Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. MANUAL DE INSTALACION, CONFIGURACION, OPERACION Y MANTENIMIENTO DEL SERVIDOR RADIUS DE PSI Cdigo: 903468-668-6101 Revisin 3.00.3 28/05/2001 2002 Telefnica Data Espaa, S.A. Reservados todos los derechos Telefnica Data Espaa, S.A. 18/01/02 Pg.: 2 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 1 Introduccin........................................................................................................ 9 1.1 Objetivo....................................................................................................................9 1.2 Estructura del documento......................................................................................9 1.3 Breve Introduccin al Protocolo RADIUS............................................................10 1.3.1 Paquetes Radius......................................................................................................... 11 1.4 Particularidades del Servidor Radius de PSI ......................................................12 1.4.1 Caractersticas principales........................................................................................... 12 1.4.2 Escenarios de utilizacin del servidor Radius .............................................................. 18 1.4.3 Limitaciones ................................................................................................................ 21 2 Instalacin......................................................................................................... 23 2.1 Instalacin para Solaris 2.5.1 ...............................................................................23 2.2 Instalacin para Linux ..........................................................................................23 2.3 Instalacin para Microsoft Windows NT..............................................................23 2.4 Directorios de Instalacin.....................................................................................24 3 Configuracin.................................................................................................... 25 3.1 Configuracin del Servidor...................................................................................25 3.1.1 Solaris y Linux............................................................................................................. 25 3.1.2 Windows NT................................................................................................................ 25 3.2 Configuracin para Arranque automtico...........................................................26 3.2.1 Procedimiento para plataforma Solaris ........................................................................ 26 3.2.1.1 Informacin Adicional............................................................................................... 28 3.2.2 Procedimiento para plataforma Linux........................................................................... 28 3.2.2.1 Informacin Adicional............................................................................................... 30 3.3 Configuracin para encriptacin de datos de usuario .......................................31 3.3.1 Procedimiento para ejecutar radiusd en modo encriptado. ........................................... 31 3.3.2 Procedimiento para ejecutar radiusddll, con acceso a DBM, en modo encriptado. ....... 31 3.3.3 Procedimento para aadir usuarios con perfiles encriptados a la base de datos DBM.. 32 3.3.4 Procedimiento para crear una nueva clave.................................................................. 32 3.4 Ficheros de Configuracin...................................................................................32 3.4.1 diccionario_INFOVIA................................................................................................... 33 3.4.2 <diccionario_fabricante> ............................................................................................. 35 3.4.3 cfg_local_INFOVIA...................................................................................................... 36 3.4.4 clientes_hw_INFOVIA ................................................................................................. 38 3.4.5 clientes_INFOVIA........................................................................................................ 39 3.4.6 cfg_pool_INFOVIA ...................................................................................................... 39 3.4.7 cfg_pool_clie_INFOVIA............................................................................................... 39 3.4.8 usuarios_INFOVIA. ..................................................................................................... 40 3.4.9 usu.ini ......................................................................................................................... 42 3.4.10 redIP_delegado........................................................................................................... 43 3.4.11 cfg_OPERADOR_INFOVIA 1 ........................................................................................ 44 3.4.12 criterios_PROXY......................................................................................................... 44 3.4.13 Criterios_PROXY_letra................................................................................................ 45 3.4.14 fichero.pre-conv .......................................................................................................... 46 3.4.15 fichero.post-conv......................................................................................................... 46 Telefnica Data Espaa, S.A. 18/01/02 Pg.: 3 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 3.4.16 Lista_festivos .............................................................................................................. 46 3.4.17 Fichero_proximo_cambio_hora ................................................................................... 47 3.4.18 accion_llamada ........................................................................................................... 47 3.4.19 snmp_INFOVIA........................................................................................................... 49 3.4.20 clientes_SNMP............................................................................................................ 49 3.4.21 configuracion.routers................................................................................................... 50 4 Operacin.......................................................................................................... 51 4.1 Ejecucin del Servidor Radius.............................................................................51 4.1.1 Solaris 2.5.1 y Linux .................................................................................................... 51 4.1.2 Windows NT................................................................................................................ 51 4.2 Ejecutables del servidor RADIUS.........................................................................51 4.2.1 radiusd..................................................................................................................... 51 4.2.2 radiusddll .................................................................................................................... 52 4.2.3 rad_tool....................................................................................................................... 53 4.2.4 simula ......................................................................................................................... 56 4.2.5 builddbm..................................................................................................................... 57 4.2.6 builddbmmas............................................................................................................... 57 4.2.7 builddbmmen .............................................................................................................. 58 4.2.8 liberar_dirip.sh (liberacin de direcciones IP no reutilizadas)........................................ 58 4.3 Contabilidad ..........................................................................................................61 4.3.1 Gestin Automtica de los Ficheros de Detalle............................................................ 63 4.3.2 Obtencin de Estadsticas........................................................................................... 65 4.3.2.1 Script "ver_estadisticas.sh"-..................................................................................... 66 4.3.2.2 Fichero de configuracin "ver_estadisticas.config" ................................................... 69 4.4 Encriptacin ..........................................................................................................70 4.4.1 encriptar...................................................................................................................... 70 4.4.2 nueva_clave................................................................................................................ 70 5 Mantenimiento................................................................................................... 73 5.1 Ficheros de Trazas................................................................................................73 5.1.1 TRAZAS_INFOVIA...................................................................................................... 73 5.1.2 TRAZAS_INFOVIA_ERR............................................................................................. 75 5.2 Monitorizacin del servidor ..................................................................................75 5.3 Procedimientos de Contingencia.........................................................................80 5.3.1 Problemas en Servidor RADIUS.................................................................................. 80 5.3.1.1 El servidor RADIUS no arranca................................................................................ 80 5.3.1.2 El servidor RADIUS arranca con problemas............................................................. 81 5.3.1.3 No se autentica ningn usuario................................................................................ 81 5.3.1.4 Se produce un alto porcentaje de rechazos.............................................................. 83 5.3.1.5 No se autentica a ningn usuario estando en modo encriptado. ............................... 84 5.3.2 Problemas del servidor radius en modo SNMP............................................................ 84 5.3.3 Problemas en comando builddbm................................................................................ 84 5.3.4 Problemas en comando rad_tool............................................................................... 85 5.3.5 Problemas en comando encriptar.............................................................................. 86 5.3.6 Problemas en comando nueva_clave........................................................................ 86 5.3.7 Procedimientos comunes ............................................................................................ 86 5.3.7.1 Verificacin de Sesiones Pilladas .......................................................................... 86 A Librera de Acceso a Base de Datos ............................................................... 89 Telefnica Data Espaa, S.A. 18/01/02 Pg.: 4 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. A.1 Mdulo UsuExt.c ...................................................................................................89 A.2 Mdulo EscribeFac ...............................................................................................91 B API para desarrollo de aplicaciones encriptadas. ......................................... 93 B.1 Inicializacin..........................................................................................................93 B.2 Encriptacin ..........................................................................................................93 B.3 Desencriptacin ....................................................................................................93 C Introduccin a la funcionalidad de Conversiones ......................................... 95 C.1 Objetivo..................................................................................................................95 C.2 Organizacin .........................................................................................................95 C.3 Gramtica de conversiones..................................................................................95 C.4 Semntica..............................................................................................................97 C.5 Ejemplos ................................................................................................................99 C.6 API para desarrollo de conversiones a medida ................................................101 C.6.1 Inicializacin.............................................................................................................. 102 C.6.2 Conversiones ............................................................................................................ 102 D Gestin de calidades ...................................................................................... 103 D.1 Descripcin de la funcionalidad.........................................................................103 D.2 API de gestin de calidades ...............................................................................103 D.2.1 Inicializacin.............................................................................................................. 103 D.2.2 Obtencin de niveles de calidad................................................................................ 104 E Cdigos de Respuesta................................................................................... 105 F Historia de las Versiones del Servidor Radius............................................. 107 F.1 Version 5.04.01 Radius de PSI (Plataforma Solaris, Linux y NT) .....................107 F.2 Version 5.04.00 Radius de PSI (Plataforma Solaris, Linux y NT) .....................108 F.3 Version 5.03 Radius Proxy Fase II (Plataforma Solaris, Linux y NT) ...............109 F.4 Version 5.02 Radius Proxy Fase II (Plataforma Solaris) ...................................109 F.5 Version 5.01 Radius Proxy Fase II(beta) (Plataforma Solaris)..........................109 F.6 Version 5.00 Radius Proxy Fase I (Plataforma Solaris) ....................................109 F.7 Version 4.00 Modalidad Delegada (Plataformas Solaris, Linux, NT)................110 F.8 Version 3.0b7 (Plataformas Solaris, Linux, NT).................................................110 F.9 Version 3.0 (Plataformas Solaris, Linux, NT).....................................................111 F.10 Version 2.03 (Plataformas Solaris, Linux, NT)...................................................111 G Atributos a Intercambiar entre el PSI y el CVCA (Infova Plus Bsico Modalidad Delegada)............................................................................................ 113 Telefnica Data Espaa, S.A. 18/01/02 Pg.: 5 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. G.1 Introduccin ........................................................................................................113 G.2 Mensajes a intercambiar entre el CVCA y el PSI Delegado..............................113 G.2.1 Authentication Request (1) (CVCA->PSI) .................................................................. 113 G.2.2 Authentication Accept (2) (PSI->CVCA)..................................................................... 113 G.2.3 Authorization Reject (3)(PSI->CVA)........................................................................... 114 G.2.4 Accounting Request (4) (CVCA->PSI) ....................................................................... 114 G.2.4.1 Accounting-Start (CVCA->PSI) ........................................................................... 114 G.2.4.2 Accounting-Stop................................................................................................. 114 G.2.5 Accounting Responses (5)(PSI->CVA) ...................................................................... 115 G.2.6 Atributos de Desconexin.......................................................................................... 115 H GUA DE INSTALACIN DE CENTROS PROVEEDORES DE INFORMACIN 117 H.1 INTRODUCCIN ..................................................................................................117 H.1.1 OBJETIVO................................................................................................................ 117 H.1.2 CONCEPTOS RELACIONADOS............................................................................... 118 H.1.3 BIBLIOGRAFA......................................................................................................... 119 H.2 DESCRIPCIN DE LOS CENTROS PROVEEDORES DE INFORMACIN.........119 H.2.1 CPI ACCESIBLE SLO DESDE Internet................................................................... 120 H.2.2 CPI ACCESIBLE SLO DESDE InfoVa.................................................................... 120 H.2.3 CPI ACCESIBLE DESDE InfoVa E Internet .............................................................. 121 H.2.4 CPI PARA EL ACCESO A Internet DESDE InfoVa ................................................... 122 H.3 ARQUITECTURA DE UN CPI...............................................................................123 H.4 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE SUN SPARC..................126 H.4.1 CONFIGURACIN DE LA MQUINA UNIX. ............................................................. 128 H.4.1.1 Configuracin de direcciones, interfaces y rutas. ................................................ 128 H.4.1.2 Configuracin del servidor de web...................................................................... 131 H.4.1.3 Configuracin del servidor de RADIUS............................................................... 133 H.4.1.4 Configuracin del servidor DNS.......................................................................... 134 H.4.2 CONFIGURACIN DEL ROUTER .......................................................................... 138 H.4.3 CONCLUSIONES...................................................................................................... 139 H.5 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE PC CON SISTEMA OPERATIVO LINUX.......................................................................................................139 H.5.1 CONFIGURACIN DE LA MQUINA LINUX............................................................. 140 H.5.1.1 Instalacin de las dos tarjetas Ethernet............................................................... 141 H.5.1.2 Configuracin de direcciones, interfaces y rutas. ................................................ 141 H.5.1.3 Configuracin del servidor de web...................................................................... 143 H.5.1.4 Configuracin del servidor de RADIUS............................................................... 144 H.5.1.5 Configuracin del servidor DNS.......................................................................... 145 H.5.2 CONFIGURACIN DEL ROUTER .......................................................................... 146 H.5.3 CONCLUSIONES...................................................................................................... 146 H.6 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE PC (INTEL) CON MICROSOFT WINDOWS NT..........................................................................................146 H.6.1 CONFIGURACIN DE DIRECCIONES, INTERFACES Y RUTAS EN EL PC............ 148 H.6.2 CONFIGURACIN DE RUTAS ADICIONALES EN EL PC........................................ 150 H.6.3 Configuracin del servidor de RADIUS...................................................................... 155 H.6.3.1 Configuracin del servidor DNS.......................................................................... 156 H.6.4 CONFIGURACIN DEL ROUTER .......................................................................... 156 H.6.5 CONCLUSIONES...................................................................................................... 156 Telefnica Data Espaa, S.A. 18/01/02 Pg.: 6 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. H.7 CONFIGURACIN DEL SERVIDOR RADIUS Y DEL ROUTER.......................156 H.7.1 CONFIGURACIN DEL SERVIDOR RADIUS........................................................... 158 H.7.1.1 Fichero cfg_local_INFOVIA ................................................................................ 159 H.7.1.2 Fichero clientes_INFOVIA.................................................................................. 160 H.7.1.3 Fichero cfg_pool_INFOVIA................................................................................. 160 H.7.1.4 Fichero cfg_pool_clie_INFOVIA.......................................................................... 161 H.7.1.5 Fichero usuarios_INFOVIA................................................................................. 162 H.7.1.6 Configuracin de la herramienta rad_tool ......................................................... 164 H.7.2 CONFIGURACIN DEL ROUTER .......................................................................... 164 H.8 INFORMACIN ADICIONAL PARA LA INSTALACIN DE UN CPI....................166 H.9 PROCESO ADMINISTRATIVO.............................................................................166 I Gua de Migracin del Radius de un PSI de Infova Plus Directo a Infova Plus Bsico Modalidad Delegada........................................................................ 169 I.1 Introduccin ........................................................................................................169 I.2 Migracin de un servidor RADIUS PSI a Infova Plus Bsico (Modalidad Delegada) ......................................................................................................................169 I.2.1 Modificacin de los ejecutables..................................................................................... 169 I.2.2 Modificacin del diccionario. ......................................................................................... 169 I.2.3 Clientes Delegados....................................................................................................... 170 I.2.4 Fichero cfg_OPERADOR_INFOVIA.............................................................................. 170 J REFERENCIAS ................................................................................................ 173 J.1 Obtencin de Estadsticas..................................................................................173 J.1.1 RADREPORT............................................................................................................... 173 J.1.2 RADIUSCONTEXT....................................................................................................... 173 K INTERFAZ DE OPERACION WEB .................................................................. 175 K.1 Instalacin ...........................................................................................................175 K.1.1 Directorios de Instalacin .......................................................................................... 175 K.1.2 Procedimiento de Instalacin..................................................................................... 175 K.2 Configuracin......................................................................................................176 K.3 Operacin ............................................................................................................176 K.3.1 Arrancar Servidor RADIUS........................................................................................ 177 K.3.2 Parar el Servidor RADIUS......................................................................................... 179 K.3.3 Consulta de Estado del Servidor RADIUS ................................................................. 180 L CONFIGURACIN DEL SERVIDOR RADIUS PARA DISTINTOS ESCENARIOS 181 L.1 Configuracion bsica para escenario servidor final con clientes SW.............181 L.1.1 Definicin del escenario ............................................................................................ 181 L.1.2 Configuracin bsica del servidor. ............................................................................. 181 L.1.3 Pruebas del servidor ................................................................................................. 184 L.1.3.1 Arranque del servidor Radius de PSI. .................................................................... 184 L.1.3.2 Pruebas del servidor .............................................................................................. 184 L.1.3.3 Prueba de rad_tool ................................................................................................ 185 M CONTROL DE CAMBIOS DEL DOCUMENTO................................................ 187 Telefnica Data Espaa, S.A. 18/01/02 Pg.: 7 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. GLOSARIO DE TRMINOS Y ACRNIMOS ........................................................ 191 Telefnica Data Espaa, S.A. 18/01/02 Pg.: 8 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Figura 1-1: Dilogo entre Usuario, NAS y Servidor Radius ________________________________________ 11 Figura 1-2: Servidor final radius con clientes software ___________________________________________ 19 Figura 1-3: Servidor proxy+final radius con clientes software______________________________________ 20 Figura 1-4: Servidor final radius con clientes hardware___________________________________________ 20 Figura 1-5: Servidor proxy+final radius con clientes hardware_____________________________________ 21 Figura H-1: Diagrama de un CPI accesible slo desde Internet. ___________________________________ 120 Figura H-2: Diagrama de un CPI accesible slo desde InfoVa. ___________________________________ 121 Figura H-3: Diagrama de un CPI accesible desde InfoVa e Internet. _______________________________ 122 Figura H-4: CPI con a acceso a Internet desde InfoVa.__________________________________________ 123 Figura H-5: Arquitectura vlida para cualquier tipo de CPI.______________________________________ 125 Figura H-6: Descripcin del CPI tomado como ejemplo. _________________________________________ 128 Figura H-7: Descripcin de CPI tomado como ejemplo. _________________________________________ 140 Figura H-8: Descripcin de CPI tomado como ejemplo. _________________________________________ 148 Figura H-9: Panel de control. ______________________________________________________________ 149 Figura H-10: Configuracin de direcciones IP. ________________________________________________ 150 Figura H-11: Opcin Advanced de configuracin TCP/IP. _____________________________________ 150 Figura H-12: Definicin de bindings de protocolos.___________________________________________ 151 Figura H-13: Grupo de programas del Microsoft Internet Server. __________________________________ 152 Figura H-14: Herramienta de administracin de servidores. ______________________________________ 153 Figura H-15: Definicin de directorios web.___________________________________________________ 153 Figura H-16: Pantalla de definicin del virtual server. ________________________________________ 154 Figura H-17: Servidor web de Microsoft Corporation visto con Microsoft Internet Explorer 2.0 __________ 155 Figura K-1: Ventana de Operacin Web ______________________________________________________ 177 Figura K-2: Arranque de Servidor RADIUS ___________________________________________________ 178 Figura K-3: Parada de Servidor RADIUS_____________________________________________________ 179 Figura K-4: Consulta de Estado de Servidor RADIUS ___________________________________________ 180 Telefnica Data Espaa, S.A. 18/01/02 Pg.: 9 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 1 Introduccin 1.1 Objetivo En esta gua se presenta la documentacin relativa al Servidor RADIUS de PSI. El presente servidor (versin 5.04 para Solaris, Linux y Windows NT) es plenamente compatible con los anteriores (versiones usadas en Infova e Infova Plus) 1 , en el sentido de que incorpora las funcionalidades y que puede emplearse sustituyendo a los servidores antiguos. 1.2 Estructura del documento En este documento se proporciona una gua para la instalacin, configuracin operacin y mantenimiento del Servidor RADIUS de un PSI. La estructura del documento es la siguiente: I ntroduccin. Este captulo, adems de los apartados de objetivo y estructura, presenta una introduccin al protocolo RADIUS., y una visin global del servidor Radius, atendiendo sobre todo a los distintos escenarios en los que se puede presentar. I nstalacin. En este captulo se detallan los procedimientos de instalacin en las distintas plataformas (Solaris , Linux, Microsoft Windows NT) para las que se suministra el servidor; Se describe adems el contenido de los directorios creados en la instalacin. Configuracin. Presenta la descripcin de los ficheros de configuracin del servidor RADIUS y de la herramienta de desconexin de usuarios. Operacin. En este captulo se describe la funcionalidad y el uso concreto de los ejecutables suministrados (servidor RADIUS y herramienta adicionales). Mantenimiento. Presenta una breve descripcin y ejemplos de los ficheros de trazas de la operacin del servidor RADIUS, as como del registro de los mensajes de error (fichero de log) del servidor Radius. Se presenta adems una serie de procedimientos de actuacin ante determinados problemas). Anexo A. Se describe el API de acceso a base de datos. Anexo B. Se describe el API de la funcionalidad de conversiones. Anexo C. Se describe el API de la funcionalidad de gestin de calidades. Anexo D. Se describe el API de la funcionalidad de encriptacin. Anexo E. Se describen los cdigos de mensajes utilizados por el RADIUS del PSI, como extensin al protocolo RADIUS estndar. Anexo F. Se describen todas las versiones y distribuciones del servidor RADIUS del PSI, incluyendo la versin actual 1 Es compatible con los servicios de Infova, y los servicios de red IP: Infova Plus DIrecto e Infova Plus Bsico Modalidad Delegada. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 10 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Anexo G. Se describen los atributos que se intercambian entre el CVCA y el RADIUS de PSI en el servicio Infova Plus Bsico Modalidad Delegada. Anexo H. Se presenta una gua de instalacin para Centros Proveedores de Informacin. Esta gua se mantiene en el presente documento por compatibilidad con Infova. Anexo I . Se describen los pasos necesarios para que un servidor RADIUS de PSI utilizado en el servicio Infova Plus Directo, se pueda utiizar en el servicio Infova Plus Bsico Modalidad Delegada. Anexo J . Presenta una serie de referencias a herramientas freeware susceptibles de ser usadas para el tratamiento de datos que produce el servidor RADIUS de PSI. Anexo K. Se presenta la interfaz Web para operacin bsica del servidor RADIUS Anexo L. Presenta una gua para la instalacin del servidor Radius de PSI para un escenario propio del servicio Infova Plus Bsico Modalidad Delegada. Anexo M. Detalla los cambios introducidos en el documentos en cada edicin. 1.3 Breve Introduccin al Protocolo RADIUS RADIUS son las iniciales de Remote Authentication Dial-In User Service, es decir autenticacin remota de usuarios de acceso telefnico. Los servidores Radius permiten autenticar y tarificar a los usuarios que acceden a la red llamando a los servidores de terminales. RADIUS es un estndar de la comunidad Internet que fue originalmente desarrollado por Livingston Enterprisesse y que se especifica en las siguientes RFCs: Remote Authentication Dial In User Service (RADIUS). RFC 2865 Junio 2000 RADIUS Accounting. RFC 2866. Junio 2000 RADIUS Accounting Modifications for Tunnel Protocol Support. RFC 2867. Junio 2000 RADIUS Attributes for Tunnel Protocol Support. RFC 2868. Junio 2000 RADIUS extensions. RFC 2869. Junio 2000 RADIUS surgi de la necesidad de centralizar la gestin de un gran nmero de pools de modems. Los pools de modems son un enlace al mundo exterior y por lo tanto requieren que se preste una especial atencin a la seguridad. La mejor manera de conseguirlo es gestionando una nica base de datos de usuarios que permita la autenticacin (verificando el usuario/ password) y que adems recoja informacin detallada sobre la configuracin del tipo de servicio a prestar al usuario (por ejemplo, SLIP, PPP, telnet, rlogin), as como la informacin especfica del dispositivo de acceso, tipo de acceso (RDSI, RTC) y caractersticas del acceso (p.e: velocidad de transmisin). El entorno del acceso remoto basado en RADIUS consta bsicamente de tres elementos, como se observa en la figura; el usuario, el servidor de acceso a la red (NAS) y el servidor RADIUS. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 11 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Figura 1-1: Dilogo entre Usuario, NAS y Servidor Radius El usuario remoto se conecta a la red a travs de cualquier dispositivo de acceso remoto (RAS, firewall o router), el dispositivo se comunica con el servidor Radius, mediante el protocolo del mismo nombre, para determinar si el usuario tiene permiso de conectarse y si as es, el tipo de conexin a establecer. El servidor Radius acepta o rechaza la conexin, basndose en los resultados de la autenticacin, y responde con la informacin necesaria autorizando un tipo particular de conexin o de servicio. El servidor de acceso remoto (NAS) establece entonces la conexin del usuario. Cuando el usuario se desconecta, el dispositivo de acceso remoto informa al servidor Radius, que almacena un registro de contabilidad. 1.3.1 Paquetes Radius Un servidor RADIUS y un cliente RADIUS se comunican mediante paquetes RADIUS. Los paquetes RADIUS se formatean de acuerdo con las convenciones que se presentan en la RFC 2865 para los paquetes de autenticacin, y la RFC 2866 para los paquetes de contabilidad. Bsicamente lo que hay que saber sobre los paquetes RADIUS es lo siguiente: Transportan mensajes entre el cliente y el servidor RADIUS 1 . Siguen una convencin de peticin/respuesta: El cliente enva una peticin y espera una respuesta del servidor. Si la respuesta no llega, el cliente puede reintentar la peticin peridicamente. Cada paquete sirve para un propsito especfico: autenticacin o contabilidad. Un paquete consta de la cabecera, donde se presenta el cdigo o tipo de mensaje, el identificador del mensaje y la longitud y el autenticador del mensaje, y de una serie de cero o ms atributos codificados segn la convencin de tipo, longitud, valor. Los atributos especficos que contiene un mensaje dependen del tipo de paquete (contabilidad o autenticacin) y del cliente que lo enva. 1 Los paquetes RADIUS se transportan usando el protocolo UDP (no orientado a conexin y recepcin no garantizada), por lo que si la respuesta no llega en un tiempo determinado, se pueden producir retransmisiones. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 12 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 1.4 Particularidades del Servidor Radius de PSI En este apartado se describen las caractersticas principales del producto objeto de este manual, as como los escenarios ms comunes de utilizacin y finalmente las limitaciones del presente servidor Radius. 1.4.1 Caractersticas principales Plataforma de ejecucin El Servidor Radius de PSI se suministra para las plataformas: SUN/Solaris (probado con Solaris 2.5.1) Linux (probado con Red Hat 5.2) Windows NT (probado con NT4 Server con Service Pack 6) Flexibilidad El Servidor Radius admite tanto clientes hardware (servidores de tneles, por ejemplo), como clientes software (otro servidor Radius) por separado o simultneamente. Tambin puede actuar en modo Proxy -reenviando las peticiones a otro servidor Radius de acuerdo con diversos criterios-. Autenticacin de usuarios Permite autenticar la identidad de los usuarios que se conectan mediante un mecanismo de login/password y les asigna determinados atributos opcionales que caracterizan las propiedades de su conexin. Sigue las recomendaciones anunciadas en la RFCs de definicin del protocolo Radius. Contabilidad de la conexiones establecidas Permite recibir y almacenar la informacin de contabilidad de una sesin enviada por los servidores de terminales. Son datos del tipo hora de inicio, hora de fin de conexin, nmero de paquetes enviados, etc. Sigue las recomendaciones anunciadas en la RFCs de definicin del protocolo Radius. La informacin de contabilidad (horas de inicio y de final de la conexin, nmero de bytes transmitidos, etc...) se guarda en un fichero distinto para cada cliente Radius, u opcionalmente en el mismo fichero. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 13 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Base de Datos de Usuarios La base de datos de usuarios puede consistir en un simple fichero de texto, en una base de datos DBM, o bien en otra base de datos comercial que el cliente implemente usando el API mencionada en el prrafo relativo a las libreras dinmicas. Asignacin de Direcciones IP/ Asignacin de Calidades de Acceso a Internet Si el servidor Radius atiende a clientes hardware, las direcciones IP se asignarn a partir de los datos contenidos en un fichero de configuracin. Las direcciones IP se pueden distribuir en pooles, los cuales tienen asociada una determinada calidad de acceso a Internet. Si el servidor Radius atiende a clientes software, se podrn asignar distintas calidades de acceso a Internet a distintos usuarios. Funcionalidad Proxy, y criterios aplicables El servidor Radius-Proxy podr ser configurado para funcionar en modo proxy, de tal forma que reenve las peticiones Radius que le lleguen hacia uno o varios servidores Radius. Para seleccionar el servidor Radius destino de la peticin, el servidor Proxy-Radius podr ser configurado siguiendo los siguientes tipos de criterios que se indicarn en un fichero de configuracin: Para el caso de usuario que no sea de tarifa plana: Por direccin IP de cliente Radius Cuando llegue una peticin Radius procedente de la direccin IP indicada, se proceder a reenviar dicha peticin hacia el servidor Radius destino configurado. Por nemnico Cuando llegue una peticin Radius procedente de un usuario que contenga el nemnico indicado, se proceder a reenviar dicha peticin hacia el servidor Radius destino configurado. Por telfono llamante Cuando llegue una peticin Radius procedente de un usuario cuyo telfono coincida con el indicado en el criterio, se proceder a reenviar dicha peticin hacia el servidor Radius destino configurado. Para el caso de usuario de tarifa plana: Por la inicial del login-name del usuario Cuando llegue una peticin Radius procedente de un usuario cuya primera letra del login-name coincida con la indicada en el criterio, se proceder a reenviar dicha peticin hacia el servidor Radius destino configurado. