpi.telefonica.es.
1.0.0.127.IN-ADDR.ARPA. IN PTR localhost.
El registro de este fichero tienen el mismo significado que los de los dos
apartados anteriores ( Apartado H.29.1.4.3 Fichero /var/named/db.194.179.42
y Apartado H.29.1.4.4 Fichero /var/named/db.10 ) y permite resolver la
direccion de bucle.
H.4.2 CONFIGURACIN DEL ROUTER
Este apartado se encuentra junto a la explicacion de los ficheros del Servidor RADIUS en el
Apartado H.32 CONFIGURACIN DEL SERVIDOR RADIUS Y DEL ROUTER de
este anexo.
H.4.3 CONCLUSIONES
En este apartado se ha presentado un ejemplo de un CPI, en el que se han incluido los
ficheros de configuracin de los equipos del centro. Para el ejemplo se ha elegido el tipo ms
complejo de CPI: el que permite el acceso a Internet a travs de InfoVa. Se ha considerado
adems un caso en el que el CPI se conecta con dos CSIV de InfoVa.
La configuracin de los restantes tipos de CPI contemplados en este anexo, es ms sencilla,
ya que se reduce a un caso particular del ejemplo presentado en este apartado.
H.5 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE PC CON
SISTEMA OPERATIVO LINUX
Con este tercer ejemplo de configuracin de un CPI se pretende explicar cmo instalar un
CPI, del mismo tipo que el presentado en el Apartado H.29 EJEMPLO DE
CONFIGURACIN DE UN CPI SOBRE SUN SPARC , pero con equipos de otro
fabricante. Es decir, con este tercer ejemplo se demuestra que la instalacin de un CPI se
puede hacer con equipos de diversos fabricantes. Las caractersticas de este CPI son las que
se enumeran en la siguiente lista:
Tipo del CPI: es un CPI con acceso a Internet desde InfoVa. El CPI est a conectado
a dos CSIV de InfoVa: el CSIV de Madrid y el CSIV de Barcelona.
Direcciones: 194.179.42.0 a 194.179.42.255
de InfoVa.
pool de direcciones que puede asignar dinmicamente a los usuarios llamantes.Este
pool atender tanto a los usuarios llamantes al CSIV de Madrid como a los usuarios
llamantes al CSIV de Barcelona. Este pool comprende las siguientes direcciones:
llamante.
Una mquina PC Compatible, con procesador 386 o superior, equipada con dos tarjetas
de interfaz ethernet. El sistema operativo instalado es el Linux 1.2.13.
Un enlace frame-relay a 64 Kbit/s con tres PVCs, el 17 (para Internet), el 18 (para el
La RAL del CPI es Ethernet 10 Base 2.
En la Figura H-7: Descripcin de CPI tomado como ejemplo. se muestra el centro as
Figura H-7: Descripcin de CPI tomado como ejemplo.
En los prximos apartados se detalla la configuracin de cada una de las mquinas que
integran el CPI del ejemplo.
H.5.1 CONFIGURACIN DE LA MQUINA LINUX
En la mquina Linux del CPI se han instalado los siguientes servidores:
Un servidor de web NCSA. Se configura de modo que se comporte como dos servidores
de web independientes, uno atendiendo a los accesos que llegan por la interfaz eth0
(Internet) y el otro atendiendo los accesos que llegan por la interfaz eth1 (InfoVa).
Un servidor de RADIUS cuya misin es la de asignar dinmicamente las direcciones del
pool de direcciones de Internet manejado por el CPI.
Un servidor DNS.
En los siguientes puntos se detalla la configuracin de la mquina as como de los diferentes
servidores instalados en ella.
H.5.1.1 Instalacin de las dos tarjetas Ethernet
Para la instalacin de dos o ms tarjetas ethernet en una mquina Linux pueden
seguirse las instrucciones dadas en la mini-HowTo Multiple-Ethernet que se
encuentra en:
/usr/doc/faq/howto/mini/Multiple-Ethernet.gz
En concreto, en el fichero /etc/lilo.conf, debe incluirse una lnea que ponga lo
siguiente:
append=ether=0,0,eth0 ether=0,0,eth1
Una vez hecho esto, debe ejecutarse lilo.
H.5.1.2 Configuracin de direcciones, interfaces y rutas.
La mquina dispone de dos interfaces, la eth0 y la eth1, a las que se le asignan
las siguientes direcciones IP:
Direccion IP de la tarjeta eth0 (Internet): 194.179.42.2
Direccion IP de la tarjeta eth1 (InfoVa): 10.128.102.2
El que la mquina Linux necesite dos tarjetas de interfaz de RAL se debe a
que el Kernel no admite multiples direcciones IP para una nica interfaz.
En el ejemplo se ha supuesto que el proveedor divide la clase C (256
direcciones) que se le ha concedido en subredes de 64 mquinas cada una. Por
otra parte, en InfoVa, para los usuarios llamantes y los CPIs se asignan
direcciones de la clase A 10.0.0.0 reservada por Internet para redes privadas.
Esta clase A se subdivide en dos redes, la que va de 10.0.0.0 a 10.127.255.255
para los usuarios, mientras que las direcciones 10.128.0.0 a 10.255.255.255
para los CPIs. De acuerdo con esto, las mscaras correspondientes sern:
En lo que a rutas se refiere, ha de habilitarse una ruta que permita encaminar el
trfico de los usuarios de InfoVa y el trfico con el CSIV. En esta ruta, todo el
trfico de las direcciones que van de la 10.0.0.0 a la 10.127.255.255, ha de
encaminarse a travs del router del CPI, el 10.128.102.1, y adems permite
que los paquetes salientes de la mquina tengan como direccin origen la de
InfoVa.
Los ficheros necesarios para configurar las direcciones son:
/etc/hosts
/etc/rc.d/rc.inet1
A continuacin se indica la forma de configurar las interfaces.
H.5.1.2.1 Configuracin de la interfaz Internet (eth0)
Para la configuracin de la primera interfaz se usar el script netconfig que
ofrece el sistema operativo.
Una vez invocado se contestar a las preguntas que va haciendo:
Enter hostname: maquina-in
Enter domain name for maquina-in: dom.es
Do you plan to ONLY use loopback?: NO
Enter IP address fo maquina-in (aaa.bbb.ccc.ddd): 194.179.42.2
Enter gateway address (aaa.bbb.ccc.ddd): 194.179.42.1
Enter netmask (aaa.bbb.ccc.ddd): 255.255.255.192
Will you be accessing a nameserver?: NO (1)
Editar el fichero /etc/hosts y aadir la lnea:
194.179.42.1 router-in
H.5.1.2.2 Configuracin de la Interfaz InfoVa (eth1)
Editar el fichero /etc/hosts y aadir las siguientes lneas:
10.128.102.1 router-iv
10.128.102.2 maquina-iv
Editar el fichero /etc/rc.d/rc.inet1, y aadir las lneas:
# Configuracion de la interfaz eth1
/sbin/ifconfig eth1 10.128.102.2 broadcast 10.128.255.255 netmask
255.128.0.0
Para que el CPI pueda encaminar el trfico de los usuarios llamantes a InfoVa
y que los paquetes con destino a esos usuarios tengan como direccin origen la
de InfoVa, hay que incluir en el fichero la siguiente lnea:
/sbin/route add -net 10.0.0.0 gw 10.128.102.1 metric 1 dev eth1
Para que el CPI pueda encaminar la informacin con destino al cliente
RADIUS del CSIV de InfoVa al que se ha conectado, as como al router
del CSIV al que se conecta el CPI, debe incluirse en este fichero la lnea:
/sbin/route add -host 172.16.192.1 gw 10.128.102.1 metric 1 dev eth1
/sbin/route add -host 172.16.193.1 gw 10.128.102.1 metric 1 dev eth1
Mover la lnea /sbin/route add default gw ${GATEWAY} metric 1 al final
del fichero
1
.
H.5.1.3 Configuracin del servidor de web
Se instala como superusuario un nico servidor web NCSA (http_1.5a-
export_linux1.2.13.tar.Z) en la mquina Linux. El servidor queda instalado en
el directorio:
/usr/local/etc/httpd
Debajo de este directorio se crean los directorios htdocs, htdocs-iv, logs-in y
logs-iv.