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 14 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Asignacin de direccin IP El servidor Radius, funcionando en modo proxy, conocer por configuracin que debe de asignar direccin IP a los usuarios (por tratarse de paquetes procedentes de clientes radius hardware) y proceder a interceptar los paquetes Radius de Auth y Stop, procediendo como sigue: En los paquetes de respuesta afirmativa a una peticin Auth se analizar dicho paquete de respuesta en el Radius-Proxy y, en el caso de que el servidor final no haya asignado una direccin IP, se proceder a asignar una direccin IP y a enviar el paquete Radius modificado hacia el cliente Radius. Para cada paquete de Stop recibido, se analizar su contenido y si corresponde al fin de una sesin en la que el servidor Radius-Proxy asign anteriormente una direccin se proceder a liberar dicha direccin IP. Calidades de direccin IP La calidad de las direcciones IP asignadas ser obtenida a partir del valor del atributo Ascend-IP-Pool. En caso de que este atributo no exista, se asignara una direccin IP de una calidad configurada por defecto. Conversin de atributos Esta funcionalidad permite configurar al servidor Radius-Proxy para que realice una conversin de atributos y/o valores en los atributos antes de reenviar cada peticin al servidor Radius final. Para ello se emplea un fichero de configuracin en el cual se especifican los atributos o parejas atributo/valor a modificar, aadir o borrar. Cuando el Servidor Radius-Proxy funcionando en modo proxy reciba una peticin Radius proceder a analizar sus atributos para realizar la conversin de atributos configurada. Despus se proceder al reenvo de la peticin modificada. El diccionario de datos del Servidor Radius-Proxy ser nico en entrada y en salida, no permitindose por tanto la conversin del tipo de un mismo atributo (p.ej. no se permitir la conversin de un atributo de tipo int como tipo char). Esta conversin puede efectuarse en dos momentos distintos; antes del tratamiento del paquete por el servidor radius proxy (pre-conversin) y despus del tratamiento del paquete por dicho servidor (post-conversin). Reutilizacin de direcciones IP no liberadas Ocasionalmente se pueden producir inconsistencias entre la informacin que tiene el servidor radius sobre las conexiones activas y la informacin que un terminador de tneles guarda. Esto puede provocar que se agoten los pooles de direcciones de un cliente, debido a que no se reutilizan las direcciones cuya sesin asociada ha sido liberada fsicamente. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 15 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. La presente funcionalidad permite obtener las direcciones que el RADIUS errneamente tiene asignadas, y en tal caso, reutilizarlas. Se interrogar por SNMP a los equipos terminadores de tneles definidos en un fichero de configuracin sobre las direcciones asignadas y se compararn con la informacin que tiene el servidor radius. Aquellas direcciones que el radius tenga como asignadas, pero que no estn asignadas por el terminador de tneles se reutilizarn. Al final el proceso, se emitir un informe (en formato ASCII o HTML, segn se escoja) sobre el resultado de las operaciones. La misma funcionalidad puede ejecutarse en modo informe, sin realizar la liberacin de direcciones IP. Este informe de direcciones IP a reutilizar puede obtenerse en formato ASCII o en formato HTML La presente funcionalidad no requiere la intervencin de un operador, lo que permite incorporarlas en procedimientos peridicos y automticos. Servicio de tarifa plana y control de fraude Proporciona un modo especial de funcionamiento para el servidor radius, cuando est configurado como radius final, para soportar a los usuarios que contraten el servicio de tarifa plana. Se deber configurar para ello un "alias" determinado para distinguir a los usuarios con tarifa plana del resto de usuarios. As mismo, las fechas de comienzo y final de la tarifa plana sern tambin parametrizables mediante la inclusin de nuevas variables en el correspondiente fichero de configuracin. Se considerarn como das festivos los sbados y los domingos, as como los festivos de mbito nacional que se indiquen en un determinado fichero de configuracin. Ante una llamada de un usuario que ha contratado la tarifa plana, se devolver a los servidores de terminales el timeout de conexin del usuario. Para el mecanismo de control de fraude, se aplicarn las siguientes facilidades: Configuracin del nmero de sesiones simultneas por usuario En el perfil de cada usuario del servicio de tarifa plana se puede indicar el nmero mximo de sesiones simultneas que pueden establecerse. En el caso de estar establecida una sesin desde RTB con un nmero de telfono A y recibirse una nueva peticin de conexin desde el mismo nmero A, no se incrementar el nmero de sesiones simultneas establecidas por el usuario. Se supone que no se ha recibido an el paquete de stop de la primera sesin. En el mismo caso pero con la llamada por RDSI, se incrementar el nmero de sesiones. Configuracin de la accin a realizar con usuarios de RTB que no lleven nmero de telfono llamante Se podr configurar la realizacin de una de las siguientes acciones en respuesta a una llamada de un usuario de RTB del servicio de tarifa plana que no lleve nmero de telfono llamante: Telefnica Data Espaa, S.A. 18/01/02 Pg.: 16 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. o Rechazar, o aceptar, en funcin del mnemnico o Rechazar, o aceptar, en funcin del loginname o Rechazar, o aceptar, en funcin del tiempo Configuracin de la accin a realizar con los usuarios de RDSI que empleen el mismo nmero llamante Se podr configurar la realizacin de una de las siguientes acciones en respuesta a una llamada de un usuario de RDSI del servicio de tarifa plana que emplee el mismo nmero llamante que el utilizado para otra conexin todava activa: o Rechazar, o aceptar, los accesos desde el mismo nmero origen o Rechazar, o aceptar, en funcin del tiempo Encriptacin de loginames y passwords en los ficheros de perfiles de usuario Se proporcionan los mecanismos necesarios para la encriptacin de los atributos de "login" y "password" de los perfiles de usuario, tanto sobre ficheros de perfiles de texto como sobre fichero de perfiles en formato DBM. El servidor Radius se puede configurar para funcionar en cualquiera de las dos modalidades, acceso a datos de perfiles de usuario "en claro", o trabajo con datos de perfiles de usuario encriptados. Gestin SNMP del servidor Radius El servidor Radius cumple las siguientes RFCs de acceso por protocolo SNMP y definicin de datos y estadsticas a almacenar en el servidor: RADIUS Authentication Client MIB. RFC 2618. Junio 1999. RADIUS Authentication Server MIB. RFC 2619. Junio 1999. RADIUS Accounting Client MIB. RFC 2620. Junio 1999. RADIUS Accounting Server MIB. RFC 2621. Junio 1999. Asi pus se acepta peticiones SNMP, versin 1 y versin 2, de cualquier gestor (cliente) SNMP sobre la informacin definida en dichas RFCs. La informacin que puede ser consultada es de dos tipos: Informacin sobre la configuracin interna del cliente o servidor Radius, por ejemplo, direccin IP y puerto UDP donde reside el proceso Radius, secretos compartidos. Informacin de operacin, como por ejemplo, nmero de paquetes recibidos de autenticacin, rechazados, descartados, de contabilidad, etc. Solo se aceptarn peticiones SNMP recibidas desde los clientes SNMP declarados en el oportuno fichero de configuracin y que empleen la correspondiente clave definida en dicho fichero. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 17 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Libreras Dinmicas (APIs) El Radius de TID posee una serie de APIs que se implementan como libreras dinmicas. Se proporciona el cdigo fuente de estas libreras, al objeto de que se puedan adaptar fcilmente al entorno. Son las siguientes: Librera de acceso a Base de Datos. Permite utilizar diversos gestores de base de datos (p.e. Oracle) como base de datos de usuarios. A modo de ejemplo se ofrece la implementacin del acceso a una base de datos DBM y a fichero plano. Libreria para gestin de calidades de direcciones IP. El servidor Proxy- Radius podr ser configurado para que llame a una funcin de una librera dinmica cada vez que tenga que asignar una direccin IP. Dicha funcin tendr como parmetro el paquete radius recibido y su salida se interpretar como la calidad de la direccin IP a asignar por el servidor Radius-Proxy. Libreria para conversin de atributos. El servidor Proxy-Radius podr ser configurado para que llame a una funcin de una librera dinmica cada vez que recibe un paquete Radius. Dicha funcin tendr como parmetros de entrada el paquete radius recibido, el origen de dicho paquete, el destino al que se enviara dicho paquete y tendr como salida el paquete radius modificado a reenviar. Librera de contabilidad: Escribe registros de contabilidad. Se proporciona como ejemplo la implementacin de escritura sobre fichero plano. Librera de encriptacin: Permite que el servidor radius acceda a determinados algoritmos de encriptacin para que sean utilizados a la hora de leer un fichero de perfiles de usuario encriptado con esos mismos algoritmos. Gestin bsica del servidor Radius Se proporciona una herramienta de gestin y monitorizacin del servidor radius que permite las siguientes facilidades de gestin: Activacin y desactivacin de escritura en fichero de mensajes de trazas. Consulta del estado actual del servidor Radius. Parada del servidor Radius. Consulta de usuarios conectados. Liberacin local de una sesin, para clientes hardware. Liberacin de una sesin, para clientes software. Obtener las direcciones asignadas en un determinado momento por el servidor Radius- Proxy y las direcciones libres. Liberar direcciones IP asignadas por el servidor Radius-Proxy y liberar sesiones en el servidor Radius destino del proxy. Mediante esta opcin se garantiza la liberacin tanto de la direccin IP asignada en el servidor Radius-Proxy como de la sesin Radius establecida en el servidor Radius final. Para ello la herramienta rad_tool junto con el Radius Proxy simularn un paquete de Stop de la sesin del usuario. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 18 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Consulta del nmero de sesiones, se podr obtener el nmero de usuarios que estn conectados en un momento dado. Consulta de los datos de las sesiones que tenga establecidas un usuario concreto. Utilidades adicionales El producto presenta la siguientes utilidades adicionales: Herramienta de simulacin: Permite simular el envo de cualquier paquete Radius y verificar la respuesta recibida. Esta herramienta se implementa mediante un comando de la lnea de comandos, por lo que se pueden realizar pruebas ms complejas mediante Scripts. Gestin automtica de ficheros de log: Herramienta que pasar los histricos (ficheros de logs) a formato comprimido pasado un cierto tiempo o cuando la ocupacin del disco sobrepase un cierto margen y borre los histricos sin comprimir. Arranque automtico del servidor: Posibilidad de incluir una llamada al arranque del servidor en los ficheros de arranque de la mquina en la que se ejecuta. Actualizacin de ficheros DBM en tiempo real: Permite dar de alta y de baja usuarios en ficheros DBM en tiempo real, sin tener que regenerar todo el fichero. Obtencin de estadsticas a partir de los logs del servidor: Permite obtener informacin de estadsticas sobre llamadas producidas, tiempos medios, etc, a partir de los ficheros de logs generados por el servidor Radius. Permite asmismo formatear la salida de dicha informacin como salida HTML o en formato tabular (colunmas de nmeros sin cabeceras) para ser importadas directamente por herramientas de ofimtica como Excel. Monitorizacin del servidor Se genera un fichero que contiene un registro de los mensajes de error producidos por el sistema. Existe tambin la posibilidad de depuracin de la ejecucin mediante los ficheros de trazas. Estas pueden tener distinto nivel de detalle segn se especifique en los parmetros de lanzamiento del servidor, o bien posteriormente mediante la ejecucin de un comando. 1.4.2 Escenarios de utilizacin del servidor Radius El servidor radius puede emplearse en los siguientes escenarios. Tambin puede emplearse combinando a la vez varios de estos escenarios. Servidor final radius con clientes software Escenario propio del servicio Infova Plus Bsico Modalidad Delegada de la red IP Telefnica Data Espaa, S.A. 18/01/02 Pg.: 19 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. En este escenario el servidor radius atiende a clientes software (clientes que se definen en el fichero redIP_delegado), no asigna direcciones, puede guardar informacin sobre las sesiones de los usuarios. En la siguiente figura se presenta un ejemplo de este escenario: Figura 1-2: Servidor final radius con clientes software Servidor proxy+final radius con clientes software Escenario propio del servicio Infova Plus Bsico Modalidad Delegada de la red IP En este escenario se emplean dos instancias del servidor radius, una configurada como servidor proxy y otra configurada como servidor final. Estas instancias pueden encontrarse en la misma o en en distintas mquinas. Cualquiera de estas instancias puede ser sustituida por un servidor radius distinto al aqu presentado, siempre y cuando sea compatible con el protocolo Radius tal y como se indican en las RFCs detalladas ms arriba. Las tareas realizadas por cada instancia son: Como servidor proxy, atiende a clientes software y no realiza asignacin de direcciones IP ni realiza control de sesiones de usuario. Puede realizarse conversin de atributos sobre los paquetes recibidos y progresados. Como servidor final, atiende como cliente software al servidor proxy, no realiza asignacin de direcciones IP, puede guardar informacin sobre las sesiones de los usuarios. En la siguiente figura se presenta un ejemplo de este escenario: Telefnica Data Espaa, S.A. 18/01/02 Pg.: 20 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Figura 1-3: Servidor proxy+final radius con clientes software Servidor final radius con clientes hardware Escenario propio del servicio Infova Plus Directo de la red IP En este escenario el servidor radius atiende a clientes hardware (clientes que se definen en el fichero clientes_hw_INFOVIA), asigna direcciones IP y controla las sesiones de los usuarios cuyas peticiones de autenticacin se realicen a travs de este tipo de clientes. En la siguiente figura se presenta un ejemplo de este escenario: Figura 1-4: Servidor final radius con clientes hardware Servidor proxy+final radius con clientes hardware Escenario propio del servicio Infova Plus Directo de la red IP Telefnica Data Espaa, S.A. 18/01/02 Pg.: 21 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. En este escenario se emplean dos instancias del servidor radius, una configurada como servidor proxy y otra configurada como servidor final. Estas instancias pueden encontrarse en la misma o en en distintas mquinas. Cualquiera de estas instancias puede ser sustituida por un servidor radius distinto al aqu descrito, siempre y cuando sea compatible con el protocolo Radius tal y como se indican en las RFCs detalladas ms arriba. Las tareas realizadas por cada instancia son: Como servidor proxy, atiende a clientes hardware, realiza asignacin de direcciones IP (en el caso de que el servidor final, al aceptar una conexin, no haya asignado previamente direccin IP) ni realiza control de sesiones de usuario. Puede realizarse conversin de atributos sobre los paquetes recibidos y progresados. Como servidor final, atiende como cliente (hardware o software) al servidor proxy, puede realizar asignacin de direcciones IP (si el servidor proxy est definido como cliente hardware), y guarda informacin sobre las sesiones de los usuarios. En la siguiente figura se presenta un ejemplo de este escenario: Figura 1-5: Servidor proxy+final radius con clientes hardware Nota: El servidor Radius puede ser utilizado en entornos que no sean el de la red IP dada su compatibilidad con las RFCs que definen el protocolo Radius. 1.4.3 Limitaciones El servidor Radius presenta las siguientes limitaciones: Las siguientes facilidades no estn disponibles para plataformas Linux: Facilidad de obtencin de estadsticas a partir de los logs del servidor. Facilidad de liberacin automtica de sesiones pilladas Las siguientes facilidades no estn disponibles para plataformas Windows NT: Facilidad de gestin automtica de ficheros de log. Facilidad de arranque automtico del servidor. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 22 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Facilidad de acceso a ficheros DBM, ni actualizacin de ficheros DBM en tiempo real. Facilidad de obtencin de estadsticas a partir de los logs del servidor. Facilidad de liberacin automtica de sesiones pilladas La facilidad de liberacin automtica de sesiones pilladas slo se garantiza su compatibilidad con la versin 12.0(7)T del IOS de los equipos de Cisco. El correcto funcionamiento del Radius-Proxy depende de que el cliente radius a utilizar enve la informacin necesaria para realizar el proxy en los paquetes Radius. Esta informacin puede consistir en el login de usuario, el telfono llamado o cualquier otro atributo que forme parte del criterio por el que se hace proxy de los paquetes radius. En el caso de que el radius proxy no tenga la informacin necesaria reenviar la peticin a un servidor radius configurado como defecto. El correcto funcionamiento del Radius-Proxy depende de que el servidor Radius al que se reenvan los mensajes cumplan las directivas recogidas en las RFCs del protocolo Radius. En particular, debe de cumplir las directivas que indican que un servidor debe devolver intactos los atributos marcados como Proxy en el paquete de respuesta. El servidor Radius-Proxy se limitar a reenviar una y solo una vez cada uno de los paquetes que reciba, recayendo en el cliente Radius la labor de los reintentos de peticiones Radius. No existirn funcionamientos mixtos Proxy-No Proxy. El servidor Radius.Proxy funcionando en modo proxy no realizar nunca validacin local de ningn tipo. En caso de que est configurado en modo no proxy realizar siempre una validacin local y nunca actuar como proxy. La cada o parada no controlada del servidor Radius-Proxy provocar la perdida de la informacin de direcciones IP asignadas y su correspondiente desincronizacin con las sesiones en curso en los servidores Radius finales. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 23 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 2 Instalacin 2.1 Instalacin para Solaris 2.5.1 El servidor de Radius Delegado para SUN/Solaris 2.5.1 se suministra en un paquete denominado p001PS54. Para realizar la instalacin deber ejecutarse como usuario root el comando: pkgadd -d <directorio_del_paquete> <nombre_del_paquete> El paquete instala los ficheros binarios, documentacin y fuentes en el directorio /opt/ radius5.04 1 . Nota: En el caso de una reinstalacin se precisa borrar previamente las antiguas libreras de nombre libInfovia*, libCalidades* y libFiltro* que pudieran encontrarse en el directorio /usr/lib. 2.2 Instalacin para Linux El servidor de Radius para Linux se suministra por medio de un fichero con formato tar denominado radiusPSI_LINUX_V5_04_xy.tar 2 . Para instalar el servidor deben ejecutarse los siguientes comandos como usuario root: cd /opt tar -xvf <nombre_del_fichero_tar> El paquete instala los ficheros binarios, documentacin y fuentes bajo el directorio donde se ha ejecutado el comando tar, es decir ./radius5.04 1 . Nota: En el caso de una reinstalacin se precisa borrar previamente las antiguas libreras de nombre libInfovia* que pudieran encontrarse en el directorio /usr/lib. 2.3 Instalacin para Microsoft Windows NT El servidor de RADIUS se suministra como un fichero autoejecutable radiusPSI_NT_V5_04_xy.exe 2 . Al ejecutarlo se instala en el directorio c:\radius5.04 1 . 1 Se aconseja hacer un link simblico de tal manera que /opt/radius ---> /opt/radius5.04, ./radius --> ./ radius5.04 y c:\radius5.04 se renombra como c:\radius. A este directorio genrico nos referiremos a partir de ahora como directorio de instalacin. 2 5.04 representan la versin instalada , xy representa el nmero de distribucin. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 24 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 2.4 Directorios de Instalacin. El paquete genera los siguientes directorios y ficheros bajo el directorio de instalacin: bin/ Contiene los ejecutables del servidor RADIUS, que se explican en el captulo siguiente. doc/ Contiene el presente documento. lib/ Contiene libreras y ficheros fuente de diversas utilidades. Se incluye un fichero de documentacin denominado LEEME_msj. Las libreras se emplean para poder usar diversas fuentes de datos para la informacin sobre perfiles de usuario y el almacenamiento de la contabilidad, para la gestin de calidades y para la conversin de atributos. Para consultar mas detalles sobre su uso, consultese el apartado Apartado 4.2.2 radiusddll . raddb/ Contiene los ficheros de configuracin necesarios para el funcionamiento del servidor. Se describen individualmente ms adelante. bateria_infovia/ Este directorio contiene un conjunto de ficheros de configuracin de ejemplo, y un script denominado bateria, un programa que permite realizar automticamente un conjunto de pruebas para el Servidor RADIUS. Las pruebas se realizan localmente utilizando las herramientas simula_infovia y rad_tool. Se simulan las peticiones que efectuara un cliente NAS para usuarios del servicio Infova+ Directo. bateria_delegado/ Este directorio contiene un conjunto de ficheros de configuracin de ejemplo, y un script denominado bateria, un programa que permite realizar automticamente un conjunto de pruebas para el Servidor RADIUS. Las pruebas se realizan localmente utilizando las herramientas simula_delegado y rad_tool. Se simulan las peticiones que efectuara el CVCA de la Red IP para usuarios del servicio Infova + Bsico (Modalidad Delegada). Adems de los directorios anteriores, pueden ser de utilidad los siguientes ficheros de texto que se encuentran en el directorio de instalacin: LEEME_INFOVIA. Documentacin general sobre el Servidor RADIUS para el CPI de Infova, funcionalidad, ficheros de configuracin, procedimiento de instalacin... LEEME_VERSION. Notas sobre las distintas versiones del servidor RADIUS. LEEME_DELEGADO. Documentacin general sobre el Servidor RADIUS para el PSI de la Red IP, funcionalidad, ficheros de configuracin, procedimiento de instalacin... INSTALL_MENS.txt. Detalle de los procedimientos de instalacin y lanzamiento del servidor y el demonio distribuidor de mensajes Todos las actuaciones sobre los ficheros del RADIUS, ya sean de configuracin o ejecucin de las herramientas suministradas, se harn como usuario root en el caso de las plataformas Solaris y Linux. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 25 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 3 Configuracin 3.1 Configuracin del Servidor En el caso de utilizar el servidor RADIUS que emplea librerias dinmicas, hay que realizar las siguientes operaciones previas a la configuracin. El procedimiento concreto depende de la plataforma. 3.1.1 Solaris y Linux Una vez instalado el paquete, o descomprimido el fichero tar, deben seguirse los siguientes pasos: 1. El ejecutable radiusddll (consultar el Apartado 4.2.2 radiusddll ) emplea para el acceso a perfiles de usuario la siguiente librera dinmica que se encuentra en el directorio: <directorio_instalacion>/bin : libInfovia.so Tras el proceso de instalacin queda instalada como libInfovia.so una copia de la librera libInfoviadbm.so.1. Esta ltima es una librera de perfiles y de almacenamiento de contabilidad que usa un fichero DBM. Se puede utilizar como alternativa a libInfoviadbm.so.1 cualquiera de las siguientes libreras, lo nico que hay que hacer para ello es copiar (en el mismo directorio <directorio_instalacion>/bin) la librera seleccionada como libInfovia.so y volver a arrancar el radiusddll: libInfovia.so.1. Librera de perfiles y de almacenamiento de contabilidad que usa fichero plano. libInfoviamsj.so.1. Librera de perfiles y de almacenamiento de contabilidad que usa fichero plano y mensajera libInfoviamsjdbm.so.1. Librera de perfiles y de almacenamiento de contabilidad que usa fichero DBM y mensajera. 2. Se debe incluir en la variable de entorno LD_LIBRARY_PATH del usuario root, usuario que ejecuta el servidor, el directorio: <directorio_instalacion>/bin. Se recomienda introducir dicha definicin de la variable LD_LIBRARY_PATH en el fichero .profile del usuario correspondiente. 3.1.2 Windows NT Una vez instalado el producto debe seguirse el siguiente paso: 1. El ejecutable radiusNT.exe emplea la siguiente librera dinmica que se encuentra en el directorio: <directorio_instalacion>/bin : RadInfovia.dll Telefnica Data Espaa, S.A. 18/01/02 Pg.: 26 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Tras el proceso de instalacin queda instalada como RadInfovia.dll una copia de la librera RadInfovia.dll.1. Esta ltima es una librera que utiliza un fichero plano para acceder a los perfiles de usuarios y para almacenar la informacin de contabilidad. Se puede utilizar como alternativa a RadInfovia.dll la siguiente librera, lo nico que hay que hacer para ello es copiarla (en el mismo directorio <directorio_instalacion>/bin) como RadInfovia.dll y volver a arrancar el radiusNT.exe: RadInfoviamsj.dll.1. Librera de perfiles y de almacenamiento de contabilidad que usa tambin fichero plano pero proporciona adems la facilidad de mensajera 3.2 Configuracin para Arranque automtico 1 En ste apartado se proporciona el mtodo que permite arrancar el servidor RADIUS de forma automtica y con los parmetros deseados cada vez que se rearranque la mquina. Si el proceso no se realizara con xito, se podr consultar los ficheros de trazas y errores (ver Apartado 5.1.1 TRAZAS_INFOVIA., y Apartado 5.2 Monitorizacin del servidor) para obtener cul es el error y corregirlo manualmente. 3.2.1 Procedimiento para plataforma Solaris 1. Entrar en la mquina que ejecuta el servidor Radius como usuario root. 2. Comprobar cual es el nivel de ejecucin por defecto al arrancar la mquina, ejecutando el comando: more /etc/inittab Un ejemplo de salida del comando anterior es lo siguiente: ap::sysinit:/sbin/autopush -f /etc/iu.ap ap::sysinit:/sbin/soconfig -f /etc/sock2path fs::sysinit:/sbin/rcS >/dev/console 2<>/dev/console </dev/console is:3:initdefault: p3:s1234:powerfail:/usr/sbin/shutdown -y -i5 -g0 >/dev/console 2<>/dev/ console s0:0:wait:/sbin/rc0 >/dev/console 2<>/dev/console </dev/console s1:1:wait:/usr/sbin/shutdown -y -iS -g0 >/dev/console 2<>/dev/console </ dev/console s2:23:wait:/sbin/rc2 >/dev/console 2<>/dev/console </dev/console s3:3:wait:/sbin/rc3 >/dev/console 2<>/dev/console </dev/console s5:5:wait:/sbin/rc5 >/dev/console 2<>/dev/console </dev/console fw:0:wait:/sbin/uadmin 2 0 >/dev/console 2<>/dev/console </dev/console of:5:wait:/sbin/uadmin 2 6 >/dev/console 2<>/dev/console </dev/console sc:234:respawn:/usr/lib/saf/sac -t 300 1 No se proporciona procedimiento de arranque automtico para la plataforma Windows NT. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 27 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. co:234:respawn:/usr/lib/saf/ttymon -g -h -p "uname -n console login: " -T sun -d /dev/console -l console -m ldterm,ttcompat En la entrada "is:3:initdefault:" contiene el nivel de ejecucin por defecto, en este caso el 3. En el proceso de arranque se ejecutarn los comandos de las entradas que tienen sysinit en el campo de ejecucin as como todas las entradas del fichero /etc/inittab que tenga en su campo de estado el valor del nivel de ejecucin por defecto, en nuestro ejemplo el 3. Por tanto se ejecutaran: ap::sysinit:/sbin/autopush -f /etc/iu.ap ap::sysinit:/sbin/soconfig -f /etc/sock2path fs::sysinit:/sbin/rcS >/dev/console 2<>/dev/console </dev/console s2:23:wait:/sbin/rc2 >/dev/console 2<>/dev/console </dev/console s3:3:wait:/sbin/rc3 >/dev/console 2<>/dev/console </dev/console sc:234:respawn:/usr/lib/saf/sac -t 300 co:234:respawn:/usr/lib/saf/ttymon -g -h -p "uname -n console login: " -T sun -d /dev/console -l console -m ldterm,ttcompat Como vemos se ejecutarn los ficheros de comandos /sbin/rc2 y /sbin/rc3 que a su vez ejecutan los ficheros de comandos contenidos en los directorios /etc/rc2.d y /etc/rc3.d, respectivamente, que empiezan por K y s (con K se nombran a los que matan procesos y con S a los que los arrancan). 3. Crear un fichero de ejecucin en el directorio /etc/init.d (por ejemplo: /etc.init.d/ arranque_radius). Este fichero controlar el arranque del servidor radius. En este fichero de ejecucin definiremos la secuencia de arranque del servidor radius segn se define en Apartado 4.2.1 radiusd Deberemos darle permiso de ejecucin. Para ello ejecute los siguientes comandos: cd /etc/init.d vi arranque_radius Se introduce la siguiente lnea /opt/radius/bin/radiusd -d /opt/radius/raddb -a /opt/radius/radacct -X Por ltimo se ejecuta el comando: chmod +x arranque_radius 4. En el directorio /etc/rc#.d, donde # es el nmero del nivel de ejecucion -por defecto el 3- , crear un fichero cuyo nombre comience por S seguido del nmero de secuencia en que deseamos que se arranque el servidor y del nombre del fichero que creamos en el directorio /etc/init.d (en nuestro ejemplo, con nmero de secuencia 99 sera, y teniendo definido en el fichero de arranque /etc/inittab que al arrancar con nivel 3 arranque tambien el 2, podra ser: /etc/rc2.d/S99arranque_radius). A continuacion hacer un link con el fichero de ejecucin creado en el /etc/init.d (es decir: /etc/rc2.d/ S99arranque_radius -> /etc.init.d/arranque_radius). La secuencia de comandos sera: cd /etc/rc2.d ln -s /etc/init.d/arranque_radius S99arranque_radius Telefnica Data Espaa, S.A. 18/01/02 Pg.: 28 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 3.2.1.1 Informacin Adicional Se recomienda arrancar el servidor radius con nivel mximo de trazas. Es posible posteriormente cambian este nivel a uno inferior tal y como se indica en el Apartado 4.2.3 rad_tool.. Se puede introducir en el fichero de arranque del servidor (/etc/init.d/ arranque_radius) un pequeo script de comprobacin de todo aquello que el operador considere oportuno. As por ejemplo si quiere comprobar la existencia del ejecutable de arranque, podra hacer: if [ -f /opt/radius/bin/radiusd ] then /opt/radius/bin/radiusd -d /opt/radius/raddb -a /opt/radius/radacct -X Las trazas que el ejecutable manda a la salida estndar pueden ser redirigidas a otros ficheros o que se borren si no interesan. Para redirigir la salida estndar y la de error al mismo fichero: /opt/radius/bin/radiusd -d /opt/radius/raddb -a /opt/radius/radacct -X 1>/tmp/trazas_arranque_radius.txt 2>&1 & Para redirigir la salida estndar y la de error a distintos ficheros: /opt/radius/bin/radiusd -d /opt/radius/raddb -a /opt/radius/radacct -X 1>/tmp/trazas_arranque_radius.txt 2>/tmp/errores_arranque_radius.txt & Para borrar la salida estndar y la de error: /opt/radius/bin/radiusd -d /opt/radius/raddb -a /opt/radius/radacct -X 1>/dev/null 2>&1 & 3.2.2 Procedimiento para plataforma Linux 1. Entrar en la mquina que ejecuta el servidor Radius como usuario root. 2. Comprobar cual es el nivel de ejecucin por defecto al arrancar la mquina, ejecutando el comando: more /etc/inittab Un ejemplo de salida del comando anterior es lo siguiente: id:3:initdefault: # System initialization. si::sysinit:/etc/rc.d/rc.sysinit l0:0:wait:/etc/rc.d/rc 0 l1:1:wait:/etc/rc.d/rc 1 l2:2:wait:/etc/rc.d/rc 2 l3:3:wait:/etc/rc.d/rc 3 l4:4:wait:/etc/rc.d/rc 4 l5:5:wait:/etc/rc.d/rc 5 Telefnica Data Espaa, S.A. 18/01/02 Pg.: 29 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. l6:6:wait:/etc/rc.d/rc 6 # Things to run in every runlevel. ud::once:/sbin/update # Trap CTRL-ALT-DELETE ca::ctrlaltdel:/sbin/shutdown -t3 -r now # When our UPS tells us power has failed, assume we have a few minutes # of power left. Schedule a shutdown for 2 minutes from now. # This does, of course, assume you have powerd installed and your # UPS connected and working correctly. pf::powerfail:/sbin/shutdown -f - h +2 "Power Failure; System Shutting Down" # If power was restored before the shutdown kicked in, cancel it. pr:12345:powerokwait:/sbin/shutdown -c "Power Restored; Shutdown Cancelled" # Run gettys in standard runlevels 1:2345:respawn:/sbin/mingetty tty1 2:2345:respawn:/sbin/mingetty tty2 3:2345:respawn:/sbin/mingetty tty3 4:2345:respawn:/sbin/mingetty tty4 5:2345:respawn:/sbin/mingetty tty5 6:2345:respawn:/sbin/mingetty tty6 # Run xdm in runlevel 5 # xdm is now a separate service x:5:respawn:/etc/X11/prefdm -nodaemon La entrada "id:3:initdefault:" contiene el nivel de ejecucin por defecto, en este caso el 3. En el proceso de arranque se ejecutarn los comandos de las entradas del fichero /etc/ inittab que tengan en su campo de estado el valor del nivel de ejecucin por defecto, en nuestro ejemplo el 3. Por tanto se ejecutaran: l3:3:wait:/etc/rc.d/rc 3 1:2345:respawn:/sbin/mingetty tty1 2:2345:respawn:/sbin/mingetty tty2 3:2345:respawn:/sbin/mingetty tty3 4:2345:respawn:/sbin/mingetty tty4 5:2345:respawn:/sbin/mingetty tty5 6:2345:respawn:/sbin/mingetty tty6 Como vemos se ejecutar el fichero de comandos /etc/rc.d/rc al que se le pasa como parametro el nivel de arranque (en nuestro ejemplo el 3). Este a su vez ejecuta los ficheros de comandos contenidos en el directorio /etc/rc.d/rci.d , siendo i el nivel de Telefnica Data Espaa, S.A. 18/01/02 Pg.: 30 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. arranque que se le pasa como parmetro en la llamada a script, que empiezan por K y S (con K se nombran a los que matan procesos y con S a los que los arrancan). 3. Crear un fichero de ejecucin en el directorio /etc/rc.d/init.d (por ejemplo: /etc/rc.d/init.d/ arranque_radius). Este fichero controlar el arranque del servidor radius. En este fichero de ejecucin definiremos la secuencia de arranque del servidor radius segn se define en Apartado 4.2.1 radiusd Deberemos darle permiso de ejecucin. Para ello ejecute los siguientes comandos: cd /etc/rc.d/init.d vi arranque_radius Se introduce la siguiente lnea /opt/radius/bin/radiusd -d /opt/raduis/raddb -a /opt/radius/radacct -X Por ltimo se ejecuta el comando: chmod +x arranque_radius 4. En el directorio /etc/rc.d/rci.d, donde i es el nmero del nivel de ejecucion -por defecto el 3-, crear un fichero cuyo nombre comience por S seguido del nmero de secuencia en que deseamos que se arranque el servidor y del nombre del fichero que creamos en el directorio /etc/rc.d/init.d (en nuestro ejemplo, con nmero de secuencia 99, y teniendo definido en el fichero de arranque /etc/inittab que arranque con nivel 3, sera: /etc/rc.d/ rc3.d/S99arranque_radius). A continuacion hacer un link con el fichero de ejecucin creado en el /etc/rc.d/init.d (es decir: /etc/rc.d/rc3.d/S99arranque_radius -> /etc/rc.d/ init.d/arranque_radius). La secuencia de comandos sera: $ cd /etc/rc.d/rc3.d $ ln -s /etc/rc.d/init.d/arranque_radius S99arranque_radius 3.2.2.1 Informacin Adicional Se recomienda arrancar el servidor radius con nivel mximo de trazas. Es posible posteriormente cambian este nivel a uno inferior tal y como se indica en el Apartado 4.2.3 rad_tool.. Se puede introducir en el fichero de arranque del servidor (/etc/rc.d/init.d/ arranque_radius) un pequeo script de comprobacin de todo aquello que el operador considere oportuno. As por ejemplo si quiere comprobar la existencia del ejecutable de arranque podra hacer: if [ -f /opt/radius/bin/radiusd ]; then /opt/radius/bin/radiusd -d /opt/raduis/raddb -a /opt/radius/radacct -X fi Las trazas que el ejecutable manda a las salidas estndar pueden ser redirigidas a otros ficheros o que se borren si no interesan. Para redirigir la salida estndar y la de error a un mismo fichero: /opt/radius/bin/radiusd -d /opt/raduis/raddb -a /opt/radius/radacct -X 1>/tmp/trazas_arranque_radius.txt 2>&1 & Para redirigir la salida estndar y la de error a distintos ficheros: Telefnica Data Espaa, S.A. 18/01/02 Pg.: 31 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. /opt/radius/bin/radiusd -d /opt/raduis/raddb -a /opt/radius/radacct -X 1>/tmp/trazas_arranque_radius.txt 2>/tmp/errores_arranque_radius.txt & Para borrar la salida estndar y la de error: /opt/radius/bin/radiusd -d /opt/raduis/raddb -a /opt/radius/radacct -X 1>/dev/null 2>&1 & 3.3 Configuracin para encriptacin de datos de usuario En este apartado se muestran los pasos a seguir para el funcionamiento del servidor Radius en modo encriptado. En este caso se encriptarn tanto los loginnames como passwords de los usuarios del fichero de perfiles. 3.3.1 Procedimiento para ejecutar radiusd en modo encriptado. Debe aplicarse la siguientes secuencia de acciones: 1. Crear una clave para la encriptacin con el ejecutable nueva_clave. (explicado en el Apartado 4.4.2 nueva_clave). Dicha clave se almacenar en el fichero clave_cripto, fichero que debe encontrarse en el directorio de configuracin. 2. Realizar una copia de seguridad del fichero de perfiles de usuario. 3. Encriptar el fichero de perfiles de usuario con el ejecutable encriptar. (explicado en el Apartado 4.4.1 encriptar). 4. Introducir la linea: MODO_ENCRIPTADO 1 en el fichero cfg_local_INFOVIA 5. Arrancar el radiusd (ver Apartado 4.2.1 radiusd ) haciendo referencia al fichero encriptado. 3.3.2 Procedimiento para ejecutar radiusddll, con acceso a DBM, en modo encriptado. Debe aplicarse la siguientes secuencia de acciones: 1. Crear una clave para la encriptacin con el ejecutable nueva_clave. (explicado en el Apartado 4.4.2 nueva_clave). Dicha clave se almacenar en el fichero clave_cripto, fichero que debe encontrarse en el directorio de configuracin. 2. Realizar una copia de seguridad del fichero de perfiles de usuario. 3. Encriptar el fichero de perfiles de usuario con el ejecutable encriptar. (explicado en el Apartado 4.4.1 encriptar) 4. Ejecutar builddbm (ver ), para construir la base de datos DBM a partir del fichero de perfiles encriptado. 5. Asegurarse que la librera libInfoviadbm.so.1 est copiada como libInfovia.so Telefnica Data Espaa, S.A. 18/01/02 Pg.: 32 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 6. Asegurarse que en la variable de entorno LD_LIBRARY_PATH del usuario que ejecuta el servidor se encuentra el directorio: <directorio_instalacin>/bin. 7. Introducir la linea: MODO_ENCRIPTADO 1 en el fichero cfg_local_INFOVIA 8. Arrancar el radiusddll (ver Apartado 4.2.2 radiusddll ) haciendo referencia al nombre de los ficheros DBM. 3.3.3 Procedimento para aadir usuarios con perfiles encriptados a la base de datos DBM. Debe aplicarse la siguientes secuencia de acciones: 1. Crear el fichero de texto con los nuevos usuarios que quieren aadirse a la base de datos. Debe conservarse el formato del fichero plano de usuarios. 2. Realizar una copia de seguridad del nuevo fichero de perfiles de usuario 3. Encriptar este fichero con el ejecutable encriptar. (explicado en el Apartado 4.4.1 encriptar) 4. Renombrar el fichero encriptado para que quede del siguiente modo: <fichero_usuarios_radius>.mas. 5. Ejecutar el comando builddbmmas. (explicado en el ). 3.3.4 Procedimiento para crear una nueva clave Es aconsejable generar una nueva clave peridicamente, y si en algn caso se piensa que alguien ha tenido acceso a la clave existente. Para ello deben seguirse lo siguientes pasos: 1. Utilizar el ejecutable nueva_clave (explicado en Apartado 4.4.2 nueva_clave) para crear una nueva clave que se almacenar en el fichero clave_cripto. Dicho fichero debe encontrarse en el directorio de configuracin. 2. Encriptar nuevamente el fichero de perfiles de usuario para que el servidor radius pueda emplear la nueva clave con ellos. Seguir para ello los procedimientos presentado en loss apartados anteriores. 3.4 Ficheros de Configuracin Los siguientes ficheros debern aparecer en el directorio de configuracin por defecto o en el directorio que se indique como parmetro en el arranque del servidor (ver Apartado 4.2.1 radiusd ). De aqu en adelante nos referiremos a l simplemente como directorio de configuracin. Estos ficheros se editarn para realizar los cambios convenientes y se deber parar y rearrancar el servidor Radius para que los cambios tengan efecto -exceptuando el fichero usuarios_INFOVIA-. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 33 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 3.4.1 diccionario_INFOVIA En general este fichero no se debe editar ya que el fichero suministrado es vlido. Este fichero contiene todos los atributos estndar de los paquetes RADIUS, y tambin los aadidos -que se caracterizan porque en el nombre del atributo se aade -INFOVIA- para el caso particular del servidor RADIUS que estamos describiendo. Contiene lneas de tres tipos: 1. $INCLUDE <diccionario_fabricante> 2. ATTRIBUTE <nombre_atributo> <tipo> <codigo_correspondiente> 3. VALUE <nombre_atributo> <nombre_constante> <valor-correspondiente> A continuacin se presenta como ejemplo la cabecera y unas lneas de este fichero: # @(#)dictionary 27.3 (96/03/27 17:05:15) # # This file pertains to Ascend MAX/Pipeline software # version 4.5 and later. # # This file contains dictionary translations for parsing # requests and generating responses. All transactions are # composed of Attribute/Value Pairs. The value of each attribute # is specified as one of 4 data types. Valid data types are: # # string - 0-253 octets # abinary - 0-254 octets # ipaddr - 4 octets in network byte order # integer - 32 bit value in big endian order (high byte first) # date - 32 bit value in big endian order - seconds since # 00:00:00 GMT, Jan. 1, 1970 # # Enumerated values are stored in the user file with dictionary # VALUE translations for easy administration. # # Example: # # ATTRIBUTE VALUE # --------- ----- #Framed-Protocol = PPP # 7 = 1 (integer encoding) # $INCLUDE diccionario.fabricanteX Telefnica Data Espaa, S.A. 18/01/02 Pg.: 34 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. ATTRIBUTE User-Name string ATTRIBUTE Password 2 string ATTRIBUTE CHAP-Password 3 string ATTRIBUTE NAS-IP-Address 4 ipaddr ATTRIBUTE NAS-Port 5 integer ATTRIBUTE User-Service 6 integer ATTRIBUTE Framed-Protocol 7 integer ATTRIBUTE Framed-Address 8 ipaddr ATTRIBUTE Framed-Netmask 9 ipaddr ATTRIBUTE Framed-Routing 10 integer ATTRIBUTE Framed-Filter 11 string ATTRIBUTE Framed-MTU 12 integer ATTRIBUTE Framed-Compression 13 integer .... #------------I N F O V I A ---------------------------------- ATTRIBUTE PROXY-INFOVIA 33 ibinary ATTRIBUTE HARDWARE-INFOVIA 34 integer ATTRIBUTE SESIONES-INFOVIA 224 integer ATTRIBUTE NIVEL-INFOVIA 151 integer ATTRIBUTE NIVEL-MAX-INFOVIA 152 integer ATTRIBUTE RDSI-INFOVIA 153 integer ATTRIBUTE TIPO_PWD_INFOVIA 154 string # ...... # User Types VALUE User-Service Login-User 1 VALUE User-Service Framed-User 2 VALUE User-Service Dialback-Login-User 3 VALUE User-Service Dialback-Framed-User 4 VALUE User-Service Dialout-Framed-User 5 VALUE User-Service Shell-User 6 # Framed Protocols VALUE Framed-Protocol PPP 1 VALUE Framed-Protocol SLIP 2 VALUE Framed-Protocol ARA 255 VALUE Framed-Protocol MPP 256 VALUE Framed-Protocol EURAW 257 VALUE Framed-Protocol EUUI 258 VALUE Framed-Protocol X25 259 Telefnica Data Espaa, S.A. 18/01/02 Pg.: 35 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. VALUE Framed-Protocol COMB 260 VALUE Framed-Protocol FR 261 3.4.2 <diccionario_fabricante> Este fichero contiene todos los atributos de los paquetes RADIUS particulares de un fabricante. Tiene un formato similar al del fichero diccionario_INFOVIA. Los atributos definidos en el diccionario del fabricante pueden emplearse en los perfiles de usuario como un atributo normal, y en ese caso son enviados empaquetados dentro del atributo vendor-specific indicando el cdigo del fabricante. Igualmente, cuando se recibe un atributo vendor-specific se recupera el atributo propietario concreto y el cdigo del fabricante, y se busca en los diccionarios el atributo recibido (debe estar asociado a dicho cdigo de fabricante). Contiene lneas de tres tipos: 1. VENDOR <nombre_fabricante> <codigo_fabricante> (Slo debe existir una lnea de tipo VENDOR) 2. ATTRIBUTE <nombre_atributo> <tipo> <codigo_correspondiente> <nombre_fabricante> 3. VALUE <nombre_atributo> <nombre_constante> <valor-correspondiente> La instalacin proporciona un fichero ejemplo de nombre diccionario.fabricanteX. A continuacin, como ejemplo, se presenta este fichero: # # diccionario.fabricanteX # # Version: @(#)diccionario.fabricanteX 1.00 5-febrero-2001 # VENDOR FabricanteX 69 # # Standard attribute # ATTRIBUTE FabricanteX-AVPair 1 string FabricanteX # # Extra attributes sent by the FabricanteX. # ATTRIBUTE FabricanteX-Multilink-ID 187 integer FabricanteX ATTRIBUTE FabricanteX-Num-In-Multilink 188 integer FabricanteX ATTRIBUTE FabricanteX-Pre-Input-Octets 190 integer FabricanteX ATTRIBUTE FabricanteX-Disconnect-Cause 195 integer FabricanteX Telefnica Data Espaa, S.A. 18/01/02 Pg.: 36 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. VALUE FabricanteX-Disconnect-Cause Unknown 2 VALUE FabricanteX-Disconnect-Cause CLID-Authentication-Failure 4 VALUE FabricanteX-Disconnect-Cause No-Carrier 10 VALUE FabricanteX-Disconnect-Cause Lost-Carrier 11 VALUE FabricanteX-Disconnect-Cause No-Detected-Result-Codes 12 3.4.3 cfg_local_INFOVIA En este fichero se indican diversos parmetros relativos a la configuracin del servidor. En cada lnea del fichero aparece una de las siguientes palabras clave seguida de un valor: UDP_AUTH. Indica el puerto UDP usado por ese proceso para escuchar peticiones de autentificacin. Si falta este campo se tomara el puerto definido en el /etc/services 1 . Si no est definido en alguno de los anteriores, el RADIUS no arranca. UDP_ACCT. Indica el puerto UDP usado por ese proceso para escuchar peticiones de contabilidad. Si falta este campo se tomara el puerto definido en el /etc/services 2 . Si tampoco est definido en el /etc/services se tomara como puerto el siguiente al puerto de autenticacin (UDP_AUTH+1). HASHSIZE. Numero de entradas en la tabla hash de usuarios conectados. Se recomienda poner un numero similar al numero maximo de conexiones simultneas. El valor por defecto es 100.000. HORA_IP. Indica el tiempo durante el cual, una vez liberada una direccin IP, est disponible para ser reutilizada por el mismo usuario que la liber. Si no se especifica un valor para este parmetro, tomar un tiempo de 5 minutos. HARDWARE_INFOVIA_OMISION. Si esta variable toma el valor 1, se permitirn clientes Hardware, en otro caso deber especificarse en cada perfil de usuario la variable HARDWARE_INFOVIA(ver Apartado 3.4.8 usuarios_INFOVIA.). El valor por defecto es 0. MODO_PROXY. Si esta variable toma el valor 1 el servidor radius actua como proxy frente a todos los clientes. Si MODO_PROXY toma el valor 0 -valor por defecto- funciona como servidor final. MODO_ENCRIPTADO. Si esta variable toma el valor 1, el servidor radius autenticar contra el fichero de usuarios que anteriormente ha sido encriptado. Si toma el valor 0 (valor por defecto) se considera que el fichero de usuarios no est encriptado. ALIAS. Nemnicos admitidos en los nombres de usuario que sern tratados localmente por el servidor. SUBRED_FICTICIA. Para clientes SW, subred de la que asignarn las direcciones ficticias antes de que llegue el paquete de Start con la direccin asignada por la red. Si el valor es incorrecto o el parmetro no est definido, toma por defecto el valor 0. 1 La lnea que debe aparecer en el fichero /etc/services es la siguiente: radius num-puerto/udp 2 La lnea que debe aparecer en el fichero /etc/services es la siguiente: radacct num-puerto/udp Telefnica Data Espaa, S.A. 18/01/02 Pg.: 37 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. CHK_RESPUESTA_PROXY. Para Modo Proxy, permite activar (valor 1) el registro y control de las peticiones progresadas hacia los servidores finales. Si toma el valor 0 (valor por defecto) no se guarda registro ni se controla la respuestas procedentes de servidores finales. Los siguientes parmetros son especifcicos para la funcionalidad relacionada con el servicio de tarifa plana: NEMONICO_PLANO. Nemnicos admitidos para tarifa plana en los nombres de usuario que sern tratados localmente por el servidor. HORA_FIN_TARIFA_PLANA. Hora de fin de la tarifa plana. Toma valores entre 0 y 23. MIN_FIN_TARIFA_PLANA. Minutos de fin de la tarifa plana. Toma valores entre 0 y 59. HORA_INICIO_TARIFA_PLANA. Hora de inicio de la tarifa plana. Toma valores entre 0 y 23. MIN_INICIO_TARIFA_PLANA. Minutos de inicio de la tarifa plana. Toma valores entre 0 y 59. Los siguientes parmetros son especifcicos para la funcionalidad relacionada con el acceso por protocolo SNMP al servidor radius: UDP_SNMP. Indica el puerto UDP usado por el servidor radius para escuchar peticiones SNMP. Si falta este campo se tomar el puerto definido en el /etc/services 1 . Solo se precisa en el caso de que el radius deba atender a peticiones SNMP. MODO_SNMP. Si esta variable toma el valor 1 el servidor radius atiende tambin peticiones SNMP que reciba por el puerto indicado en UDP_SNMP. Si MODO_SNMP toma el valor 0 -valor por defecto- no atender peticiones SNMP. Un ejemplo de dicho fichero es el siguiente: UDP_AUTH 1645 UDP_ACCT 1646 ALIAS nemonico HARDWARE_INFOVIA_OMISION 1 MODO_PROXY 1 CHK_RESPUESTA_PROXY 1 SUBRED_FICTICIA 1 Otro ejemplo, pero para el servicio de tarifa plana: UDP_AUTH 1645 UDP_ACCT 1646 NEMONICO_PLANO pruebas HORA_FIN_TARIFA_PLANA 8 MIN_FIN_TARIFA_PLANA 0 1 La lnea que debe aparecer en el fichero /etc/services es la siguiente: snmp num-puerto/udp Telefnica Data Espaa, S.A. 18/01/02 Pg.: 38 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. HORA_INICIO_TARIFA_PLANA 18 MIN_INICIO_TARIFA_PLANA 0 HARDWARE_INFOVIA_OMISION 0 MODO_PROXY 0 ALIAS pruebas SUBRED_FICTICIA 2 MODO_ENCRIPTADO 1 Otro ejemplo, pero para el acceso por protocolo SNMP al servidor radius: UDP_AUTH 1645 UDP_ACCT 1646 UDP_SNMP 1444 ALIAS nemonico HARDWARE_INFOVIA_OMISION 1 MODO_PROXY 0 MODO_SNMP 1 SUBRED_FICTICIA 1 3.4.4 clientes_hw_INFOVIA Contiene datos de los clientes que se pueden conectar al PSI. Este fichero se emplea para definir los clientes HW. Tambin hay que tener en cuenta que para poder incluir clientes en este fichero se debe indicar en el fichero cfg_local_INFOVIA el parmetro HARDWARE_INFOVIA_OMISION con valor 1, pudiendo venir indicado en cada perfil de usuario individual con la variable HARDWARE_INFOVIA. El servidor RADIUS asigna direcciones IP a los usuarios de los clientes presentes en este fichero. Tambin deben incluirse en este fichero los servidores radius finales que actan como destinos del proxy. El fichero consta de una serie de lneas. Cada lnea representa a un cliente HW. El primer campo es la direccin IP del cliente (formato: xx.xx.xx.xx siendo xx cualquier nmero del intervalo 0-255) El segundo campo es la palabra clave asociada a ese cliente (formato: cualquier string menor de 32 caractres) El tercer campo es el puerto UDP (formato: un valor numrico menor que 65536) El cuarto campo es el identificador del cliente (formato: caualquier valor numrico que ocupe menos de cuatro octetos). Este valor debe ser nico para cada cliente y no puede repetirse como identificador de cliente en ninguno de los ficheros de clientes (clientes_hw_INFOVIA, clientes_INFOVIA, redIP_delegado). Las siguientes opciones solo se aplican en la funcionalidad de Proxy o SIN_ALIAS Se elimina el alias (dominio) del campo Username al reenviar los paquetes al servidor radius final. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 39 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. o SIN_PREFIJO <prefijo>. Se elimina el prefijo <prefijo> del campo Username al reenviar los paquetes al servidor radius final. Se presenta a continuacin un ejemplo: 1.2.3.4 Secreto 1645 1 SIN_PREFIJO IPASS// 3.4.5 clientes_INFOVIA Este fichero se emplea para definir los clientes INFOVIA (CSIV). Contiene los datos de los clientes de este tipo que se conectan al PSI .El formato es el mismo que el del fichero clientes_hw_INFOVIA, exceptuando las opciones. Por lo tanto se puede prescindir de este fichero si no se esta empleando el servidor RADIUS con la antigua Infovia. 3.4.6 cfg_pool_INFOVIA Datos sobre los diferentes pools definidos. Estos datos incluyen la direccin IP origen de los mismos, su tamao, identificador, y su nivel de privilegio. Este fichero se emplea tan solo para clientes HW. Cada lnea del fichero representa un pool de direcciones. Los campos de cada lnea son los siguientes: El primer campo es un nmero que identifica el pool. Pueden existir varias lineas con este mismo numero. El segundo campo es un nmero que identifica la direccin inicial del trozo del pool El tercer campo es un nmero que especifica el tamao del pool, entendiendo por tamao el nmero de direcciones que forman el pool. El cuarto campo es un nmero que especifica el nivel del usuario, entendiendo por nivel el que tienen que tener los usuarios para obtener una direccion del pool. A continuacin se muestra un ejemplo de este fichero: #id_pool ip_rango tamano nivel_minimo_usuario #----------------------------------------------- 1 192.168.2.10 5 1 2 192.168.2.20 1 2 2 192.168.2.60 1 2 3 192.168.2.30 1 3 3 192.168.2.70 2 3 4 192.168.2.40 2 4 3.4.7 cfg_pool_clie_INFOVIA En este fichero se relaciona el identificativo de los pools y el identificativo de los clientes a los que se les asigna ese pool. Este fichero tan solo es necesario para los clientes HW. Los campos son los siguientes: Telefnica Data Espaa, S.A. 18/01/02 Pg.: 40 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. El primer campo es un nmero que identifica el pool Pueden existir varias lneas con este mismo nmero. El segundo campo es un nmero que representa el identificativo del cliente A continuacin se muestra un ejemplo de este fichero: #id_pool id_cliente #------------------- 1 2 2 2 3 2 4 2 3.4.8 usuarios_INFOVIA. Datos de los usuarios autorizados por el PSI. Para una descripcin completa de los atributos que pueden incluirse en este fichero debe consultarse el anexo: Atributos a Intercambiar entre el PSI y el CVCA (Infova Plus Bsico Modalidad Delegada). Este fichero incluye el formato definido por ASCEND para su interfaz con RADIUS. Contiene informacin de seguridad y configuracin para cada usuario. Para construir la base de datos a partir de este fichero, se utiliza la utilidad builddbm que se describe en el . El primer campo es el nombre de usuario. En la misma lnea puede seguir una lista con los requerimientos de autenticacin para cada usuario con la sintaxis siguiente: <nombre de atributo>=<valor> Esta puede incluir el password, nombre de usuario, y una fecha de expiracin del password del usuario. Cuando se recibe una peticin de autenticacin , se comprueban estos valores. Por lo tanto esta lnea constituye lo que se puede denominar la Check-list constituida por una serie de Check-items. Existe la posibilidad de crear un usuario especial llamado DEFAULT el cual siempre deber estar al final del fichero. Este perfil tratar los nombre de usuarios no contenidos en este fichero. Si a este perfil se le asigna como password UNIX , se buscar el password del usuario en el fichero /etc/passwd. En las lneas siguientes se pueden definir una serie de parmetros de ASCEND, como por ejemplo los necesarios para establecer la llamada PPP, la direccin que se le va a asignar a ese usuario, si se le da una subred, etc. Todos los atributos definidos se progresarn en la respuesta -constituyendo lo que se denomina Return-list-, salvo aquellos en los que se indique expresamente. Adems de los parmetros definidos por ASCEND se han definido/modificado los siguientes valores que son de aplicacin para clientes HW (Estos atributos se utilizan para control interno, no progresndose en la respuesta): SESIONES-INFOVIA = N Telefnica Data Espaa, S.A. 18/01/02 Pg.: 41 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Donde N es el nmero de sesiones simultneas que se quieren permitir para el usuario definido en el fichero. Por defecto toma valor 1. El valor 0 es un valor especial que indica que no hay control de sesiones para ese usuario NIVEL-INFOVIA = M Donde M es el nmero que indica el nivel de uso del usuario. Esto quiere decir que el usuario podra utilizar aquel pool que tenga una categora igual a M. Por defecto toma valor 1. NIVEL-MAX-INFOVIA = N Donde N es el numero que indica el nivel mximo del usuario. Esto quiere decir que el usuario podra utilizar desde el pool de su nivel hasta el pool de nivel mximo N. Por defecto es igual al valor del anterior atributo. Framed-Address = Si no aparece este parmetro en el perfil de usuario, tomar el valor 255.255.255.255. Si aparece tendr el valor de la direccin IP que se le quiera asignar a ese usuario. En caso contrario puede provocar errores en la direccion asignada al usuario. Este atributo s se progresa en la respuesta RDSI-INFOVIA = 0 En este caso las llamadas del usuario a travs de RDSI son rechazadas. Si no aparece se permiten llamadas a travs de RDSI del usuario en cuestin. HARDWARE-INFOVIA = 1 Si se especifica este valor se permiten clientes hardware. Para los clientes SW se han definido/modificado los siguientes atributos que s se progresan en la respuesta : Max-Num-Connections = N Mximo numero de conexiones permitidas para ese usuario. Por defecto se toma valor 1. Este valor es equivalente al de SESIONES- INFOVIA, por lo que si aparece uno de los dos, no es necesario que aparezca el otro. Nivel-Internet = N Calidad de Acceso a Internet definido para ese usuario. Por defecto se toma valor 1. Bienvenida-Id = cadena_identificadora Identificador para particularizar los mensajes de usuario 1 . Si adems estamos en modo proxy, el atributo Ascend-Assign-IP-Pool ser utilizado como nivel de calidad para la eleccin del pool de direcciones a asignar (equivale a NIVEL- INFOVIA para clientes HW) . Por lo tanto este atributo lo debe devolver el servidor RADIUS final. 1 En el servicio Infova Plus Bsico Modalidad Delegada, este valor constituye la clave de la entrada del usuario en el servicio de directorio de la red IP. Se recomienda que en este valor se concatene el nemnico del PSI correspondiente, para asegurar la unicidad de la entrada. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 42 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Si se desea emplear atributos propietarios de un fabricante es suficiente con definir dichos atributos en un fichero diccionario propio del fabricante (ver Apartado 3.4.2 <diccionario_fabricante>), incluir dicho fichero en el diccionario_INFOVIA y posteriormente hacer mencin a dichos atributos de fabricante como si fueran atributos normales (ver ejemplo). A continuacin se indica un perfil de usuario de ejemplo: prueba Password= "madrid" Nivel-Internet = 1, Bienvenida-Id = "psi1_PRUEBA", Session-Timeout = 0, Idle-Timeout = 10, Max-Num-Connections = 5, Port-Limit = 5, Cisco-Xmit-Rate = 1000, Cisco-Maximun-Time = 300 Los nicos atributos obligatorios en un perfil de usuario son el nombre del usuario (login) y el password. 3.4.9 usu.ini Se puede prescindir de este fichero si no se est empleando el servidor RADIUS con la antigua Infovia. El fichero contiene datos de configuracin de la funcionalidad de mensajera. La sintaxis a seguir es: [<loginame1>] MSJ=<mensaje> DNS=<servidor dns> TNA=<servidor ftp> URL=<url> [<loginame2>] MSJ=<mensaje> DNS=<servidor dns> TNA=<servidor ftp> URL=<url> . . . Telefnica Data Espaa, S.A. 18/01/02 Pg.: 43 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. [__comun__] MSJ=<mensaje> DNS=<servidor dns> TNA=<servidor ftp> URL=<url> Cada usuario tiene una serie de datos asociados, y los que no estn asociados al mismo se toman del ltimo prrafo (__comun__) A continuacin se muestra un ejemplo de este fichero: [usu01] MSJ="hola usu01" [usu02] MSJ="hola usu02" [__comun__] DNS=194.179.1.100 194.179.1.100 30 TNA=ftp://ftp.asip.ttd.es/pub/telecarga/00000000.tlf MSJ="Bienvenido a InfoViaPlus" URL=http://www.ttd.es 3.4.10 redIP_delegado En este fichero figuran los datos de los clientes SW con los que va a conectarse el PSI. Cada lnea del fichero representa a un cliente SW y est formada por cuatro campos ms opciones: El primer campo es la direccin IP del cliente SW. El segundo campo es la palabra clave (secreto) asociada a ese cliente. El tercer campo es el puerto UDP del cliente. El cuarto campo es el identificador del cliente. Opciones: Se pueden aadir las siguientes opciones o CONTROL_SESIONES Se efecta un control de sesiones sobre las peticiones de ese cliente. o DETALLE_UNICO. Si se incluye esta opcion se usara un nico fichero de detalle para todos los clientes, situado en el fichero de contabilidad. o DIRECCION_START. Si se emplea esta opcion se actualiza la direccion recibida en el paquete de Start en la lista de sesiones. Esta opcin es util en el caso de querer usar el control de sesiones (opcion CONTROL_SESIONES) para clientes delegados. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 44 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Las siguientes opciones solo se aplican en la funcionalidad de Proxy o SIN_ALIAS Se elimina el alias (dominio) del campo Username al reenviar los paquetes al servidor radius final. o SIN_PREFIJO <prefijo>. Se elimina el prefijo <prefijo> del campo Username al reenviar los paquetes al servidor radius final. A continuacin se muestra un ejemplo: 1.0.11.23 secreto 1645 22 CONTROL_SESIONES 1.23.40.23 secreto 1645 23 1.58.128.45.10 secreto 1645 24 3.4.11 cfg_OPERADOR_INFOVIA 1 Este fichero sirve para configurar la herramienta rad_tool. Su contenido ser de la forma: IDENTIFICADOR (Nombre del parmetro), un espacio o ms y VALOR (Valor que adquiere ese parmetro). Existen los siguientes identificadores 1 : UDP_PSI. Representa el puerto por el que escucha el servidor Radius del PSI. El valor correspondiente puede ser cualquier nmero entre 1 y 65535, recordando que para usar puertos menores que 1024, se debe ejecutar como root. UDP_RAD_TOOL. Representa el puerto por el que envia y recibe paquetes la herramienta rad_tool. IP_PSI. Representa la direccin IP de la mquina donde se encuentra instalado el servidor Radius del PSI. El valor correspondiente debe presentar formato de direccin IP, es decir xx.xx.xx.xx, siendo xx cualquier nmero entre 0 y 255. UDP_CVCA. Representa el puerto UDP por el que el cliente SW escucha las peticiones de autenticacin. IP_CVCA. Representa la direccin IP del cliente SW. Se admiten hasta 256 entradas con este identificador. SECRETO_PSI. Representa el Secreto del servidor RADIUS local. El valor correspondiente puede ser cualquier string menor o igual que 32 caractres. SECRETO_CVCA. Representa el Secreto del cliente SW. 3.4.12 criterios_PROXY En este fichero se configura los criterios a seguir en el caso de que el servidor RADIUS del PSI est en modo proxy . El formato de cada lnea es el siguiente: 1 Los identificadores en los que aparece _CVCA, slo son necesarios en el caso del servicio de red IP Infova Plus Bsico Modalidad Delegada. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 45 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. <CLAVE> <ORIGEN> <DESTINO> Donde : El primer campo, <CLAVE>, es el criterio de proxy, que puede ser: DIRIP NEMONICO TEL (Telefono llamado) El segundo campo, <ORIGEN>, representa el valor de la "CLAVE" que corresponde al paquete de origen. El tercer campo, <DESTINO>, es el identificador del cliente que corresponder al destino del paquete recibido. Se admite tambien una lnea con el valor por defecto de las redirecciones con un formato como el siguiente DEFAULT <Identificador de Cliente> A continuacin se presenta un ejemplo de este fichero: DIRIP 1.0.15.151 2 DIRIP 172.16.1.0 2 DEFAULT 2 Nota: El fichero criterios_PROXY ser utilizado en el caso de que no exista el fichero criterios_PROXY_letra. 3.4.13 Criterios_PROXY_letra En este fichero se configuran los criterios a seguir en el caso de que el servidor radius del PSI est en modo proxy por la primera letra del login del usuario. El formato de cada lnea es el siguiente: <CLAVE> <ORIGEN> <DESTINO> Donde: El primer campo, <CLAVE>, es el criterio de proxy, que puede ser: LETRA El segundo campo, <ORIGEN>, representa el valor de la "CLAVE" que corresponde al paquete de origen. No se distinguir entre maysculas y minsculas. El alfabeto considerado ser de la A-Z sin la ee. El tercer campo, <DESTINO>, es el identificador del cliente que corresponder al destino del paquete llamante. Es OBLIGATORIO incluir una lnea con el valor por defecto de las redirecciones, con un formato como el siguiente: DEFAULT <Identificador de Cliente> Telefnica Data Espaa, S.A. 18/01/02 Pg.: 46 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Un ejemplo de configuracin de dicho fichero sera: LETRA a-k 2 LETRA l-r 3 LETRA s-z 4 DEFAULT 2 Nota: Si existe el fichero criterios_PROXY_letra, ser el utilizado para hacer proxy segn los criterios especificados en el mismo. 3.4.14 fichero.pre-conv En este fichero se indican las conversiones de atributos que deben aplicarse a los paquetes Radius entrantes antes de que comience su procesamiento en el servidor Radius. Para conocer su sintaxis consltese el Anexo C Introduccin a la funcionalidad de Conversiones 1 . 3.4.15 fichero.post-conv En este fichero se indican las conversiones de atributos que deben aplicarse a los paquetes Radius una vez que se ha completado su procesamiento en el servidor Radius. Para conocer su sintaxis consltese el Anexo C Introduccin a la funcionalidad de Conversiones 2 . 3.4.16 Lista_festivos Fichero de configuracin creado para el servicio de tarifa plana, donde se encuentran el conjunto de das festivos para el ao 2001. Esta lista de festivos no se limita solamente a ese ao, sino que tambin se pueden aadir los de aos sucesivos. No obstante, debe comprobarse que los das includos en este fichero estn declarados realmente como oficiales. Los sbados y domingos "normales" son considerados tambin como das festivos, aunque no estn includos en esta lista. Cada lnea del fichero se corresponde con un festivo concreto con el formato: <AO> <MES> <DIA> donde: El primer campo, <AO>, toma valores de cuatro dgitos. El segundo campo, <MES>, toma valores entre 1 y 12. Y el tercer campo, <DIA>, toma valores entre 1 y 31. Un ejemplo de configuracin de dicho fichero sera: 1 Esta funcionalidad tan solo es accesible cuando el servidor RADIUS est en modo PROXY 2 Esta funcionalidad tan solo es accesible cuando el servidor RADIUS est en modo PROXY Telefnica Data Espaa, S.A. 18/01/02 Pg.: 47 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 2001 01 01 2001 01 06 2001 03 19 2001 04 12 2001 04 13 2001 05 01 2001 07 25 2001 08 15 2001 10 12 2001 11 01 2001 12 06 2001 12 08 2001 12 25 3.4.17 Fichero_proximo_cambio_hora Fichero de configuracin creado para el servicio de tarifa plana, donde se contemplan los dos cambios de hora oficiales que se producen cada ao. Este fichero slo podr contener UNA LINEA con la fecha del prximo cambio. El formato de cada lnea es el siguiente: <AO> <MES> <DIA> <HORA_CAMBIO> <EFECTO> donde: El primer campo, <AO>, contiene valores de cuatro dgitos. El segundo campo, <MES>, toma valores entre 1 y 12. El tercer campo, <DIA>, toma valores entre 1 y 31. El cuarto campo, <HORA_CAMBIO>, toma valores entre 0 y 23. Y el quinto campo, <EFECTO> toma uno de los dos siguientes valores: RETRASO ADELANTO Debe comprobarse que la fecha includa en este fichero est declarada realmente como fecha del cambio de hora oficial. Como ayuda se muestra como quedara el fichero con el prximo cambio de hora: # El 25 de Marzo de 2001 a las 2:00 se adelanta una hora 2001 03 25 2 ADELANTO 3.4.18 accion_llamada Fichero de configuracin creado para el servicio de tarifa plana, donde se contemplan los criterios a realizar sobre usuarios RTB que no lleven nmero llamante (o nmero A) y los criterios a realizar sobre usuarios RDSI que llamen por el mismo nmero origen. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 48 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Criterios a realizar sobre usuarios RTB que no lleven nmero llamante: Se esperan lneas con el siguiente formato: NEMONICO <nemonico> <accion> donde: <nemonico> indica el nemnico que debe aceptarse o rechazar. As pus, las conexiones de usuarios asociados a dicho nemnico que no informen del nmero de telfono llamante se les aplicar a accin asociada (aceptacin o rechazo). <accion>, puede tomar uno de los siguientes valores: ACEPTAR o RECHAZAR. LOGINNAME <loginname> <accion> donde: <loginname>, indica el loginname que debe aceptarse o rechazar. As pus, las conexiones con dicho loginname que no informen del nmero de telfono llamante se les aplicar a accin asociada (aceptacin o rechazo). <accion>, puede tomar uno de los siguientes valores: ACEPTAR o RECHAZAR. TIEMPO <segundos> donde: <segundos> indica el nmero de segundos mnimo desde que se inici la conexin activa de dicho usuario ms reciente.. As pus, las conexiones de un usuario que no informen del nmero de telfono llamante y que se realicen menos de <segundos> despus de la ltima conexin activa sern . El orden de aparicin de las lneas anteriores determina el orden de aplicacin de las reglas. Debe introducirse una lnea OBLIGATORIA con el valor por defecto, para el caso de no aplicarse ningn criterio anterior: DEFAULT <ACCION> donde: <accion>, puede tomar uno de los siguientes valores: ACEPTAR o RECHAZAR. Un ejemplo de configuracin de dicho fichero: NEMONICO terra RECHAZAR LOGINNAME usu101 ACEPTAR TIEMPO 3 DEFECTO RECHAZAR Criterios a realizar sobre usuarios RDSI con el mismo nmero origen: Cada lnea del fichero ser de la forma: IDENTIFICADOR (Nombre del parmetro), un espacio o ms y VALOR (Valor que adquiere ese parmetro). Existen los siguientes identificadores: Telefnica Data Espaa, S.A. 18/01/02 Pg.: 49 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. MISMONUMERO: Indica la accin a tomar ante una llamada RDSI realizada sobre el mismo nmero. Los valores permitidos son ACEPTAR o RECHAZAR. TIEMPORDSI: Indica el tiempo mnimo en segundos entre llamadas RDSI consecutivas. Ejemplo de configuracin: MISMONUMERO ACEPTAR TIEMPORDSI 3 3.4.19 snmp_INFOVIA Fichero de configuracin necesario para que el servidor radius acepte peticiones SNMP recibidas por el puerto SNMP habilitado para ello. Su contenido ser de la forma: IDENTIFICADOR (Nombre del parmetro), un espacio o ms y VALOR (Valor que adquiere ese parmetro). Existen los siguientes identificadores: TIEMPO_ENTRE_PETICIONES: Indica el tiempo en milisegundos, durante el cual el servidor radius esperar a atender peticiones snmp consecutivas. MODO_DEBUG: Indica si se desea debug(1) o no(0) en el fichero de trazas SNMP (snmpd.log). Un ejemplo de configuracin de dicho fichero sera el siguiente: TIEMPO_ENTRE_PETICIONES 100 MODO_DEBUG 0 3.4.20 clientes_SNMP Fichero de configuracin que contiene las direcciones IPs y los secretos de los clientes SNMP a los que se les permite realizar consultas. Cada lnea del fichero ser de la forma: ACCESO <DireccionIP> <Secreto> Donde: ACCESO es elidentificador reservado (Nombre del parmetro). DireccionIP es la direccin de la maquina cliente snmp (formato: xx.xx.xx.xx siendo xx cualquier nmero del intervalo 0-255). Secreto es el palabra clave asociada a ese cliente (formato: cualquier string). Un ejemplo de configuracin de dicho fichero sera el siguiente: ACCESO 123.24.3.134 claveinf ACCESO 192.167.22.4 clavesecreta Telefnica Data Espaa, S.A. 18/01/02 Pg.: 50 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 3.4.21 configuracion.routers Fichero empleado por la herramienta liberar_dirIP para definir los datos de los equipos a interrogar por SNMP para determinar las direcciones IP pilladas. Ejemplo de fichero configuracion.routers: # DireccionIP COMUNITY TIMEOUT(microsg) REINTENTOS 193.130.7.1 public 1000000 2 Telefnica Data Espaa, S.A. 18/01/02 Pg.: 51 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 4 Operacin 4.1 Ejecucin del Servidor Radius 4.1.1 Solaris 2.5.1 y Linux Una vez instalado el paquete y realizada la configuracin del servidor RADIUS tal y como se especifica en los captulos anteriores, existen 2 opciones: Si se desea emplear una librera dinmica, el ejecutable a utilizar es el radiusddll (consultar el Apartado 4.2.2 radiusddll para ver todas la opciones) : radiusddll -d <directorio_configuracin> -a <directorio_contabilidad> Si no se desea emplear libreras dinmicas el ejecutable utilizado es el radiusd. Para lanzarlo, debe ejecutarse el comando ( pueden consultarse todas las opciones del servidor en el Apartado 4.2.1 radiusd ): radiusd -d <directorio_configuracin> -a <directorio_contabilidad> 4.1.2 Windows NT Para lanzar el servidor RADIUS debe usarse el siguiente comando: start radiusnt -d <directorio_config.> -a <directorio_contabilidad> 4.2 Ejecutables del servidor RADIUS En este captulo se presentan la sintaxis delos ejecutables con las siguientes convenciones: [...] indica un elemento opcional. En el caso de no incluirlo, se tomar el valor por defecto que se indica en la explicacin del elemento correspondiente. {...} Indica que se debe incluir una de las opciones que aparecen entre { y }. <...> representa un parmetro a sustituir. En el caso de no incluirlo o de incluir un valor errneo (p.e. directorio que no existe), se producir un error. Los ficheros ejecutables del servidor RADIUS, situados en el directorio de instalacin son los siguientes: 4.2.1 radiusd Es el fichero ejecutable del servidor RADIUS. Las opciones con las que se ejecuta son las siguientes: radiusd [-d <directorio_configuracion_radius>] [ -a <directorio_contabilidad_radius>] Telefnica Data Espaa, S.A. 18/01/02 Pg.: 52 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. [ -u <fichero de usuarios_radius> ] [ - x <nivel_trazas>] [ -X ] [ -v ] Las opciones, junto con sus valores por defecto, se explican a continuacin:: -d <directorio_configuracion_radius>. Directorio en el que se encuentran los ficheros de configuracin del servidor RADIUS que se describen en el siguiente apartado. Por defecto se tomar el directorio /etc/raddb y c:\raddb para Windows NT. -a <directorio_contabilidad_radius>. Directorio donde se deposita la informacin de contabilidad (ver Apartado 4.3 Contabilidad). -u <fichero_usuarios_radius>. Fichero donde se definen los usuarios que tienen acceso al PSI, as como sus caractersticas. Por defecto se tomar el fichero denominado usuarios_INFOVIA en el directorio raddb, bajo el directorio de instalacin correspondiente. -x <nivel_trazas>. Si se indica esta opcin se registrarn las trazas de nivel 1 a 8 1 , sobre el funcionamiento del sistema, dependiendo del valor adquirido por <nivel_trazas> . Los ficheros de trazas se crean en directorio de configuracin indicado y se denominan TRAZAS_INFOVIA y TRAZAS_INFOVIA_ERR. En el caso de no especificar el nivel se tomar nivel 1 por defecto. -X. Con esta opcin se permiten activar las trazas de Nivel 2 (Los mensajes aparecen en hexadecimal) -v. Permite consultar la versin del servidor. Nota: En mquinas UNIX el uso de las opciones -x y -X impide que radiusd acte como demonio. Nota: Para la funcionalidad de acceso por protocolo SNMP, tanto este ejecutable como el radiusddll, el servidor RADIUS soporta las versiones 1 y 2 de SNMP. 4.2.2 radiusddll Es el fichero ejecutable del servidor RADIUS que usa libreras dinmicas. Las opciones con las que se ejecuta son las mismas que las utilizadas por el servidor RADIUS (radiusd), es decir: radiusddll [-d <directorio_configuracion_radius>] [ -a <directorio_contabilidad_radius>] [ -u <fichero de usuarios_radius> ] [ - x <nivel_trazas>] [ -X ] [ -v ] 1 Las trazas de nivel 1 presentan un registro de los mensajes con explicaciones textuales. Las trazas de nivel 2 presentan los mensajes Radius en formato hexadecimal. Las trazas de niveles 3-8 presentan las trazas de la conversin de atributos (el nivel 3 representa un menor detalle y el nivel 8 el mayor). Telefnica Data Espaa, S.A. 18/01/02 Pg.: 53 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Las libreras dinmicas ofrecen tres tipos de funcionalidades, adems de las proporcionadas por el servidor Radius (radiusd) del apartado anterior: o Acceso a bases de datos de usuarios y mensajera. Se puede usar una librera dinmica para poder acceder a una fuente de datos de perfiles de usuarios distinta a la que se ofrece por defecto (en forma de fichero plano, el denominado usuarios_INFOVIA). Se ofrece una librera dinmica para el acceso a bases de datos en formato dbm (libInfoviadbm.so 1 ), aunque el usuario puede desarrollar la suya propia con los fuentes de las mismas que se proporcionan en el directorio lib (bajo el directorio de instalacin) de la distribucin. Si se utiliza la base de datos dbm cada vez que se incluya o elimine un usuario en el fichero usuarios_INFOVIA habr que utilizar el programa builddbm 2 . En la versin para Windows NT slo se proporcionan la librera radinfoviamsj.lib. Para usarla debe copiarse en el directorio de ejecucin del servidor radius con el nombre RadInfovia.lib. Se proporciona el cdigo fuente de estas libreras junto con los makefiles correspondientes, de manera que se pueda programar el acceso a otra base de datos. La informacin de esta librera se presenta en el Anexo A o Conversion de atributos 3 . El usuario puede especificar la sustiticin, adicin o eliminacin de atributos del paquete Radius, mediante unos ficheros de configuracin de esta librera (libFiltro.so 1 ), o bien especificar su propia funcin de conversion de atributos modificando las funciones de la librera. La informacin detallada de esta librera se presenta en el Anexo B. o Obtencin de calidades (libCalidades.so). Recibe como parmetro la informacin del usuario que solicita una direccin IP, el usuario puede especificar la calidad de la direccin IP que se le debe asignar. La informacin detallada de esta librera se presenta en el Anexo C o Encriptacin de loginnames y passwords (libcripto.so). El usuario puede utilizar ficheros de definicin de perfiles de usuario, bien en modo texto plano o bien en modo DBM, encriptados mediante el comando encriptar. La informacin de esta librera se presenta en el Anexo B API para desarrollo de aplicaciones encriptadas.. 4.2.3 rad_tool. Este ejecutable permite las siguientes opciones: rad_tool [-v] [-d <directorio_configuracin>] [-a <directorio_contabilidad>] [usuarios_conectados] [desconectar_ usuario <dir_ip>] 1 Librera disponible para las plataformas Solaris y Linux. 2 Existen ejecutables que permiten acortar este procedimiento; estos son builddbmmas (para aadir usuarios) y builddbmmen (para eliminar usuarios). 3 El formato de un paquete Radius y la significacin del trmino atributo del paquete Radius se explica en el Apartado 1.3.1 Paquetes Radius Telefnica Data Espaa, S.A. 18/01/02 Pg.: 54 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. [reutilizar_direccion <dir_ip>] [parar_radius] [ver_status] [liberar_direccion_delegada <dir_ip>] [enviar_stop_psi <dir_ip>] [ver_usuario <usuario>] [numero_usuarios_conectados] [activar_trazas_1][desactivar_trazas_1] [activar_trazas_2][desactivar_trazas_2] [activar_trazas <nivel_trazas>] + Opciones generales -v muestra la versin de la herramienta. -d <directorio_configuracin> permite buscar el archivo de configuracin de la herramienta cfg_OPERADOR_INFOVIA en un directorio diferente del que se lanza esta aplicacin ( ./ por defecto). parar_radius fuerza la parada del servidor RADIUS. activar_trazas_1, activar_trazas_2 activa las trazas de nivel 1 y 2 respectivamente. desactivar_trazas_1, desactivar_trazas_2 desactiva las trazas de nivel 1 y 2 respectivamente. activar_trazas <nivel_trazas>, activa las trazas del nivel que se especifique en el parmetro posterior. ver_usuario <usuario>, permite obtener el nmero de sesiones que tiene un usuario concreto. El resultado se muestra en un fichero de texto Estado_del_usuario que contiene el resultado de la consulta. numero_usuarios_conectados, permite obtener el nmero total de usuarios que estn conectados en un momento dado. El resultado de esta consulta se vuelca en un fichero de texto llamado Numero_de_usuarios. + Opciones para clientes SW -a <directorio_contabilidad> permite buscar los ficheros de contabilidad en en un directorio diferente del que se lanza esta aplicacin ( ./ por defecto). Se emplea para la opcin [usuarios_conectados]. usuarios_conectados, busca en los ficheros de contabilidad (archivos que almacenan la informacin de contabilidad para una direccin IP de un cliente SW) las direcciones IP de los usuarios conectados y que no han sido asignadas por el servidor RADIUS en cuestin. Esta opcin resulta til para conocer qu direcciones pueden liberarse con la opcin liberar_direccin_delegada. Si se emplea junto a la opcin -a los ficheros de contabilidad se buscarn en el directorio <directorio_contabilidad>/<IP_CVCA>. Si no se incluye, por defecto se buscarn en el directorio actual. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 55 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. liberar_direccion_delegada 1 <dir_ip> libera y desconecta la direccin IP dir_ip de las asignadas por el RADIUS del CVCA. Esta opcin funciona tan slo en el caso de que el cliente SW sea el CVCA de la red IP de Espaa. + Opciones para clientes HW reutilizar_direccin <dir_ip> libera la direccin IP dir_ip del pool de direcciones de un PSI. De esta manera la direccin liberada est disponible para ser asignada a un usuario que se conecte. ver_status.Permite consultar el estado del servidor RADIUS en el momento actual, es decir, usuarios conectados y direcciones IP que quedan libres. Con esta opcin se crean los ficheros: Estado_del_cliente_aa.bb.cc.dd (donde aa.bb.cc.dd es la direccin de cada cliente RADIUS), con los usuarios conectados en ese momento en el cliente dado, y Estado_del_pool_X (donde X es el identificador de cada pool) con las direcciones libres en ese pool. + Opciones para modo proxy enviar_stop_psi <dir_ip> envia un paquete de stop al servidor Radius final que tenga tenga asignada la direccin IP que se especifica como parmetro. Se suele utilizar junto con la opcin liberar_direccion_delegada o reutilizar_direccion para que el servidor Radius en modo proxy pueda volver a disponer de una direccin IP que estaba previamente asignada. + Opciones que se mantienen por compatibilidad con la antigua Infova desconectar_usuario <dir_ip> desconecta un usuario de un PSI con direccin IP dir_ip. Debe incluirse la direccin IP de la mquina donde reside el Radius del PSI en el fichero clientes_hw_INFOVIA o en el fichero redIP_delegado con identificador 1000 tal como aparece en el siguiente ejemplo: <IP_PSI> <SECRETO_PSI> <UDP_RAD_TOOL> 1000 Donde <IP_PSI>, <SECRETO_PSI> y <UDP_RAD_TOOL> son los que figuran en el fichero cfg_OPERADOR_INFOVIA. Se muestra a continuacin un ejemplo de la salida que se produce ante una peticin de liberacin de direccin en el caso de cliente SW y particularmente para el servicio Infova Plus Bsico Modalidad Delegada: $ ./rad_tool liberar_direccion_delegada 1.1.1.1 Codigo de respuesta: 41 2 1 Esta opcin funciona tan slo en el caso de que el cliente SW sea el CVCA de la red IP, ya que requiere una extensin en el protocolo Radius. Es decir, funciona para el servicio Infova Plus Bsico Modalidad Delegada de la red IP. 2 Los cdigos de los mensajes se presentan en el Anexo E Cdigos de Respuesta Telefnica Data Espaa, S.A. 18/01/02 Pg.: 56 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Identificador_recibido: 35 , identificador_enviado: 35 La sesion ya finalizo o la direccion IP no esta asignada a ese proveedor En el caso de que se haya producido un error o existan problemas de comunicacin con el servidor RADIUS del CVCA la salida es la siguiente: $ ./rad_tool liberar_direccion_delegada 1.1.1.1 Temporiza ... id 181 Codigo de respuesta: 0 Identificador_recibido: 0 , identificador_enviado: 181 Problema de conexion con el servidor. Nota: Se proporciona una interfaz grfica (ver Anexo de "INTERFAZ DE OPERACION WEB") que permite realizar las operaciones ms bsicas de este comando de una forma ms amigable. 4.2.4 simula Esta aplicacin simula el funcionamiento de un cliente RADIUS, software o hardware. Su utilidad consiste en enviar peticiones radius al servidor RADIUS del PSI para probar su correcta configuracin y comportamiento. Para utilizar el simulador deben realizarse los siguientes pasos: 1. En el fichero de clientes del servidor radius, clientes_hw_INFOVIA si desea utilizarse el simulador como un cliente hardware o redIP_delegado si se desea emplear como cliente software, se debe aadir una nueva definicin de cliente radius con la direccin IP de la maquina donde se est ejecutando el simulador. 2. Configurar el fichero cfg_OPERADOR_INFOVIA situado en el directorio de bateria correspondiente, por ejemplo: UDP_PSI 1645 IP_PSI 127.0.0.1 SECRETO_PSI Operador La forma de utilizarlo, desde el directorio de bateria de pruebas correspondiente, es: ../bin/simula { Auth | Start | Stop } <Archivo> Auth, para simular el envo de un paquete de peticin de autentificacin al PSI. El contenido del paquete de peticin de autentificacin est en <Archivo>, que tambin contiene los para los paquetes de accounting de Start y Stop. Start,para simular un paquete de comienzo de tarificacin para el usuario almacenado en <Archivo>. Stop,para simular un paquete de liberacin de la conexin y fin de tarificacin del usuario almacenado en <Archivo>. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 57 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. <Archivo> contiene los paquetes de Auth, Start y Stop, con sus atributos respectivos. Cada lnea tiene el nombre de un atributo, el signo =, y un valor. No se pueden cambiar, aadir o quitar nombres de atributos, pudiendo nicamente modificar los valores. En el directorio bateria_infovia se suministran ejemplo de Archivo para simular conexiones desde un cliente hardware. Se puede ejecutar el script bateria de dicho directorio para realizar de forma seguida todas las conexiones definidas en los ficheros. En el directorio bateria_delegado se suministra un ejemplo de Archivo para simular conexiones desde un cliente software. Se puede ejecutar el script bateria de dicho directorio para realizar de forma la conexin definida en dicho fichero. Nota: En el caso de querer quitar o aadir atributos, es necesario editar el cdigo fuente 1 y recompilarlo. Nota: La ejecucin de las baterias de pruebas precisa la utilizacin de los perfiles de usuario existentes en el fichero usuarios_INFOVIA disponible tras la instalacin. 4.2.5 builddbm 2 Es una aplicacin que permite la creacin de una base de datos dbm a partir de un fichero de texto. Para consultar el formato del fichero de texto a partir del cual se puede generar la base de datos (ver Apartado 3.4.8 usuarios_INFOVIA.). La sintaxis es la siguiente: builddbm[-d <directorio_configuracion>] [-u <fichero de usuarios>][-v] -d <directorio_configuracion>, permite buscar el fichero de perfiles de usuario en un directorio diferente del que se lanza esta aplicacin (./ por defecto). -u <fichero de usuarios>, sirve para especificar el nombre del fichero de perfiles de usuario. -v, presenta la versin del ejecutable no generando la base de datos dbm. 4.2.6 builddbmmas 3 Este ejecutable se encarga de insertar uno o varios usuarios en una base de datos en formato DBM. De esta forma, se evita realizar la insercin de dichos usuarios en el fichero de texto en que se encuentran los actuales usuarios registrados en la base y regenerar por completo la base DBM a partir del mismo. La sintaxis es la siguiente: builddbmmas [-d <directorio_configuracion>] [-e] [-h] [-u <fichero_usuarios_radius>] [-v] Nota: 1 El cdigo fuente est en el directorio lib. 2 Este comando no est disponible para la plataforma Windows NT. 3 Este comando no est disponible para la plataforma Windows NT. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 58 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. -d <directorio_configuracion>. Es el directorio donde se encuentran los distintos archivos de configuracin del servidor radius. Por defecto es /etc/raddb. -e.Permite redirigir la salida a la stdout, en lugar de a la stderr (por defecto). -h. Imprime por pantalla la ayuda con las opciones disponibles. -u <fichero_usuarios_radius>. Indica el fichero de texto donde se encuentran los nuevos usuarios radius a aadir a la base de datos DBM. Se buscar en el directorio de configuracin un fichero de nombre <fichero_usuarios_radius>.mas. As pus, en esta opcin se indicar tan solo el nombre del fichero sin extension. El valor por defecto es usuarios_INFOVIA. El formato de este fichero ser idntico al utilizado para el fichero de perfiles de usuario en modo texto. -v. Activa el modo "verbose" que imprime por salida estndar la evolucin de las distintas operaciones de aadido de usuarios. Con esta opcin aparece la versin del ejecutable. 4.2.7 builddbmmen 1 Este ejecutable se encarga de eliminar un usuario de una base de datos en formato DBM, sin tener que realizar la operacin de borrado en el archivo de texto correspondiente y regenerar por completo la base DBM. La sintaxis es la siguiente: builddbmmen [-d <directorio_configuracion>] [-e] [-h] [-u <fichero_usuarios_radius>] -n <usuario_a_borrar> -d <directorio_configuracion>. Es el directorio donde se encuentran los distintos archivos de configuracin del servidor radius. Por defecto es /etc/raddb -e . Permite redirigir la salida a la stdout, en lugar de a la stderr (por defecto) -h . Imprime por pantalla la ayuda con las opciones disponibles -u <fichero_usuarios_radius>. Es el nombre de los ficheros donde se encuentran los perfiles de usuarios radius en formato DBM, sin extensin. Es decir, si tenemos una base de datos DBM, tendremos dos archivos, de la forma <fichero_usuarios_radius>.dir y <fichero_usuarios_radius>.pag. El valor por defecto es usuarios_INFOVIA. De esta base de datos DBM se borrar el perfil del usuario que se especifique. -n <usuario_a_borrar>. Especifica el username del usuario que se desea eliminar 4.2.8 liberar_dirip.sh (liberacin de direcciones IP no reutilizadas) 2 En algunas ocasiones los servidores de terminales no registran adecuadamente la finalizacin de la sesin de un usuario y no se enva el correspondiente registro, o por algn motivo el 1 Este comando no est disponible para la plataforma Windows NT. 2 Este comando slo est disponible para plataformas Solaris. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 59 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. servidor RADIUS no recibe ese registro. En ese caso, las direcciones IP asignadas a la sesin continuarn asignadas mientras que no se liberen de forma explcita (utilizando el programa rad_tool suministrado con el RADIUS). El script liberar_dirip.sh identifica de forma automtica las direcciones IP que tienen que liberarse en estos casos, y si se le pide, las libera tambin, ofreciendo un informe de las operaciones realizadas. La herramienta puede ejecutarse en dos modos: modo informe, en el que solamente se identifican las direcciones IP no reutilizadas, pero no se liberan. modo liberacin, en el que adems, se liberan las direcciones IP no reutilizadas por el RADIUS. Descripcin El uso del script se detalla a continuacin: liberar_dirip.sh [-c directorio] [-e directorio] [-f fichero] [-t directorio] [-dHhisv] -c directorio: Es el directorio en el que se encuentran los ficheros de configuracin del servidor RADIUS de PSI. En caso de que no se pase como parmetro se buscar por defecto en el directorio /opt/radius/raddb. -e directorio: Es el directorio en el que se encuentran instalados los ejecutables del servidor RADIUS de PSI. En concreto, se necesita la herramienta rad_tool. En este directorio se van a instalar tambin los scripts que se utilizan para la liberacin de direcciones. En caso de que no se pase este parmetro se buscar por defecto en el directorio /opt/radius/ bin. -f fichero: Es el nombre del fichero de informe de resultados. Su valor por defecto es informeAAAAMMDDhhmmss.txt dentro del directorio de configuracin de RADIUS, donde AAAAMMDDhhmmss indica la fecha y hora de inicio de ejecucin. Esta opcin es vlida tanto en el modo informe como en el modo liberacin. -t directorio: Es el directorio en el que se van a ir dejando los ficheros intermedios generados durante el proceso. Su valor por defecto es un directorio llamado datos que cuelgue del directorio de configuracin del RADIUS. -d: Muestra informacin adicional del proceso durante su ejecucin (depuracin). Por defecto esta opcin est deshabilitada. -H: Genera el informe en formato HTML. Por defecto, el informe de salida es ASCII. -h: Muestra la ayuda. -i: La ejecucin ser en modo informe. Por defecto, se realiza la ejecucin en modo liberacin. -s: Esta opcin impide que se muestren mensajes por la pantalla (silencioso). Es til en el caso de que se quiera incluir el comando en el cron. Por defecto, est deshabilidata. -v: Muestra la versin del script. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 60 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. En el modo de funcionamiento por defecto, el script considera que la herramienta rad_tool est instalada en /opt/radius/bin, que la configuracin del RADIUS se coge de /opt/radius/ raddb; el directorio de ficheros temporales es /opt/radius/raddb/datos; se ejecuta en modo liberacin, sin depuracin, y los mensajes que aparecen por pantalla se pueden consultar tambin en el fichero liberar_dirip.sh.AAAAMMDDhhmmss del directorio de configuracin de RADIUS. Configuracin El script utiliza los siguientes directorios:: directorio de ficheros temporales. . Adems, en este directorio se van a generar los ficheros temporales necesarios para el funcionamiento del script. Este directorio es el directorio datos, y que, por defecto, colgar del directorio de configuracin del RADIUS. directorio de ejecutables del RADIUS. En este directorio se encuentra el ejecutable rad_tool y los scripts que se necesitan en el proceso. directorio de configuracin del RADIUS. Es el directorio en el que se va a consultar la configuracin del RADIUS. Adems, contiene la configuracin necesaria para el script. En este directorio se guardan por defecto los informes de ejecucin y un fichero con un resumen de la ejecucin (liberar_dirip.sh-AAAAMMDDhhmmmss.log). El operador tendr que configurar el fichero "configuracion.routers" (directorio de configuracin del RADIUS), que tiene una lnea por cada terminador de tneles que realiza peticiones contra el servidor RADIUS. El formato de cada lnea viene determinado por el orden de los campos dentro de cada lnea, separados entre ellos por espacios en blanco: la direccin IP del equipo. Este parmetro ser obligatorio. la comunidad de acceso (community) a los datos de la MIB. Este parmetro es obligatorio. el nmero de reintentos de las peticiones SNMP. Este parmetro es opcional y tomar un valor por defecto en caso de que no se indique ningn valor. Este parmetro resultar til en aquellas configuraciones en las que la comunicacin con el router no se realice por lneas de gran velocidad o el equipo tenga una importante carga de trabajo. el tiempo de espera en caso de incomunicacin. Este parmetro es opcional y tomar un valor por defecto en caso de que no se indique ningn valor. Este parmetro resultar til en aquellas configuraciones en las que la comunicacin con el router no se realice por lneas de gran velocidad o el equipo tenga una importante carga de trabajo. Si no existe este fichero de configuracin, no se podr utilizar el script. Crontab Para realizar la comprobacin peridicamente, habr que crear (o modificar si ya existe) un fichero crontab donde se programar la ejecucin del comando. Se utiliza el comando "crontab -e" para editar o crear un fichero crontab (por defecto el editor utilizado es ed , Telefnica Data Espaa, S.A. 18/01/02 Pg.: 61 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. fijando la variable de entorno EDITOR se puede cambiar el editor utilizado), y con el comando "crontab -l" se puede ver el contenido de dichos ficheros. La estructura del fichero crontab debe tener los siguientes campos (Un carcter * en el valor de un campo indica todos los valores posibles): campo_1 campo_2 campo_3 campo_4 campo_5 comando donde: campo_1: Minutos, con valores comprendidos entre 0 y 59 campo_2: Hora, con valores comprendidos entre 0 y 23. campo_3: Da del mes, con valores comprendidos entre 1 y 31. campo_4: Mes, con valores comprendidos entre 0 y 11. campo_5: Da de la semana, con valores comprendidos entre 0 y 7 (Domingo 0 7). comando, indica el comando que debe ejecutarse, con el path completo. As, si quisieramos que la herramienta se ejecute todos los domingos (0) y jueves (4) a las 03:10 horas, generando un informe en HTML, sin mostrar mensajes, la entrada a introducir sera: 10 3 * * 0,4 /opt/radius/liberar_dirip/liberar_dirip.sh -H -s Se debe fijar la ejecucin del comando de forma que no se solapen unas ejecuciones con otras, puesto que se corromperan los ficheros de datos intermedios que se utilizan. Para evitar esta circunstancia, el script comprueba si ya hay una copia ejecutndose y si es as, no contina ejecutndose. De cualquier manera, el script puede ser ejecutado a mano en cualquier momento. Es conveniente recordar que si se incluye este comando en el crontab, el entorno de ejecucin puede ser distinto del entorno shell habitual. Se recomienda que se ejecute una vez en modo informe para asegurar la correcta configuracin del entorno, y que se utilicen rutas absolutas en todos los casos en que sea requerida una ruta o fichero. 4.3 Contabilidad Se denomina directorio de contabilidad al directorio donde se deposita la informacin de contabilidad. En dicho directorio se crear un subdirectorio cuyo nombre ser la direccin IP de cada uno de los clientes (tanto clientes hardware como clientes software) y en el cual se crear un fichero denominado detalle 1 que contiene la informacin de contabilidad. Se puede especificar el directorio en el arranque del servidor (ver Apartado 4.2.1 radiusd y Apartado 4.2.2 radiusddll ). Si no se especifica en el arranque se tomar por defecto el directorio /usr/adm/radacct y c:\radacct para Windows NT. 1 Se puede crear un nico fichero de contabilidad llamado detalle en el directorio de contabilidad si se especifica la opcin DETALLE_UNICO en el fichero de clientes (clientes_hw_INFOVIA o redIP_delegado) Telefnica Data Espaa, S.A. 18/01/02 Pg.: 62 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. En este fichero se muestran todos los paquetes de contabilidad , Start y Stop, procedentes de un cliente RADIUS con una direccin IP dada. Se muestra el tipo de paquete, y los nombres de los atributos con su valor. El nombre del atributo que se muestra es el que aparece junto al cdigo correspondiente en el fichero diccionario_infovia. Si se desea cambiar el formato, se puede utilizar el API del Anexo A y concretamente el mdulo EscribeFac. A continuacin se muestra un ejemplo: 24-03-2000 12:00:28 User-Name = "dbuser" NAS-IP-Address = 172.16.1.0 NAS-Port = 1298 NAS-Port-Type = Sync Acct-Status-Type = Start Acct-Delay-Time = 0 Acct-Session-Id = "298" Acct-Authentic = RADIUS Calling-Station-Id = "1432" Called-Station-Id = "1055" Framed-Protocol = PPP Framed-Address = 22.0.27.116 24-03-2000 12:00:31 User-Name = "dbuser" NAS-IP-Address = 172.16.1.0 NAS-Port = 1298 NAS-Port-Type = Sync Acct-Status-Type = Stop Acct-Delay-Time = 0 Acct-Session-Id = "298" Acct-Authentic = RADIUS Acct-Session-Time = 31 Acct-Input-Octets = 2773 Acct-Output-Octets = 1986 Acct-Input-Packets = 39 Acct-Output-Packets = 30 Ascend-Disconnect-Cause = 45 Ascend-Connect-Progress = 60 Ascend-Data-Rate = 64000 Ascend-PreSession-Time = 3 Ascend-Pre-Input-Octets = 142 Ascend-Pre-Output-Octets = 125 Telefnica Data Espaa, S.A. 18/01/02 Pg.: 63 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Ascend-Pre-Input-Packets = 8 Ascend-Pre-Input-Packets = 8 Ascend-First-Dest = 10.0.1.1 Calling-Station-Id = "1432" Called-Station-Id = "1055" Framed-Protocol = PPP Framed-Address = 22.0.27.116 4.3.1 Gestin Automtica de los Ficheros de Detalle 1 La herramienta proporcionada permitir realizar la compresin de el/los ficheros de detalle (registros de contabilidad) del Servidor Radius. Dicha compresin se efectuar agrupando todos los ficheros de contabilidad en un nico fichero en formato tar que posteriormente ser comprimido. La gestin por tiempo permitir configurar en detalle da y hora de realizacin. La gestin por ocupacin ser a travs de un parmetro configurable que especifique el umbral de mxima ocupacin del sistema de ficheros donde se encuentre el directorio de contabilidad del Radius. Se ha incluido un sistema de semforos que impide que se puedan anidar llamadas a la herramienta que usen el mismo fichero de configuracin => Evitar que dos procesos trabajen sobre los mismos ficheros de detalle. El semaforo funciona de la siguiente manera: Cuando comienza la ejecucin de la herramienta se inicializa un fichero temporal que contiene el path exacto donde est el fichero de configuracin. Si se lanza otra ejecucin de la herramienta lo primero que se hace es comprobar si existe dicho fichero temporal. Si no existe se contina la ejecucin, y si existe se comprueba que el path que contiene no coincida con el del fichero de configuracin de la actual ejecucin. Si coinciden se da un mensaje de error en el fichero de trazas y se da por finalizada la ejecucin. Si no coinciden, se contina con el proceso normalmente inicializando el correspondiente fichero de semforo. Los ficheros sin comprimir desaparecern cuando se compriman, pero en el caso de que surgiera un error durante el proceso, los ficheros no comprimidos no se eliminarn. Descripcin El uso del script se detalla a continuacin: gestion_log.sh -o {0 | 1} [-c <configfile>] [-t <logfile>] 0, 1: Indica si se ha de comprimir en cualquier caso (0) o slo si se pasa el margen de mxima ocupacion del sistema de ficheros donde se encuentra el directorio (1). 1 Esta herramienta no est disponible para la plataforma Windows NT. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 64 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. configfile: Path completo donde est el fichero de configuracin de la aplicacin. En caso de que no se pase como parmetro se buscar por defecto en el directorio: /opt/radius/ raddb. logfile: Path completo donde est el fichero de trazas de la aplicacin. En caso de que no se pase como parmetro se escribir por defecto en el fichero: /tmp/trazas_gest_log.txt El operador tendr que configurar el fichero "gestion_log.cnf" de donde el script lee los siguientes parmetros: FILE_LOG: Directorio donde estn los ficheros de detalle a comprimir. FILE_COMPRESS: Directorio donde almacenar los ficheros de detalle comprimidos. Para optimizar los recursos del sistema, se recomienda al operador que los site en un sistema de ficheros diferente del usado por el servidor Radius para almacenar los ficheros de log. FILE_LOG_NAME: Nombre de los ficheros de detalle. PORCEN_MAX_OCUPACION_PERMITIDO: Porcentaje de ocupacin mximo permitido por encima del cual hay que comprimir los ficheros de log. No hay que poner el tanto por ciento () al final. El valor de est variable debe ser mayor que 0 y menor que 100. Si el fichero de configuracion no se encuentra, se cargarn los valores por defecto en las variables. El script escribe trazas en el fichero "trazas_gest_log.txt" dentro del directorio que se le pasa como parmetro (en caso de que no se pase o se cometa algn error en la sintaxis del comando se escribirn en el directorio /tmp). Inicializa las mismas con la fecha completa del momento del arranque de la aplicacin. En caso de no querer trazas, se debe poner como fichero /dev/null. En el fichero de trazas se informa de los posibles errores ocurridos en la ejecucin del script. Tambin se informa del desarrollo de la ejecucin, nombre de los ficheros que se comprimen y borran, nombre y ubicacin del fichero generado, etc. Cada ejecucin comienza por una cabecera en la que se indica la fecha y hora de comienzo de la misma y la versin del ejecutable, tal y como se muestra a continuacin: ************************************ VERSION: 1.00.00 ARRANQUE: Mon Jun 12 19:04:50 2000 ************************************ El fichero comprimido que se genera se nombra de la siguiente manera: Nombre de los ficheros de detalle_fecha.tar.Z as por ejemplo, si el nombre de los ficheros de detalle es: "detalle", y la hora del sistema es: "Tue May 16 12:20:25 2000", el nombre del fichero ser: "detalle_12:20:25_16-05-2000.tar.Z". Para agrupar los ficheros se usa el comando tar. El nombre de los ficheros aadidos se escribe en las trazas. El compresor usado es "compress". Para realizar la gestin por tiempo, habr que crear (o modificar si ya existe) un fichero crontab donde se programar la ejecucin del comando. Se utiliza el comando "crontab -e" para editar o crear un fichero crontab (por defecto el editor utilizado es ed , fijando la Telefnica Data Espaa, S.A. 18/01/02 Pg.: 65 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. variable de entorno EDITOR se puede cambiar el editor utilizado), y con el comando "crontab -l" se puede ver el contenido de dichos ficheros. La estructura del fichero crontab debe tener los siguientes campos (Un carcter * en el valor de un campo indica todos los valores posibles): campo_1 campo_2 campo_3 campo_4 campo_5 comando donde: campo_1: Minutos, con valores comprendidos entre 0 y 59 campo_2: Hora, con valores comprendidos entre 0 y 23. campo_3: Da del mes, con valores comprendidos entre 1 y 31. campo_4: Mes, con valores comprendidos entre 0 y 11. campo_5: Da de la semana, con valores comprendidos entre 0 y 7 (Domingo 0 7). comando, indica el comando que debe ejecutarse, con el path completo. As, si quisieramos que la herramienta se ejecute todos los domingos (0) y jueves (4) a las 03:10 horas, que sea cual sea el nivel de ocupacin del sistema de ficheros donde se encuentran los ficheros de detalle, se compriman y borren los mismos, la entrada a introducir sera: 10 3 * * 0,4 /opt/radius/bin/gestion_log.sh /opt/radius/raddb -o 0 -c /opt/radius/raddb -t /tmp De cualquier manera, el script puede ser ejecutado en cualquier momento. El operador puede elegir si desea que slo se compriman los ficheros en caso de que se sobrepase el umbral de mxima ocupacin permitida del sistema de ficheros que haya definido o que se ejecute indiferentemente del valor de ste. Procedimiento para recuperar el fichero original Para desagrupar los ficheros usar el comando: tar xvf <nombre_fichero.tar> Para descomprimir usar el comando: /usr/bin/uncompress <nombre_fichero.Z> 4.3.2 Obtencin de Estadsticas 1 Se presenta a continuacin un script que se provee en el paquete distribuido. Hay que mencionar tambin que existen herramientas freeware que pueden ser de utilidad, y que se presentan brevemente en el anexo de referencias. 1 Esta herramienta solo est disponible para la plataforma Solaris. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 66 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 4.3.2.1 Script "ver_estadisticas.sh"- Este script se encarga de obtener una serie de estadsticas sobre los ficheros de logs obtenidos por el Servidor Radius del PSI. Estas estadsticas se podrn presentar de forma agregada o por cliente y adems formateadas en HTML o tabularmente para su posterior tratado con un navegador o herramienta ofimtica. La sintaxis de dicho script es la siguiente: ver_estadisticas.sh 1 [-d <directorio_configuracion>] [-p {Cliente | Agregado} ] [-r {Html | Tabular} ] -o { Num_llmd | Num_llmd_IP | Tiempo_promedio_cnx | Tlfn_mas_frec [-l <tamao_lista>] | Tlfn_dif | Trafico_octetos | Ratio_cnx [-l <tamao_lista>] | Causa_dcnx [-l <tamao_lista] | Cliente_desc | Usuario_desc | Distinto_sec | Pools_agotados | Password_erronea | Num_llmd_sin_duplicados } -t {Hoy | Todo | <dd/mm/yyyy_inicio> -f <dd/mm/yyyy_final>} A continuacin se explican las opciones: -d <directorio_configuracion> Con esta opcin se permite indicar el directorio donde se encuentra ubicado el fichero de configuracin de la herramienta. Si no se selecciona dicha opcin o el directorio indicado no existe, se tomar la ruta "/opt/radius/ raddb" como directorio de configuracin por defecto. -p [Cliente | Agregado] Las estadsticas podrn ser presentadas agrupndolas por Terminador de Tnel, o de manera agregada, excepto las estadsticas obtenidas por las opciones Cliente_desc, Usuario_desc, Distinto_sec, Pools_agotados y Password_erronea, que slo se presentarn de manera agregada. 1 No es recomendable que se ejecute como usuario "root" en mquinas monoprocesador, porque ante ficheros de estadsticas bastante grandes, puede llegar a ocupar un porcentaje alto de CPU." Telefnica Data Espaa, S.A. 18/01/02 Pg.: 67 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Por defecto, si no se selecciona ninguna de las dos posibilidades o se introduce una entrada errnea, se mostrar una pequea ayuda de como ejecutar la herramienta. -r [Html | Tabular] Las estadsticas, adems, podrn ser formateadas en HTML o tabularmente (para su procesamiento posterior en una hoja de clculo). Para ello, la salida de la ejecucin de este script deber redirigirse a un fichero con extension HTML o a un fichero de texto. Por defecto, si no se selecciona ninguna de las dos posibilidades o se introduce una entrada errnea, el resultado de la ejecucin del script se mostrar por la lnea de comandos. -o {Num_llmd | Num_llmd_IP | Tiempo_promedio_cnx | Tlfn_mas_frec [-l <tamao_lista>] | Tlfn_dif | Trafico_octetos | Ratio_cnx [-l <tamao_lista>] | Causa_dcnx [-l <tamao_lista> ] | Cliente_desc | Usuario_desc | Distinto_sec | Pools_agotados | Password_erronea | Num_llmd_sin_duplicados} Con esta opcin se elige qu estadstica se quiere obtener. Es obligatorio la eleccin de una de ellas. A continuacin se explicar cada una de ellas: Num_llmd. Con esta opcin se mostrar el nmero de llamadas producidas. Num_llmd_IP. Con esta opcin se mostrar el nmero de llamadas agrupadas por la direccin IP del MAX-TNT. Tiempo_promedio_cnx. Con esta opcin se mostrar el tiempo promedio de conexin. Tlfn_mas_frec [-l <tamao_lista> 1 ]. Con esta opcin se mostrar la lista ordenada con la cantidad de llamadas agrupadas por telfono llamante. Con la opcin -l se podr poner lmite al tamao de la lista resultado. Tlfn_dif. Con esta opcin se mostrar el nmero de telfonos llamantes diferentes. Trafico_octetos. Con esta opcin se mostrar el trfico recibido/ enviado promedio. Ratio_cnx [-l <tamao_lista> 1 ]. Con esta opcin se mostrar la lista ordenada con la cantidad de llamadas agrupadas por velocidades de conexin. Causa_dcnx [-l <tamao_lista> 1 ]. Con esta opcin se mostrar la lista ordenada con la cantidad de llamadas agrupadas por causa de desconexin. 1 Si tamao_lista se sustituye por un valor incorrecto, p.e: negativo o numrico. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 68 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Cliente_desc. Con esta opcin se mostrar el nmero de llamadas rechazadas por cliente desconocido. Usuario_desc. Con esta opcin se mostrar el nmero de llamadas rechazadas por Usuario desconocido. Distinto_sec. Con esta opcin se mostrar el nmero de llamadas rechazadas por distinto secreto compartido. Pools_agotados. Con esta opcin se mostrar el nmero de llamadas rechazadas por falta dedirecciones IP disponibles en los pools de direcciones. Password_erronea. Con esta opcin se mostrar el nmero de llamadas rechazadas por Password errnea. Num_llmd_sin_duplicados. Con esta opcin se mostrar el nmero de llamadas producidas eliminando los duplicados que existiesen en los ficheros de logs. -t {Hoy | Todo | <dd/mm/yyyy_inicio> -f <dd/mm/ yyyy_final>}. Con estas opciones se elegir el perodo de estudio para la obtencin de estadsticas. Es obligatorio elegir una opcin de entre las siguientes: Hoy-> el da de la ejecucin del script. Todo-> no hay lmite en la eleccin del perodo. -t <dd/mm/yyyy_inicio> -f <dd/mm/yyyy_final>-> se elige un periodo de estudio. A continuacin se describen algunos ejemplos: ver_estadisticas.sh -d /opt/radius5.03/raddb -p Cliente -o Num_llmd -t Hoy Se obtienen estadsticas ordenadas por Cliente sobre el nmero de llamadas producidas el da presente y segn el fichero de configuracin indicado. ver_estadsticas.sh -d /opt/radius5.03/raddb -p agregado -r tabular -o Tiempo_promedio_cnx -t todo > fichero.txt. Se obtienen estadsticas presentadas de forma agregada y en formato tabular sobre el tiempo promedio de conexin abarcando todos los tiempos de estudio. Se redirige la salida a un fichero de texto para su posterior visualizacin. ver_estadisticas.sh -d /opt/radius5.03/raddb -r html -o Tlfn_dif -t 15/02/2000 -f 15/05/2000 > fichero.html. Se obtienen estadsticas ordenadas por Terminador de Tneles sobre el nmero de telfonos llamantes diferentes en un perodo de estudio determinado. Se redirige la salida a un fichero html para su posterior visualizacin en un navegador. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 69 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 4.3.2.2 Fichero de configuracin "ver_estadisticas.config" Este fichero de configuracin deber encontrarse en el directorio de configuracin. Se especifican los paths a los directorios de contabilidad y a los diversos scripts awk que son llamados desde el script "ver_estadisticas.sh". Tambin se especifican las cadenas claves con los atributos asociados para la obtencin de las diferentes estadsticas, adems de las cadenas claves para la obtencin del nmero de llamadas rechazadas segn la opcin elegida. Se presenta a continuacin como ejemplo el fichero distribuido: # NO dejar espacios en blanco entre el nombre de la variable y el = # Dejar un espacio en blanco entre el = y el valor. # Path de donde cuelgan las bases de accounting y logfiles. DIR_BD_RADIUS= /opt/radius # Nombre del directorio de la BD de accounting. Ficheros detalle. BD_ACCT= radacct # Path del fichero para operaciones temporales del script. FICH_TMP= /tmp/ver_estadisticas_tmp.txt # NO dejar espacios en blanco entre la variable y el =, ni entre # el = y el valor. #Cadena clave para el atributo del Servidor de Terminales NAS_IP=NAS-IP-Address #Cadena clave para el atributo velocidad de conexion VELO_CONEX=Ascend-Data-Rate #Cadena clave para el numero de llamadas por telefono llamante NUM_LLAMADAS=Calling-Station-Id #Cadena clave para el tiempo medio de conexion TIEMPO_MEDIO=Acct-Session-Time #Cadena clave para las causas de desconexion CAUSA_DESC=Ascend-Disconnect-Cause #Cadena clave para el numero de octetos recibidos NUM_OCT_REC=Acct-Input-Octets #Cadena clave para el numero de octetos enviados NUM_OCT_ENV=Acct-Output-Octets #Cadena clave para el eliminador de duplicados Telefnica Data Espaa, S.A. 18/01/02 Pg.: 70 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. ELIM_DUP=Acct-Session-Id #Cadena clave para encontrar rechazos por Cliente inexistente. EV_RCHZ_CLI_NE=Security Breach #Cadena clave para encontrar rechazos por Sin IPs disponibles en pool. EV_RCHZ_IP_POOL=No hay direcciones #Cadena clave para encontrar rechazos por Password erronea. EV_RCHZ_PASSWD=Password incorrecta #Cadena clave para encontrar rechazos por distinto Secreto compartido. EV_RCHZ_SECRETO=Bad authenticator #Cadena clave para encontrar rechazos por Usuario inexistente. EV_RCHZ_USR_NE=Neither User Nor Default Name 4.4 Encriptacin 4.4.1 encriptar Este ejecutable se encarga de encriptar el fichero de perfiles de usuarios . Para ello es imprescindible que exista una clave en el fichero clave_cripto del directorio de configuracin. Esta clave ser generada previamente con el ejecutable nueva_clave. La sintaxis es la siguiente: encriptar [-d <directorio_configuracion>] [-u <fichero_entrada>] [-x] [-h] donde: -d <directorio_configuracion>. Es el directorio donde se encuentran tanto el fichero de entrada como el que contiene la clave de encriptacin clave_cripto. -u <fichero_entrada> .Es el nombre del fichero a encriptar. Por defecto ser el usuarios_INFOVIA -x. Permite la visualizacin de las trazas. -h. Imprime por pantalla la ayuda con las opciones disponibles. 4.4.2 nueva_clave Este ejecutable se encarga de generar una nueva clave, necesaria para la encriptacin de ficheros de perfiles y para el uso del servidor radius en modo encriptado. Su sintaxis es la siguiente: nueva_clave [-d <directorio_configuracion>] [-h] Telefnica Data Espaa, S.A. 18/01/02 Pg.: 71 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. donde: -d <directorio_configuracion>. Es el directorio en el que se crear el fichero clave_cripto con la clave. -h. Imprime por pantalla la ayuda con lasopciones disponibles. Nota: El fichero generado, clave_cripto, debe encontrarse en el directorio de configuracin que utilice el servidor radius. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 73 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 5 Mantenimiento 5.1 Ficheros de Trazas. El servidor Radius genera los ficheros de trazas que se describen a continuacin. Ambos se generan en el directorio que se indique al arrancar el demonio radius con la opcin -x o - X. Existen ocho niveles de trazas (ver Apartado 4.2.1 radiusd y Apartado 4.2.2 radiusddll ). Si se arranca el demonio con la opcin -x <nivel_trazas> se activan las trazas del nivel indicado. En este caso, se vuelcan al fichero de trazas (TRAZAS_INFOVIA) informacin sobre los pasos y errores que se producen en funcionamiento del servidor. Si se emplea la opcin -X (mayscula) se activan las trazas de Nivel 2. Cuando estn activadas estas trazas, se vuelcan en el mismo fichero el contenido de los paquetes (peticiones) entrantes y salientes en formato hexadecimal. Los ficheros de trazas se crean en el directorio de configuracin que se haya especificado en el arranque del servidor. Las trazas pueden activarse y desactivarse dinmicamente una vez arrancado el servidor utilizando la herramienta rad_tool (ver Apartado 2.4.4 "rad_tool."). Se describen a continuacin los ficheros de trazas generados por el servidor RADIUS. 5.1.1 TRAZAS_INFOVIA. Contiene un seguimiento ms detallado de la ejecucin del servidor Radius, como se muestra en el siguiente fragmento. Este fichero solo se generar si el servidor ha sido lanzado con la opcin de depuracin de nivel 1 ( -x): A continuacin se presenta un ejemplo del fichero, incluyendo explicaciones intermedias: Inicio y lectura de configuracin: INICIO stdout a FICHERO ..Var_tiempo_reutilizacion: 30..Inicio de crea_clien INCLUYO EL CLIENTE 1.0.20.26(100141a) INTEGRACION1812?? 1645 16 ..Entro en recupera_cfg.. ..Paso a espera de mensajes.. radrecv: Request from host c19a2408 code=1, id=122, length=209 Lectura de atributos del mensaje del cliente: Password = "\210B\015\237\227O" NAS-IP-Address = 172.16.1.0 NAS-Port = 10298 Calling-Station-Id = "1432" Called-Station-Id = "1055" User-Name = "prueba@PSIDelegIntegr" Telefnica Data Espaa, S.A. 18/01/02 Pg.: 74 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. PROXY-INFOVIA = 00 00 00 0a e4 00 00 5c d6 00 00 65 a9 00 00 40 ea 00 00 77 7e ac 10 01 00 00 00 20 5a c1 9a 02 85 9c d1 15 70 72 75 65 62 61 40 50 53 49 44 65 6c 65 67 49 6e 74 65 67 72 00 00 00 00 00 00 00 02 00 00 00 06 00 00 13 88 00 00 00 02 00 00 c1 9a 24 02 05 f5 e1 ae 00 00 00 00 05 PROXY-INFOVIA = 02 00 00 04 00 00 00 00 00 00 02 d1 ac 10 01 00 01 00 04 ad 06 6d 59 11 42 ba c4 95 ac 39 9b c1 94 f1 3b 16 e3 dd Procesamiento del mensaje: rad_authenticate() ..busca_cliente.. ..Fin de busca_cliente(fffffffd).. User record PASSWORD type is Normal authPapPwd ..estado_cliente.. ..busca_cliente.. ..Fin de busca_cliente(fffffffd).. Confeccin del mensaje de respuesta: get_attr_lvalue(6) == 2 get_attr_lvalue(7) == 1 get_attr_lvalue(9) == 0 get_attr_lvalue(4) == -1408237312 get_attr_lvalue(5) == 10298 Busca direcciones IP libres: ..estado_cliente.. A continuacin se describe el mensaje de respuesta correcta y atributos de la respuesta: Sending Ack of id 122 to c19a2408 (193.154.36.8) Longitud al ppo : 20^M User-Service = Framed-User Framed-Protocol = PPP Session-Timeout = 0 Idle-Timeout = 10 Max-Num-Connections = 5 Port-Limit = 5 User-Name = "prueba@PSIDelegIntegr" NIVEL-INFOVIA = 1 PROXY-INFOVIA = 02 00 00 04 00 00 00 00 00 00 02 d1 ac 10 01 00 01 00 04 ad 06 6d 59 11 42 ba c4 95 ac 39 9b c1 94 f1 3b 16 e3 dd PROXY-INFOVIA = 00 00 00 0a e4 00 00 5c d6 00 00 65 a9 00 00 40 ea 00 00 77 7e ac 10 01 00 00 00 20 5a c1 9a 02 85 9c d1 15 70 72 75 65 62 61 40 50 53 49 44 65 6c 65 67 49 6e 74 65 67 72 00 00 00 00 00 00 00 02 00 00 00 06 00 00 13 88 00 00 00 02 00 00 c1 9a 24 02 05 f5 e1 ae 00 00 00 00 05 Total Longitud : 219 Pasa de nuevo a la espera de mensajes: Telefnica Data Espaa, S.A. 18/01/02 Pg.: 75 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. ..Paso a espera de mensajes.. 