En el directorio /usr/local/etc/httpd/conf se renombran los siguientes archivos:
access.conf-dist como access.conf
httpd.conf-dist como httpd.conf
localhost.srm-dist como localhost.conf
srm.conf-dist como srm.conf
Se edita el fichero /usr/local/etc/httpd/conf/httpd.conf y se cambian las
siguientes lneas:
User nobody por User root
Group #-1 por Group root
ServerAdmin you@your.address por ServerAdmin postmaster@maquina-
in.dom.es
ErrorLog logs/error_log por ErrorLog logs-in/error_log
TransferLog logs/access_log por TransferLog logs-in/access_log
AgentLog logs/agent_log por AgentLog logs-in/agent_log
RefererLog logs/referer_log por RefererLog logs-in/refere_log
PidFile logs/httpd.pid por logs-in/httpd.pid
DocumentRoot /local por DocumentRoot /usr/local/etc/httpd
1
En caso de querer configurar un servidor de nombres del dominio dom.es se contestar SI a la
pregunta, y a la siguiente pregunta se responder con la direccin IP del servidor. Tambien puede
hacerse editando el fichero /etc/resolv.conf y aadiendo, por cada servidor, una lnea que contenga en
primer lugar la palabra nameserver seguida de la direecin IP del servidor.
Al final del fichero se aaden las siguientes lneas para permitir el acceso a las
pginas de web desde InfoVa:
<VirtualHost 10.128.102.2>
ServerName maquina-iv
ServerAdmin postmaster@maquina_inf
DocumentRoot /usr/local/etc/htdocs-iv
ErrorLog logs-iv/error_log
TransferLog logs-iv/access_log
AgentLog logs-iv/agent_log
RefererLog logs-iv/refere_log
</VirtualHost>
H.5.1.4 Configuracin del servidor de RADIUS
El CPI elegido para el ejemplo permite el acceso a Internet a travs de
InfoVa. Por lo tanto deber instalarse en la mquina Linux del CPI un
servidor de RADIUS que gestione el rango de direcciones de Internet y las
vaya asignando a los usuarios llamantes. En el ejemplo propuesto, este pool
de direcciones IP asignadas por el IANA al proveedor comprende desde la
direccin 194.179.42.129 a la 194.179.42.188 y atender a los dos CSIV.
En el ejemplo, el servidor RADIUS del CPI se ha instalado en el directorio:
/home/prueba/radius_cpi_pr
Para obtener el fichero ejecutable del servidor, los ficheros fuente del servidor
RADIUS debern compilarse para una mquina Linux. El fichero ejecutable se
ha situado en el directorio /home/prueba/radius_cpi_pr.
Los ficheros del servidor, almacenados todos en el mismo directorio, son los
siguientes:
radiusd
Es el fichero ejecutable del servidor RADIUS. La opcin con la que se
ejecuta es:
-d <directorio_radius_configuracin> -a
<directorio_radius_accounting>
radpass
Es una aplicacin creada para facilitar el cambio de la clave (password)
de un usuario.
rad_tool
Desconectar usuarios y liberar as las direcciones que hayan quedado
ocupadas.
En el directorio donde se encuentre esta aplicacin deber aparecer
tambin el fichero cfg_OPERADOR_INFOVIA.
cfg_local_INFOVIA
En este fichero se indica el nombre del CPI (ALIAS), el puerto UDP y la
HORA_IP.
clientes_INFOVIA
usuarios_INFOVIA
cfg_pool_INFOVIA
Datos sobre los diferentes pools definidos. Estos datos incluyen la
direccin IP origen de los msmos, su tamao, su identificador y su nivel
de privilegio.
En este fichero se relacionan el identificativo de los pools y el
identificativo de los clientes a los que se les asigna ese pool.
README
Este fichero contiene una ayuda que puede resultar muy til a la hora de
instalar el servidor.
Para el arranque del servidor, desde el directorio /home/prueba/radius_cpi_pr
ha de ejecutarse el comando:
./radiusd -d . -a .
El servidor estar activo si al ejecutar el comando:
ps -ax | grep radiusd
Se obtiene como respuesta:
12675 pp0 S N 0:00 radiusd -d . -a .
12679 pp0 S 0:00 grep radiusd
El servidor de nombres se arranca con el comando named del sistema
operativo. Para el correcto funcionamiento del servidor DNS es necesario crear
los ficheros de configuracin indicados en el Apartado H.29.1.4
Configuracin del servidor DNS de este anexo.
Para que el servidor de nombres arranque automticamente tras un rearranque
de la mquina, se editar el fichero /etc/rc.d/rc.inet2 y se borrar el carcter de
comentario (#) de las siguientes lneas:
# Start the NAMED/BIND name server.
if [ -f ${NET}/named ]; then
echo -n named
${NET}/named
fi
este anexo.
H.5.3 CONCLUSIONES
En este apartado se ha presentado un ejemplo de un CPI con una mquina Linux. Se trata de
una mquina distinta de la empleada en los CPIs de los ejemplos anteriores. Sin embargo, la
arquitectura del CPI es idntica a la empleada en el Apartado H.29 EJEMPLO DE
CONFIGURACIN DE UN CPI SOBRE SUN SPARC, con lo que se comprueba que la
solucin desarrollada en el Apartado H.29 EJEMPLO DE CONFIGURACIN DE UN
CPI SOBRE SUN SPARC se puede llevar a la prctica con equipos de diversos fabricantes.
H.6 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE PC
(INTEL) CON MICROSOFT WINDOWS NT
Con este cuarto ejemplo de configuracin de un CPI se pretende explicar cmo instalar un
CPI, del mismo tipo que el presentado en el Apartado H.29 EJEMPLO DE
CONFIGURACIN DE UN CPI SOBRE SUN SPARC , pero con equipos de otro
fabricante. De este modo, con este cuarto ejemplo se comprueba una vez ms que la
instalacin de un CPI se puede hacer con equipos de diversos fabricantes. Las caractersticas
de este CPI son las que se enumeran en la siguiente lista:
Tipo del CPI: es un CPI con acceso a Internet desde InfoVa. El CPI est conectado a
dos CSIV de InfoVa: el CSIV de Madrid y el CSIV de Barcelona.
Direcciones: 192.168.2.0 a 192.168.2.255
de InfoVa.
pool de direcciones que puede asignar dinmicamente a los usuarios llamantes.Este
pool atender tanto a los usuarios llamantes al CSIV de Madrid como a los usuarios
llamantes al CSIV de Barcelona. Este pool comprende las siguientes direcciones:
llamante.
Una mquina PC Compatible, con procesador 386 o superior, equipada con dos tarjetas
de interfaz ethernet. En esta mquina se ha instalado:
Microsoft Windows NT Server 3.51, con Service Pack 3.
Un servidor de web de Microsoft. Se configura de modo que se comporte como dos
servidores de web independientes. Uno de ellos da servicio a los usuarios que
accedan por Internet, mientras que el segundo da servicio a los que accedan por
InfoVa.
Un servidor RADIUS,.cuya misin es la deasignar dinmicamente las direcciones
del pool de direcciones de Internet manejado por el CPI a los usuarios
autorizados que accedan directamente a este CPI.
Un enlace frame-relay a 64 Kbit/s con tres PVCs, el 17 (para Internet), el 18 (para el
La RAL del CPI es Ethernet 10 Base 2.
En la Figura H-8: Descripcin de CPI tomado como ejemplo. se muestra el centro as
Figura H-8: Descripcin de CPI tomado como ejemplo.
En los siguientes apartados se detalla la configuracin de cada una de las mquinas que
integran el CPI del ejemplo, as como de los diferentes servidores instalados en el PC.
H.6.1 CONFIGURACIN DE DIRECCIONES, INTERFACES Y RUTAS EN EL PC
En el PC deben instalarse dos adaptadores de red local, a cada uno de los cuales se le
asignan dos direcciones IP. Estas direcciones son:
Direccin IP de Internet: 192.168.2.4
Direccin IP de InfoVa: 10.128.10.4
En el ejemplo se ha supuesto que el proveedor divide la clase C de Internet (la 192.168.2.0
con 256 direcciones) que se le ha concedido en subredes de 64 mquinas cada una. Por otra
parte, en InfoVa, para los usuarios llamantes y los CPIs se asignan direcciones de la clase
A 10.0.0.0 reservada por Internet para redes privadas. Esta clase A se subdivide en dos
redes, la que va de 10.0.0.0 a 10.127.255.255.255 para los usuarios, mientras que las
direcciones 10.128.0.0 a 10.255.255.255 para los CPIs. De acuerdo con esto, las mscaras
correspondientes sern:
En lo que a rutas se refiere, ha de habilitarse una ruta que permita encaminar el trfico de los
usuarios de InfoVa y el trfico con el CSIV. En esta ruta, todo el trfico de las direcciones
que van de la 10.0.0.0 a la 10.127.255.255, ha de encaminarse a travs del router del CPI,
el 10.128.10.1 y adems permite que los paquetes salientes de la mquina tengan como
direccin de origen la de InfoVa.
Las instrucciones asignadas a cada tarjeta se configuran desde la aplicacin NCPA (Network
Control Panel Applet), incluida dentro de Control Panel bajo el nombre Network.
Figura H-9: Panel de control.
En este cuadro de dilogo se puede dar de alta los adaptadores de red (las tarjetas de LAN),
instalar el protocolo TCP/IP y asignar direcciones a cada una de ellas. Como se puede ver a
continuacin, se indica la direccin adecuada para cada uno de los adaptadores, con la
mscara correspondiente y el gateway por defecto para la direccin de Internet, en caso
necesario.
Figura H-10: Configuracin de direcciones IP.
En caso de ser deseable, puede importarse o modificarse el fichero HOSTS para dar de alta
nombres definidos anteriormente, o bien emplear un servidor DNS, como puede verse si en
la anterior pantalla se seleccionael botn de Advanced.
Figura H-11: Opcin Advanced de configuracin TCP/IP.
El fichero de definicin de nombres se encuentra en el directorio:
Directorio de instalacin Windows NT\system32\drivers\etc\HOSTS
H.6.2 CONFIGURACIN DE RUTAS ADICIONALES EN EL PC
Para que el CPI pueda encaminar el trfico de los usuarios llamantes a InfoVa y que los
paquetes con destino a esos usuarios tengan como direccin origen la de InfoVa, hay que
definir por comando la correspondiente ruta. La sintaxis del comando es:
route add -p [destination] [MASK netmask] [gateway]
En el ejemplo:
route add -p 10.0.0.0 MASK 255.128.0.0 10.128.10.1
Para que el CPI pueda encaminar la informacin con destino al cliente RADIUS del CSIV
de InfoVa al que se ha conectado, as como al router del CSIV al que se conecta el CPI,
deben incluirse las rutas para encaminar el trfico hacia los clientes RADIUS de los CSIV
de Madrid y Barcelona.Al igual que antes, la sintaxis del comando es:
route add -p [destination] [MASK netmask] [gateway]
Particularizando para el ejemplo:
Cliente RADIUS del CSIV de Madrid:
route add -p 172.16.192.1 MASK 255.255.255.255 10.128.10.1
Cliente RADIUS del CSIV de Barcelona:
route add -p 172.16.192.1 MASK 255.255.255.255 10.128.10.1
Durante el proceso de instalacin de las tarjetas adaptadoras (tarjetas de LAN), y antes de
aceptar las modificaciones hechas en los pasos anteriores, es necesario realizar un proceso
adicional para el correcto funcionamiento.
El protocolo NetBEUI es necesario para el correcto funcionamiento Windows NT al estar
relacionado ntimamente con tareas de identificacin del servidor. Al instalar dos interfaces
de red en el mismo servidor conectados al mismo tramo de red fsica, se obtiene un error
Nombre de mquina duplicado, recogido en el Event Viewer y que impide que el
proceso de inicio se lleve a cabo de forma correcta. Esto es s porque NetBEUI no es un
protocolo de encaminamiento (rutable) y por ello no entiende cada uno de los segmentos
como dos subredes independientes, encontrando por tanto otro nodo con el mismo nombre
en el broadcast inicial de identificacin para cada una de las tarjetas.
Para solventar este problema, simplemente pulsamos el botn Bindings en la pantalla de
configuracin, y desactivamos mediante Disable, todas las relaciones que se refieren al
protocolo NetBEUI, como puede verse en la figura adjunta.
Figura H-12: Definicin de bindings de protocolos.
Con esto, el servidor Windows NT est listo para la instalacin del servidor web.
Figura H-13: Grupo de programas del Microsoft Internet Server.
En la parte superior se puede ver cmo aparece la ventana de utilidades del Microsoft
Internet Server (IS). En ella se puede ver la herramienta de administracin que permite
controlar el funcionamiento de todos los servidores de Microsoft IS que haya en la red, de
forma centralizada.
Figura H-14: Herramienta de administracin de servidores.
Para que el servidor de web se comporte como dos servidores lgicos independientes,
(virtual servers) se procede a configurarlo desde la aplicacin mostrada en la Figura H-
15: Definicin de directorios web. haciendo doble click en el servicio de publicacin
WWW, desplegando la pantalla de configuracin y seleccionando la opcin Directories.
Figura H-15: Definicin de directorios web.
Desde aqu se puede aadir (Add) servidores virtuales a cada una de las direcciones IP que
se han asignado al servidor: la de InfoVa y la de Internet. La pantalla de configuracin de
cada uno de estos servidores virtuales permite especificar adems el nivel de seguridad
implementado para acceder al servidor Windows NT Serv
Figura H-16: Pantalla de definicin del virtual server.
Microsoft pone a disposicin de los usuarios que accedan al servicio, el nuevo Microsoft
Internet Explorer 2.0 para Windows 95, para conseguir que accedan a los servicios del
servidor del CPI.
Figura H-17: Servidor web de Microsoft Corporation visto con Microsoft
Internet Explorer 2.0
H.6.3 Configuracin del servidor de RADIUS
El CPI elegido para el ejemplo permite el acceso a Internet a travs de InfoVa. Por lo tanto
deber instalarse en el PC del CPI un servidor de RADIUS que gestione el rango de
direcciones de Internet y las vaya asignando a los usuarios llamantes. En el ejemplo
propuesto, este pool de direcciones IP asignadas por el IANA al proveedor comprende
desde la direccin 192.168.2.129 hasta la 192.168.2.188 y atender a los dos CSIV.
En el ejemplo, el servidor RADIUS del CPI se ha instalado en el directorio:
c:\raddb
Los ficheros del servidor, almacenados todos en el mismo directorio, son los siguientes:
radiusnt
Es el fichero ejecutable del servidor RADIUS. La opcin con la que se ejecuta es:
-d <directorio_radius_configuracin> -a <directorio_radius_accounting>
radpass
Es una aplicacin creada para facilitar el cambio de la clave (password) de un usuario.
rad_tool
Desconectar usuarios y liberar as las direcciones que hayan quedado ocupadas.
En el directorio donde se encuentre esta aplicacin deber aparecer tambin el fichero
cfg_OPERADOR_INFOVIA.
cfg_local_INFOVIA
En este fichero se indica el nombre del CPI (ALIAS), el puerto UDP y la HORA_IP.
clientes_INFOVIA
usuarios_INFOVIA
cfg_pool_INFOVIA
Datos sobre los diferentes pools definidos. Estos datos incluyen la direccin IP origen
de los msmos, su tamao, su identificador y su nivel de privilegio.
En este fichero se relacionan el identificativo de los pools y el identificativo de los
clientes a los que se les asigna ese pool.
README
Este fichero contiene una ayuda que puede resultar muy til a la hora de instalar el
servidor.
Para obtener el fichero ejecutable del servidor, los ficheros fuente del servidor RADIUS
debern compilarse para un PC con microprocesador Intel. El fichero ejecutable se ha
situado en el directorio c:\raddb. Para el arranque del servidor, ha de ejecutarse el comando:
start radiusnt -d c:\raddb -a c:\raddb
Para la configuracin del servidor DNS consltese el Apartado H.29.1.4
Configuracin del servidor DNS de este mismo anexo.
este anexo.
H.6.5 CONCLUSIONES
En este apartado se ha presentado un ejemplo de un CPI con un PC con Microsoft
Windows NT, mquina diferente de la empleada en los CPIs de los ejemplos anteriores. En
cambio, la arquitectura de este CPI es idntica de la de los .ejemplos de los apartados
anteriores. De este modo se comprueba que la solucin propuesta en el Apartado H.28
ARQUITECTURA DE UN CPI , se puede realizar con equipamientos de diferentes
fabricantes.
H.7 CONFIGURACIN DEL SERVIDOR RADIUS Y DEL
ROUTER
Se ha desarrollado una nueva versin del software RADIUS empleado en InfoVa. Las
novedades ms importantes que presenta respecto a la versin inicial son las siguientes:
Se puede parar y rearrancar de forma controlada el servidor RADIUS. Es decir, si se
para el servidor los usuarios que en ese momento estn accediendo con las direcciones
concedidas por el servidor van a poder seguir trabajando sin problema. Del mismo
modo, si se rearranca el servidor RADIUS, slo se liberan las direcciones que en ese
momento no se estn utilizando.
El nuevo RADIUS se adapta al estndar de Radius Accounting y Radius Authentication.
Se permitir la configuracin de ms de un servidor RADIUS en la misma mquina.
Se podr establecer un tiempo mximo de conexin para un usuario.
Permitir la deteccin de usuarios RDSI.
Los procesos de Autenticacin y Tarificacin sern configurables por el proveedor,
suministrandose las herramientas de desarrollo necesarias.