5.1.2 TRAZAS_INFOVIA_ERR Contiene errores crticos que impiden que se complete el proceso de arranque del servidor. A continuacin se presenta un ejemplo: acct bind: Address already in use INICIO stderr a FICHERO 5.2 Monitorizacin del servidor Existe un nico fichero que presenta los posibles problemas del servidor. Este fichero se denomina logfile y contiene un registro de los mensajes de error producidos en el sistema. El fichero logfile se crea en el directorio de configuracin que se haya especificado en el arranque del servidor. A continuacin se presenta una relacinde lneas del fichero donde se muestran los posibles errores y cuando es necesario se muestra en cursiva una explicacin del error que aparece en la lnea siguiente. Marca de arranque del sistema: Trazas <nivel trazas> activadas Puerto de ARRANQUE para Auth <puerto> Puerto de ARRANQUE para Acct <puerto> Sale uno de los dos mensajes siguientes: ..ARRANQUE en MODO PROXY.. ..ARRANQUE en MODO RADIUS LOCAL.. ARRANQUE del sistema RADIUS-PSI 5.04.00 A partir de la lnea siguiente se muestran distintos errores detectados en el arranque (errores en arranque, en lectura de la configuracin,, en la configuracin de la converin de atributos y otros errores) del servidor Radius. Concretamente, la lnea que sigue representa un error cuando el servidor se rearranca, intentando recuperar el estado de las conexiones y pooles de direcciones. En el caso de que se arranque por primera vez, no representa ningn problema. ..No se ha podido recuperar la situacion inicial .. Despus aparece el nivel de trazas que ha sido activado. Trazas <nivel_trazas> NO activadas Trazas <nivel_trazas> activadas INICIO stderr a FICHERO Telefnica Data Espaa, S.A. 18/01/02 Pg.: 76 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Errores en arranque del RADIUS Los siguientes errores ocurren cuando hay otro servidor RADIUS arrancado, por lo que no se pueden abrir los ficheros de trazas. NO freopen stdout NO freopen stderr Errores en rearranque. El primer mensaje se muestra tambin en un arranque, pero en este caso no representa un error. En el caso de rearranque es un aviso. ..No se ha podido recuperar la situacion inicial .. ..Error recuperando datos de cliente:<cliente> ..Error recuperando datos de pool:<id pool> Otros errores: Acct: No se puede abrir el archivo <dir accounting >/<cliente>/ detalle Errores en parada del RADIUS ..Error salvando datos de pool: ..Error salvando datos de cliente: ..Error salvando datos de cliente: ..No se ha podido realizar la parada controlada.. Errores en lectura de configuracin Los siguientes errores son autoexplicativos. No se pudo abrir <nombre fichero> para encontrar los pools asociados a cada cliente Fichero <nombre fichero> Erroneo linea <numero de linea> Invalida longitud del rango de direcciones IP en la linea <numero de linea> de pools Invalido valor de tamano de rango IP en la linea <numero de linea> de pools Invalido valor de IP <valor> en la linea <numero de linea> de pools Invalido rango de direcciones (<rango>)en la linea <numero de linea> de pools Numero maximo de trozos de pool alcanzado en la linea <numero de linea> de pools No se pudo abrir <fichero> para encontrar los pools Faltan parametros <host> en la linea <numero de linea> del fichero <fichero> Invalido valor de IP <valor> en la linea <numero de linea> del fichero <fichero> Invalido valor de udp <valor> en la linea <numero de linea> del fichero <fichero> Cliente duplicado en la linea <numero de linea> del fichero <fichero> No se pudo abrir <fichero> para encontrar clientes Telefnica Data Espaa, S.A. 18/01/02 Pg.: 77 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. No se pudo abrir <fichero> para encontrar clientes hardware No se pudo abrir <fichero> para encontrar clientes CVCA No se pudo abrir <fichero> para encontrar la configuracion local "Invalido valor de puerto UDP del servidor local en la linea <numero de linea> de cfg_local " Invalido valor de hora limite para las direcciones IP en la linea <numero de linea> de cfg_local Invalido valor de puerto UDP del servidor local en la linea <numero de linea> de cfg_local Invalido valor de puerto UDP del servidor local en la linea <numero de linea> de cfg_local Valor invalido de en HARDWARE_INFOVIA_OMISION la linea <numero de linea> de cfg_local Valor invalido de en MODO_PROXY la linea <numero de linea> de cfg_local. Se toma por defecto el valor 0 Valor invalido de SUBRED_FICTICIA en la linea <numero de linea> de cfg_local No se pudo abrir <fichero> para encontrar criterios_proxy Fichero de criterios de proxy incorrecto en la linea <numero de linea> faltan parametros faltan parametros <valor linea> <clave> <id cliente> en la linea <numero de linea> Direccion IP incorrecta <direccion ip> en el fichero criterios_PROXY en la linea <numero de linea> Nemonico incorrecto <nemonico> en el fichero criterios_PROXY en la linea <numero de linea> No se ha encontrado el cliente <identificador cliente> de destino de proxy El fichero de definicin de direcciones IP del CVCA (redIP_delegado) es errneo. "Fichero de clientes cvca erroneo ==> exit " Errores en recepcin de paquetes RADIUS Los siguientes representan errores en autenticacin: Error en recepcin de paquete de contabilidad. authenticateAcctReq: from , ID <id peticion>: <mensaje error> Secreto demasiado largo. rcv req from <dir ip cliente> plus secret : too long: s - ID: <id sesion Secreto de cliente incorrecto. Bad authenticator: from <ip cliente>- ID: <id sesion> Error en un paquete de peticin de servicio (p.e. rdenes dadas a travs de rad_tool). autPetSer: desde <dir ip cliente>, ID <id peticion>: <mensaje error> Las passwords de UNIX no se aceptan con CHAP. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 78 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. CHAP Unix Attempt: user <usuario>, NAS <ip NAS> Las passwords de INFOVIA no se aceptan con CHAP. CHAP Crypt Attempt: user <usuario>, NAS <ip NAS> Usuario no existe (y no hay entrada DEFAULT): Authenticate: from <direccion_ip> - Neither User Nor Default Name: xdbuser Si existiera la entrada "DEFAULT" apareceria (nuevo version TL01 y 5.01) No existe el usuario xdbuser Password incorrecta para el usuario xdbuser Alias incorrecto: Authenticate: from <direccion_ip> - Neither User Nor Default Name: dbuser@xpruebas Password incorrecta (Nuevo version TL 01 y 5.01): Password incorrecta para el usuario dbuser No se envi el parmetro User_Name en el mensaje de autentificacin. Authenticate: from <dir ip cliente> - No User Name El cliente no existe. Authenticate: from <dir ip cliente>- Security Breach: <usuario> No se envi el atributo Password en el mensaje de autentificacin. Authenticate: from <dir ip cliente>- No pwd in request! Otros errores en paquetes de autenticacin: Authenticate: from <dir ip cliente>- <usuario>: <mensaje> Error en la descodificacion del identificador. Calc_digest: from <dir ip cliente>, ID <id peticion>: <mensaje error> Atributo incorrecto o desconocido en el perfil del usuario (en los check-items). Parse.check error <mensaje de error> for user <usuario> Falta un salto de lnea en la definicin del usuario en el fichero de usuarios. Missing NL for user <usuario> Atributo incorrecto o desconocido en el perfil del usuario (en los reply-items). Parse.reply error <mensaje de error> for user <usuario> No se permite nombre de usuario con longitud 0. zero length username not permitted Password demasiado larga para ese usuario definida en el fichero de usuarios. .. from <fichero usuarios>, user <usuario>: pwd too long (<longitud>) No se puede leer el fichero de usuarios. Couldnt open <fichero de usuarios> for reading No se encontr el atributo. attribute name <Atributo> not found No hay permiso para escribir en el directorio de usuarios. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 79 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Couldnt rename <fichero de usuarios> : Rechazo de llamadas por problemas de asignacin de direcciones IP: Usuario <usuario> sin sesiones No hay direcciones para usuario <usuario> No se ha establecido el valor de HW_INFOVIA_OMISION=1 en el fichero cf_local_INFOVIA o en el perfil del usuario correspondiente. Usuario <usuario> rechazado Errores en la funcionalidad de Proxy El secreto del servidor final es errneo. Calc_digest Proxy: from <cliente>, ID <identificador peticion> No se pudo obtener el destino del proxy El Radius destino del proxy es el mismo Radius Origen. Rechazado" No se ha encontrado la peticin en la cola de peticiones pendientes, o bien se ha saturado dicha cola. ERROR: circular queue detected at <numero peticion> Errores en la conversion de atributos Errores en configuaracin de la funcionalidad (aparecen en arranque): Error en la lectura del fichero de preconversiones.Exit Error en la lectura del fichero de postconversiones.Exit Error en la lectura de tipos de paquete Errores en funcionamiento: No se puede abrir el fichero de conversiones: <fichero> Error en la ejecucion de una post-conversion" Error en la ejecucion de una pre-conversion" Tipo de paquete desconocido: <codigo paquete>; No se encuentra el nombre del atributo: <atributo> No entiendo el valor del atributo: <atributo> TipoPaquete desconocido: <codigo paquete> Sin memoria para CONV_CONVPAQUETE Sin memoria para CONV_OPERACION TipoOperacion desconocida: <operacion> No se encuentra el nombre del atributo: <atrbuto> Falta el signo igual en atributo <atributo> No entiendo el valor del atributo <atributo> Telefnica Data Espaa, S.A. 18/01/02 Pg.: 80 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Errores en herramienta rad_tool Errores en liberacin de direcciones (rad_tool reutilizar_direccion): Liberacion ip <direccion ip> Liberacion perdida <direccion ip> Direccion <direccion ip> no conectada Direccion <direccion ip> localizada pero no liberada Direccion <direccion ip> liberada Direccion <direccion ip> conectada en <cliente> Errores en parada del servidor (rad_tool parar_radius) El estado del sistema ha sido volcado de forma OK No se ha podido obtener el estado del sistema Sistema Parado de forma OK Sistema Parado de forma NO OK Otros errores No hay memoria ... Sin memoria para campo proxy 5.3 Procedimientos de Contingencia 5.3.1 Problemas en Servidor RADIUS 5.3.1.1 El servidor RADIUS no arranca Al lanzar el demonio sale inmediatamente. Verificaremos si se cumplen los siguientes requisitos necesarios para el arranque del servidor: 1. El puerto de autenticacin y contabilidad est libre. Para ello podemos leer el fichero TRAZAS_INFOVIA_ERR. En el caso de que est ocupado, lo ms probable es que exista otro proceso RADIUS en funcionamiento. 2. Permisos del usuario con el que se intenta ejecutar el servidor en el directorio de arranque. El directorio de configuracin debe tener permisos de lectura, escritura y ejecucin y el directorio de instalacin debe tener permisos de lectura y ejecucin. En principio el usuario que ejecuta el servidor debe ser el mismo que lo instal. 3. En el caso de lanzar el servidor RADIUS que utiliza librera dinmicas (radiusddll), si las libreras no estn ubicadas en el mismo directorio que el Telefnica Data Espaa, S.A. 18/01/02 Pg.: 81 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. ejecutable (radiusddll), hay que comprobar que la variable de entorno LD_LIBRARY_PATH tiene el valor correcto (indica el directorio donde estn ubicadas las libreras). 4. Se pueden producir errores fatales debido a los ficheros de conversin de atributos (en el caso de que estn erroneamente especificados). Para detectar si ste es el caso, se debe leer el fichero logfile. 5.3.1.2 El servidor RADIUS arranca con problemas El servidor RADIUS puede o bien no arrancar o arrancar incorrectamente. Este segundo caso se produce cuando se producen errores al leer los ficheros de configuracin, bien porque la sintaxis de los mismos sea incorrecta, o bien por alguna incoherencia (p.e: en un fichero se refire a un cliente qu previamente no ha sido dado de alta). La nica manera de detectar este tipo de problemas es leyendo el fichero logfile. A continuacin se muestra un ejemplo de la parte referida al arranque en dicho fichero: 27-04-2000 11:50:18 INICIO stderr a FICHERO 27-04-2000 11:50:18 ..ARRANQUE en MODO PROXY.. 27-04-2000 11:50:18 Invalido valor de IP 1.0.0.a en la linea 25 del fichero clientes_hw_INFOVIA a es un valor invlido ya que debe estar comprendido entre 0 y 255. 27-04-2000 11:50:18 Faltan parametros en la linea 26 del fichero clientes_hw_INFOVIA Este error indica que la lnea no est completa de acuerdo con la sintaxis de clientes_hw_I NFOVI A. 27-04-2000 11:50:18 ARRANQUE del sistema RADIUS-PSI 5.01.01 27-04-2000 11:50:18 ..No se ha podido recuperar la situacion inicial .. 27-04-2000 11:50:18 Puerto de ARRANQUE para Auth 9645 27-04-2000 11:50:18 Puerto de ARRANQUE para Acct 8646 5.3.1.3 No se autentica ningn usuario Distinguiremos en primer lugar si el servidor RADIUS ha sido arrancado en modo Servidor Final o en modo Proxy. Modo Servidor Final Se deben verificar los siguientes puntos: 1. Comprobar que el Servidor Radius est arrancado. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 82 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 2. Comprobar trfico de entrada de mensajes 1 . En el caso de que no haya trfico, existe un problema de red que debe ser solucionado previamente a cualquier otra actuacin. Una vez que se haya solucionado se vuelve a monitorizar el comportamiento. 3. Comprobar trfico de salida de mensajes (respuestas). Pueden ocurrir dos casos: + No hay respuestas Comprobar direccin IP, puerto y secreto en el cliente y en el fichero de configuracin. Si existe un error de ste tipo, se puede verificar leyendo el fichero logfile. + Hay respuestas (Reject) Comprobar secreto en el cliente y en el fichero de configuracin. Comprobar el perfil de los usuarios que no logran autenticarse. Concretamente el password puede ser incorrecto, pero tambin otros elementos de la check list. En el caso de ser el usuario o el password incorrecto, dicha circunstancia se refleja en el fichero logfile. Si el cliente del que proceden las peticiones es un cliente HW (est dado de alta en el fichero correspondiente), debe aparecer la variable HARDWARE_INFOVIA_OMISION en el fichero de configuracin cfg_local_INFOVIA, en el caso contrario debe aparecer en el perfil de usuario concreto la variable HARDWARE_INFOVIA con valor 1. En el fichero logfile aparece el mensaje Usuario <...> rechazado. Verificar que no se ha superado el nmero mximo de sesiones y que hay direcciones IP disponibles para el usuario. Las direcciones son un recurso limitado tan solo en el caso de clientes hardware, mientras que las sesiones lo son en el caso de los clientes hardware y opcionalmente en el caso de los clientes software. En el caso de no disponer de sesiones, aparecer en el fichero logfile el mensaje: usuario <...> sin sesiones. Esto puede ser debido a que existan sesiones pilladas (ver Apartado 5.3.7.1 Verificacin de Sesiones Pilladas). En el caso de no disponer de direcciones IP, aparecer en el fichero logfile el mensaje: No hay direcciones para <...>. Esto puede indicar que no quedan direcciones en los pooles de categora igual o inferior a la categora del usuario, pudiendo 1 En una mquina Solaris, esto se puede realizar mediante el comando (siendo usuario root): snoop udp -x42 port <puerto_autenticacion> or <puerto_contabilidad> host <nombre_host> En Linux se utiliza el comando tcpdump. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 83 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. quedar en pooles de categora superior. Esto se puede comprobar mediante el comando rad_tool. Modo Servidor Proxy 1. Comprobar trfico de entrada de mensajes procedente del cliente. En el caso de que no haya trfico, existe un problema de red. 2. Verificar trfico de salida (hacia el servidor final). Se pueden presentar dos situaciones: + No hay trfico. Las posibles causas son: No se encuentra el destino en el fichero criterios_PROXY. Esta circunstancia se refleja en el fichero logfile. Comprobar direccin IP, puerto y secreto en el cliente y en el fichero de configuracin. Tambin aparece un mensaje en el fichero logfile indicndolo. Si el cliente del que proceden las peticiones es un cliente HW (est dado de alta en el fichero correspondiente), se debe comprobar el valor de la variable HARDWARE_INFOVIA_OMISION en el fichero correspondiente (cfg_local_INFOVIA). En este caso se enviarun reject al cliente y se reflejar en el fichero logfile el mensaje: Usuario <...> rechazado. Verificar que existen direcciones IP disponibles (si es un cliente hardware), de la misma manera que en el modo servidor final. + Hay trfico. Las posibles causas son: No hay respuestas del servidor final. Verificar direccin IP, puerto y secreto del servidor final en el servidor proxy y viceversa. Hay respuestas, pero todas son reject. Verificar secreto del servidor proxy en el servidor final. Verificar los perfiles de usuario en el servidor final de la misma manera que en el apartado anterior. 5.3.1.4 Se produce un alto porcentaje de rechazos. En este caso la hiptesis ms probable es que el servidor Radius se haya quedado sin recursos. Esto lo podemos comprobar leyendo el fichero logfile: No hay sesiones. Comprobar si hay sesiones pilladas -ver siguiente Apartado 5.3.7.1 Verificacin de Sesiones Pilladas-, o simplemente puede indicar que la CPU est muy cargada o que no hay memoria libre. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 84 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Estas ltimas circunstancias las comprobaremos mediante las utilidades del sistema operativo. No hay direcciones IP. La causa puede estar en que el pool de direcciones de la categora requerida por el usuario sea muy pequeo, o bien que no se liberen por existir sesiones pilladas - ver siguiente Apartado 5.3.7.1 Verificacin de Sesiones Pilladas-. 5.3.1.5 No se autentica a ningn usuario estando en modo encriptado. La razn puede ser alguna de las siguientes: Doble encriptacin: Se vuelve a encriptar un fichero de perfiles previamente encriptado. De manera que los datos en dicho fichero no son vlidos. Y el servidor Raidus no autenticar a los usuarios. Inconsistencia de clave: Se ha utilizado una clave para la encriptacin del fichero de perfiles de usuario y ms tarde se ha generado otra sin la actualizacin del fichero de perfiles encriptado. De modo que el servidor Radius utiliza otra clave y no es capaz de autenticar a los usuarios. Lo recomendado en estos casos es realizar de nuevo el procemiento completo para la ejecucin del servidor Radius en modo encriptado. (Apartado 3.3 Configuracin para encriptacin de datos de usuario). 5.3.2 Problemas del servidor radius en modo SNMP En el fichero de configuracin snmp_INFOVIA, si se define en la variable TIEMPO_ENTRE_PETICIONES un valor elevado, puede llegar a ocurrir que ante peticiones de SNMP de objetos tabla, se queden peticiones de objetos sin responder. Poniendo un valor pequeo en dicha variable no se dejarn de atender peticiones SNMP. 5.3.3 Problemas en comando builddbm Normalmente el comando indica en su salida si hay algn error. En cualquier caso el procedimiento general ser: Se exponen a continuacin algunos ejemplos: $ ../bin/builddbm -p ../bin/builddbm: illegal option -- p ../bin/builddbm options are: Telefnica Data Espaa, S.A. 18/01/02 Pg.: 85 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. -d dir radius directory -e use stdout rather than stderr -h request help -u file radius users file -v verbose mode Mas mensajes de error $ ../bin/builddbm -d / ../bin/builddbm: Couldnt open //usuarios_INFOVIA.pag for writing $ ../bin/builddbm -u pepe ../bin/builddbm: Couldnt open /etc/raddb/pepe.pag for writing $ ../bin/builddbm -d . -u pepe ../bin/builddbm: Couldnt open ./pepe for reading 5.3.4 Problemas en comando rad_tool Este comando sale inmediatamente en el caso de detectar un error de sintaxis evidente. En oros casos, temporizar para reintentar la conexin con el servidor RADIUS. Tambin se pueden producir otros errores de comunicacin cuyos cdigos se recogen en el Anexo E Cdigos de Respuesta. En cualquier caso el procedimiento general ser: 1. Verificar sintaxis. 2. Verificar accesibilidad del fichero cfg_operador_INFOVIA. 3. Verificar que el cliente con identificador 1000 est definido en el fichero de clientes (clientes_hw_INFOVIA o redIP_delegado). Se exponen a continuacin un ejemplo de error sintctico: $ ../bin/rad_tool -p Uso: rad_tool [-v] [-d <config_dir>] <opcion> Opciones disponibles: <parar_radius> <ver_status> <desconectar_usuario> <dir_ip> <reutilizar_direccion> <dir_ip> <enviar_stop_psi> <dir_ip> <liberar_direccion_delegada> <dir_ip> [-a <acct_dir>] <usuarios_conectados> <ver_usuario> <usuario> <numero_usuarios_conectados> <nivel_trazas> 0|1|..|8 <activar_trazas_1> <desactivar_trazas_1> <activar_trazas_2> Telefnica Data Espaa, S.A. 18/01/02 Pg.: 86 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. <desactivar_trazas_2> 5.3.5 Problemas en comando encriptar Los errores son indicados por pantalla. Estos son algunos ejemplos: $../bin/encriptar -d /opt/radius5.04/raddb -u usuarios_INFOVIA Error en la apertura del fichero /opt/radius5.04/raddb/clave_cripto. En este caso habra que crear el fichero clave_cripto con el ejecutable nueva_clave. $../bin/encriptar -d /opt/radius5.04/raddb -u usuarios_INFOVIA Error al abrir el fichero /opt/radius5.04/raddb/usuarios_INFOVIA El fichero usuarios_INFOVIA no existe. $../bin/encriptar -d /opt/radius5.04/raddb -s usuarios_INFOVIA USO: encriptar [-d dir_configuracion] [-u fich_entrada] [-x] USO: encriptar [-h] No se han utilizado las opciones correctas del comando y se muestra la ayuda por pantalla. 5.3.6 Problemas en comando nueva_clave Los errores son indicados por pantalla. Este es un ejemplo: $../bin/nueva_clave -j USO: nueva_clave [-d dir_configuracion] USO: nueva_clave [-h] No se han utilizado las opciones correctas del comando y se muestra la ayuda por pantalla. 5.3.7 Procedimientos comunes 5.3.7.1 Verificacin de Sesiones Pilladas Dada la naturaleza del protocolo UDP, los mensajes RADIUS se pueden perder dando lugar a inconsistencias cuando no llega un mensaje de contabilidad correspondiente a un usuario. Esto se traduce en que aparentemente existen usuarios conectados que en realidad no lo estn. Existen dos tipos de paquetes de contabilidad: el paquete de start y el paquete de stop Telefnica Data Espaa, S.A. 18/01/02 Pg.: 87 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 1. El servidor eliminar una sesin cuando se reciba el paquete de stop correspondiente. Si el paquete de stop se pierde (o incluso el de start) la sesin permanecer ocupada (pillada) hasta que no se libere manualmente. Cuando se pierde el paquete de stop la sesin no acaba y aparece una duracin de la sesin muy elevada puede indicar que este pillada. Esto se comprueba mediante el comando: rad_tool ver_status 2. Para comprobar si existen sesiones para las cuales no ha llegado el paquete de Start, podemos realizar lo siguiente: 1. Ejecutar la orden: rad_tool usuarios_conectados Este comando examina el fichero de contabilidad (detalle) y nos muestra las sesiones para las que ha llegado un paquete de start, pero no su correspondiente de stop. Si una sesin aparece en el fichero Estado_del_cliente_aa.bb.cc.dd 1 y no en el resultado del comando anterior durante un intervalo grande de tiempo, la sesin esta pillada con gran probabilidad (Ha llegado el paquete de auth y no el de start). 2. Tambien en el caso de usar las opciones CONTROL_SESIONES y DIRECCION_START para los clientes SW hay una manera sencilla de detectar sesiones para las que no se ha reibido el paquete de start: Si al ejecutar el comando rad_tool ver_status una sesin aparece con una direccin ficticia 2 mucho tiempo querr decir que no se ha recibido su paquete de start y por tanto la sesin permanece colgada. Cuando se detecta una sesin pillada hay que liberarla manualmente con el comando: 1 Este fichero se debe actualizar antes de analizar su contenido. Esto se consigue mediante el comando: rad_tool ver_status. 2 Las direcciones ficticias son las que se dan a los usuarios que hacen sus peticiones a travs de un cliente SW, cuando hay control de sesiones. Se distinguen porque la direccin comienza tal y como se especifica en el parmetro correspondiente de cfg_local_INFOVIA en el atributo SUBRED_FICTICIA. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 88 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. rad_tool reutilizar_direccion aa.bb.cc.dd Nota: La direccin liberada, no podr ser reutilizada hasta que no transcurra el tiempo marcado en el parmetro HORA_IP del fichero cfg_local_INFOVIA. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 89 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. A Librera de Acceso a Base de Datos La librera de este anexo se generan a partir de dos archivos fuente: EscribeFac.c, el cual se encuentra relacionado con el servicio de escritura de contabilidad y mensajera y UsuExt.c que se encarga obtener los datos del perfil del usuario de una base de datos en formato dbm. En el caso concreto de esta ltima, cabe constatar que la idea puede adaptarse a otro tipo de base de datos diferente al dbm para generar una librera diferente que pueda ser utilizada por el demonio radius. Modificando el primero podramos modificar el formato del fichero de contabilidad. Las libreras se generan compilando esos dos archivos atendiendo al Makefile que se suministra en /opt/radius/lib o en el directorio equivalente para las plataformas Linux y NT. A.1 Mdulo UsuExt.c Se indican las cabeceras de las funciones: /*********************************************************************** * Funcion: userinfo_open * Prototipo: * static int * userinfo_open(userfd, infoname) * FILE **userfd; * char *infoname; * Proposito: Abre el fichero de informacin de usuarios. Hacer cosas * distintas de distintas maneras dependiendo de si utilizamos un * fichero plano o una base de datos * * Retorno: CERO si tiene xito, distinto de cero si no lo tiene. ***********************************************************************/ /*********************************************************************** * Function: userinfo_close * Prototipo: * static void * userinfo_close(userfd) * FILE *userfd; * Purpose: Cierra el fichero de informacin de usuarios. Hacer cosas *distintas de distintas maneras dependiendo de si utilizamos un * fichero plano o una base de datos ***********************************************************************/ /*********************************************************************** * Funcion: UsuExt * Prototipo: int UsuExt(char * nombre_archivo, Telefnica Data Espaa, S.A. 18/01/02 Pg.: 90 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. * char * nombre_usuario, * char * line, * char * datos_paquete) * * nombre_archivo: Puntero al nombre del archivo de la de la base de * datos de usuarios. * * nombre_usuario: Puntero al nombre del usuario a consultar. * * line: Puntero al array de 4096 caracteres ubicado por radiusd * donde se debera copiar los datos del perfil del usuario localizado. * * datos_paquete: Puntero al array con todos los atributos del paquete * en formato "Atributo=Valor, ..." * * Objetivo: Busca el nombre de usuario en la base de datos. * Devuelve un string con los datos del usuario. * * Devuelve: 0 exito. * 1 no se usa esta funcion. radiusd buscara el usuario internamente. * <0 errores codificados por radiusd * * Errores: * MISSING_NEWLINE (-93) * NO_USER_OR_DEFAULT_NAME (-92) * ZERO_LENGTH_NAME (-91) * NO_USER_FILE (-90) * NO_WHITESPACE (-89) * USERFILE_RENAME_FAILED (-88) * USERFILE_READ_ERR (-87) * USERFILE_WRITE_ERR (-86) * END_OF_USERS_LIST (-85) * MEMORY_ERR (-84) * * Estructura de los datos de usuario: * * Los datos seran un string con dos lineas basados en la * estructura de un usuario del archivo usuarios_INFOVIA. * * Ejemplo: * Para el usuario usu1, * Telefnica Data Espaa, S.A. 18/01/02 Pg.: 91 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. * usu1 Password = "madrid" * SESIONES-INFOVIA = 0, * NIVEL-INFOVIA = 1, * Ascend-Idle-Limit = 0, * Ascend-Maximum-Time = 10 * * Se debera de rellenar en line * *strcpy(line,"Password=madrid\nSESIONESINFOVIA=0,NIVELINFOVIA=1,Asc..); * ***********************************************************************/ A.2 Mdulo EscribeFac /*********************************************************************** * Funcion: EscribeFac * * Prototipo: int EscribeFac( char * detail, char * buffer) * * detail: Puntero al nombre del archivo de la * base de datos de tarificacion. * * buffer: Puntero a los datos de tarificacion. * * Objetivo: Entrega los datos de tarificacion para su almacenamiento o * procesado. * * Devuelve: 0 exito. * 1 fallo. * * Estructura de los datos de tarificacion: * * Los datos seran un string de pares <parametro>=<valor> * separados por comas. * **********************************************************************/ Telefnica Data Espaa, S.A. 18/01/02 Pg.: 93 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. B API para desarrollo de aplicaciones encriptadas. En este API se proporcionan las funciones necesarias para encriptar y desencriptar cadenas utilizando el algoritmo de encriptacin DES. El API es: void init_des(char *path_key,char *clave); int descifrar (char *encode,char *cadena,int *longCadena); int cifrar (char *palabra, char *cadena, int *longCadena); B.1 Inicializacin La funcin init_des deber ser invocada una sola vez antes de encriptar o desencriptar. Para la encriptacin/desencriptacin es necesaria la utilizacin de una clave, esta ser almacenada en un fichero. Esta funcin se encarga de leer dicha clave e inicializarla adecuadamente para su uso por el DES. En este interfaz se hace uso de los siguientes parmetros: path del fichero de clave. Parmetro de entrada, camino en el cual se encuentra el fichero clave-cripto en el cual se almacena la clave. clave .Parmetro de salida, es la clave leda. B.2 Encriptacin La funcin cifrar encripta la cadena de caracteres que se le introduce. En primer lugar le aplica a la cadena el algoritmo DES, utilizando la clave que previamente tiene que haber sido inicializada. En segundo lugar codifica la cadena encriptada con Base64, con el fin de convertir todos los caractereres de la cadena encriptada en caracteres del cdigo ASCII. Deber ser invocada siempre que quiera encriptarse una cadena. En este interfaz se hace uso de los siguientes parmetros: palabra. Parmetro de entrada, palabra a encriptar. cadena. Parmetro de salida, cadena encriptada resultante. longCadena. Parmetro de salida, longitud de la cadena encriptada (ser superior a la de la cadena sin encriptar). B.3 Desencriptacin La funcin descifrar es la inversa de la funcin cifrar. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 94 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Esta funcin deseencripta la cadena de caracteres que se le introduce. Primeramente decodifica la cadena con Base64, obtenindo la cadena encriptada. A continuacin desencripta con DES, utilizando la clave que tiene que haber sido previamente inicializada. Deber ser invocada siempre que quiera desencriptarse una cadena. En este interfaz se hace uso de los siguientes parmetros: encode. Parmetro de entrada, cadena de caracteres a desencriptar. cadena. Parmetro de salida, cadena desencriptada. longCadena. Parmetro de salida, longitud de la cadena desencriptada (ser inferior a la de la cadena encriptada). Telefnica Data Espaa, S.A. 18/01/02 Pg.: 95 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. C Introduccin a la funcionalidad de Conversiones C.1 Objetivo Se describe la funcionalidad de conversin de atributos RADIUS, su configuracin y su funcionamiento, as como las facilidades de particularizacin que se ofrecen a los PSI. C.2 Organizacin Se van a describir los siguientes contenidos: Gramtica del fichero de descripcin de conversiones. Semntica de las conversiones Depuracin y seguimiento de las conversiones. API para desarrollo de conversiones a medida C.3 Gramtica de conversiones A continuacin, se detalla la gramtica en formato BNF: CONVERSIONES ::= <CONVERSION> <MAS_CONVERSIONES> MAS_CONVERSIONES ::= <CONVERSIONES> | VACIO CONVERSION ::= <LISTA_PAQUETES> ":" <CLAVE> <LISTA_OPERACIONES> LISTA_PAQUETES ::= <TIPO_PAQUETE> <MAS_PAQUETES> MAS_PAQUETES ::= "," <LISTA_PAQUETES> | VACIO TIPO_PAQUETE ::= "AuthRequest" | "AuthReject" | "AuthAck" | "Start" | "Stop" | "AccountResponse" CLAVE ::= <PAREJACONCOMODIN> | <COMODIN> PAREJACONCOMODIN ::= <ID_ATRIBUTO> <POSIBLE_VALOR> |POSIBLE_VALOR ::= "=" <VALOR_COMODIN> Telefnica Data Espaa, S.A. 18/01/02 Pg.: 96 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. | VACIO VALOR_COMODIN ::= <COMODIN> | <VALOR_ATRIBUTO> LISTA_OPERACIONES ::= <OPERACION> <MAS_OPERACIONES> MAS_OPERACIONES ::= <LISTAS_OPERACIONES> | VACIO OPERACION ::= <TIPO_OPERACION> <LISTA_PAREJAS> TIPO_OPERACION ::= "Insertar" | "Borrar" | "Sustituir" LISTA_PAREJAS ::= <PAREJACONCOMODIN> <MAS_PAREJAS> MAS_PAREJAS ::= "," <LISTA_PAREJAS> | VACIO ID_ATRIBUTO ::= <IDENTIFICADOR> VALOR_ATRIBUTO ::= <CADENA> | <NUMERO> | <DIR_IP> DIR_IP ::= <NUMERO> . <NUMERO> . <NUMERO> . <NUMERO> COMODIN ::= * CADENA ::= <CARACTERES> Se permiten comentarios que empiecen con el caracter # (almohadilla); son vlidos hasta el final de la lnea. Cada elemento del fichero va separado del resto por espacios en blanco, tabuladores o cambios de lnea. Los atributos de tipo binario y cadena se representan mediante cadenas de caracteres, rodeadas por comillas dobles. Los caracteres se pueden representar mediante una secuencia de escape \xYY, donde YY representa dos dgitos hexadecimales. Tambin puede utilizarse la secuencia \0ZZZ, donde ZZZ representa tres dgitos octales. Si se tiene que escribir el caracter de escape, se pondra \\. Para poner unas comillas dobles dentro de una cadena, se escribir \. Se debern escapar los caracteres nulos (cdigo ASCII 0) que formen parte de las cadenas. Es posible incluir las siguientes secuencias de caracteres escapados, de igual forma que se utilizan en C o C++: Telefnica Data Espaa, S.A. 18/01/02 Pg.: 97 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Secuencia de escape Valor ASCII \a Pitido de aviso \b Retroceso \f Avance de pgina \n Nueva lnea \r Retorno de carro \t Tabulador horizontal \w Tabulador vertical Por ejemplo: para incluir un atributo de tipo Vendor-Specific se puede hacer de las siguientes formas (las representaciones son equivalentes): Vendor-Specific=\0\x3Cadena \de caracteres\n Vendor-Specific=\x0\x3Cadena \de caracteres\n Vendor-Specific=\0000\0003Cadena \de caracteres\0012 Es posible disponer de un conjunto de conversiones que se ejecutarn antes de procesar el paquete por el servidor RADIUS (preconversiones) y otro conjunto de conversiones que se ejecutarn una vez que el servidor RADIUS haya procesado la peticin (postconversiones). C.4 Semntica A cada paquete RADIUS que llega se le intenta aplicar todas las conversiones en el orden en que aparecen en el fichero de conversiones. Cada conversin define en qu tipo de paquetes se va a aplicar; adems, solo se realiza una conversin si el paquete tiene algn atributo que coincida con la clave; el atributo clave es el desencadenante de la operacin. Dos atributos coinciden en alguna de estas condiciones: si alguno de ellos es el atributo COMODIN. si los atributos son los mismos, y alguno de ellos tiene el valor COMODIN. si los atributos son los mismos y sus valores coinciden. Por tanto, el atributo clave es el desencadenante de la operacin. Las operaciones de una conversin se realizan en el orden en el que aparecen en el fichero. Cada operacin tiene asociada una lista de atributos (LISTA_PAREJAS en la gramtica). Los atributos se borran o insertan en el orden en el que aparecen en el fichero. El significado de cada operacion sera: insercin. Se indica que se inserten los atributos que estn en la lista de atributos, cada uno con el valor indicado. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 98 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Si algn atributo no tiene valor asociado o su valor es el COMODIN, se insertar con el mismo valor que la clave; en este caso, es necesario que la clave y el atributo sean del mismo tipo. borrado. Se borrarn los atributos que estn en la lista de atributos, siempre que cada uno tenga el valor indicado. En caso de que alguno de los atributos de la lista de atributos estuviera repetido en el paquete RADIUS, se borrarn todas aquellas ocurrencias en la que los valores coincidan. Por ejemplo: En un paquete RADIUS con los siguientes atributos: User-Name=usuario@psi Password=zkjzkks NAS-IP-Address=192.3.4.1 NAS-Port=3 Framed-Route=10.1.1.0 100.1.1.0 Framed-Route=30.1.1.0 130.1.71.0 Framed-Route=20.1.1.0 200.1.1.0 una operacin de borrado de la forma: *: * Borrar Framed-Route borrar todos los atributos Framed-Route del paquete. Si algn atributo no tiene valor asociado o su valor es el COMODIN, se borra sin comprobar su valor. Nota: Esta operacin no significa que se borre el atributo clave, sino que el atributo clave es el desencadenante de la operacin. sustitucin. Se cambiar el atributo clave por los atributos de la lista de atributos, cada uno con el valor indicado. Si algn atributo no tiene valor asociado o su valor es el COMODIN, se inserta con el mismo valor que la clave; en este caso, es necesario que la clave y el atributo sean del mismo tipo. Cuando el atributo clave es COMODIN, no se puede permitir un atributo con valor COMODIN en las operaciones Sustituir. Si se analiza el significado de esta conversin, querra decir para todos los paquetes, sean cuales sean sus atributos, cambiarlos por los atributos de la lista, pero conservando sus valores. En este caso, no se puede garantizar que el paquete RADIUS tenga todos los atributos compatibles (en cuanto a su tipo) con los atributos de sustitucin. Esta operacin es equivalente a una insercin de los atributos de la lista de atributos, seguida de un borrado del atributo clave. En el caso de que el atributo clave est repetido en un paquete RADIUS, se sustituirn todas aquellas ocurrencias del atributo que coincidan con la clave. Por ejemplo: En un paquete RADIUS con los siguientes atributos: User-Name=usuario@psi Password=zkjzkks NAS-IP-Address=192.3.4.1 Telefnica Data Espaa, S.A. 18/01/02 Pg.: 99 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. NAS-Port=3 Framed-Route=10.1.1.0 100.1.1.0 Framed-Route=30.1.1.0 130.1.71.0 Framed-Route=20.1.1.0 200.1.1.0 una operacin de sustitucin de la forma: *: Framed-Route Sustituir Reply-Message cambiar todos los atributos Framed-Route del paquete por atributos Reply- Message. C.5 Ejemplos A continuacin, se reproduce un ejemplo de fichero de conversiones. Las conversiones que se han incluido son ejemplos, que pueden no tener aplicacin en un caso real. # Conversion 1 AuthRequest : NAS-IP-Address=133.11.67.1 Sustituir NAS-IP-Address= 192.3.2.2, Acct-Input-Packets= 3, Framed-Route=192.3.255.255 # Conversion 2 AuthRequest: Session-Timeout Borrar Acct-Input-Packets= 40, Framed-Route=192.3.1.255 Sustituir Acct-Input-Packets= 3 # Conversion 3 *: Ascend-Assign-IP-Pool Insertar NIVEL-INFOVIA # Conversion 4 Start: Acct-Input-Packets= 5 Insertar NAS-IP-Address= 192.3.2.2 Insertar SESIONES-INFOVIA # Conversion 5 AuthAck:* Borrar Framed-Route # Conversion 6 Telefnica Data Espaa, S.A. 18/01/02 Pg.: 100 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. AuthRequest:User-Name=infovia InsertarPassword="zutano" A continuacin, se describen cada una de las conversiones: 1. Si se recibe un paquete RADIUS de tipo AuthRequest, que contiene el atributo NAS- IP- Address con el valor 133.11.67.1, se sustituir por la lista de atributos NAS-IP- Address con valor 192.3.2.2, Acct-Input-Packets con valor 3 y Framed-Route con valor 192.3.255.255. 