En la nueva versin se puede trabajar con un pool nico, de modo que una direccin
podr ser asignada a cualquier usuario registrado (es decir, que tenga un nombre y una
clave asignados por el CPI) con independencia del CSIV por el que haya entrado la
llamada del usuario. Esto se traduce en que no har falta definir rangos de direcciones
diferentes para cada CSIV (actualmente los de Madrid y Barcelona), y a cualquier
usuario de cualquier lugar de Espaa se le podr asignar cualquiera de las direcciones IP
de las que dispone el CPI.
Tambin, si se quiere, se puede seguir trabajando con pools diferentes para cada
CSIV.
Se pueden definir varios pools con diferentes niveles de uso, asignando luego estos
niveles a los usuarios. A un usuario se le podr asignar un nivel y un nivel mximo de
uso, pudiendo por tanto utilizar desde las direcciones correspondientes a su nivel hasta
las del nivel superior.
Un pool no tendr por que estar constituido por un rango continuo de direcciones IP.
Ahora podr estar formado por direcciones IP no consecutivas.
Se puede asignar a un usuario una direccin IP fija de las que dispone el CPI, sin que
suponga un problema que las llamadas de ese usuario entren unas veces por un CSIV y
otras por otro.
Al usuario que lo pida, se le puede asignar una subred IP fija. Para ello basta con
colocar en el campo correspondiente del perfil de ese usuario, la mscara
correspondiente.
Tanto si se asigna una direccin fija como un rango de direcciones IP fijas, estas
direcciones IP no debern estar incluidas en los pools definidos.
Se ha desarrollado una aplicacin que permite:
Desconectar usuarios.
Estas nuevas prestaciones se traducen en modificaciones en los ficheros de configuracin del
servidor RADIUS y en el router del CPI. Por medio de un ejemplo se van a ilustrar estas
modificaciones. En este ejemplo se parte de un CPI con acceso a Internet desde InfoVa. El
CPI est conectado a los CSIVs de Madrid y Barcelona. Los restantes datos son:
La direccin 10.128.102.254 se utilizar en InfoVa.
Direcciones: 194.179.42.0 a 194.179.42.255
de InfoVa.
Para los usuarios que accedan a Internet desde InfoVa, el CPI tiene definido un rango
de direcciones que puede asignar dinmicamente a los usuarios llamantes. Este rango
abarca las siguientes direcciones:
De 194.179.42.129 a 194.179.42.190, es decir un rango de 62 direcciones.
Lo que se ha hecho es dividir este rango en dos conjuntos o pools de diferente nivel,
uno de mximo nivel (nivel 2) y otro de nivel mnimo (nivel 1).
Pool de mximo nivel (nivel 2):
De 194.179.42.129 a 194.179.42.143, y de 194.179.42.160 a 194.179.42.175.
Pool de mnimo nivel (nivel 1):
De 194.179.42.144 a 194.179.42.159, y de 194.179.42.176 a 194.179.42.190.
Cuando cualquiera de los dos CSIV (Madrid o Barcelona) detecta que un usuario
quiere acceder a Internet a travs de este CPI, el cliente de RADIUS del CSIV
llamante.
En los siguientes apartados se describe como se ha de configurar el servidor RADIUS y el
router del CPI para este ejemplo.
H.7.1 CONFIGURACIN DEL SERVIDOR RADIUS
El CPI elegido para el ejemplo permite el acceso a Internet a travs de InfoVa. Por lo tanto
deber instalarse en una mquina del CPI un servidor de RADIUS que gestione el pool de
direcciones de Internet y las vaya asignando a los usuarios llamantes.
Para obtener el fichero ejecutable del servidor, los ficheros fuente del servidor RADIUS
debern compilarse para la plataforma en la que se vaya a instalar el servidor.Los ficheros
del servidor, almacenados todos en el mismo directorio, son los siguientes:
radiusd radiusnt (para Windows NT)
Es el fichero ejecutable del servidor RADIUS. La opcin con la que se ejecuta es:
-d <directorio_radius_configuracin> -a <directorio_radius_accounting>
radpass
Es una aplicacin creada para facilitar el cambio de la clave (password) de un usuario.
rad_tool
Desconectar usuarios y liberar as las direcciones que hayan quedado ocupadas.
En el directorio donde se encuentre esta aplicacin deber aparecer tambin el fichero
cfg_OPERADOR_INFOVIA.
cfg_local_INFOVIA
En este fichero se indica el nombre del CPI (ALIAS), el puerto UDP y la HORA_IP.
clientes_INFOVIA
usuarios_INFOVIA
cfg_pool_INFOVIA
Datos sobre los diferentes pools definidos. Estos datos incluyen la direccin IP origen
de los msmos, su tamao, su identificador y su nivel de privilegio.
En este fichero se relacionan el identificativo de los pools y el identificativo de los
clientes a los que se les asigna ese pool.
README
Este fichero contiene una ayuda que puede resultar muy til a la hora de instalar el
servidor.
El directorio en el que se instala el servidor RADIUS es el /etc/raddb.
Los archivos de tarificacin estarn en el directorio /usr/adm/radacct.
A continuacin se describen los ficheros utilizados por el RADIUS del CPI con unos datos
de direcciones y pooles distintos a los que se han podido utilizar anteriormente.
H.7.1.1 Fichero cfg_local_INFOVIA
# FICHERO: cfg_local_INFOVIA
# =================
# Este fichero contiene los datos de configuracion de un servidor
RADIUS
# El primer campo indica el tipo de dato descrito:
# ALIAS ==> Nombre del servicio soportado en el servidor local.
Se pueden
# asignar cualquier numero de ALIAS al servicio. Por defecto
# el nombre del servicio es el nombre de la maquina.
#UDP ==> Indica el puerto UDP usado por por el proceso para
escuchar
# peticiones. Si falta este campo se toma el puerto definido en
# /etc/services. Si en el /etc/services no esta definido
# se toma como puerto el valor 1645.
# HORA ==> Indica el tiempo durante el cual, una vez liberada una
# direccin IP, sta est disponible para ser reutilizada.
#
#IDENTIFICADOR VALOR
#------------- -----
ALIAS cpi_pr
ALIAS otro_cpi_pr
UDP 1645
HORA_IP 180
H.7.1.2 Fichero clientes_INFOVIA
# FICHERO: clientes_INFOVIA
# ================
#
# Este fichero contiene una lista de clientes (maquinas IP) que
# estan autorizadas a lanzar preguntas RADIUS sobre ESTE servidor
# y a recibir respuestas RADIUS desde ESTE servidor.
#
# 1.- El primer campo es el nombre del cliente
# 2.- El segundo campo es la palabra clave asociada a ese
cliente.
# 3.- El tercer campo es el puerto UDP.
# 4.- El cuarto campo es el identificador del cliente.
# CAMPOS
# 1 2 3 4
172.16.192.1 ascend 1645 1
172.16.193.1 ascend 1645 2
127.0.0.1 operador 1645 1000
H.7.1.3 Fichero cfg_pool_INFOVIA
# FICHERO: cfg_pool_INFOVIA
# ================
#
# ident_pool--> Numero que identifica el pool. Pueden existir
varias lineas con este
# mismo numero.
# rango --> Dir. inicial del trozo del pool.
# tamano --> Numero de direcciones que forman el trozo.
# nivel_usuario --> Indica el nivel que tienen que tener los
usuarios para obtener una
# direccion del pool.#
# ident_pool rango tamano nivel_usuario
1 194.179.42.144 16 1
1 194.179.42.176 15 1
2 194.179.42.129 15 2
2 194.179.42.160 16 2
El pool 1 es de nivel 1 y consta de 31 direcciones desglosadas del siguiente
modo:
16 direcciones, que van de la 194.179.42.144 a la 194.179.42.159, ambas
inclusive.
inclusive.
El pool 2 es de nivel 2 y consta de 31 direcciones desglosadas del siguiente
modo:
inclusive.
inclusive.
H.7.1.4 Fichero cfg_pool_clie_INFOVIA
# FICHERO: cfg_pool_clie_INFOVIA
# ================
#
# ident_pool--> Nmero que identifica el pool. Pueden existir
varias lineas con este
# mismo numero.
# ident_cliente --> Identificativo del cliente.
# ident_pool ident_cliente
1 1
1 2
2 1
2 2
1 1000
2 1000
H.7.1.5 Fichero usuarios_INFOVIA
# FICHERO: usuarios_INFOVIA
# ================
#
# Este fichero incluye el formato definido por ASCEND para su
interfaz por
# RADIUS.
# Contiene informacion de seguridad y configuracion para cada
usuario.
# El primer campo es el nombre de usuario.
# Esta seguido de una lista con los requerimientos de
autorizacion para
# cada usuario.Esta puede incluir el password, nombre de usuario,
# y una fecha de expiracion del password del usuario.Cuando una
# peticion de autenticacion es recibida desde el servidor, esos
valores son
# chequeados. Existe la posibilidad de crear un usuario especial
llamado DEFAULT
# el cual siempre debera estar al final del fichero.Este perfil
tratara los nombre de
# usuarios no contenidos en este fichero. Si a este perfil le
damos el password
# UNIX, se buscara el password del usuario en el fichero
/etc/passwd.
# A continuacion se definen una serie de parametros de ASCEND,
como por
# ejemplo los necesarios para establecer la llamada PPP, la
direccion que
# se le va a asignar a ese usuario, si se le da una subred, etc.
# Ademas de los parametros definidos por ASCEND el sistema
# INFOVIA ha definido/modificado los siguientes valores:
# - SESIONES-INFOVIA = N
# Donde N es el numero de sesiones simultaneas que se quieren
# permitir para cada usuario definido en el fichero.
# - NIVEL-INFOVIA = M
# Donde M es el numero que indica el nivel de uso del usuario.
# Esto quiere decir que el usuario podra utilizar aquel pool
que
# tenga una categoria igual a M.
# - NIVEL-MAX-INFOVIA = N
# Donde N es el numero que indica el nivel maximo de uso del
usuario.
# Esto quiere decir que el usuario podra utilizar desde el pool
de su
# nivel hasta el pool de nivel maximo N.
# - Framed-Address = Este parametro si no aparece en el perfil
# de usuario tendra el valor 255.255.255.255. Si aparece tendra
el valor de la
# direccion que se le quiera dar a ese usuario.
# En caso contrario puede provocar errores en la direccion
asignada al usuario.
# - RDSI-INFOVIA = 0
# En este caso las llamadas de un usuario RDSI son rechazadas.
# - Ascend-Maximum-Time = L.
# Donde L es el tiempo en segundos en que se desconectar al
usuario.
# A continuacion se indican varios perfiles de usuario:
usu1 Password = "clave1"
SESIONES-INFOVIA = 1,
NIVEL-INFOVIA = 1,
RDSI-INFOVIA = 0,
User-Service = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 194.179.42.3,
Framed-Netmask = 255.255.255.255,
Ascend-Metric = 2,
Framed-Routing = None,
Framed-Compression = 0
Ascend-Idle-Limit = 0
Ascend-Maximum-Time = 36000
usu2 Password = clave2"
NIVEL-INFOVIA = 1,
NIVEL-MAX-INFOVIA = 2,
User-Service = Framed-User,
Framed-Protocol = PPP,
Framed-Address = 255.255.255.255,
Framed-Netmask = 255.255.255.255,
Ascend-Metric = 2,
Framed-Routing = None,
Framed-Compression = 0
Ascend-Idle-Limit = 0
Ascend-Maximum-Time = 7200
En el fichero usuarios_INFOVIA anterior se han incluido los perfiles de dos
usuarios. El primero es de nivel 1 (NIVEL-INFOVIA = 1) por lo que solo
podr recibir direcciones de las correspondientes al pool 1 (vase el fichero
cfg_pool_INFOVIA en el Apartado H.32.1.3 Fichero cfg_pool_INFOVIA ).
El segundo usuario es de nivel 1(NIVEL-INFOVIA = 1) por lo que recibir
direcciones del pool 1, y si no las hay disponibles, recibir una direccin del
pool 2 .
H.7.1.6 Configuracin de la herramienta rad_tool
Para el correcto funcionamiento de esta herramienta opcional, habr que incluir
el siguiente fichero:
# FICHERO: cfg_OPERADOR_INFOVIA
# =================
#UDP ==> Indica el puerto UDP del servidor a controlar.
# IP ==> Indica la direccin IP del identificador de cliente
1000.
#SECRETO ===> Indica el password del identificador de cliente
1000.
#
#
#IDENTIFICADOR VALOR
#------------- -----
IP 127.0.0.1
UDP 1645
SECRETO Operador
En este apartado se adjunta el fichero de configuracin del router del ejemplo:
version 11.1
!
hostname router
!
enable password YYYYYYYY
!
ip subnet-zero
!
interface Ethernet0
ip address 10.128.102.1 255.255.255.0 secondary
ip address 194.179.42.1 255.255.255.192
!
interface Serial0
no ip address
encapsulation frame-relay IETF
frame-relay lmi-type ccitt
!
interface Serial0.1 point-to-point
ip address 194.179.6.135 255.255.255.128
frame-relay interface-dlci 17
!
ip address 172.16.192.30 255.255.255.224
!
ip address 172.16.193.30 255.255.255.224
!
interface Serial1
ip unnumbered Ethernet0
shutdown
!
router rip
version 2
timers basic 30 600 0 1
no validate-update-source
passive-interface Serial0.2
passive-interface Serial0.3
network 172.16.0.0
!
ip default-network A.B.C.D
ip route 10.2.0.0 255.254.0.0 Serial0.2
ip route 10.4.0.0 255.254.0.0 Serial0.3
ip route A.B.C.D M
A
.M
B
.M
C
.M
D
G
A
.G
B
.G
C
.G
D
!
line con 0
line aux 0
line vty 0 4
password XXXXXXXX
login
!
end
El router del CPI ha de saber por dnde encaminar el trfico con destino a los usuarios de
InfoVa. Para ello se han de definir rutas con los CSIV de InfoVa con los que est
conectado el CPI.
ip route 10.2.0.0 255.254.0.0 Serial0.2
ip route 10.4.0.0 255.254.0.0 Serial0.3
En el fichero anterior:
XXXXXXXX representa la clave necesaria para conectarse al router.
YYYYYYYY representa la clave necesaria para poder configurar el router.
A.B.C.D representa la direccin IP correspondiente a la red por defecto. Se trata de
direcciones proporcionadas por Internet. Todos los paquetes cuya direccin no est
recogida en las tablas de rutas, se enviar a esta red por defecto a travs del gateway
indicado.
M
A
.M
B
.M
C
.M
D
representa la mscara a aplicar a la red por defecto. Esta mscara la
proporcionar Internet.
G
A
.G
B
.G
C
.G
D
representa el gateway a travs del cual se encamina el trfico hacia la
red por defecto. Esta direccin la proporcionar Internet.
H.8 INFORMACIN ADICIONAL PARA LA INSTALACIN DE UN
CPI
Telefnica ofrece a los proveedores de informacin, el cdigo, compilado para diversas
plataformas, del servidor RADIUS. Con el proposito de facilitar la distribucin de software,
el cdigo compilado para los diferentes tipos de plataforma est disponible en un servidor
ftp annimo.
H.9 PROCESO ADMINISTRATIVO
Una empresa que desee ofrecer sus servicios a travs de InfoVa deber completar un
formulario en el que los principales apartados sern los siguientes:
Objetivo del servicio.
Se expondr el tipo de servicio que se va a ofertar, que deber de ser pblico y no
restringido, as como su nombre comercial. Esta informacin permitir definir a InfoVa
cul debe de ser la ubicacin en el rbol de navegacin de este servicio.
Contenido de la hoja HTML
El proveedor deber entregar un fichero con formato HTML, o bien delegar la funcin
de creacin de dicho fichero a InfoVa.
La importancia de este fichero queda clara teniendo en cuenta que ser la nica
informacin especfica que InfoVa suministrar a los hipotticos usuarios del
proveedor del servicio sobre las caractersticas del mismo.
Se sugiere que en este apartado debe quedar claro para los usuarios:
El tipo de servicio comercializado.
Procedimiento administrativo para darse de alta en el servicio si fuera necesario.
Costes asociados a la utilizacin del servicio, as como el procedimiento de cobro
(tarjeta de crdito, factura mensual, etc ...).
Caractersticas que debe poseer el equipamiento del usuario: Memoria, CPU,
velocidad de transferencia, etc ...
Si el usuario debe de instalar software especfico para acceder a este servicio, se
debe de indicar el mecanismo de acceso a dicho software.
Ambito geogrfico del servicio. Si el servicio se va a ofrecer a usuarios de una
comunidad autnoma o a varias y cuales.
Nmero de mquinas desde las que se va a ofertar el servicio.
El proveedor informar en este apartado cuantas mquinas van a ser accesibles
desde InfoVa para la provisin del servicio.
Tipo de servicio.
Autentificado o no autentificado
Administracin de la direcciones IP por parte del proveedor o administradas por
InfoVa.
Si el proveedor desea administrar un rango de direcciones propias (direcciones de
Internet, como es el caso de los CPIs con acceso a Internet desde InfoVa),
deber acreditar que dichas direcciones le han sido adjudicada por la IANA.
Nmero mximo de usuarios simultneamente conectados al proveedor.
En este apartado, el proveedor informar del nmero mximo de conexiones simultneas
que quiere atender por cada una de las comunidades autnomas.
Caractersticas del acceso fsico a InfoVa.
El usuario deber de indicar el tipo de acceso deseado:
Frame relay: Parmetros asociados a la interfaz frame relay.
El proceso administrativo de dar de alta estas interfaces, lo podr realizar el proveedor o
delegarlo en InfoVa.
Al proveedor del servicio, como respuesta a su peticin, se le suministrarn los siguientes
datos:
Rango de direcciones IP reservadas al proveedor.
Ser siempre una subred de longitud 256 direcciones.
Direcciones IP concretas asignadas a las mquinas del proveedor.
Sern direcciones pertenecientes al rango anterior a travs de las cuales se oferta el
servicio.
Direccin IP del servidor de RADIUS.
Direccin del centro de gestin InfoVa.
Se le suministrar la direccin RTB y X.25, as como la clave (password) que
permitirn al proveedor del servicio acceder a los datos de trfico de su servicio.
Toda esta informacin se recoger en un documento con formatos y campos a rellenar, en los
que el proveedor se someter a las leyes civiles que rigen estas asociaciones y que quedarn
ampliamente aclaradas y enumeradas. Este proceso formal podr ser discutido en forma y
contenido, pero es Telefnica, o en su caso la filial que comercialice el servicio InfoVa, la
que ser competente en estas labores y la que detallar ms profundamente todos estos
aspectos, as como las acciones a seguir para incorporarse a InfoVa.
I Gua de Migracin del Radius de un PSI de
Infova Plus Directo a Infova Plus Bsico
Modalidad Delegada
I.1 Introduccin
En el presente anexo se presenta la documentacin relativa al proceso de migracin de un
servidor Radius de PSI entre sus distintas versiones, desde la versin 3.x del hasta la versin
5. Si se desea realizar una instalacin inicial completa debern consultarse los documentos
Gua de Instalacin de los servicios proveedores de Informacin que se (para la versin
3.x) proporciona con este paquete, bien la Gua de Instalacin del Radius del PSI en el
Servicio Infova Plus Bsico (Modalidad delegada) (versiones 4.x y 5.x).
En el presente anexo se describen los pasos para realizar la migracin entre cada versin y la
siguiente. Si se desea realizar la migracin entre dos versiones no consecutivas deben
realizarse todos los cambios correspondientes a las migraciones de las versiones intermedias.
I.2 Migracin de un servidor RADIUS PSI a Infova Plus Bsico
(Modalidad Delegada)
Si se parte de una instalacin anterior del servidor Radius, las modificaciones que habra que
realizar seran las siguientes.
I.2.1 Modificacin de los ejecutables
Debern sustituirse los programas que se encuentran en el directorio de ejecutables del
servidor (por defecto /opt/radius/bin)
I.2.2 Modificacin del diccionario.
Deber modificarse el diccionario de atributos que usa el servidor radius que se encuentra en
el fichero usuarios_INFOVIA que se encuentra en el directorio de configuracin del servidor
(por defecto el directorio /opt/radius/raddb). Los cambios que hay que realizar son los
siguientes:
Modificacin del valor del atributo SESIONES_INFOVIA. Para ello deber sustituirse
la lnea:
por la siguiente:
Debe aadirse el siguiente atributo (caso de que el cdigo 225 se usara para otro atributo
deber sustituirse por el siguiente).
ATTRIBUTE Nivel-Internet 225 integer
Este atributo indica el nivel de calidad en el acceso asignado a un usuario, y deber
aadirse tambin al perfil del usuario en el que se desee usar esta caracterstica, como en
el siguiente ejemplo:
prueba Password= madrid
Nivel-Internet = 1,
Session-Timeout = 0,
Idle-Timeout = 10,
Port-Limit = 5
Este atributo puede tomar un valor entero en el rango 0..9
Caso de que existieran previamente otros atributos con cdigos 224 o 225 deberan
comentarse las lneas en que aparezcan para evitar atributos duplicados.
I.2.3 Clientes Delegados.
Para indicar al servidor Radius las mquinas desde las que aceptar peticiones de usuarios
delegados stas deben indicarse en el fichero redIP_delegado, con el mismo formato que los
ficheros clientes_INFOVIA o clientes_hw_INFOVIA
I.2.4 Fichero cfg_OPERADOR_INFOVIA
Dado que la herramienta rad_tool puede efectuar peticiones tanto al servidor radius local
como al servidor radius de la Red IP deben especificarse los atributos de ambos servidores
como se muestra en el siguiente ejemplo:
UDP_PSI 2645
UDP_RAD_TOOL 3000
IP_PSI 127.0.0.1
UDP_CVCA 1645
IP_CVCA <direccin IP de un servidor Radius de la Red IP>
SECRETO_PSI <Secreto servidor radius local>
SECRETO_CVCA <Secreto servidor radius Red IP>
Donde:
UDP_PSI Es el puerto asignado al servidor Radius local del PSI
UDP_RAD_TOOL Es el puerto utilizado por el propio ejecutable rad_tool.
UDP_CVCA Es el puerto asignado al(los) servidor (es) radius de la Red IP.
SECRETO_PSI Es el Secreto del servidor Radius local.
SECRETO_CVCA Es el Secreto del Secreto del servidor Radius de la Red IP.
J REFERENCIAS
J.1 Obtencin de Estadsticas
J.1.1 RADREPORT
Es un script (escrito en Perl) para obtener estadsticas de uso por usuario a partir de los
ficheros de contabilidad suministrados por el servidor Radius.
Se proporciona para plataformas UNIX y NT. La licencia es GPL. Adems al estar escrito en
Perl, se suministra el cdigo fuente.
El autor dice que los radius soportados son los siguientes:
Livingson Radius V2.0, V2.01 & V1.16
Dale Reeds RadiusNT
Merit Radius
Ascend Radius
Radiator
Como el servidor Radius del presente documento, usa los mismos formatos de fechas y
atributos que el Radius de Ascend, es tambin compatible con el programa.
Para poder usarlo con el servidor Radius del presente documento, y por problemas con las
las fechas (no incluimos el campo Timestamp=... en el logfile) hay que descargar un mdulo
perl no incluido en algunas distribuciones (modulo POSIX). ste modulo no esta disponible
para NT.
Para ms informacin, ver:
URL: http://www.tibus.net/pgregg/projects/radiusreport/
J.1.2 RADIUSCONTEXT
Est basado en el anterior, aunque es ms completo y elaborado. La novedad principal es que
permite la obtencin de estadsticas globales adems de por usuario. Se proporciona tambin
para plataformas UNIX y NT.
El unico inconveniente es que est escrito en Python, que es un intrprete menos habitual
que Perl.
Para ms informacin, ver:
URL : http://www.tummy.com/radiusContext/
K INTERFAZ DE OPERACION WEB
1
En esta anexo se presenta la documentacin relativa al Interfaz grfico de operacin del
Servidor RADIUS de PSI. A travs de este interfaz el operador podr realizar las
operaciones de arranque, parada, consulta de estados y desconexin de usuarios del servidor
Radius.
Este interfaz es accesible desde cualquier navegador estndar (se recomienda Netscape
versin 4.03 o superior, no es recomendable Internet Explorer).
K.1 Instalacin
Como requisito hay que mencionar que se precisa de un servidor Web instalado en la misma
mquina en la que se instala el servidor RADIUS.
El Interfaz de Operador del Servidor RADIUS se suministra en el paquete de instalacin del
servidor de Radius Delegado.
Para realizar la instalacin debern ejecutarse los comandos de instalacin indicados en el
captulo de Instalacin. Una vez iniciada la instalacin de dicho paquete se preguntar si se
desea instalar los ficheros correspondientes al Interfaz grfico. En caso de respuesta
afirmativa, el paquete instalar los ficheros html, JavaScript, grficos y binarios en el
directorio que se le indique.
K.1.1 Directorios de Instalacin
El paquete genera los siguientes directorios y ficheros en el directorio que se le indique al
comenzar la aplicacin.
Web/html/ Contiene las paginas html estticas.
Web/html/MENUS/ Contiene los men\xb9 \xb8 \xb9 s para cada una de las
utilidades implementadas.
Web/iconos/ Contiene los iconos de la aplicacin.
Web/JavaScript/ Contiene los ficheros JavaScript de la aplicacin.
cgi-bin/ Contiene las CGIs.
K.1.2 Procedimiento de Instalacin
Los pasos a seguir son los siguientes:
1. Instalacin del paquete radius_psi. Realizar la instalacin del paquete tal y como se
indica en el captulo 1 de este manual.
1
Slo disponible para la plataforma Solaris.
2. Inicializar el Interfaz grfico de Operador del servidor Radius. Ver apartado de
configuracin.
K.2 Configuracin
Debe generarse una instancia en un servidor Web. La pgina de inicio es /http_radius/Web/
html/index.html. Es necesario configurar en el servidor Web un mapeo virtual del directorio
raz donde se hayan instalado la interfaz a /radius, ya que las URLs se refieren a ste
ltimo.
K.3 Operacin
Al entrar en la URL de inicio se marca la opcin Comenzar Operacin. Se presenta
entonces una ventana del visualizador con tres frames. En la frame superior se
selecciona Operaciones, ya que la opcin de Configuracin, an no est disponible. La
frame de la izquierda la denominaremos frame de operaciones y la frame grande de
abajo a la derecha, la denominaremos frame principal.
Se presenta entonces una ventana de navegador con el siguiente aspecto:
Figura K-1: Ventana de Operacin Web
Se pueden seleccionar las operaciones de la frame de operaciones. Es decir:
K.3.1 Arrancar Servidor RADIUS
Aparece una ventana similar a la anterior:
Figura K-2: Arranque de Servidor RADIUS
En la frame principal se rellenan los datos para los directorios de instalacin,
configuracin y contabilidad. Mediante el botn de Radio se selecciona el nivel de trazas
deseado.
Al pulsar Enviar, se muestra en la frame principal la misma salida que muestra la lnea
de comandos al arrancar el servidor.
K.3.2 Parar el Servidor RADIUS
Al pulsar en la opcin aparece la siguiente ventana:
Figura K-3: Parada de Servidor RADIUS
De la misma manera que en el arranque, se seleccionan los directorios de instalacin y
configuracin y se pulsa el botn Enviar.
La ventana que aparece a continuacin, muestra la salida estndar en la frame principal.
K.3.3 Consulta de Estado del Servidor RADIUS
Si se pulsa esta opcin obtenemos:
Figura K-4: Consulta de Estado de Servidor RADIUS
Se procede de la misma manera que en los apartados anteriores.
Al pulsar Enviar, se obtiene otra ventana en la que aparece el estado de las conexiones del
servidor RADIUS en la frame principal.
L CONFIGURACIN DEL SERVIDOR RADIUS
PARA DISTINTOS ESCENARIOS
L.1 Configuracion bsica para escenario servidor final con
clientes SW
L.1.1 Definicin del escenario
En este escenario el servidor radius atiende a clientes software (clientes que se definen en el
fichero redIP_delegado), no asigna direcciones, puede guardar informacin sobre las
sesiones de los usuarios.
Se puede observar este escenario en la siguiente figura:
L.1.2 Configuracin bsica del servidor.
Se editarn los ficheros de configuracion del servidor Radius siguiendo los pasos que se
detallan a continuacin. Para una correcta configuracin, se deber partir de un estado de los
ficheros de configuracin idntico al que se tiene tras el proceso de instalacin del servidor.
Estos son los pasos a seguir:
Paso 1. Edicin de cfg_local_INFOVIA
En este fichero definiremos los siguientes parmetros:
UDP_AUTH: Se indicar el puerto para autenticacin, en este ejemplo se le dar el
valor:
UDP_AUTH 1645
UDP_ACCT: Puerto para contabilidad, por ejemplo puede tomar el valor:
UDP_ACCT 1646
UDP_SNMP: En este ejemplo no se trabajar con el modo SNMP, luego esta linea
deber aparecer comentada:
#UDP_SNMP 1680
HASHSIZE: Se le dar un valor similar al nmero mximo de conexiones simultneas,
por ejemplo:
HASHSIZE 30000
Los siguientes parmetros se refieren a tarifa plana, en este ejemplo no se trabajar con
tarifa plana, luego aparecern comentados:
#NEMONICO_PLANO psi_plano
#HORA_FIN_TARIFA_PLANA 8
#MIN_FIN_TARIFA_PLANA 0
#HORA_INICIO_TARIFA_PLANA 18
#MIN_INICIO_TARIFA_PLANA 0
ALIAS: Se indicarn los nemnicos que sern tratados localmente, por ejemplo:
ALIAS psi
HARDWARE_INFOVIA_OMISION: No se admitirn clientes hardware, entonces:
MODO_PROXY: El servidor a configurar no debe funcionar en modo proxy, luego:
MODO_PROXY 0
MODO_SNMP: No trabaja en modo SNMP, por tanto:
MODO_SNMP 0
MODO_ENCRIPTADO: No trabaja en modo ENCRIPTADO, por tanto:
MODO_ENCRIPTADO 0
SUBRED_FICTICIA: Subred de la que se asignan direcciones ficticias, por ejemplo:
SUBRED_FICTICIA 1
El fichero cfg_local_INFOVIA del ejemplo quedar de la siguiente forma:
UDP_AUTH 1645
UDP_ACCT 1646
#UDP_SNMP 1680
HASHSIZE 30000
#NEMONICO_PLANO psi_plano
#HORA_FIN_TARIFA_PLANA 8
#MIN_FIN_TARIFA_PLANA 0
#HORA_INICIO_TARIFA_PLANA 18
#MIN_INICIO_TARIFA_PLANA 0
ALIAS psi
MODO_PROXY 0
MODO_SNMP 0
MODO_ENCRIPTADO 0
SUBRED_FICTICIA 1
Paso 2. Edicin de usuarios_INFOVIA
En este fichero se definirn los datos de los usuarios autorizados por el PSI. Para el escenario
actual slo proporcionaremos los siguientes atributos:
Es obligatorio indicar el nombre de usuario y la password de dicho usuario, por ejemplo:
prueba Password = clave
Max-Num-Connections: Indica el nmero mximo de conexiones simultneas
permitidas para el usuario que estamos definiendo. Por defecto toma el valor 1. Por
ejemplo, se podran permitir 2 conexiones:
El perfil del usuario en el fichero usuarios_INFOVIA quedar de la siguiente forma:
prueba Password = madrid
Paso 3. Edicin de redIP_delegado
En este fichero se completarn los datos de los clientes SW con los que va a conectarse el
PSI. En cada lnea se indicar un cliente SW, compuesta por cuatro campos ademas de
algunas opciones adicionales.
En el primer campo se indica la direccin IP del cliente SW.
En el segundo campo se indica la palabra clave asociada cada cliente.
En el tercer campo se indica el puerto UDP por el que escucha el cliente.
En el cuarto campo se indica el identificador de cliente:
El fichero redIP_delegado correspondiente a la figura contendr las siguientes lneas:
193.152.36.63 Operador_CVCA 1645 10
127.0.0.1 Operador 3000 1000
Se definen as dos clientes, un cliente ser el CVCA y el otro cliente la propia maquina, de
forma que se permita el uso de la herramienta rad_tool.
Paso 4. Edicin de cfg_OPERADOR_INFOVIA
En este fichero se definirn los siguientes parmetros:
UDP_PSI: puerto por el que escucha el servidor Radius del PSI. Segn se indic en el
fichero cfg_local_INFOVIA, este puerto es el 1645:
UDP_PSI 1645
UDP_RAD_TOOL: puerto para la herramienta rad_tool, en este caso:
UDP_RAD_TOOL 3000
UDP_CVCA: se indicar el puerto por el que el Centro de Validacin y Control de
Acceso de la Red IP (CVCA) escucha las peticiones de autenticacion. Para este caso:
UDP_CVCA 1645
IP_CVCA: direccin IP del cliente SW del CVCA:
IP_CVCA 193.152.36.63
IP_PSI: se recomienda indicar la direccin IP siguiente, indicando que la maquina
donde se est ejecutando el servisor Radius es la misma mquina:
IP_PSI 127.0.0.1
SECRETO_PSI: secreto del servidor Radius local. En este ejemplo:
SECRETO_CVCA: secreto del cliente SW del CVCA. Para este ejemplo:
SECRETO_CVCA Operador_CVCA
El fichero cfg_OPERADOR_INFOVIA quedar de la siguiente forma:
UDP_PSI 1645
UDP_RAD_TOOL 3000
UDP_CVCA 1645
IP_CVCA 193.152.36.63
IP_PSI 127.0.0.1
SECRETO_CVCA Operador_CVCA
L.1.3 Pruebas del servidor
L.1.3.1 Arranque del servidor Radius de PSI.
Se utlizar el ejecutable del servidor radius que no utiliza librerias dinmicas.
Se deber indicar el directorio de configuracion y el directorio de contabilidad.
Si se supone que el ejecutable radiusd se encuentra en /opt/radius5.04/bin,
desde este directorio se lanzar:
./radiud -d ../raddb -a ../radacct
L.1.3.2 Pruebas del servidor
Se definirn a continuacin una serie de pruebas del servidor. Se utilizarn los
ficheros de simulacin que se encuentran en el directorio
/opt/radius5.04/bateria_delegado. En ste directorio se halla el ejecutable
simula_delegado. Este ejecutable necesita de un fichero .txt en el que se
definen los paquetes de Auth, Start y Stop para un usuario determinado. Este
fichero se incluye en el directorio bateria_delegado.
1. Se debe aadir una lnea en el fichero redIP_delegado para declarar la
propia mquina como cliente SW, y as poder lanzar el simulador desde la
misma mquina. Para el caso del ejemplo se aadira la siguiente lnea:
1.0.15.151 secreto_simula 1645 50
2. En el fichero de configuracin del simulador (cfg_OPERADOR_INFOVIA)
situado en el propio directorio bateria_delegado, debe definirse los datos
del servidor Radius destino. En el caso del ejemplo contendr los
siguientes valores:
UDP_PSI 1645
IP_PSI 1.0.15.151
SECRETO_PSI secreto_simula
Nota: El fichero de configuracin del simulador presenta una formato distinto que el
fichero de configuracin del rad_tool.
3. En primer lugar realizaremos una peticin de auth (desde el directorio
bateria_delegado):
simula_delgado Auth delegado.txt
Se deber recibir un AUTHACK.
4. Una vez hemos conseguido la autenticacin, realizaremos un start:
simula_delegado Start delegado.txt
Se deber recibir un ACK.
5. Posteriormente podemos liberar la conexin:
simula_delegado Stop delegado.txt
Se deber recibir ACK.
Una vez realizada esta prueba conviene eliminar del fichero redIP_delegado la
lnea introducida para el cliente simula_delegado.
L.1.3.3 Prueba de rad_tool
La herramienta rad_tool permite obtener informacin del estado del sistema, y
realizar acciones de gestin bsicas sobre el servidor.
Para el caso del ejemplo, simplemente se verificar la correcta configuracin de
la herramienta lanzando una peticin de parada del servidor radius :
Si se supone que el ejecutable rad_tool se encuentra en /opt/radius5.04/bin,
desde este directorio se lanzar:
./rad_tool -d ../raddb parar_radius
M CONTROL DE CAMBIOS DEL DOCUMENTO
Edicin Fecha Descripcin de cambios
1.00 15/06/2000 Creacin del documento
2.00 26/07/2000 Se incluye la presente hoja de control de ediciones del documento.
Simplificacin del proceso de Configuracin del Servidor para
Linux y NT.
Actualizacin para la segunda fase del proyecto Mejoras del
Servidor Radius de PSI:
* Portado de funcionalidad de proxy para Linux y Windows NT
* Herramienta de liberacin de conexiones pilladas para Solaris.
* Herramienta de gestin automtica de Logs portada a Linux
* Herramienta de actualizacin de ficheros DBM en tiempo real
portada a Linux.
* Procedimiento automtico de arranque del servidor para Linux.
2.01 3/08/2000 * Apartado 2.2; aclaraciones a la instalacin en Linux
* Apartado 3.1.2; eliminados pequeos errores de explicacin
* Nuevo apartado 3.2.2; procedimiento de arranque
particularizado para Linux
* Cambio de la footnote del apartado 3.3.10 al 3.3.9
* Apartado 4.2.7: Correccin en la descripcin de los parmetros
del builddbm
* Apartado 5.1 y 5.2: Indicacin del directorio donde se escriben
los ficheros de trazas y el fichero logfile.
* Apartado 4.2.5 y 4.2.6: Aviso sobre la utilizacin del fichero de
perfiles suministrado para una correcta ejecucin de las baterias
de pruebas.
* Apartado 2.1: Aviso sobre necesidad de borrar las posibles
libreras libCalidades y libFiltro que se encuentren en /usr/lib
como resultado de anteriores instalaciones.
3.00 9/02/2001 Se incluyen los cambios de la versin 5.04:
* Se permite configurar el numero de sesiones simultaneas por
usuario del servicio de tarifa plana.
* Se permite configurar la accion a realizar con usuarios de RTB
que no lleven numero A.
* Se permite configurar la accion a realizar con usuarios de RDSI
ya conectados por el mismo numero.
* Se permite configurar, en modo proxy, el registro y control de
peticiones progresadas a servidor final.
* Encriptacin de loginnames y passwords en los ficheros de
perfiles de usuario.
* Soporte de las nuevas RFCs del protocolo Radius (RFCs 2865-
2869)
* Acceso SNMP al servidor radius, y almacenamiento de datos
definidos en las MIBs (RFCs 2618-2621)
o * Se incorporan las siguientes funcionalidades
procedentes de la versin TR03 y TR04:Se entrega
sin informacion de depuracion.Se entrega
compilado con opciones de optimizacion en
velocidad.En modo proxy, evita los ocasionales
problemas de autenticacion al acceder por CHAP o
por PAP.En modo servidor final, acceso indexado a
las sesiones establecidas.
o * Se incorporan las siguientes funcionalidades
procedentes de la versin TR02:Se incorpora la
funcionalidad de proxy por inicial de loginname.Se
incluye la opcion "ver_usuario <usuario>" para la
herramienta rad_tool.Se incluye la opcion
"numero_usuarios_conectados" para la herramienta
rad_tool.Se corrige el problema de parametros
corruptos en el fichero usuario_INFOVIA. Se
incorpora la funcionalidad para la tarifa plana.Se
incluye la funcionalidad de "control de fraude".
3.01 19/03/2001 * Se actualizan las referencias a las RFCs del protocolo Radius
* Se amplia y actualiza la presentacin del servidor Radius de PSI.
* Se presentan las diferencias entre las funcionalidades del
servidor radius para la plataforma Solaris y las portadas a las
plataformas Linux y Windows NT.
* Se incluye un procedimiento para aadir perfiles de usuario con
loginnames y passwords encriptadas a base de datos DBM.
* Se incluye una advertencia sobre las versiones SNMP
soportadas.
* Se incluye un nuevo anexo con una gua de configuracin de un
escenario sencillo; servidor radius final para clientes SW.
* Se incluye el presente anexo con los cambios introducidos en el
documento en cada edicin.
3.02 23/03/2001 Se realizan correcciones al documentos, las ms importantes son:
* Correcciones en el Apartado 1.4.1 Caractersticas principales
* Correcciones en el Apartado 1.4.3 Limitaciones
* Correcciones en el Apartado 3.4 Ficheros de Configuracin
* Correcciones en el Apartado 4.2 Ejecutables del servidor
RADIUS, unificacin de los antiguos simuladores en uno nico.
3.03 11/05/2001 Se realizaron las siguientes correcciones:
* Correcciones en el Apartado 3.2.2 Procedimiento para
plataforma Linux.
* Correcciones en el Apartado 3.4.3 cfg_local_INFOVIA.
* Correccin en el Apartado 3.4.12 criterios_PROXY y siguiente
(Criterios_PROXY_letra)
* Correccin en el , aadiendo la opcin -o a la sintaxis.
* Se actualiza el Anexo F Historia de las Versiones del Servidor
Radius para reflejar los cambios realizados en la nueva liberacin
del producto.
GLOSARIO DE TRMINOS Y ACRNIMOS
API:
Application Programming Interface (Interfaz para la Programacin de Aplicaciones).
ASIP:
Area de Servicio de la Red IP.
BNF:
Backus-Naur Form.
CHAP:
Challenge Handshake Authentication Protocol.
CPI:
Centro Proveedor de Informacion (equivale a PSI).
CPI:
Centro Proveedor de Informacion (equivale a PSI).
CSIV:
Centro de Servicio Infova.
DNS:
Domain Name Server.
GPL:
General Public Licence.
HTML:
HyperText Markup Language.
HTTP:
Hypertext Transfer Protocol.
IP:
Internet Protocol.
NA:
Nodo de Acceso.
NAS:
Network Access Server.
PAP:
Password Authentication Protocol.
PPP:
Point to Point Protocol
PSI:
Proveedor de Servicios de Informacin.
PTAC:
Plataforma de Tarificacin y Atencin al Cliente.
RADIUS:
Remote Authentication Dial-In User Protocol.
RDSI:
Red Digital de Servicios Integrados.
RFC:
Request For Comments (Documentos de estndares de Internet).
TCP:
Transmision Control Protocol.
UDP:
User Datagram Protocol.

Manual Usuario Servidor Radius

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Manual Usuario Servidor Radius

Diunggah oleh

Hak Cipta:

Format Tersedia

Telefnica Data Espaa, S.A.

18/01/02 Pgina 1 de 192 www.telefonica-data.com

Anda mungkin juga menyukai