2. Si se recibe un paquete RADIUS de tipo AuthRequest con un atributo Session- Timeout con cualquier valor: borrar el atributo Acct-Input-Packets si tiene el valor 40, y el atributo Framed- Route si tiene el valor "192.3.1.255". sustituir el atributo Session-Timeout por el atributo Acct-Input-Packets con valor 3. 3. Si un paquete RADIUS de cualquier tipo tiene un atributo Ascend-Asign-IP-Pool con cualquier valor, se sustituye por el atributo NIVEL-INFOVIA con el mismo valor. 4. Si un paquete RADIUS de tipo Start tiene un atributo Acct-Input-Packets con el valor 4, se insertar un atributo NAS-IP-Address con el valor 192.3.2.2 y un atributo SESIONES-INFOVIA con el mismo valor que el atributo Acct-Input-Packets. 5. En todos los paquetes RADIUS de tipo AuthAck borrar el atributo Framed-Route. 6. En todos los paquetes RADIUS de tipo AuthRequest, para el usuario infovia, insertar el atributo Password con el valor zutano. Si llega un paquete de AuthRequest con el siguiente contenido de atributos: NAS-IP-Address = 133.11.67.1 NAS-Port = 1 NAS-Port-Type = Virtual User-Name = "infovia" Called-Station-Id = "915555555" Calling-Station-Id = "916666666" Password = "zzttuuzz" User-Service = Framed-User Framed-Protocol = PPP Ascend-Assign-IP-Pool = 3 Framed-Route = "192.22.255.255" el resultado sera: NAS-IP-Address = 192.3.2.2 Acct-Input-Packets = 3 Framed-Route = "192.3.255.255" NAS-Port = 1 Telefnica Data Espaa, S.A. 18/01/02 Pg.: 101 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. NAS-Port-Type = Virtual User-Name = "infovia" Called-Station-Id = "915153040" Calling-Station-Id = "915150495" Password = "zzttuuzz" User-Service = Framed-User Framed-Protocol = PPP Ascend-Assign-IP-Pool = 3 Framed-Route = "192.22.255.255" NIVEL-INFOVIA = 3 Password = "zutano" Se han aplicado las conversiones 1, 3 y 6, en ese orden. C.6 API para desarrollo de conversiones a medida Al margen de las conversiones que se pueden especificar por medio de los ficheros de configuracin, es posible realizar conversiones de atributos a medida, realizando su programacin en el lenguaje C. Para ello, se ofrece un interfaz para programadores que les permite codificar las conversiones en este lenguaje.Este API se incorpora en una librera de enlace dinmico, llamada libFiltro.so. Para poder utilizar esta funcionalidad se tiene que emplear el servidor radiusddll, tal y como se describe en el Apartado 4.2.2 radiusddll . Este interfaz define los siguientes parmetros: tipo de paquete RADIUS. Se definen unas etiquetas para facilitar la asociacin entre el nmero asignado y el tipo de paquete RADIUS. atributos de entrada. Se trata de una cadena de caracteres, en el formato Atributo=valor (tal y como se describen los pares en la gramtica), separadas por comas y sin ningn cambio de lnea. Los atributos estarn codificados segn el diccionario disponible durante la ejecucin del programa. Este diccionario no incluir el COMODIN. atributos de salida. Como resultado de la conversin se espera una cadena de caracteres en el mismo formato anterior. Los nombres de los atributos debern ser los nombres con los que aparezcan en el diccionario disponible durante la ejecucin del programa. No se permitir el empleo del COMODIN. El API es: void iniciarPreConversiones(); void iniciarPostConversiones(); int preConvertirAtributos( int tipoPaquete, char *cadenaEntrada, char **cadenaSalida); int postConvertirAtributos( int tipoPaquete, char *cadenaEntrada, char **cadenaSalida); Telefnica Data Espaa, S.A. 18/01/02 Pg.: 102 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. C.6.1 Inicializacin Las funciones inicializarPreConversiones y inicializarPostConversiones se utilizan para que el programador pueda inicializar las estructuras de datos que pueda necesitar posteriormente durante las conversiones (diccionario, listas de atributos, trazas,...). De esta forma, no es necesario realizar operaciones muy largas en las funciones de conversin, que deben ser lo ms rpidas posibles, para permitir unas buenas prestaciones del servidor RADIUS. C.6.2 Conversiones Las funciones preConvertirAtributos y postConvertirAtributos se ejecutan inmediatamente despus de haber procesado las conversiones (pre y post respectivamente) de los ficheros de configuracin. En este interfaz se hace uso de los siguientes parmetros: tipo de paquete RADIUS. Las conversiones pueden ser distintas segn el tipo de paquete que se reciba. Se definen unas etiquetas para facilitar la asociacin entre el nmero asignado y el tipo de paquete RADIUS. atributos de entrada. Es la lista de atributos del paquete RADIUS. Est representado como una cadena de caracteres, en el formato Atributo=valor (tal y como se describen los pares en la gramtica), separadas por comas y sin ningn cambio de lnea. Los atributos estarn codificados segn el diccionario disponible durante la ejecucin del programa. Este diccionario no incluir el COMODIN. atributos de salida. Como resultado de la conversin se espera una cadena de caracteres en el mismo formato que la cadena de entrada. Los nombres de los atributos debern ser los nombres con los que aparezcan en el diccionario disponible durante la ejecucin del programa. No se permitir el empleo del COMODIN. El cdigo del demonio RADIUS que enlaza con la librera de conversin no espera liberar el espacio de la cadena de salida, por lo que se recomienda que se asigne utilizando un static char vector[ XXX]; Las conversiones a medida se ejecutan inmediatamente despus de haber procesado las conversiones de los ficheros de configuracin. La implementacin de esta funcin corre a cargo del desarrollador, que tendra que decodificar la cadena de entrada, procesarla y producir una cadena de salida. No hay que olvidar que el ncleo del demonio RADIUS no va a liberar la memoria asociada a la cadena de salida, asi es que el programador debe asegurarse de que esa memoria sea liberada, u ofrecer una cadena esttica. Si no se reescribe esta funcion se suministra una funcin que no realiza ninguna conversin. Esta funcin se encuentra en la librera libFiltro.so. Este proceso de conversin puede restar prestaciones al servidor RADIUS, en funcin de la complejidad de las funciones de conversin. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 103 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. D Gestin de calidades Se van a describir los siguientes contenidos: Descripcin de la funcionalidad. API para desarrollo de gestin de calidades. D.1 Descripcin de la funcionalidad El proceso radiusd servidor RADIUS en modo proxy utiliza el atributo Ascend-Assign-IP- Pool (cdigo 218) para determinar el nivel de calidad para asignar direcciones IP. En caso de que este atributo no exista, se utiliza un nivel de calidad por defecto. Por ejemplo, en un paquete RADIUS del tipo AuthAck con los siguientes atributos: User-Name=usuario@psi Password=zkjzkks NAS-IP-Address=192.3.4.1 NAS-Port=3 Ascend-Assign-IP-Pool=3 la funcin devolver un 3. D.2 API de gestin de calidades El servidor RADIUS en modo proxy podr ser configurado para que llame a una funcin de una librera dinmica cada vez que tenga que asignar una direccin IP. Dicha funcin recibir como parmetro el tipo de paquete RADIUS que se ha recibido y la lista de atributos del paquete; la salida de la funcin se interpretar como el nivel de calidad de la direccin IP que asignar el servidor RADIUS. En este caso, es el proceso radiusddll el que actuar como servidor RADIUS (vase el Apartado 4.2.2 radiusddll ) El API es: void inicializarCalidades(); int ObtenerCalidad( int tipoPaquete, char *strAtributos); D.2.1 Inicializacin La funcin inicializarCalidades se utilizan para que el programador pueda iniciar las estructuras de datos que pueda necesitar posteriormente para la gestin de los niveles de calidad (diccionario, listas de atributos, trazas,...). De esta forma, no es necesario realizar operaciones muy largas en la funcin ObtenerCalidad del API, que deben ser lo ms rpidas posibles, para permitir unas buenas prestaciones del servidor RADIUS. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 104 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Esta funcin es invocada una sola vez y nicamente cuando se arranca el proceso servidor. D.2.2 Obtencin de niveles de calidad La funcin ObtenerCalidad se ejecuta en el proceso en el que se va a determinar la direccin IP que se va a asignar a una peticin. En este interfaz se hace uso de los siguientes parmetros: tipo de paquete RADIUS. Las conversiones pueden ser distintas segn el tipo de paquete que se reciba. Se definen unas etiquetas para facilitar la asociacin entre el nmero asignado y el tipo de paquete RADIUS. atributos de entrada. Es la lista de atributos del paquete RADIUS. Est representado como una cadena de caracteres, en el formato Atributo=valor (tal y como se describen los pares en la gramtica), separadas por comas y sin ningn cambio de lnea. Los atributos estarn codificados segn el diccionario disponible durante la ejecucin del programa. Este diccionario no incluir el COMODIN. Esta funcin devolver un nmero entero que se interpretar como el nivel de calidad de direcciones IP a asignar por el servidor RADIUS. El programador de esta funcin puede devolver un nmero negativo para indicar que ha sido imposible determinar un nivel de calidad. En ese caso, el servidor RADIUS comprueba si el paquete RADIUS tiene el atributo Ascend-Assign-IP-Pool (cdigo 218) y devuelve su valor; si tampoco existiera este atributo, se devolver el nivel de calidad por defecto. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 105 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. E Cdigos de Respuesta Los siguientes cdigos de mensajes se utilizan en el Radius del PSI como una extensin al protocolo RADIUS, para satisfacer diversas funcionalidades de los servicios que puede soportar el Radius del PSI. Cdigo Significado 0 error 41 libera_direccion (ACK) 42 libera_direccion (NAK) 52 parar_radius (ACK) 53 status_radius (ACK) 55 reutilizar_direccion (ACK) 60 fijar trazas (ACK) 62 liberar_direccion_delegada (ACK) 64 mandar_stop_psi (ACK) Telefnica Data Espaa, S.A. 18/01/02 Pg.: 107 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. F Historia de las Versiones del Servidor Radius Nota sobre Nombrado de Versiones El paquete o distribucin entregado presenta un nmero de versin con 3 grupos de dgitos: xx.yy.zz El primer grupo xx, representa cambios importantes en la funcionalidad; as, por ejemplo, xx=4 incluye la funcionalidad desarrollada para el servicio Infova Plus Bsico (Modalidad delegada) y xx=5 incluye la nueva funcionalidad de Proxy. El segundo grupo yy, representa mejoras dentro de una funcionalidad, o pequeas funcionalidades adicionales. Por ejemplo, al aadir nuevas herramientas (gestion de logs, herramienta de estadsticas), hay que incrementar este nmero. El tercer grupo zz representa correccin de errores, se incrementa cada vez que se distribuye el producto de nuevo corrigiendo un error, por lo que no es necesario modificar la documentacin (excepto que la nueva entrega corrija errores de la propia documentacin). Nos referiremos a una versin del paquete como xx.yy. Pero para identificar una distribucin concreta necesitamos los tres grupos de dgitos xx.yy.zz. Los ejecutables que componen la distribucin siguen el mismo sistema de nombrado, es decir se utilizan tambin tres grupos de dgitos, pero de una manera independiente a la del paquete global. Se presenta a continuacin la descripcin de las funcionalidades de cada versin y dentro de cada versin las distintas distribuciones, indicando los errores que corrigen. F.1 Version 5.04.01 Radius de PSI (Plataforma Solaris, Linux y NT) Se corrigen las siguientes incidencias: CVCA-69755: valores por defecto incorrectos en cfg_local_INFOVIA... CVCA-88463: error en nombre de ejecutable de instalacon, NT CVCA-88570: fichero usu.ini no documentado... CVCA-88961: Confusion en el uso de criterios_PROXY_letra y criterios_PROXY CVCA-88963: Problema en la ejecucion de gestion_log.sh, Linux CVCA-88977: Problemas llamadas TarifaPlana desde Canarias, Linux CVCA-88982: Faltan ficheros en bateria_infovia y bateria_delegado, NT CVCA-88983: Fallo en la autenticacion con usuario DEFAULT, NT CVCA-88984: Puertos incorrectos en el fichero de TRAZAS CVCA-88994: Error al atender a criterios en accion_llamada con RDSI, NT Telefnica Data Espaa, S.A. 18/01/02 Pg.: 108 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. CVCA-88997: Error al renombrar RadInfovia.dll por RadInfoviamsj.dll, NT CVCA-89423: Core con radiusddll+libInfoviadbm+usuario-DEFAULT, Linux CVCA-89490: RadiusNT no muestra ayuda con opcion incorrecta, NT CVCA-89643: Error al ejecutar rad_tool con la opcion usuarios_conectados, NT CVCA-91538: Error en la documentacion de arranque automatico, Linux F.2 Version 5.04.00 Radius de PSI (Plataforma Solaris, Linux y NT) Se permite configurar el numero de sesiones simultaneas por usuario del servicio de tarifa plana. Se permite configurar la accion a realizar con usuarios de RTB que no lleven numero A. Se permite configurar la accion a realizar con usuarios de RDSI ya conectados por el mismo numero. Se permite configurar, en modo proxy, el registro y control de peticiones progresadas a servidor final. Encriptacin de loginnames y passwords en los ficheros de perfiles de usuario. Soporte de las nuevas RFCs del protocolo Radius (RFCs 2865-2869) Acceso SNMP al servidor radius, y almacenamiento de datos definidos en las MIBs (RFCs 2618-2621) Se incorporan las siguientes funcionalidades procedentes de la versin TR03 y TR04: o Se entrega sin informacion de depuracion. o Se entrega compilado con opciones de optimizacion en velocidad. o En modo proxy, evita los ocasionales problemas de autenticacion al acceder por CHAP o por PAP. o En modo servidor final, acceso indexado a las sesiones establecidas. Se incorporan las siguientes funcionalidades procedentes de la versin TR02: o Se incorpora la funcionalidad de proxy por inicial de loginname. o Se incluye la opcion "ver_usuario <usuario>" para la herramienta rad_tool. o Se incluye la opcion "numero_usuarios_conectados" para la herramienta rad_tool. o Se corrige el problema de parametros corruptos en el fichero usuario_INFOVIA. o Se incorpora la funcionalidad para la tarifa plana. o Se incluye la funcionalidad de "control de fraude". Telefnica Data Espaa, S.A. 18/01/02 Pg.: 109 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. F.3 Version 5.03 Radius Proxy Fase II (Plataforma Solaris, Linux y NT) Se incluye una herramienta para liberacin de sesiones pilladas. Se actualiza la versin de Linux, incluyendose todas las funcionalidades de la versin de Solaris a excepcin de la herramienta de liberacin de sesiones pilladas y la herramienta para obtencin de estadsticas de llamadas recibidas. Se actualiza la versin de Windows NT, incluyendose todas las funcionalidades de la versin de Solaris a excepcin de la herramienta de liberacin de sesiones pilladas, la herramienta para obtencin de estadsticas de llamadas recibidas, las herramientas herramientas relacionada con los ficheros DBM y la herramienta de gestin automtica de ficheros de Log. F.4 Version 5.02 Radius Proxy Fase II (Plataforma Solaris) Se corrige un error relacionado con el control de sesiones. En determinadas ocasiones se asignaban direcciones duplicadas a los usuarios. Se incluye una herramienta para gestin de ficheros de logs. Se incluye una herramienta para actualizacin de ficheros DBM en tiempo real. Se incluye una herramienta para obtencin de estadsticas de llamadas recibidas. F.5 Version 5.01 Radius Proxy Fase II(beta) (Plataforma Solaris) Se incorpora la funcionalidad de Conversin de Atributos y la configuracin del destino del proxy por diversos criterios. Incluye tambin nuevas APIs para conversin de atributos y obtencin de Calidades F.6 Version 5.00 Radius Proxy Fase I (Plataforma Solaris) 5.00.03 (Plataforma Solaris) Corrige un error que se producia al recibir multiples paquetes de contabilidad de una misma sesion, en cuyo caso la opcion "usuarios_conectados" de la herramienta rad_tool mostraba multiples sesiones 5.00.02 Radius Proxy Fase I(Plataforma Solaris) Se corrigen diversios errores existentes en la version beta. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 110 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 5.00.01 Radius Proxy Fase I(beta) (Plataforma Solaris) Se incorpora la funcionalidad de Proxy. El servidor Radius puede reenviar las peticiones de Autentificacin a un servidor RADIUS Final. Cuando se recibe una respuesta afirmativa se finaliza el procesamiento de la peticin y se enva la respuesta al cliente. Slo se permite un nico destino de las peticiones. F.7 Version 4.00 Modalidad Delegada (Plataformas Solaris, Linux, NT) 4.00.03 Modalidad Delegada (Plataformas Solaris, Linux, NT Corrige un error que se produca al recibir mltiples paquetes de contabilidad de una misma sesin, en cuyo caso la opcin "usuarios_conectados" de la herramienta rad_tool mostraba multiples sesiones. 4.00.02 Modalidad Delegada (Plataformas Solaris, Linux, NT) Permite un nuevo tipo de Cliente: El CVCA de la Red IP, frente al cual el servidor Radius actua nicamente en el proceso de autentificacin de usuarios, pudiendo prescindirse del control de sesiones y asignacin de direcciones IP. Se aaden a la herramienta rad_tool nuevas funcionalidades de desconexin contra el CVCA y de consulta de usuarios conectados en modalidad delegada. Se aaden nuevos atributos al diccionario : Nivel-Internet (225) y Num-Max- Conexiones(224). Problemas Detectados pendientes de solucion: Eventual perdida de memoria durante las primeras peticiones (hasta 100-200KB) hasta que su tamanio se estabiliza y a partir de entonces no vuelve a perder memoria. F.8 Version 3.0b7 (Plataformas Solaris, Linux, NT) 3.0b7.105 (Plataformas Solaris, Linux, NT) Permite el uso de clientes PROXY distintos de los CSIV de Infova. Soporte para el sistema de mensajes del Kit de usuario de InfoviaPlus. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 111 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. F.9 Version 3.0 (Plataformas Solaris, Linux, NT) Permite clientes Hardware, es decir clientes RADIUS distintos de los CSIVs. As un CPI podr autentificar a usuarios que accedan a su red local a travs de un servidor de acceso distinto de los de InfoVia con el mismo RADIUS. Incluye un nuevo atributo: HARDWARE-INFOVIA, que permite o deniega la autenticacion de usuarios hardware. El valor por defecto del atributo HARDWARE-INFOVIA puede alterarse introduciendo en el archivo cfg_local_INFOVIA una lnea del tipo HARDWARE_INFOVIA_OMISION 1 Soporta como cliente hardware a Windows NT 5.0 Beta 1 Permite el uso de CHAP en la autenticacin. F.10 Version 2.03 (Plataformas Solaris, Linux, NT) Corrige un bug que se produca al utilizar DBM y haber algun parmetro mal en el fichero usuarios_INFOVIA. Al realizar una parada controlada se guarda ahora tambin el estado de sincronismo de cada CSIV y se recupera en el arranque. Anteriormente si se recuperaba la situacin previa a la parada se sobreentenda que el estado era SINCRONIZADO. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 113 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. G Atributos a Intercambiar entre el PSI y el CVCA (Infova Plus Bsico Modalidad Delegada) G.1 Introduccin Se detallan en este anexo el contenido de los mensajes y atributos RADIUS que deben intercambiarse los servidores RADIUS en el PSI con el Centro de Validacin y Control de Acceso de la Red IP (CVCA). Estas especificaciones debern ser de obligado cumplimiento cualquiera que sea el servidor RADIUS que se instale en el PSI. G.2 Mensajes a intercambiar entre el CVCA y el PSI Delegado Se muestran entre parntesis los cdigos de atributo o de paquete, siguiendo las RFCs 2138 y 2139. G.2.1 Authentication Request (1) (CVCA->PSI) Atributos de envo garantizado: User-Name (1) User-Password (2)/ CHAP Password (3) NAS-IP-Address (4) Nas-Port-Type (61) Atributos frecuentemente enviados pero NO garantizados: NAS-Port (5) Called-Station-Id (30) Calling-Station-Id (31) Proxy-State (33), el cual se denomina PROXY-INFOVIA en el diccionario. G.2.2 Authentication Accept (2) (PSI->CVCA) Atributos que han de venir obligatoriamente caso de que se enviara en la peticin: Proxy-State (33, PROXY-INFOVIA) Atributos admitidos no obligatorios: Session-Timeout (27). Para Ascend es Ascend-Maximum-Time(194) Iddle-Timeout (28). PAra Ascend es Ascend-Idle-Limit (244) Port-Limit (62) (Solo para usuarios RDSI) Telefnica Data Espaa, S.A. 18/01/02 Pg.: 114 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Atributos propietarios(no obligatorios): Max-Num-Connections(224) Nivel-Internet(225) Bienvenida-Id(226) Atributos NO permitidos (sern ignorados) Todos los dems. G.2.3 Authorization Reject (3)(PSI->CVA) Proxy-State (33, PROX-INFOVIA)) G.2.4 Accounting Request (4) (CVCA->PSI) G.2.4.1 Accounting-Start (CVCA->PSI) Atributos de envo garantizado: Acct-Status-Type (40) Acct-Session-Id (44) NAS-IP-Address (4) Atritutos de envio garantizado caso de que se enviaran en la peticin: Proxy-State (33, PROXY-INFOVIA) Atributos frecuentemente enviados pero NO garantizados: User-Name (1) NAS-Port (5) NAS-Port-Type (61) Framed-IP-Address (8), el cual figura como Framed-Address en el diccionario. Calling-Station-Id (31) Acct-Delay-Time (41) G.2.4.2 Accounting-Stop Atributos de envo garantizado: Acct-Status-Type (40) Acct-Session-Id (44) NAS-IP-Address 84) Telefnica Data Espaa, S.A. 18/01/02 Pg.: 115 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Acct-Session-Time (46) Acct-Terminate-Cause (49) Proxy-State (33, PROXY-INFOVIA) (si se envi y todos los que se enviaran) Atributos frecuentemente enviados pero NO garantizados: NAS-Port (5) Calling-Station-Id (31) Acct-Delay-Time (41) Acct-Input-Octets (43) Acct-Output-Octets (43) Acct-Input-Packets (47) Acct-Output-Packets (48) NAS-Port-Type (61) G.2.5 Accounting Responses (5)(PSI->CVA) Proxy-State (33, PROXY-INFOVIA) G.2.6 Atributos de Desconexin Atributos obligatorios de peticin de desconexin (cdigo de paquete 40) (PSI-> CVCA): Framed-IP-Address (8, Framed-Address) Atributos garantizados de respuesta a desconexin(cdigos de paquete 41 y 42) (CVCA-> PSI) Respuesta afirmativa (cdigo de paquete 41) Reply-Message (18) Respuesta negativa (cdigo de paquete 42) Reply-Message (18) Telefnica Data Espaa, S.A. 18/01/02 Pg.: 117 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. H GUA DE INSTALACIN DE CENTROS PROVEEDORES DE INFORMACIN H.1 INTRODUCCIN En el presente anexo se presenta una solucin nica para Centros Proveedores de Informacin (CPI). Esta solucin es vlida para CPIs conectados a Internet o a InfoVa, e incluso para CPIs conectados tanto a InfoVa como a Internet. Se ha buscado una solucin que sea vlida para cualquier tipo de CPI. Esta solucin se basa en una nica arquitectura, la cual, se caracteriza por el reducido equipamiento que necesita. De este modo se simplifica y abarata la construccin de un CPI. H.1.1 OBJETIVO En este anexo se explica una solucin global para la construccin de centros proveedores de informacin. Esta solucin es vlida para cualquier tipo de CPI: los conectados slo a InfoVa o a Internet, as como los conectados tanto a InfoVa como a Internet. La estructura de este anexo es la siguiente: Apartado H.26 INTRODUCCIN: Introduccin. Presenta una introduccin al resto del anexo. Tambin incluye una explicacin de los conceptos relacionados con los CPIs. Por ltimo se adjunta una relacin de la bibliografa utilizada. Apartado H.27 DESCRIPCIN DE LOS CENTROS PROVEEDORES DE INFORMACIN: Descripcin de los centros proveedores de informacin. En este apartado se presentan los distintos tipos de centros proveedores de informacin, cuya integracin en una nica arquitectura es el objetivo del presente anexo. Apartado H.28 ARQUITECTURA DE UN CPI: Arquitectura de un CPI. Se explica en detalle la arquitectura propuesta para un CPI. Apartado H.29 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE SUN SPARC: Ejemplo de configuracin de un CPI sobre SUN SPARC. Se presenta un ejemplo de cmo habra que configurar un CPI de acuerdo con la arquitectura presentada en el apartado anterior. Para el ejemplo se ha elegido un CPI que sea accesible tanto desde InfoVa como desde Internet, con pasarela a Internet desde InfoVa. En este ejemplo se emplea una mquina UNIX de SUN Microsystems y un servidor web NCSA. Apartado H.30 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE PC CON SISTEMA OPERATIVO LINUX: Ejemplo de configuracin de un CPI sobre PC con sistema operativo Linux. En este apartado se explica cmo habra que configurar un CPI de acuerdo con la arquitectura presentada en el apartado G.3. Para el ejemplo se ha elegido un CPI Telefnica Data Espaa, S.A. 18/01/02 Pg.: 118 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. accesible tanto desde InfoVa como desde Internet, con pasarela a Internet desde InfoVa. En este ejemplo se emplea un PC con sistema operativo Linux, y un servidor web NCSA. Apartado H.31 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE PC (INTEL) CON MICROSOFT WINDOWS NT: Ejemplo de configuracin de un CPI sobre un PC (Intel) con Microsoft Windows NT. Se presenta un ejemplo de cmo se ha de configurar un CPI de acuerdo con la arquitectura presentada en el tercer apartado. Para el ejemplo se ha elegido un CPI que sea accesible tanto desde InfoVa como desde Internet, con pasarela a Internet desde InfoVa. En este ejemplo se emplea un PC con microporcesador Intel, con Microsoft Windows NT y Microsoft Internet Information Server. Apartado H.32 CONFIGURACIN DEL SERVIDOR RADIUS Y DEL ROUTER: Configuracin del servidor RADIUS y del ROUTER. En los ejemplos contenidos en los apartados que van del 4 al 6, se ha supuesto que se est trabajando con la versin actualmente disponible de radius (vase en la portada la fecha del presente anexo). En este apartado se describe el nuevo radius y todas las modificaciones que supone su instalacin respecto a lo descrito en los apartados anteriores. Apartado H.33 INFORMACIN ADICIONAL PARA LA INSTALACIN DE UN CPI: Informacin adicional para la instalacin de un CPI. Se informa que el cdigo de un servidor RADIUS, compilado para diferentes plataformas, est disponible en un servidor ftp annimo. Apartado H.34 PROCESO ADMINISTRATIVO: Proceso administrativo. Se detallan los aspectos administrativos que un proveedor de informacin deber de realizar para establecer un CPI. H.1.2 CONCEPTOS RELACIONADOS InfoVa es una red que permite el acceso a los usuarios a centros proveedores de informacin bien a travs de la red telefnica bsica (RTB), de la RDSI GSM. InfoVa multiplexa y demultiplexa el trfico procedente de los usuarios a los diferentes centros proveedorees de informacin. Los CPIs se conectarn a los Centros de Servicio InfoVa (CSIV) a travs de enlaces frame relay. Centro Proveedor de Informacin (CPI), expresin con la que se designa al conjunto de equipos que proporcionan informacin al usuario. La informacin de un CPI podr ser accesible desde InfoVa o desde Internet. Tambin puede ser accesible desde InfoVa e Internet. Existe una ltima opcin de CPI que es la de pasarela a Internet: se trata de un centro accesible desde InfoVa que permite a los usuarios autorizados el acceso a Internet. Centro de Servicio InfoVa (CSIV), con este nombre se denomina al conjunto de equipos que ofrecen la funcionalidad InfoVa al usuario de una zona geogrfica concreta. Es decir, el servicio ofrecido por InfoVa se encuentra distribuido en varios centros repartidos por el territorio nacional en funcin de la demanda y utilizacin del Telefnica Data Espaa, S.A. 18/01/02 Pg.: 119 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. servicio. En general se usar el termino InfoVa indistintamente para referirse al servicio prestado como a los equipos (red) sobre los que se presta dicho servicio. Centro de Gestin de InfoVa (CGIV), es el conjunto de equipos que permiten a Telefnica realizar la gestin de los distintos centros que soportan la prestacin del servicio. En el anexo se usar el trmino Sistema de Gestin para referenciarlo. El usuario llamante es la persona que realiza la llamada a un CPI a travs de InfoVa. Para ello deber poseer un PC con la torre de comunicaciones TCP/IP instalada, y un modem (acceso a travs de la RTB) o un adaptador de terminal (acceso a travs de la RDSI). El proveedor del servicio o cliente, es la persona o entidad que desea suministrar informacin a travs de InfoVa, de Internet, o a travs de ambas redes. Frame relay, es el protocolo utilizado entre dispositivos de usuario y equipos de red (por ejemplo nodos de conmutacin). Es un protocolo ms eficiente que el de X.25. Este servicio se provee por tcnicas de Circuitos Virtuales Permanentes (PVC). Servidor RADIUS, es un software que puede correr en una mquina de las instalaciones del proveedor de informacin. Su misin es realizar, en colaboracin con InfoVa, la autentificacin de los abonados suscritos al proveedor de informacin. IANA, la autoridad que asigna los direcciones en Internet. RFCs, son los documentos oficiales de Internet. CIR, es un parmetro de contratacin de una conexin frame relay, para cada uno de los circuitos virtuales permanentes contratados por interfaz. Este parmetro de contratacin determina el nmero mnimo de bits por segundo que la red va a ser capaz de conmutar para ese circuito virtual permanente. H.1.3 BIBLIOGRAFA Especificacin funcional del servicio InfoVa. Telefnica Investigacin y Desarrollo. Requisitos de conexin a InfoVa de los centros proveedores de informacin. Telefnica Investigacin y Desarrollo. H.2 DESCRIPCIN DE LOS CENTROS PROVEEDORES DE INFORMACIN Existen distintos tipos de centros proveedores de informacin. En este apartado se describe la arquitectura y los servicios que puede soportar cada uno de ellos. Los tipos de CPI son los siguientes: CPI accesible slo desde Internet. CPI accesible slo desde InfoVa. CPI accesible desde InfoVa e Internet. CPI para el acceso a Internet desde InfoVa. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 120 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Estas configuraciones son optimizables. En el Apartado H.28 ARQUITECTURA DE UN CPI se indica cmo hacerlo en un contexto UNIX, y en el Apartado H.29 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE SUN SPARC se proponen ejemplos de CPIs configurados de acuerdo a la solucin presesentada en el Apartado H.28 ARQUITECTURA DE UN CPI . En los siguientes apartados de este apartado se describe en detalle cada uno de estos tipos de CPI. H.2.1 CPI ACCESIBLE SLO DESDE Internet Este CPI slo estar conectado a la red Internet. Los servicios que ofrecer a los usuarios que accedan sern todos los que puede ofrecer Internet como son entre otros: Servidor de web. Servidor de mail. Servidor de news. Este tipo de CPI que slo es accesible desde Internet no forma parte de InfoVa. Todas las direcciones de los equipos que integran el CPI han de estar registradas en Internet. En la figura Figura H-1: Diagrama de un CPI accesible slo desde Internet. se representa un diagrama de cmo es un CPI de este tipo. Figura H-1: Diagrama de un CPI accesible slo desde Internet. H.2.2 CPI ACCESIBLE SLO DESDE InfoVa Este CPI slo estar conectado a la red InfoVa. Los servicios que ofrecer a los usuarios que accedan sern todos los que puede ofrecer Internet, dado que la red InfoVa emplea tambin protocolos IP y las direcciones reservadas por Internet para redes privadas (RFC 1597). Entre estos servicios est: Servidor de web. Servidor de mail. Servidor de news. En este tipo de centros, las direcciones de los equipos que lo integran las proporciona InfoVa. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 121 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. En la figura adjunta se representa un diagrama de cmo es un CPI de este tipo. Figura H-2: Diagrama de un CPI accesible slo desde InfoVa. H.2.3 CPI ACCESIBLE DESDE InfoVa E Internet Este CPI est conectado a las dos redes, a InfoVa y a Internet. Una caracterstica fundamental de este tipo de centros proveedores de informacin es que aun cuando son accesibles desde las dos redes, no se mezclan los accesos. Es decir, cuando un usuario acceda desde Internet, toda la informacin solicitada se le enviar a travs de Internet. Si el acceso del usuario es por InfoVa, toda la informacin la recibir a travs de InfoVa. Esto ha de ser as puesto que en InfoVa el direccionamiento empleado es el reservado a redes privadas. Por tanto, cualquier CPI que se instale de este tipo deber respetar esta condicin. Los servicios que ofrecer a los usuarios que accedan por cada una de ellas sern todos los que puede ofrecer Internet .Entre estos servicios estn: Servidor de web. Servidor de mail. Servidor de news. En la figura adjunta se representa un diagrama de cmo es un CPI de este tipo. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 122 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Figura H-3: Diagrama de un CPI accesible desde InfoVa e Internet. Como se observa en la Figura H-3: Diagrama de un CPI accesible desde InfoVa e Internet. , un CPI accesible desde InfoVa e Internet, ha de disponer de un router encargado de encaminar el trfico correspondiente a los accesos de InfoVa, y de otro router encargado de encaminar el trfico correspondiente a los accesos desde Internet. As, no se mezclan los trficos de las dos redes. De este modo, conceptualmente, un CPI accesible desde InfoVa e Internet se comporta como dos CPIs independientes, aunque eso s, los equipos pueden ser compartidos (mquinas con dobles interfaces y doble direccin, una de InfoVa y otra de Internet). H.2.4 CPI PARA EL ACCESO A Internet DESDE InfoVa Este tipo de CPI est conectado a las dos redes, a InfoVa y a Internet. La peculiaridad de este tipo de centros es que permite a un usuario procedente de InfoVa el acceso a Internet. Para ello, en una de las mquinas del centro se ha de instalar un servidor RADIUS cuya misin es la de asignar direcciones de Internet a los usuarios de InfoVa que se lo soliciten. Para que un CPI pueda actuar como pasarela de InfoVa a Internet, ha de disponer de un rango (pool) de direcciones vlidas de Internet. El usuario que vaya a acceder a Internet desde InfoVa lo ha de hacer con una de las direcciones de ese rango, es decir, con direcciones de Internet. Esto es as dado que con las direcciones empleadas por InfoVa no se puede acceder a Internet (son direcciones reservadas para redes privadas). Telefnica Data Espaa, S.A. 18/01/02 Pg.: 123 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Cuando un usuario quiera acceder a Internet a travs de este CPI, el cliente RADIUS instalado en el CSIV al que ha accedido el usuario, se conectar al servidor RADIUS del CPI. El cliente solicitar al servidor una de las direcciones IP que administra este servidor RADIUS. Para ello el cliente ha de indicar al servidor el nombre (login) y la clave (password) del usuario llamante. Si el nombre y la clave son vlidos, y al CPI le quedan direcciones de Internet disponibles, el servidor enviar al cliente RADIUS del CSIV la direccin IP con la que el usuario puede acceder a Internet. La comunicacin entre el cliente RADIUS del CSIV y el servidor RADIUS del CPI se hace siempre por medio de direcciones de InfoVa. Este tipo de centros, adems puede dar servicios tanto a los usuarios que acceden desde InfoVa como a los que acceden desde Internet. Es decir, este centro adems de servir a los usuarios llamantes como pasarela desde InfoVa a Internet, tambin puede servir como un CPI del tipo descrito en el apartado anterior, el Apartado H.27.3 CPI ACCESIBLE DESDE InfoVa E Internet . En la Figura H-4: CPI con a acceso a Internet desde InfoVa. se muestra un diagrama de un CPI con acceso a Internet desde InfoVa. Figura H-4: CPI con a acceso a Internet desde InfoVa. H.3 ARQUITECTURA DE UN CPI En este apartado se presenta una arquitectura nica para cualquier tipo de CPI. Se trata de una solucin vlida tanto para CPIs accesibles slo desde InfoVa o Internet, as como para un CPI accesible desde las dos redes o con pasarela a Internet desde InfoVa. Las razones por las cuales se ha buscado una arquitectura nica para cualquier tipo de CPI son dos: Telefnica Data Espaa, S.A. 18/01/02 Pg.: 124 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 1. Facilitar el montaje a todas las entidades que quieran instalar un CPI, cualquiera que sea el tipo de CPI que vaya a instalar. 2. Dar una solucin con el menor nmero posible de equipos, lo que implica una reduccin en los costes de instalacin del CPI. Para proponer una nica arquitectura en los CPIs, cualquiera que sea su tipo, se ha tenido en cuenta lo siguiente: Por medio del protocolo frame relay un mismo enlace admite mltiples circuitos virtuales permanentes (PVC), cada uno de los cuales puede dar soporte a una conexin distinta. De este modo un nico enlace frame relay con dos PVCs, podra conectar a un CPI con Internet y con un Centro de Servicio (CSIV) de InfoVa. El primer PVC soportara la conexin con Internet. Por medio del segundo PVC, el CPI se conectara con el CSIV de InfoVa. Algunas mquinas UNIX admiten mltiples direcciones (y tambin mltiples mscaras) en cada una de sus interfaces. Esto hace posible que una nica mquina UNIX, con una nica interfaz, pueda comportarse como si se tratase de dos mquinas diferentes, cada una con su direccin y mscara propia. Es decir, se puede hacer que una misma mquina acte como si se tratase de dos mquinas, cada una de las cuales forma parte de una red diferente. Esta caracterstica que tienen algunas mquinas UNIX evita el tener que adquirir e instalar una tarjeta con mltiples interfaces para cada mquina que se quiere que sea accesible desde redes distintas (InfoVa e Internet), ya que esto mismo se puede conseguir va software. Un router admite en cada una de sus interfaces (tanto en las interfaces ethernet como en las interfaces serie) mltiples direcciones y mscaras. Esto permite estructurar cada una de las interfaces de un router en subinterfaces. Esta peculiaridad permite a partir de una nica interfaz serie, disponer en realidad de mltiples interfaces. Para ello basta configurar multiples subinterfaces en esa nica interfaz. Los servidores de web NCSA o NetScape instalados en una mquina UNIX con mltiples direcciones IP, pueden proporcionar diferentes pginas HTML en funcin de la direccin IP. Es decir, un servidor NCSA, o NetScape, instalado en una mquina UNIX con varias direcciones IP, se puede configurar de forma que se comporte como varios servidores de web diferentes, cada uno con sus propios contenidos. Cada uno de estos servidores virtuales se corresponde con una de las direcciones IP asignadas a la mquina. En la siguiente figura se muestra la arquitectura propuesta para cualquier tipo de CPI. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 125 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Figura H-5: Arquitectura vlida para cualquier tipo de CPI. Teniendo en cuenta todos los puntos anteriores y lo mostrado en la Figura H-5: Arquitectura vlida para cualquier tipo de CPI. , para instalar un CPI lo nico que hace falta es lo siguiente: Un enlace frame relay. El nmero de circuitos virtuales permanentes necesarios ser: CPI accesible slo desde Internet: 1 PVC. CPI accesible slo desde InfoVa: 1 PVC por cada CSIV de InfoVa al que se conecte el CPI. CPI accesible desde InfoVa e Internet: 1 PVC para Internet, y 1 PVC por cada uno de los CSIV de InfoVa al que se conecte el CPI. CPI con acceso a Internet desde InfoVa: 1 PVC para Internet, y 1 PVC por cada uno de los CSIV de InfoVa al que se conecte el CPI. Un nico router con una interfaz ethernet y una interfaz serie. Por medio de la interfaz ethernet, el router se conecta a la red de rea local (RAL) del CPI. El enlace frame relay se lleva a la interfaz serie. Segn sea el tipo de CPI habrn de configurarse las interfaces del router del siguiente modo: CPI accesible slo desde Internet: 1 PVC. Interfaz ethernet: 1 direccin y mscara IP dentro del rango de direcciones vlidas de Internet asignado por el IANA al proveedor. Interfaz serie: 1 subinterfaz al que se ha de asignar el nico PVC del enlace frame relay. CPI accesible slo desde InfoVa: 1 PVC como mnimo. Interfaz ethernet: 1 direccin y mscara IP dentro del rango de direcciones utilizado en InfoVa. Interfaz serie: tantas subinterfaces como el nmero de CSIVs de InfoVa a los que est conectado el CPI. A cada subinterfaz se le asigna un PVC que conecta con un determinado CSIV. CPI accesible desde InfoVa e Internet: 2 PVCs como mnimo. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 126 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Interfaz ethernet: 2 direccines y las correspondientes mscaras IP. Una dentro del rango de direcciones empleado en InfoVa, y la otra dentro del rango de direcciones vlidas de Internet asignado por el IANA al proveedor. Interfaz serie: 2 ms subinterfaces. A una de las subinterfaces se le asigna el PVC que conecta con Internet. A las restantes subinterfaces se les asignan los restantes PVCs del enlace frame relay, ya que son los PVCs que permiten la conexin del CPI con los CSIVs de InfoVa. CPI con acceso a Internet desde InfoVa: 2 PVCs como mnimo. Interfaz ethernet: 2 direccines y las correspondientes mscaras IP. Una dentro del rango de direcciones empleado en InfoVa, y la otra dentro del rango de direcciones vlidas de Internet asignado por el IANA al proveedor. Interfaz serie: 2 ms subinterfaces. A una de las subinterfaces se le asigna el PVC que conecta con Internet. A las restantes subinterfaces se les asignan los restantes PVCs del enlace frame relay, ya que son los PVCs que permiten la conexin del CPI con los CSIVs de InfoVa. Una mquina UNIX, siempre que la capacidad (velocidad, disco duro, ...) sea suficiente como para soportar todos los servicios de informacin que se pretende que de el CPI. El nmero de interfaces a configurar en la mquina es el siguiente: CPI accesible slo desde Internet: 1 direccin y mscara IP, dentro del rango de direcciones vlidas de Internet asignado por el IANA al proveedor. CPI accesible slo desde InfoVa: 1 direccin y mscara IP, dentro del rango de direcciones empleado en InfoVa. CPI accesible desde InfoVa e Internet: 2 direcciones y mscaras IP. Una dentro del rango de direcciones empleado en InfoVa, y la otra dentro del rango de direcciones vlidas de Internet asignado por el IANA al proveedor. CPI con acceso a Internet desde InfoVa: 2 direcciones y mscaras IP. Una dentro del rango de direcciones empleado en InfoVa, y la otra dentro del rango de direcciones vlidas de Internet asignado por el IANA al proveedor. H.4 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE SUN SPARC La mejor manera de explicar cmo se ha de instalar un CPI es ilustrarlo con un ejemplo. En este apartado se presenta un ejemplo de un CPI. Las caractersticas de este CPI son las que se enumeran en la siguiente lista: Tipo del CPI: es un CPI con acceso a Internet desde InfoVa. El CPI est a conectado a dos CSIV de InfoVa: el CSIV de Madrid y el CSIV de Barcelona. Servicios ofrecidos por el CPI: Servidor de web para InfoVa. Servidor de web para Internet. Servicio de pasarela a Internet. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 127 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Direcciones IP del CPI: Direcciones en InfoVa: El centro tiene asignado un rango de 256 direcciones en InfoVa. Este rango se emplea para dar direcciones de InfoVa a las mquinas del centro. Direcciones: Para las mquinas del centro: 10.128.102.0 a 10.128.102.255. Direcciones en Internet (asignadas por el IANA al proveedor): El centro tiene asignada una clase C de direcciones en Internet: Direcciones: 194.179.42.0 a 194.179.42.255 El servidor de RADIUS del CSIV es el que se encarga de asignar direcciones de InfoVa a los usuarios llamantes a cada uno de los CPIs conectados a ese CSIV. Son por tanto los CSIV de Madrid y Barcelona los que controlarn lospools de direcciones de InfoVa. Para los usuarios que accedan a Internet desde InfoVa, el CPI tiene definido un pool (rango) de direcciones que puede asignar dinmicamente a los usuarios llamantes.Este pool atender tanto a los usuarios llamantes al CSIV de Madrid como a los usuarios llamantes al CSIV de Barcelona. Este pool comprende las siguientes direcciones: De 194.179.42.129 a 194.179.42.188, es decir un pool de 60 direcciones. Cuando cualquiera de los dos CSIV (Madrid o Barcelona) detecta que un usuario quiere acceder a Internet a travs de este CPI, el cliente de RADIUS del CSIV correspondiente consultar al servidor RADIUS del CPI elegido por el usuario llamante. El equipamiento del CPI es el siguiente: Una mquina Sun SPARC-20, equipada con una nica interfaz ethernet. Sistema operativo SunOS 5.3, con Open Windows 3.4 y Netra Internet Server 2.0. Un router CISCO 2500, equipado con una interfaz ethernet y dos interfaces serie. Slo se van a emplear la interfaz ethernet y una de las interfaces serie. Un enlace frame relay a 48 Kbit/s con tres PVCs, el 17 (para Internet), el 18 (para el CSIV de Madrid), y el 19 (para el CSIV de Barcelona). Cada PVC garantiza una velocidad mnima de 16 Kbit/s. Un hub con 8 tomas. Por tanto, la RAL del CPI se ha construido con el hub y cables de pares trenzados (UTP). En la Figura H-6: Descripcin del CPI tomado como ejemplo. se muestra el centro as como las direcciones asignadas a cada uno de los equipos que integran el centro. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 128 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Figura H-6: Descripcin del CPI tomado como ejemplo. En los siguientes apartados se detalla la configuracin de cada una de las mquinas que integran el CPI del ejemplo. H.4.1 CONFIGURACIN DE LA MQUINA UNIX. En la mquina UNIX del CPI se han instalado los siguientes servidores: Un servidor de web NCSA. Se configura de modo que se comporte como dos servidores de web independientes. Uno de ellos dar servicio a los usuarios que accedan por Internet, mientras que el segundo da servicio a los que accedan por InfoVa. Un servidor de RADIUS cuya misin es la de asignar dinmicamente las direcciones del pool de direcciones de Internet manejado por el CPI. Un servidor DNS. En los siguientes puntos se detalla la configuracin de la mquina as como de los diferentes servidores instalados en ella. H.4.1.1 Configuracin de direcciones, interfaces y rutas. La mquina slo dispone de una interfaz, la le0, a la que se le asignan dos direcciones IP. Estas direcciones son: Telefnica Data Espaa, S.A. 18/01/02 Pg.: 129 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Direccion IP de Internet: 194.179.42.2 Direccin IP de InfoVa: 10.128.102.2 En el ejemplo se ha supuesto que el proveedor divide la clase C (256 direcciones) que se le ha concedido en subredes de 64 mquinas cada una. Por otra parte, en InfoVa, para los usuarios llamantes y los CPIs se asignan direcciones de la clase A 10.0.0.0 reservada por Internet para redes privadas. Esta clase A se subdivide en dos redes, la que va de 10.0.0.0 a 10.127.255.255 para los usuarios, mientras que las direcciones 10.128.0.0 a 10.255.255.255 para los CPIs. De acuerdo con esto, las mscaras correspondientes sern: Mscara para la direccin IP de Internet: 255.255.255.192 Mscara para la direccin IP de InfoVa: 255.128.0.0 En lo que a rutas se refiere, ha de habilitarse una ruta que permita encaminar el trfico de los usuarios de InfoVa y el trfico con el CSIV. En esta ruta, todo el trfico de las direcciones que van de la 10.0.0.0 a la 10.127.255.255, ha de encaminarse a travs del router del CPI, el 10.128.102.1, y adems permite que los paquetes salientes de la mquina tengan como direccin origen la de InfoVa. Los ficheros necesarios para configurar las direcciones son: /etc/hosts /etc/nodename /etc/hostname.le0 /etc/hostname.le0:1 /etc/netmasks /etc/defaultrouter /etc/rc2.d/S72inetsvc El contenido de estos ficheros es el que se indica en los prximos subapartados. H.4.1.1.1 Fichero /etc/hosts 127.0.0.1 localhost loghost timehost 194.179.42.2 maquina 10.128.102.2 maquina-inf 194.179.42.1 router 10.128.102.1 router-inf H.4.1.1.2 Fichero /etc/nodename maquina Telefnica Data Espaa, S.A. 18/01/02 Pg.: 130 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. H.4.1.1.3 Fichero /etc/hostname.le0 maquina H.4.1.1.4 Fichero /etc/hostname.le0:1 maquina-iv H.4.1.1.5 Fichero /etc/netmasks Por medio de este fichero se definen las mscaras a aplicar en cada una de las interfaces (ya sean hardware o software) de la mquina. 194.179.42.0 255.255.255.192 10.0.0.0 255.128.0.0 H.4.1.1.6 Fichero /etc/defaultrouter Este fichero indica cul es el router por defecto de la mquina. Es decir, a qu router se ha de enviar todo el trfico que llegue a la mquina y que sta no sepa por donde encaminar segun las rutas definidas. El contenido del fichero es: router H.4.1.1.7 Fichero /etc/rc2.d/S72inetsvc En este fichero se pueden configurar y activar o desactivar interfaces. Tambin en este fichero se definen rutas. En este fichero ha de incluirse el siguiente comando UNIX, con el objeto de asignar a la interfaz le0 de la mquina una segunda direccin IP, la correspondiente a InfoVa. /usr/sbin/ifconfig le0:1 10.128.102.2 netmask 255.128.0.0 up Esta ltima instruccin no es necesaria si se ha creado el fichero /etc/ hostname.le0:1 en el que se le dice a la mquina la direccin de InfoVa, y en el fichero /etc/netmasks se le ha asignado la mscara 255.128.0.0 a la red 10.0.0.0. Para que el CPI pueda encaminar el trfico de los usuarios llamantes a InfoVa y que los paquetes con destino a esos usuarios tengan como direccin origen la de InfoVa, hay que definir en el fichero la siguiente ruta: /usr/sbin/route add net 10.0.0.0 10.128.102.1 1 Para que el CPI pueda encaminar la informacin con destino al cliente RADIUS del CSIV de InfoVa al que se ha conectado, as como al router del CSIV al que se conecta el CPI, debe incluirse en el fichero estas rutas: Telefnica Data Espaa, S.A. 18/01/02 Pg.: 131 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. /usr/sbin/route add host 172.16.192.1 10.128.102.1 1 /usr/sbin/route add host 172.16.193.1 10.128.102.1 1 Si en un futuro se aaden ms CSIVs, debern aadirse ms rutas de hosts como las anteriores. Lo nico que cambiar es la direccin IP de lo hosts de los nuevos CSIVs. H.4.1.2 Configuracin del servidor de web Para instalar un servidor de web NCSA, y que se comporte como dos servidores independientes, han de configurarse los siguientes ficheros: /opt/SUNWweb/sun_httpd/conf/httpd.conf /opt/SUNWweb/sun_httpd/conf/access.conf /opt/SUNWweb/sun_httpd/conf/srm.conf La ruta de acceso (path) de los tres ficheros anteriores no tiene por qu ser esa, ya que puede instalarse el servidor en otro sitio. Pero en el ejemplo que aqu se presenta, se ha instalado el servidor en el directorio /opt/SUNWweb/ sun_httpd. Los tres ficheros de configuracin del servidor instalado estn en el directorio /opt/SUNWweb/sun_httpd/conf. H.4.1.2.1 Fichero httpd.conf # standalone configuration (not inetd spawned) # This is the main server configuration file ServerType standalone Port 80 User nobody Group nobody ServerName maquina.subdominio.dominio.es ServerAdmin postmaster@maquina.subdominio.dominio.es ServerRoot /opt/SUNWweb/sun_httpd ErrorLog logs/error_log TransferLog logs/access_log PidFile logs/htppd.pid <VirtualHost maquina_inf> ServerName maquina_inf ServerAdmin postmaster@maquina_inf DocumentRoot /opt/SUNWweb/htdocs/maquina_inf Telefnica Data Espaa, S.A. 18/01/02 Pg.: 132 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. ErrorLog logs/1-error_log TransferLog logs/1-access_log </VirtualHost> H.4.1.2.2 Fichero access.conf # access.conf: Global access configuration # Access permissions for your executable CGI programs <Directory /opt/SUNWweb/cgi-bin> Options Indexes FollowSymLinks </Directory> # Access permissions for your html files <Directory /opt/SUNWweb/htdocs> Options Indexes FollowSymLinks Includes AllowOverride All <Limit GET> order allow, deny allow from all </Limit> </Directory> # Place any other directories you wish to access here H.4.1.2.3 Fichero srm.conf # DocumentRoot /opt/SUNWweb/htdocs/maquina Alias /icons /opt/SUNWweb/images ScriptAlias /cgi-bin/ /opt/SUNWweb/cgi-bin/ # UserDir public_html DirectoryIndex index.html FancyIndexing on AddIconByType (TXT,/icons/text.xbm) text/* AddIconByType (IMG,/icons/image.xbm) image/* AddIconByType (SND,/icons/sound.xbm) audio/* AddIcon /icons/movie.xbm .mpg .qt AddIcon /icons/binary.xbm .bin AddIcon /icons/back.xbm .. AddIcon /icons/menu.xbm ^^DIRECTORY^^ AddIcon /icons/blank.xbm ^^BLANKICON^^ DefaultIcon /icons/unknown.xbm ReadmeName README Telefnica Data Espaa, S.A. 18/01/02 Pg.: 133 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. HeaderName HEADER IndexIgnore */.??* *~ *# */HEADER* */README* AccessFileName .htaccess DefaultType text/plain # # Advanced topics - see tutorial # #AddEncoding x-compress Z #AddEncoding x-gzip gz # If you want to use server side includes, or CGI outside # ScriptAliased directories, uncomment the following lines. #AddType text/x-server-parsed-html .html #AddType text/x-server-parsed-html .shtml #AddType application/x-httpd-cgi .cgi H.4.1.3 Configuracin del servidor de RADIUS El CPI elegido para el ejemplo permite el acceso a Internet a travs de InfoVa. Por lo tanto deber instalarse en la mquina UNIX del CPI un servidor de RADIUS que gestione el pool de direcciones de Internet y las vaya asignando a los usuarios llamantes. En el ejemplo propuesto, este pool de direcciones IP asignadas por el IANA al proveedor comprende desde la direccin 194.179.42.129 a la 194.179.42.188 y atender a los dos CSIV. Para obtener el fichero ejecutable del servidor, los ficheros fuente del servidor RADIUS debern compilarse para una mquina UNIX de Sun con sistema operativo Solaris 2.4. En el ejemplo, el servidor RADIUS del CPI se ha instalado en el directorio: /export/home/prueba/radius_cpi_pr Los ficheros del servidor, almacenados todos en el mismo directorio, son los siguientes: radiusd Es el fichero ejecutable del servidor RADIUS. La opcin con la que se ejecuta es: -d <directorio_radius_configuracin> -a <directorio_radius_accounting> radpass Es una aplicacin creada para facilitar el cambio de la clave (password) de un usuario. rad_tool Se ha creado esta aplicacin de usuario que permite: Telefnica Data Espaa, S.A. 18/01/02 Pg.: 134 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Monitorizar las direcciones IP ocupadas. Desconectar usuarios y liberar as las direcciones que hayan quedado ocupadas. En el directorio donde se encuentre esta aplicacin deber aparecer tambin el fichero cfg_OPERADOR_INFOVIA. cfg_local_INFOVIA En este fichero se indica el nombre del CPI (ALIAS), el puerto UDP y la HORA_IP. clientes_INFOVIA Datos de los CSIV con los que se va a conectar el CPI. usuarios_INFOVIA Datos de los usuarios autorizados por el CPI. cfg_pool_INFOVIA Datos sobre los diferentes pools definidos. Estos datos incluyen la direccin IP origen de los msmos, su tamao, su identificador y su nivel de privilegio. cfg_pool_clie_INFOVIA En este fichero se relacionan el identificativo de los pools y el identificativo de los clientes a los que se les asigna ese pool. README Este fichero contiene una ayuda que puede resultar muy til a la hora de instalar el servidor. Existe un ejemplo de la configuracin de todos estos ficheros en el capitulo 13. Arranque desde el directorio /export/home/prueba/radius_cpi_pr del comando: ./radiusd -d . -a . El servidor estar activo si al ejecutar el comando: ps -ef | grep radiusd Se obtiene como respuesta: prueba 24024 23998 4 16:28:00 pts/1 0:00 grep radiusd prueba 22623 1 71 Oct 16 pts/0 0:01 radius -d . -a . H.4.1.4 Configuracin del servidor DNS El servidor DNS se ha instalado en la misma mquina que el servidor RADIUS y el servidor NCSA. Para configurar el servidor DNS, se ha de incluir en el directorio /etc de la mquina UNIX el fichero named.boot. En este fichero se define de qu dominios es servidor de nombres la mquina. Tambin se indica Telefnica Data Espaa, S.A. 18/01/02 Pg.: 135 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. en qu directorio se encuentran los ficheros que emplea el servidor DNS para la traduccin de nombres a direcciones, y viceversa. Para comprobar que una vez arrancada la mquina el servidor DNS est activo, se puede emplear el comando: ps -ef | grep in.named Si el servidor est activo, la respuesta al comando anterior ser similar a la siguiente: root 244 1 80 Dic 15 ? 50:19 /usr/sbin/in.named root 20858 8639 6 08:25:56 pts/12 0:00 grep in.named En los siguientes apartados, se adjuntan los listados de los ficheros empleados por el servidor DNS. H.4.1.4.1 Fichero /etc/named.boot Es el primer fichero de configuracin de un servidor DNS. En este fichero se encuentran los parmetros bsicos. En qu directorio se encuentran los restantes ficheros que precisa el servidor DNS. Los dominios de los que es servidor primario. Los dominios de los que es servidor secundario. En el ejemplo no lo es de ninguno. En este fichero las lneas se comentan por medio de ;. El contenido del fichero /etc/named.boot es el siguiente: directory /var/named cache . db.cache primary cpi.telefonica.es db.cpi.telefonica.es primary 42.179.194.IN-ADDR.ARPA db.194.179.42 primary 10.IN-ADDR.ARPA db.10 primary 0.0.127.IN-ADDR.ARPA db.127.0.0 La primera lnea no comentada seala el directorio en el que estn todos los ficheros de datos que se referencian posteriormente En la lnea que empieza por cache ..., se indica que en el fichero db.cache se encuentran los datos de los servidores de los dominios raiz. Este fichero se obtiene a travs del proveedor de Internet (IBERNET, red IRIS, ...). En las lneas que comienzan por primary se indica de qu dominios es servidor primario el servidor DNS. Tambin se indican los ficheros con la informacin de esos dominios. Los dominios 42.179.194.IN-ADDR.ARPA, 10.IN- ADDR.ARPA y 0.0.127.IN-ADDR.ARPA son los que permiten dada una direccin de las clase 194.179.42.0 y 10.0.0.0, as como la direccin 127.0.0.1, obtener el nombre correspondiente. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 136 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Si fuese servidor secundario de algn dominio, se pondra en primer lugar secondary, luego el nombre del dominio del que fuese servidor secundario, en tercer lugar la direccin IP del servidor DNS primario de ese dominio, y por ltimo el nombre del fichero en el que se va a almacenar la informacin de ese dominio proporcionada por el servidor primario al secundario. H.4.1.4.2 Fichero /var/named/db.cpi.telefonica.es @ IN SOA maquina.cpi.telefonica.es. postmaster.cpi.telefonica.es. ( 96013000 ; Serie 28800 ; Refresco 8 horas 7200 ; Reintento 2 horas 604800 ; Expira 7 dias 86400 ; Minimo TTL 1 dia ) IN NS minerva.ibernet.es. IN NS maquina.cpi.telefonica.es. maquina.cpi.telefonica.es. IN A 194.179.42.2 router.cpi.telefonica.es. IN A 194.179.42.1 cpi.telefonica.es. IN MX 10 194.179.42.2 El significado de este fichero es el siguiente: @ indica que el dominio que cubre este fichero es cpi.telefonica.es. IN indica direcciones de Internet. SOA (Start Of Authority): Tipo de recurso. maquina.cpi.telefonica.es es el nombre de la mquina en la que est este fichero. postmaster.cpi.telefonica.es es la direccin de correo del responsable del servidor. El nmero de serie es un entero de 32 bits que indica la versin del fichero. Puede constyruirse como en el ejemplo o de cualquier otra forma. Cada vez que se modifica el fichero, debe incrementarse el nmero de serie. Refresco indica cada cuanto tiempo (en segundos) un servidor de nombres secundario de un dominio debe consultar al servidor primario del mismo dominio para ver si es necesaria una actualizacin. Reintento indica cada cuanto tiempo (en segundos) intentar un servidor de nombres secundario realizar una consulta en caso de fallo. Expiracin es el lmite superior de tiempo (en segundos) que un servidor secundario usar los datos que no hayan sido refrescados. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 137 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Tiempo de vida es el nmero de segundos, por defecto, que se usar en el campo de tiempo de vida de los registros de recursos que no tengan indicado explcitamente otro valor. A continuacin, en el fichero vienen los registros de servidores de nombres (NS) donde minerva.ibernet.es es un servidor de nombres secundario y donde maquina .cpi.telefonica.es es el servidor de nombres primario. Los siguientes registros son de direcciones (A) y es a partir de donde el servidor de nombres obtiene las direcciones. Si en la red hubiese ms mquinas que las del ejemplo, se incluira su nombre y direccin en estos registros. El ltimo registro es el del Mail Exchanger (MX) y especifica la mquina que sabe distribuir el correo en el dominio indicado (o a ciertas mquinas del dominio). Puede haber ms de un registro de este tipo. H.4.1.4.3 Fichero /var/named/db.194.179.42 @ IN SOA maquina.cpi.telefonica.es. postmaster.cpi.telefonica.es. ( 96013000 ; Serie 28800 ; Refresco 8 horas 7200 ; Reintento 2 horas 604800 ; Expira 7 dias 86400 ; Minimo TTL 1 dia ) IN NS minerva.ibernet.es. IN NS maquina.cpi.telefonica.es. 2.42.179.194.IN-ADDR.ARPA. IN PTR maquina.cpi.telefonica.es. 1.42.179.194.IN-ADDR.ARPA. IN PTR router.cpi.telefonica.es. En este fichero, los registros SOA y NS tienen el mismo significado que en el fichero anterior (vase el Apartado H.29.1.4.2 Fichero /var/named/db.cpi.telefonica.es ) db.cpi.telefonica.es. Los registros de tipo PTR proporcionan informacin para obtener el nombre de una mquina a partir de la direccin IP. direccin _IP_al_revs.IN-ADDR.ARPA IN PTR nombre_mquina De la primera clase de registros de este tipo debe haber tantos registros como registros del tipo A haya en el fichero del Apartado H.29.1.4.2 Fichero /var/named/db.cpi.telefonica.es (en el ejemplo el fichero db.cpi.telefonica.es). H.4.1.4.4 Fichero /var/named/db.10 @ IN SOA maquina.cpi.telefonica.es. postmaster.cpi.telefonica.es. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 138 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. ( 96013000 ; Serie 28800 ; Refresco 8 horas 7200 ; Reintento 2 horas 604800 ; Expira 7 dias 86400 ; Minimo TTL 1 dia ) IN NS maquina.cpi.telefonica.es. 2.102.128.10.IN-ADDR.ARPA. IN PTR maquina-inf.telefonica.inf. Los registros de este fichero tienen el mismo significado que los del fichero anterior ( Apartado H.29.1.4.3 Fichero /var/named/db.194.179.42 ). Este fichero se ha incluido para que el servidor pueda resolver direcciones de InfoVa. La inclusin de este fichero evita que el servidor DNS propague preguntas sobre direcciones de InfoVa (de la clase A 10.0.0.0) a otros servidores DNS de Internet. Esto contribuye a separar claramente lo que es InfoVa de lo que es Internet. H.4.1.4.5 Fichero /var/named/db.127.0.0 @ IN SOA maquina.cpi.telefonica.es. postmaster.cpi.telefonica.es. ( 96013000 ; Serie 28800 ; Refresco 8 horas 7200 ; Reintento 2 horas 604800 ; Expira 7 dias 86400 ; Minimo TTL 1 dia ) IN PTR maquina.cpi.telefonica.es. 1.0.0.127.IN-ADDR.ARPA. IN PTR localhost. El registro de este fichero tienen el mismo significado que los de los dos apartados anteriores ( Apartado H.29.1.4.3 Fichero /var/named/db.194.179.42 y Apartado H.29.1.4.4 Fichero /var/named/db.10 ) y permite resolver la direccion de bucle. H.4.2 CONFIGURACIN DEL ROUTER Este apartado se encuentra junto a la explicacion de los ficheros del Servidor RADIUS en el Apartado H.32 CONFIGURACIN DEL SERVIDOR RADIUS Y DEL ROUTER de este anexo. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 139 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. H.4.3 CONCLUSIONES En este apartado se ha presentado un ejemplo de un CPI, en el que se han incluido los ficheros de configuracin de los equipos del centro. Para el ejemplo se ha elegido el tipo ms complejo de CPI: el que permite el acceso a Internet a travs de InfoVa. Se ha considerado adems un caso en el que el CPI se conecta con dos CSIV de InfoVa. La configuracin de los restantes tipos de CPI contemplados en este anexo, es ms sencilla, ya que se reduce a un caso particular del ejemplo presentado en este apartado. H.5 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE PC CON SISTEMA OPERATIVO LINUX Con este tercer ejemplo de configuracin de un CPI se pretende explicar cmo instalar un CPI, del mismo tipo que el presentado en el Apartado H.29 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE SUN SPARC , pero con equipos de otro fabricante. Es decir, con este tercer ejemplo se demuestra que la instalacin de un CPI se puede hacer con equipos de diversos fabricantes. Las caractersticas de este CPI son las que se enumeran en la siguiente lista: Tipo del CPI: es un CPI con acceso a Internet desde InfoVa. El CPI est a conectado a dos CSIV de InfoVa: el CSIV de Madrid y el CSIV de Barcelona. Servicios ofrecidos por el CPI: Servidor de web para InfoVa. Servidor de web para Internet. Servicio de pasarela a Internet. Direcciones IP del CPI: Direcciones en InfoVa: El centro tiene asignado un rango de 256 direcciones en InfoVa. Este rango se emplea para dar direcciones de InfoVa a las mquinas del centro. Direcciones: Para las mquinas del centro: 10.128.102.0 a 10.128.102.255. Direcciones en Internet (asignadas por el IANA al proveedor): El centro tiene asignada una clase C de direcciones en Internet: Direcciones: 194.179.42.0 a 194.179.42.255 El servidor de RADIUS del CSIV es el que se encarga de asignar direcciones de InfoVa a los usuarios llamantes a cada uno de los CPIs conectados a ese CSIV. Son por tanto los CSIV de Madrid y Barcelona los que controlarn lospools de direcciones de InfoVa. Para los usuarios que accedan a Internet desde InfoVa, el CPI tiene definido un pool de direcciones que puede asignar dinmicamente a los usuarios llamantes.Este pool atender tanto a los usuarios llamantes al CSIV de Madrid como a los usuarios llamantes al CSIV de Barcelona. Este pool comprende las siguientes direcciones: Telefnica Data Espaa, S.A. 18/01/02 Pg.: 140 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. De 194.179.42.129 a 194.179.42.188, es decir un pool de 60 direcciones. Cuando cualquiera de los dos CSIV (Madrid o Barcelona) detecta que un usuario quiere acceder a Internet a travs de este CPI, el cliente de RADIUS del CSIV correspondiente consultar al servidor RADIUS del CPI elegido por el usuario llamante. El equipamiento del CPI es el siguiente: Una mquina PC Compatible, con procesador 386 o superior, equipada con dos tarjetas de interfaz ethernet. El sistema operativo instalado es el Linux 1.2.13. Un router CISCO 2500, equipado con una interfaz ethernet y dos interfaces serie. Slo se van a emplear la interfaz ethernet y una de las interfaces serie. Un enlace frame-relay a 64 Kbit/s con tres PVCs, el 17 (para Internet), el 18 (para el CSIV de Madrid), y el 19 (para el CSIV de Barcelona). Cada PVC garantiza una velocidad mnima de 16 Kbit/s. La RAL del CPI es Ethernet 10 Base 2. En la Figura H-7: Descripcin de CPI tomado como ejemplo. se muestra el centro as como las direcciones asignadas a cada uno de los equipos que integran el centro. Figura H-7: Descripcin de CPI tomado como ejemplo. En los prximos apartados se detalla la configuracin de cada una de las mquinas que integran el CPI del ejemplo. H.5.1 CONFIGURACIN DE LA MQUINA LINUX En la mquina Linux del CPI se han instalado los siguientes servidores: Telefnica Data Espaa, S.A. 18/01/02 Pg.: 141 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Un servidor de web NCSA. Se configura de modo que se comporte como dos servidores de web independientes, uno atendiendo a los accesos que llegan por la interfaz eth0 (Internet) y el otro atendiendo los accesos que llegan por la interfaz eth1 (InfoVa). Un servidor de RADIUS cuya misin es la de asignar dinmicamente las direcciones del pool de direcciones de Internet manejado por el CPI. Un servidor DNS. En los siguientes puntos se detalla la configuracin de la mquina as como de los diferentes servidores instalados en ella. H.5.1.1 Instalacin de las dos tarjetas Ethernet Para la instalacin de dos o ms tarjetas ethernet en una mquina Linux pueden seguirse las instrucciones dadas en la mini-HowTo Multiple-Ethernet que se encuentra en: /usr/doc/faq/howto/mini/Multiple-Ethernet.gz En concreto, en el fichero /etc/lilo.conf, debe incluirse una lnea que ponga lo siguiente: append=ether=0,0,eth0 ether=0,0,eth1 Una vez hecho esto, debe ejecutarse lilo. H.5.1.2 Configuracin de direcciones, interfaces y rutas. La mquina dispone de dos interfaces, la eth0 y la eth1, a las que se le asignan las siguientes direcciones IP: Direccion IP de la tarjeta eth0 (Internet): 194.179.42.2 Direccion IP de la tarjeta eth1 (InfoVa): 10.128.102.2 El que la mquina Linux necesite dos tarjetas de interfaz de RAL se debe a que el Kernel no admite multiples direcciones IP para una nica interfaz. En el ejemplo se ha supuesto que el proveedor divide la clase C (256 direcciones) que se le ha concedido en subredes de 64 mquinas cada una. Por otra parte, en InfoVa, para los usuarios llamantes y los CPIs se asignan direcciones de la clase A 10.0.0.0 reservada por Internet para redes privadas. Esta clase A se subdivide en dos redes, la que va de 10.0.0.0 a 10.127.255.255 para los usuarios, mientras que las direcciones 10.128.0.0 a 10.255.255.255 para los CPIs. De acuerdo con esto, las mscaras correspondientes sern: Mscara para la direccin IP de Internet: 255.255.255.192 Mscara para la direccin IP de InfoVa: 255.128.0.0 En lo que a rutas se refiere, ha de habilitarse una ruta que permita encaminar el trfico de los usuarios de InfoVa y el trfico con el CSIV. En esta ruta, todo el trfico de las direcciones que van de la 10.0.0.0 a la 10.127.255.255, ha de encaminarse a travs del router del CPI, el 10.128.102.1, y adems permite Telefnica Data Espaa, S.A. 18/01/02 Pg.: 142 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. que los paquetes salientes de la mquina tengan como direccin origen la de InfoVa. Los ficheros necesarios para configurar las direcciones son: /etc/hosts /etc/rc.d/rc.inet1 A continuacin se indica la forma de configurar las interfaces. H.5.1.2.1 Configuracin de la interfaz Internet (eth0) Para la configuracin de la primera interfaz se usar el script netconfig que ofrece el sistema operativo. Una vez invocado se contestar a las preguntas que va haciendo: Enter hostname: maquina-in Enter domain name for maquina-in: dom.es Do you plan to ONLY use loopback?: NO Enter IP address fo maquina-in (aaa.bbb.ccc.ddd): 194.179.42.2 Enter gateway address (aaa.bbb.ccc.ddd): 194.179.42.1 Enter netmask (aaa.bbb.ccc.ddd): 255.255.255.192 Will you be accessing a nameserver?: NO (1) Editar el fichero /etc/hosts y aadir la lnea: 194.179.42.1 router-in H.5.1.2.2 Configuracin de la Interfaz InfoVa (eth1) Editar el fichero /etc/hosts y aadir las siguientes lneas: 10.128.102.1 router-iv 10.128.102.2 maquina-iv Editar el fichero /etc/rc.d/rc.inet1, y aadir las lneas: # Configuracion de la interfaz eth1 /sbin/ifconfig eth1 10.128.102.2 broadcast 10.128.255.255 netmask 255.128.0.0 Para que el CPI pueda encaminar el trfico de los usuarios llamantes a InfoVa y que los paquetes con destino a esos usuarios tengan como direccin origen la de InfoVa, hay que incluir en el fichero la siguiente lnea: /sbin/route add -net 10.0.0.0 gw 10.128.102.1 metric 1 dev eth1 Telefnica Data Espaa, S.A. 18/01/02 Pg.: 143 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Para que el CPI pueda encaminar la informacin con destino al cliente RADIUS del CSIV de InfoVa al que se ha conectado, as como al router del CSIV al que se conecta el CPI, debe incluirse en este fichero la lnea: /sbin/route add -host 172.16.192.1 gw 10.128.102.1 metric 1 dev eth1 /sbin/route add -host 172.16.193.1 gw 10.128.102.1 metric 1 dev eth1 Mover la lnea /sbin/route add default gw ${GATEWAY} metric 1 al final del fichero 1 . H.5.1.3 Configuracin del servidor de web Se instala como superusuario un nico servidor web NCSA (http_1.5a- export_linux1.2.13.tar.Z) en la mquina Linux. El servidor queda instalado en el directorio: /usr/local/etc/httpd Debajo de este directorio se crean los directorios htdocs, htdocs-iv, logs-in y logs-iv. En el directorio /usr/local/etc/httpd/conf se renombran los siguientes archivos: access.conf-dist como access.conf httpd.conf-dist como httpd.conf localhost.srm-dist como localhost.conf srm.conf-dist como srm.conf Se edita el fichero /usr/local/etc/httpd/conf/httpd.conf y se cambian las siguientes lneas: User nobody por User root Group #-1 por Group root ServerAdmin you@your.address por ServerAdmin postmaster@maquina- in.dom.es ErrorLog logs/error_log por ErrorLog logs-in/error_log TransferLog logs/access_log por TransferLog logs-in/access_log AgentLog logs/agent_log por AgentLog logs-in/agent_log RefererLog logs/referer_log por RefererLog logs-in/refere_log PidFile logs/httpd.pid por logs-in/httpd.pid DocumentRoot /local por DocumentRoot /usr/local/etc/httpd 1 En caso de querer configurar un servidor de nombres del dominio dom.es se contestar SI a la pregunta, y a la siguiente pregunta se responder con la direccin IP del servidor. Tambien puede hacerse editando el fichero /etc/resolv.conf y aadiendo, por cada servidor, una lnea que contenga en primer lugar la palabra nameserver seguida de la direecin IP del servidor. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 144 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Al final del fichero se aaden las siguientes lneas para permitir el acceso a las pginas de web desde InfoVa: <VirtualHost 10.128.102.2> ServerName maquina-iv ServerAdmin postmaster@maquina_inf DocumentRoot /usr/local/etc/htdocs-iv ErrorLog logs-iv/error_log TransferLog logs-iv/access_log AgentLog logs-iv/agent_log RefererLog logs-iv/refere_log </VirtualHost> H.5.1.4 Configuracin del servidor de RADIUS El CPI elegido para el ejemplo permite el acceso a Internet a travs de InfoVa. Por lo tanto deber instalarse en la mquina Linux del CPI un servidor de RADIUS que gestione el rango de direcciones de Internet y las vaya asignando a los usuarios llamantes. En el ejemplo propuesto, este pool de direcciones IP asignadas por el IANA al proveedor comprende desde la direccin 194.179.42.129 a la 194.179.42.188 y atender a los dos CSIV. En el ejemplo, el servidor RADIUS del CPI se ha instalado en el directorio: /home/prueba/radius_cpi_pr Para obtener el fichero ejecutable del servidor, los ficheros fuente del servidor RADIUS debern compilarse para una mquina Linux. El fichero ejecutable se ha situado en el directorio /home/prueba/radius_cpi_pr. Los ficheros del servidor, almacenados todos en el mismo directorio, son los siguientes: radiusd Es el fichero ejecutable del servidor RADIUS. La opcin con la que se ejecuta es: -d <directorio_radius_configuracin> -a <directorio_radius_accounting> radpass Es una aplicacin creada para facilitar el cambio de la clave (password) de un usuario. rad_tool Se ha creado esta aplicacin de usuario que permite: Monitorizar las direcciones IP ocupadas. Desconectar usuarios y liberar as las direcciones que hayan quedado ocupadas. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 145 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. En el directorio donde se encuentre esta aplicacin deber aparecer tambin el fichero cfg_OPERADOR_INFOVIA. cfg_local_INFOVIA En este fichero se indica el nombre del CPI (ALIAS), el puerto UDP y la HORA_IP. clientes_INFOVIA Datos de los CSIV con los que se va a conectar el CPI. usuarios_INFOVIA Datos de los usuarios autorizados por el CPI. cfg_pool_INFOVIA Datos sobre los diferentes pools definidos. Estos datos incluyen la direccin IP origen de los msmos, su tamao, su identificador y su nivel de privilegio. cfg_pool_clie_INFOVIA En este fichero se relacionan el identificativo de los pools y el identificativo de los clientes a los que se les asigna ese pool. README Este fichero contiene una ayuda que puede resultar muy til a la hora de instalar el servidor. Existe un ejemplo de la configuracin de todos estos ficheros en el capitulo 13. Para el arranque del servidor, desde el directorio /home/prueba/radius_cpi_pr ha de ejecutarse el comando: ./radiusd -d . -a . El servidor estar activo si al ejecutar el comando: ps -ax | grep radiusd Se obtiene como respuesta: 12675 pp0 S N 0:00 radiusd -d . -a . 12679 pp0 S 0:00 grep radiusd H.5.1.5 Configuracin del servidor DNS El servidor de nombres se arranca con el comando named del sistema operativo. Para el correcto funcionamiento del servidor DNS es necesario crear los ficheros de configuracin indicados en el Apartado H.29.1.4 Configuracin del servidor DNS de este anexo. Para que el servidor de nombres arranque automticamente tras un rearranque de la mquina, se editar el fichero /etc/rc.d/rc.inet2 y se borrar el carcter de comentario (#) de las siguientes lneas: Telefnica Data Espaa, S.A. 18/01/02 Pg.: 146 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. # Start the NAMED/BIND name server. if [ -f ${NET}/named ]; then echo -n named ${NET}/named fi H.5.2 CONFIGURACIN DEL ROUTER Este apartado se encuentra junto a la explicacion de los ficheros del Servidor RADIUS en el Apartado H.32 CONFIGURACIN DEL SERVIDOR RADIUS Y DEL ROUTER de este anexo. H.5.3 CONCLUSIONES En este apartado se ha presentado un ejemplo de un CPI con una mquina Linux. Se trata de una mquina distinta de la empleada en los CPIs de los ejemplos anteriores. Sin embargo, la arquitectura del CPI es idntica a la empleada en el Apartado H.29 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE SUN SPARC, con lo que se comprueba que la solucin desarrollada en el Apartado H.29 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE SUN SPARC se puede llevar a la prctica con equipos de diversos fabricantes. H.6 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE PC (INTEL) CON MICROSOFT WINDOWS NT Con este cuarto ejemplo de configuracin de un CPI se pretende explicar cmo instalar un CPI, del mismo tipo que el presentado en el Apartado H.29 EJEMPLO DE CONFIGURACIN DE UN CPI SOBRE SUN SPARC , pero con equipos de otro fabricante. De este modo, con este cuarto ejemplo se comprueba una vez ms que la instalacin de un CPI se puede hacer con equipos de diversos fabricantes. Las caractersticas de este CPI son las que se enumeran en la siguiente lista: Tipo del CPI: es un CPI con acceso a Internet desde InfoVa. El CPI est conectado a dos CSIV de InfoVa: el CSIV de Madrid y el CSIV de Barcelona. Servicios ofrecidos por el CPI: Servidor de web para InfoVa. Servidor de web para Internet. Servicio de pasarela a Internet. Direcciones IP del CPI: Direcciones en InfoVa: El centro tiene asignado un rango de 256 direcciones en InfoVa. Este rango se emplea para dar direcciones de InfoVa a las mquinas del centro. Direcciones: Para las mquinas del centro: 10.128.10.0 a 10.128.10.255. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 147 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Direcciones en Internet (asignadas por el IANA al proveedor): El centro tiene asignada una clase C de direcciones en Internet: Direcciones: 192.168.2.0 a 192.168.2.255 El servidor de RADIUS del CSIV es el que se encarga de asignar direcciones de InfoVa a los usuarios llamantes a cada uno de los CPIs conectados a ese CSIV. Son por tanto los CSIV de Madrid y Barcelona los que controlarn lospools de direcciones de InfoVa. Para los usuarios que accedan a Internet desde InfoVa, el CPI tiene definido un pool de direcciones que puede asignar dinmicamente a los usuarios llamantes.Este pool atender tanto a los usuarios llamantes al CSIV de Madrid como a los usuarios llamantes al CSIV de Barcelona. Este pool comprende las siguientes direcciones: De 192.168.2.129 a 192.168.2.188, es decir un pool de 60 direcciones. Cuando cualquiera de los dos CSIV (Madrid o Barcelona) detecta que un usuario quiere acceder a Internet a travs de este CPI, el cliente de RADIUS del CSIV correspondiente consultar al servidor RADIUS del CPI elegido por el usuario llamante. El equipamiento del CPI es el siguiente: Una mquina PC Compatible, con procesador 386 o superior, equipada con dos tarjetas de interfaz ethernet. En esta mquina se ha instalado: Microsoft Windows NT Server 3.51, con Service Pack 3. Un servidor de web de Microsoft. Se configura de modo que se comporte como dos servidores de web independientes. Uno de ellos da servicio a los usuarios que accedan por Internet, mientras que el segundo da servicio a los que accedan por InfoVa. Un servidor RADIUS,.cuya misin es la deasignar dinmicamente las direcciones del pool de direcciones de Internet manejado por el CPI a los usuarios autorizados que accedan directamente a este CPI. Un router CISCO 2500, equipado con una interfaz ethernet y dos interfaces serie. Slo se van a emplear la interfaz ethernet y una de las interfaces serie. Un enlace frame-relay a 64 Kbit/s con tres PVCs, el 17 (para Internet), el 18 (para el CSIV de Madrid), y el 19 (para el CSIV de Barcelona). Cada PVC garantiza una velocidad mnima de 16 Kbit/s. La RAL del CPI es Ethernet 10 Base 2. En la Figura H-8: Descripcin de CPI tomado como ejemplo. se muestra el centro as como las direcciones asignadas a cada uno de los equipos que integran el centro. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 148 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Figura H-8: Descripcin de CPI tomado como ejemplo. En los siguientes apartados se detalla la configuracin de cada una de las mquinas que integran el CPI del ejemplo, as como de los diferentes servidores instalados en el PC. H.6.1 CONFIGURACIN DE DIRECCIONES, INTERFACES Y RUTAS EN EL PC En el PC deben instalarse dos adaptadores de red local, a cada uno de los cuales se le asignan dos direcciones IP. Estas direcciones son: Direccin IP de Internet: 192.168.2.4 Direccin IP de InfoVa: 10.128.10.4 En el ejemplo se ha supuesto que el proveedor divide la clase C de Internet (la 192.168.2.0 con 256 direcciones) que se le ha concedido en subredes de 64 mquinas cada una. Por otra parte, en InfoVa, para los usuarios llamantes y los CPIs se asignan direcciones de la clase A 10.0.0.0 reservada por Internet para redes privadas. Esta clase A se subdivide en dos redes, la que va de 10.0.0.0 a 10.127.255.255.255 para los usuarios, mientras que las direcciones 10.128.0.0 a 10.255.255.255 para los CPIs. De acuerdo con esto, las mscaras correspondientes sern: Mscara para la direccin IP de Internet: 255.255.255.192 Mscara para la direccin IP de InfoVa: 255.128.0.0 En lo que a rutas se refiere, ha de habilitarse una ruta que permita encaminar el trfico de los usuarios de InfoVa y el trfico con el CSIV. En esta ruta, todo el trfico de las direcciones que van de la 10.0.0.0 a la 10.127.255.255, ha de encaminarse a travs del router del CPI, el 10.128.10.1 y adems permite que los paquetes salientes de la mquina tengan como direccin de origen la de InfoVa. Las instrucciones asignadas a cada tarjeta se configuran desde la aplicacin NCPA (Network Control Panel Applet), incluida dentro de Control Panel bajo el nombre Network. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 149 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Figura H-9: Panel de control. En este cuadro de dilogo se puede dar de alta los adaptadores de red (las tarjetas de LAN), instalar el protocolo TCP/IP y asignar direcciones a cada una de ellas. Como se puede ver a continuacin, se indica la direccin adecuada para cada uno de los adaptadores, con la mscara correspondiente y el gateway por defecto para la direccin de Internet, en caso necesario. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 150 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Figura H-10: Configuracin de direcciones IP. En caso de ser deseable, puede importarse o modificarse el fichero HOSTS para dar de alta nombres definidos anteriormente, o bien emplear un servidor DNS, como puede verse si en la anterior pantalla se seleccionael botn de Advanced. Figura H-11: Opcin Advanced de configuracin TCP/IP. El fichero de definicin de nombres se encuentra en el directorio: Directorio de instalacin Windows NT\system32\drivers\etc\HOSTS H.6.2 CONFIGURACIN DE RUTAS ADICIONALES EN EL PC Para que el CPI pueda encaminar el trfico de los usuarios llamantes a InfoVa y que los paquetes con destino a esos usuarios tengan como direccin origen la de InfoVa, hay que definir por comando la correspondiente ruta. La sintaxis del comando es: route add -p [destination] [MASK netmask] [gateway] En el ejemplo: route add -p 10.0.0.0 MASK 255.128.0.0 10.128.10.1 Para que el CPI pueda encaminar la informacin con destino al cliente RADIUS del CSIV de InfoVa al que se ha conectado, as como al router del CSIV al que se conecta el CPI, deben incluirse las rutas para encaminar el trfico hacia los clientes RADIUS de los CSIV de Madrid y Barcelona.Al igual que antes, la sintaxis del comando es: route add -p [destination] [MASK netmask] [gateway] Telefnica Data Espaa, S.A. 18/01/02 Pg.: 151 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Particularizando para el ejemplo: Cliente RADIUS del CSIV de Madrid: route add -p 172.16.192.1 MASK 255.255.255.255 10.128.10.1 Cliente RADIUS del CSIV de Barcelona: route add -p 172.16.192.1 MASK 255.255.255.255 10.128.10.1 Durante el proceso de instalacin de las tarjetas adaptadoras (tarjetas de LAN), y antes de aceptar las modificaciones hechas en los pasos anteriores, es necesario realizar un proceso adicional para el correcto funcionamiento. El protocolo NetBEUI es necesario para el correcto funcionamiento Windows NT al estar relacionado ntimamente con tareas de identificacin del servidor. Al instalar dos interfaces de red en el mismo servidor conectados al mismo tramo de red fsica, se obtiene un error Nombre de mquina duplicado, recogido en el Event Viewer y que impide que el proceso de inicio se lleve a cabo de forma correcta. Esto es s porque NetBEUI no es un protocolo de encaminamiento (rutable) y por ello no entiende cada uno de los segmentos como dos subredes independientes, encontrando por tanto otro nodo con el mismo nombre en el broadcast inicial de identificacin para cada una de las tarjetas. Para solventar este problema, simplemente pulsamos el botn Bindings en la pantalla de configuracin, y desactivamos mediante Disable, todas las relaciones que se refieren al protocolo NetBEUI, como puede verse en la figura adjunta. Figura H-12: Definicin de bindings de protocolos. Con esto, el servidor Windows NT est listo para la instalacin del servidor web. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 152 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Figura H-13: Grupo de programas del Microsoft Internet Server. En la parte superior se puede ver cmo aparece la ventana de utilidades del Microsoft Internet Server (IS). En ella se puede ver la herramienta de administracin que permite controlar el funcionamiento de todos los servidores de Microsoft IS que haya en la red, de forma centralizada. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 153 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Figura H-14: Herramienta de administracin de servidores. Para que el servidor de web se comporte como dos servidores lgicos independientes, (virtual servers) se procede a configurarlo desde la aplicacin mostrada en la Figura H- 15: Definicin de directorios web. haciendo doble click en el servicio de publicacin WWW, desplegando la pantalla de configuracin y seleccionando la opcin Directories. Figura H-15: Definicin de directorios web. Desde aqu se puede aadir (Add) servidores virtuales a cada una de las direcciones IP que se han asignado al servidor: la de InfoVa y la de Internet. La pantalla de configuracin de cada uno de estos servidores virtuales permite especificar adems el nivel de seguridad implementado para acceder al servidor Windows NT Serv Telefnica Data Espaa, S.A. 18/01/02 Pg.: 154 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Figura H-16: Pantalla de definicin del virtual server. Microsoft pone a disposicin de los usuarios que accedan al servicio, el nuevo Microsoft Internet Explorer 2.0 para Windows 95, para conseguir que accedan a los servicios del servidor del CPI. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 155 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Figura H-17: Servidor web de Microsoft Corporation visto con Microsoft Internet Explorer 2.0 H.6.3 Configuracin del servidor de RADIUS El CPI elegido para el ejemplo permite el acceso a Internet a travs de InfoVa. Por lo tanto deber instalarse en el PC del CPI un servidor de RADIUS que gestione el rango de direcciones de Internet y las vaya asignando a los usuarios llamantes. En el ejemplo propuesto, este pool de direcciones IP asignadas por el IANA al proveedor comprende desde la direccin 192.168.2.129 hasta la 192.168.2.188 y atender a los dos CSIV. En el ejemplo, el servidor RADIUS del CPI se ha instalado en el directorio: c:\raddb Los ficheros del servidor, almacenados todos en el mismo directorio, son los siguientes: radiusnt Es el fichero ejecutable del servidor RADIUS. La opcin con la que se ejecuta es: -d <directorio_radius_configuracin> -a <directorio_radius_accounting> radpass Es una aplicacin creada para facilitar el cambio de la clave (password) de un usuario. rad_tool Se ha creado esta aplicacin de usuario que permite: Monitorizar las direcciones IP ocupadas. Desconectar usuarios y liberar as las direcciones que hayan quedado ocupadas. En el directorio donde se encuentre esta aplicacin deber aparecer tambin el fichero cfg_OPERADOR_INFOVIA. cfg_local_INFOVIA En este fichero se indica el nombre del CPI (ALIAS), el puerto UDP y la HORA_IP. clientes_INFOVIA Datos de los CSIV con los que se va a conectar el CPI. usuarios_INFOVIA Datos de los usuarios autorizados por el CPI. cfg_pool_INFOVIA Datos sobre los diferentes pools definidos. Estos datos incluyen la direccin IP origen de los msmos, su tamao, su identificador y su nivel de privilegio. cfg_pool_clie_INFOVIA En este fichero se relacionan el identificativo de los pools y el identificativo de los clientes a los que se les asigna ese pool. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 156 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. README Este fichero contiene una ayuda que puede resultar muy til a la hora de instalar el servidor. Existe un ejemplo de la configuracin de todos estos ficheros en el capitulo 13. Para obtener el fichero ejecutable del servidor, los ficheros fuente del servidor RADIUS debern compilarse para un PC con microprocesador Intel. El fichero ejecutable se ha situado en el directorio c:\raddb. Para el arranque del servidor, ha de ejecutarse el comando: start radiusnt -d c:\raddb -a c:\raddb H.6.3.1 Configuracin del servidor DNS Para la configuracin del servidor DNS consltese el Apartado H.29.1.4 Configuracin del servidor DNS de este mismo anexo. H.6.4 CONFIGURACIN DEL ROUTER Este apartado se encuentra junto a la explicacion de los ficheros del Servidor RADIUS en el Apartado H.32 CONFIGURACIN DEL SERVIDOR RADIUS Y DEL ROUTER de este anexo. H.6.5 CONCLUSIONES En este apartado se ha presentado un ejemplo de un CPI con un PC con Microsoft Windows NT, mquina diferente de la empleada en los CPIs de los ejemplos anteriores. En cambio, la arquitectura de este CPI es idntica de la de los .ejemplos de los apartados anteriores. De este modo se comprueba que la solucin propuesta en el Apartado H.28 ARQUITECTURA DE UN CPI , se puede realizar con equipamientos de diferentes fabricantes. H.7 CONFIGURACIN DEL SERVIDOR RADIUS Y DEL ROUTER Se ha desarrollado una nueva versin del software RADIUS empleado en InfoVa. Las novedades ms importantes que presenta respecto a la versin inicial son las siguientes: Se puede parar y rearrancar de forma controlada el servidor RADIUS. Es decir, si se para el servidor los usuarios que en ese momento estn accediendo con las direcciones concedidas por el servidor van a poder seguir trabajando sin problema. Del mismo modo, si se rearranca el servidor RADIUS, slo se liberan las direcciones que en ese momento no se estn utilizando. El nuevo RADIUS se adapta al estndar de Radius Accounting y Radius Authentication. Se permitir la configuracin de ms de un servidor RADIUS en la misma mquina. Se podr establecer un tiempo mximo de conexin para un usuario. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 157 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Permitir la deteccin de usuarios RDSI. Los procesos de Autenticacin y Tarificacin sern configurables por el proveedor, suministrandose las herramientas de desarrollo necesarias. En la nueva versin se puede trabajar con un pool nico, de modo que una direccin podr ser asignada a cualquier usuario registrado (es decir, que tenga un nombre y una clave asignados por el CPI) con independencia del CSIV por el que haya entrado la llamada del usuario. Esto se traduce en que no har falta definir rangos de direcciones diferentes para cada CSIV (actualmente los de Madrid y Barcelona), y a cualquier usuario de cualquier lugar de Espaa se le podr asignar cualquiera de las direcciones IP de las que dispone el CPI. Tambin, si se quiere, se puede seguir trabajando con pools diferentes para cada CSIV. Se pueden definir varios pools con diferentes niveles de uso, asignando luego estos niveles a los usuarios. A un usuario se le podr asignar un nivel y un nivel mximo de uso, pudiendo por tanto utilizar desde las direcciones correspondientes a su nivel hasta las del nivel superior. Un pool no tendr por que estar constituido por un rango continuo de direcciones IP. Ahora podr estar formado por direcciones IP no consecutivas. Se puede asignar a un usuario una direccin IP fija de las que dispone el CPI, sin que suponga un problema que las llamadas de ese usuario entren unas veces por un CSIV y otras por otro. Al usuario que lo pida, se le puede asignar una subred IP fija. Para ello basta con colocar en el campo correspondiente del perfil de ese usuario, la mscara correspondiente. Tanto si se asigna una direccin fija como un rango de direcciones IP fijas, estas direcciones IP no debern estar incluidas en los pools definidos. Se ha desarrollado una aplicacin que permite: Monitorizar las direcciones IP ocupadas. Desconectar usuarios. Estas nuevas prestaciones se traducen en modificaciones en los ficheros de configuracin del servidor RADIUS y en el router del CPI. Por medio de un ejemplo se van a ilustrar estas modificaciones. En este ejemplo se parte de un CPI con acceso a Internet desde InfoVa. El CPI est conectado a los CSIVs de Madrid y Barcelona. Los restantes datos son: Servicios ofrecidos por el CPI: Servidor de web para InfoVa. Servidor de web para Internet. Servicio de pasarela a Internet. Direcciones IP del CPI: Direcciones en InfoVa: Telefnica Data Espaa, S.A. 18/01/02 Pg.: 158 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. El centro tiene asignado un rango de 256 direcciones en InfoVa. Este rango se emplea para dar direcciones de InfoVa a las mquinas del centro. Direcciones: Para las mquinas del centro: 10.128.102.0 a 10.128.102.255. La direccin 10.128.102.254 se utilizar en InfoVa. Direcciones en Internet (asignadas por el IANA al proveedor): El centro tiene asignada una clase C de direcciones en Internet: Direcciones: 194.179.42.0 a 194.179.42.255 El servidor de RADIUS del CSIV es el que se encarga de asignar direcciones de InfoVa a los usuarios llamantes a cada uno de los CPIs conectados a ese CSIV. Son por tanto los CSIV de Madrid y Barcelona los que controlarn lospools de direcciones de InfoVa. Para los usuarios que accedan a Internet desde InfoVa, el CPI tiene definido un rango de direcciones que puede asignar dinmicamente a los usuarios llamantes. Este rango abarca las siguientes direcciones: De 194.179.42.129 a 194.179.42.190, es decir un rango de 62 direcciones. Lo que se ha hecho es dividir este rango en dos conjuntos o pools de diferente nivel, uno de mximo nivel (nivel 2) y otro de nivel mnimo (nivel 1). Pool de mximo nivel (nivel 2): De 194.179.42.129 a 194.179.42.143, y de 194.179.42.160 a 194.179.42.175. Pool de mnimo nivel (nivel 1): De 194.179.42.144 a 194.179.42.159, y de 194.179.42.176 a 194.179.42.190. Cuando cualquiera de los dos CSIV (Madrid o Barcelona) detecta que un usuario quiere acceder a Internet a travs de este CPI, el cliente de RADIUS del CSIV correspondiente consultar al servidor RADIUS del CPI elegido por el usuario llamante. En los siguientes apartados se describe como se ha de configurar el servidor RADIUS y el router del CPI para este ejemplo. H.7.1 CONFIGURACIN DEL SERVIDOR RADIUS El CPI elegido para el ejemplo permite el acceso a Internet a travs de InfoVa. Por lo tanto deber instalarse en una mquina del CPI un servidor de RADIUS que gestione el pool de direcciones de Internet y las vaya asignando a los usuarios llamantes. Para obtener el fichero ejecutable del servidor, los ficheros fuente del servidor RADIUS debern compilarse para la plataforma en la que se vaya a instalar el servidor.Los ficheros del servidor, almacenados todos en el mismo directorio, son los siguientes: radiusd radiusnt (para Windows NT) Es el fichero ejecutable del servidor RADIUS. La opcin con la que se ejecuta es: -d <directorio_radius_configuracin> -a <directorio_radius_accounting> Telefnica Data Espaa, S.A. 18/01/02 Pg.: 159 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. radpass Es una aplicacin creada para facilitar el cambio de la clave (password) de un usuario. rad_tool Se ha creado esta aplicacin de usuario que permite: Monitorizar las direcciones IP ocupadas. Desconectar usuarios y liberar as las direcciones que hayan quedado ocupadas. En el directorio donde se encuentre esta aplicacin deber aparecer tambin el fichero cfg_OPERADOR_INFOVIA. cfg_local_INFOVIA En este fichero se indica el nombre del CPI (ALIAS), el puerto UDP y la HORA_IP. clientes_INFOVIA Datos de los CSIV con los que se va a conectar el CPI. usuarios_INFOVIA Datos de los usuarios autorizados por el CPI. cfg_pool_INFOVIA Datos sobre los diferentes pools definidos. Estos datos incluyen la direccin IP origen de los msmos, su tamao, su identificador y su nivel de privilegio. cfg_pool_clie_INFOVIA En este fichero se relacionan el identificativo de los pools y el identificativo de los clientes a los que se les asigna ese pool. README Este fichero contiene una ayuda que puede resultar muy til a la hora de instalar el servidor. El directorio en el que se instala el servidor RADIUS es el /etc/raddb. Los archivos de tarificacin estarn en el directorio /usr/adm/radacct. A continuacin se describen los ficheros utilizados por el RADIUS del CPI con unos datos de direcciones y pooles distintos a los que se han podido utilizar anteriormente. H.7.1.1 Fichero cfg_local_INFOVIA # FICHERO: cfg_local_INFOVIA # ================= # Este fichero contiene los datos de configuracion de un servidor RADIUS # El primer campo indica el tipo de dato descrito: # ALIAS ==> Nombre del servicio soportado en el servidor local. Se pueden # asignar cualquier numero de ALIAS al servicio. Por defecto Telefnica Data Espaa, S.A. 18/01/02 Pg.: 160 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. # el nombre del servicio es el nombre de la maquina. #UDP ==> Indica el puerto UDP usado por por el proceso para escuchar # peticiones. Si falta este campo se toma el puerto definido en # /etc/services. Si en el /etc/services no esta definido # se toma como puerto el valor 1645. # HORA ==> Indica el tiempo durante el cual, una vez liberada una # direccin IP, sta est disponible para ser reutilizada. # #IDENTIFICADOR VALOR #------------- ----- ALIAS cpi_pr ALIAS otro_cpi_pr UDP 1645 HORA_IP 180 H.7.1.2 Fichero clientes_INFOVIA # FICHERO: clientes_INFOVIA # ================ # # Este fichero contiene una lista de clientes (maquinas IP) que # estan autorizadas a lanzar preguntas RADIUS sobre ESTE servidor # y a recibir respuestas RADIUS desde ESTE servidor. # # 1.- El primer campo es el nombre del cliente # 2.- El segundo campo es la palabra clave asociada a ese cliente. # 3.- El tercer campo es el puerto UDP. # 4.- El cuarto campo es el identificador del cliente. # CAMPOS # 1 2 3 4 172.16.192.1 ascend 1645 1 172.16.193.1 ascend 1645 2 127.0.0.1 operador 1645 1000 H.7.1.3 Fichero cfg_pool_INFOVIA # FICHERO: cfg_pool_INFOVIA # ================ # # ident_pool--> Numero que identifica el pool. Pueden existir varias lineas con este Telefnica Data Espaa, S.A. 18/01/02 Pg.: 161 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. # mismo numero. # rango --> Dir. inicial del trozo del pool. # tamano --> Numero de direcciones que forman el trozo. # nivel_usuario --> Indica el nivel que tienen que tener los usuarios para obtener una # direccion del pool.# # ident_pool rango tamano nivel_usuario 1 194.179.42.144 16 1 1 194.179.42.176 15 1 2 194.179.42.129 15 2 2 194.179.42.160 16 2 El pool 1 es de nivel 1 y consta de 31 direcciones desglosadas del siguiente modo: 16 direcciones, que van de la 194.179.42.144 a la 194.179.42.159, ambas inclusive. 15 direcciones, que van de la 194.179.42.176 a la 194.179.42.190, ambas inclusive. El pool 2 es de nivel 2 y consta de 31 direcciones desglosadas del siguiente modo: 15 direcciones, que van de la 194.179.42.129 a la 194.179.42.143, ambas inclusive. 16 direcciones, que van de la 194.179.42.160 a la 194.179.42.175, ambas inclusive. H.7.1.4 Fichero cfg_pool_clie_INFOVIA # FICHERO: cfg_pool_clie_INFOVIA # ================ # # ident_pool--> Nmero que identifica el pool. Pueden existir varias lineas con este # mismo numero. # ident_cliente --> Identificativo del cliente. # ident_pool ident_cliente 1 1 1 2 2 1 2 2 1 1000 2 1000 Telefnica Data Espaa, S.A. 18/01/02 Pg.: 162 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. H.7.1.5 Fichero usuarios_INFOVIA # FICHERO: usuarios_INFOVIA # ================ # # Este fichero incluye el formato definido por ASCEND para su interfaz por # RADIUS. # Contiene informacion de seguridad y configuracion para cada usuario. # El primer campo es el nombre de usuario. # Esta seguido de una lista con los requerimientos de autorizacion para # cada usuario.Esta puede incluir el password, nombre de usuario, # y una fecha de expiracion del password del usuario.Cuando una # peticion de autenticacion es recibida desde el servidor, esos valores son # chequeados. Existe la posibilidad de crear un usuario especial llamado DEFAULT # el cual siempre debera estar al final del fichero.Este perfil tratara los nombre de # usuarios no contenidos en este fichero. Si a este perfil le damos el password # UNIX, se buscara el password del usuario en el fichero /etc/passwd. # A continuacion se definen una serie de parametros de ASCEND, como por # ejemplo los necesarios para establecer la llamada PPP, la direccion que # se le va a asignar a ese usuario, si se le da una subred, etc. # Ademas de los parametros definidos por ASCEND el sistema # INFOVIA ha definido/modificado los siguientes valores: # - SESIONES-INFOVIA = N # Donde N es el numero de sesiones simultaneas que se quieren # permitir para cada usuario definido en el fichero. # - NIVEL-INFOVIA = M # Donde M es el numero que indica el nivel de uso del usuario. # Esto quiere decir que el usuario podra utilizar aquel pool que # tenga una categoria igual a M. # - NIVEL-MAX-INFOVIA = N # Donde N es el numero que indica el nivel maximo de uso del usuario. # Esto quiere decir que el usuario podra utilizar desde el pool de su # nivel hasta el pool de nivel maximo N. # - Framed-Address = Este parametro si no aparece en el perfil Telefnica Data Espaa, S.A. 18/01/02 Pg.: 163 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. # de usuario tendra el valor 255.255.255.255. Si aparece tendra el valor de la # direccion que se le quiera dar a ese usuario. # En caso contrario puede provocar errores en la direccion asignada al usuario. # - RDSI-INFOVIA = 0 # En este caso las llamadas de un usuario RDSI son rechazadas. # - Ascend-Maximum-Time = L. # Donde L es el tiempo en segundos en que se desconectar al usuario. # A continuacion se indican varios perfiles de usuario: usu1 Password = "clave1" SESIONES-INFOVIA = 1, NIVEL-INFOVIA = 1, RDSI-INFOVIA = 0, User-Service = Framed-User, Framed-Protocol = PPP, Framed-Address = 194.179.42.3, Framed-Netmask = 255.255.255.255, Ascend-Metric = 2, Framed-Routing = None, Framed-Compression = 0 Ascend-Idle-Limit = 0 Ascend-Maximum-Time = 36000 usu2 Password = clave2" SESIONES-INFOVIA = 1, NIVEL-INFOVIA = 1, NIVEL-MAX-INFOVIA = 2, User-Service = Framed-User, Framed-Protocol = PPP, Framed-Address = 255.255.255.255, Framed-Netmask = 255.255.255.255, Ascend-Metric = 2, Framed-Routing = None, Framed-Compression = 0 Ascend-Idle-Limit = 0 Ascend-Maximum-Time = 7200 En el fichero usuarios_INFOVIA anterior se han incluido los perfiles de dos usuarios. El primero es de nivel 1 (NIVEL-INFOVIA = 1) por lo que solo podr recibir direcciones de las correspondientes al pool 1 (vase el fichero cfg_pool_INFOVIA en el Apartado H.32.1.3 Fichero cfg_pool_INFOVIA ). El segundo usuario es de nivel 1(NIVEL-INFOVIA = 1) por lo que recibir Telefnica Data Espaa, S.A. 18/01/02 Pg.: 164 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. direcciones del pool 1, y si no las hay disponibles, recibir una direccin del pool 2 . H.7.1.6 Configuracin de la herramienta rad_tool Para el correcto funcionamiento de esta herramienta opcional, habr que incluir el siguiente fichero: # FICHERO: cfg_OPERADOR_INFOVIA # ================= #UDP ==> Indica el puerto UDP del servidor a controlar. # IP ==> Indica la direccin IP del identificador de cliente 1000. #SECRETO ===> Indica el password del identificador de cliente 1000. # # #IDENTIFICADOR VALOR #------------- ----- IP 127.0.0.1 UDP 1645 SECRETO Operador H.7.2 CONFIGURACIN DEL ROUTER En este apartado se adjunta el fichero de configuracin del router del ejemplo: version 11.1 ! hostname router ! enable password YYYYYYYY ! ip subnet-zero ! interface Ethernet0 ip address 10.128.102.1 255.255.255.0 secondary ip address 194.179.42.1 255.255.255.192 ! interface Serial0 no ip address encapsulation frame-relay IETF frame-relay lmi-type ccitt ! Telefnica Data Espaa, S.A. 18/01/02 Pg.: 165 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. interface Serial0.1 point-to-point ip address 194.179.6.135 255.255.255.128 frame-relay interface-dlci 17 ! interface Serial0.2 point-to-point ip address 172.16.192.30 255.255.255.224 frame-relay interface-dlci 18 ! interface Serial0.3 point-to-point ip address 172.16.193.30 255.255.255.224 frame-relay interface-dlci 19 ! interface Serial1 ip unnumbered Ethernet0 shutdown ! router rip version 2 timers basic 30 600 0 1 no validate-update-source passive-interface Serial0.2 passive-interface Serial0.3 network 172.16.0.0 ! ip default-network A.B.C.D ip route 10.2.0.0 255.254.0.0 Serial0.2 ip route 10.4.0.0 255.254.0.0 Serial0.3 ip route A.B.C.D M A .M B .M C .M D G A .G B .G C .G D ! line con 0 line aux 0 line vty 0 4 password XXXXXXXX login ! end El router del CPI ha de saber por dnde encaminar el trfico con destino a los usuarios de InfoVa. Para ello se han de definir rutas con los CSIV de InfoVa con los que est conectado el CPI. ip route 10.2.0.0 255.254.0.0 Serial0.2 ip route 10.4.0.0 255.254.0.0 Serial0.3 Telefnica Data Espaa, S.A. 18/01/02 Pg.: 166 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. En el fichero anterior: XXXXXXXX representa la clave necesaria para conectarse al router. YYYYYYYY representa la clave necesaria para poder configurar el router. A.B.C.D representa la direccin IP correspondiente a la red por defecto. Se trata de direcciones proporcionadas por Internet. Todos los paquetes cuya direccin no est recogida en las tablas de rutas, se enviar a esta red por defecto a travs del gateway indicado. M A .M B .M C .M D representa la mscara a aplicar a la red por defecto. Esta mscara la proporcionar Internet. G A .G B .G C .G D representa el gateway a travs del cual se encamina el trfico hacia la red por defecto. Esta direccin la proporcionar Internet. H.8 INFORMACIN ADICIONAL PARA LA INSTALACIN DE UN CPI Telefnica ofrece a los proveedores de informacin, el cdigo, compilado para diversas plataformas, del servidor RADIUS. Con el proposito de facilitar la distribucin de software, el cdigo compilado para los diferentes tipos de plataforma est disponible en un servidor ftp annimo. H.9 PROCESO ADMINISTRATIVO Una empresa que desee ofrecer sus servicios a travs de InfoVa deber completar un formulario en el que los principales apartados sern los siguientes: Objetivo del servicio. Se expondr el tipo de servicio que se va a ofertar, que deber de ser pblico y no restringido, as como su nombre comercial. Esta informacin permitir definir a InfoVa cul debe de ser la ubicacin en el rbol de navegacin de este servicio. Contenido de la hoja HTML El proveedor deber entregar un fichero con formato HTML, o bien delegar la funcin de creacin de dicho fichero a InfoVa. La importancia de este fichero queda clara teniendo en cuenta que ser la nica informacin especfica que InfoVa suministrar a los hipotticos usuarios del proveedor del servicio sobre las caractersticas del mismo. Se sugiere que en este apartado debe quedar claro para los usuarios: El tipo de servicio comercializado. Procedimiento administrativo para darse de alta en el servicio si fuera necesario. Costes asociados a la utilizacin del servicio, as como el procedimiento de cobro (tarjeta de crdito, factura mensual, etc ...). Telefnica Data Espaa, S.A. 18/01/02 Pg.: 167 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Caractersticas que debe poseer el equipamiento del usuario: Memoria, CPU, velocidad de transferencia, etc ... Si el usuario debe de instalar software especfico para acceder a este servicio, se debe de indicar el mecanismo de acceso a dicho software. Ambito geogrfico del servicio. Si el servicio se va a ofrecer a usuarios de una comunidad autnoma o a varias y cuales. Nmero de mquinas desde las que se va a ofertar el servicio. El proveedor informar en este apartado cuantas mquinas van a ser accesibles desde InfoVa para la provisin del servicio. Tipo de servicio. Autentificado o no autentificado Administracin de la direcciones IP por parte del proveedor o administradas por InfoVa. Si el proveedor desea administrar un rango de direcciones propias (direcciones de Internet, como es el caso de los CPIs con acceso a Internet desde InfoVa), deber acreditar que dichas direcciones le han sido adjudicada por la IANA. Nmero mximo de usuarios simultneamente conectados al proveedor. En este apartado, el proveedor informar del nmero mximo de conexiones simultneas que quiere atender por cada una de las comunidades autnomas. Caractersticas del acceso fsico a InfoVa. El usuario deber de indicar el tipo de acceso deseado: Frame relay: Parmetros asociados a la interfaz frame relay. El proceso administrativo de dar de alta estas interfaces, lo podr realizar el proveedor o delegarlo en InfoVa. Al proveedor del servicio, como respuesta a su peticin, se le suministrarn los siguientes datos: Rango de direcciones IP reservadas al proveedor. Ser siempre una subred de longitud 256 direcciones. Direcciones IP concretas asignadas a las mquinas del proveedor. Sern direcciones pertenecientes al rango anterior a travs de las cuales se oferta el servicio. Direccin IP del servidor de RADIUS. Direccin del centro de gestin InfoVa. Se le suministrar la direccin RTB y X.25, as como la clave (password) que permitirn al proveedor del servicio acceder a los datos de trfico de su servicio. Toda esta informacin se recoger en un documento con formatos y campos a rellenar, en los que el proveedor se someter a las leyes civiles que rigen estas asociaciones y que quedarn ampliamente aclaradas y enumeradas. Este proceso formal podr ser discutido en forma y Telefnica Data Espaa, S.A. 18/01/02 Pg.: 168 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. contenido, pero es Telefnica, o en su caso la filial que comercialice el servicio InfoVa, la que ser competente en estas labores y la que detallar ms profundamente todos estos aspectos, as como las acciones a seguir para incorporarse a InfoVa. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 169 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. I Gua de Migracin del Radius de un PSI de Infova Plus Directo a Infova Plus Bsico Modalidad Delegada I.1 Introduccin En el presente anexo se presenta la documentacin relativa al proceso de migracin de un servidor Radius de PSI entre sus distintas versiones, desde la versin 3.x del hasta la versin 5. Si se desea realizar una instalacin inicial completa debern consultarse los documentos Gua de Instalacin de los servicios proveedores de Informacin que se (para la versin 3.x) proporciona con este paquete, bien la Gua de Instalacin del Radius del PSI en el Servicio Infova Plus Bsico (Modalidad delegada) (versiones 4.x y 5.x). En el presente anexo se describen los pasos para realizar la migracin entre cada versin y la siguiente. Si se desea realizar la migracin entre dos versiones no consecutivas deben realizarse todos los cambios correspondientes a las migraciones de las versiones intermedias. I.2 Migracin de un servidor RADIUS PSI a Infova Plus Bsico (Modalidad Delegada) Si se parte de una instalacin anterior del servidor Radius, las modificaciones que habra que realizar seran las siguientes. I.2.1 Modificacin de los ejecutables Debern sustituirse los programas que se encuentran en el directorio de ejecutables del servidor (por defecto /opt/radius/bin) I.2.2 Modificacin del diccionario. Deber modificarse el diccionario de atributos que usa el servidor radius que se encuentra en el fichero usuarios_INFOVIA que se encuentra en el directorio de configuracin del servidor (por defecto el directorio /opt/radius/raddb). Los cambios que hay que realizar son los siguientes: Modificacin del valor del atributo SESIONES_INFOVIA. Para ello deber sustituirse la lnea: ATTRIBUTE SESIONES-INFOVIA 150 integer por la siguiente: ATTRIBUTE SESIONES-INFOVIA 224 integer Telefnica Data Espaa, S.A. 18/01/02 Pg.: 170 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Debe aadirse el siguiente atributo (caso de que el cdigo 225 se usara para otro atributo deber sustituirse por el siguiente). ATTRIBUTE Nivel-Internet 225 integer Este atributo indica el nivel de calidad en el acceso asignado a un usuario, y deber aadirse tambin al perfil del usuario en el que se desee usar esta caracterstica, como en el siguiente ejemplo: prueba Password= madrid Nivel-Internet = 1, Session-Timeout = 0, Idle-Timeout = 10, SESIONES-INFOVIA = 5, Port-Limit = 5 Este atributo puede tomar un valor entero en el rango 0..9 Caso de que existieran previamente otros atributos con cdigos 224 o 225 deberan comentarse las lneas en que aparezcan para evitar atributos duplicados. I.2.3 Clientes Delegados. Para indicar al servidor Radius las mquinas desde las que aceptar peticiones de usuarios delegados stas deben indicarse en el fichero redIP_delegado, con el mismo formato que los ficheros clientes_INFOVIA o clientes_hw_INFOVIA I.2.4 Fichero cfg_OPERADOR_INFOVIA Dado que la herramienta rad_tool puede efectuar peticiones tanto al servidor radius local como al servidor radius de la Red IP deben especificarse los atributos de ambos servidores como se muestra en el siguiente ejemplo: UDP_PSI 2645 UDP_RAD_TOOL 3000 IP_PSI 127.0.0.1 UDP_CVCA 1645 IP_CVCA <direccin IP de un servidor Radius de la Red IP> SECRETO_PSI <Secreto servidor radius local> SECRETO_CVCA <Secreto servidor radius Red IP> Donde: UDP_PSI Es el puerto asignado al servidor Radius local del PSI UDP_RAD_TOOL Es el puerto utilizado por el propio ejecutable rad_tool. UDP_CVCA Es el puerto asignado al(los) servidor (es) radius de la Red IP. SECRETO_PSI Es el Secreto del servidor Radius local. SECRETO_CVCA Es el Secreto del Secreto del servidor Radius de la Red IP. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 171 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 173 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. J REFERENCIAS J.1 Obtencin de Estadsticas J.1.1 RADREPORT Es un script (escrito en Perl) para obtener estadsticas de uso por usuario a partir de los ficheros de contabilidad suministrados por el servidor Radius. Se proporciona para plataformas UNIX y NT. La licencia es GPL. Adems al estar escrito en Perl, se suministra el cdigo fuente. El autor dice que los radius soportados son los siguientes: Livingson Radius V2.0, V2.01 & V1.16 Dale Reeds RadiusNT Merit Radius Ascend Radius Radiator Como el servidor Radius del presente documento, usa los mismos formatos de fechas y atributos que el Radius de Ascend, es tambin compatible con el programa. Para poder usarlo con el servidor Radius del presente documento, y por problemas con las las fechas (no incluimos el campo Timestamp=... en el logfile) hay que descargar un mdulo perl no incluido en algunas distribuciones (modulo POSIX). ste modulo no esta disponible para NT. Para ms informacin, ver: URL: http://www.tibus.net/pgregg/projects/radiusreport/ J.1.2 RADIUSCONTEXT Est basado en el anterior, aunque es ms completo y elaborado. La novedad principal es que permite la obtencin de estadsticas globales adems de por usuario. Se proporciona tambin para plataformas UNIX y NT. El unico inconveniente es que est escrito en Python, que es un intrprete menos habitual que Perl. Para ms informacin, ver: URL : http://www.tummy.com/radiusContext/ Telefnica Data Espaa, S.A. 18/01/02 Pg.: 175 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. K INTERFAZ DE OPERACION WEB 1 En esta anexo se presenta la documentacin relativa al Interfaz grfico de operacin del Servidor RADIUS de PSI. A travs de este interfaz el operador podr realizar las operaciones de arranque, parada, consulta de estados y desconexin de usuarios del servidor Radius. Este interfaz es accesible desde cualquier navegador estndar (se recomienda Netscape versin 4.03 o superior, no es recomendable Internet Explorer). K.1 Instalacin Como requisito hay que mencionar que se precisa de un servidor Web instalado en la misma mquina en la que se instala el servidor RADIUS. El Interfaz de Operador del Servidor RADIUS se suministra en el paquete de instalacin del servidor de Radius Delegado. Para realizar la instalacin debern ejecutarse los comandos de instalacin indicados en el captulo de Instalacin. Una vez iniciada la instalacin de dicho paquete se preguntar si se desea instalar los ficheros correspondientes al Interfaz grfico. En caso de respuesta afirmativa, el paquete instalar los ficheros html, JavaScript, grficos y binarios en el directorio que se le indique. K.1.1 Directorios de Instalacin El paquete genera los siguientes directorios y ficheros en el directorio que se le indique al comenzar la aplicacin. Web/html/ Contiene las paginas html estticas. Web/html/MENUS/ Contiene los men\xb9 \xb8 \xb9 s para cada una de las utilidades implementadas. Web/iconos/ Contiene los iconos de la aplicacin. Web/JavaScript/ Contiene los ficheros JavaScript de la aplicacin. cgi-bin/ Contiene las CGIs. K.1.2 Procedimiento de Instalacin Los pasos a seguir son los siguientes: 1. Instalacin del paquete radius_psi. Realizar la instalacin del paquete tal y como se indica en el captulo 1 de este manual. 1 Slo disponible para la plataforma Solaris. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 176 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 2. Inicializar el Interfaz grfico de Operador del servidor Radius. Ver apartado de configuracin. K.2 Configuracin Debe generarse una instancia en un servidor Web. La pgina de inicio es /http_radius/Web/ html/index.html. Es necesario configurar en el servidor Web un mapeo virtual del directorio raz donde se hayan instalado la interfaz a /radius, ya que las URLs se refieren a ste ltimo. K.3 Operacin Al entrar en la URL de inicio se marca la opcin Comenzar Operacin. Se presenta entonces una ventana del visualizador con tres frames. En la frame superior se selecciona Operaciones, ya que la opcin de Configuracin, an no est disponible. La frame de la izquierda la denominaremos frame de operaciones y la frame grande de abajo a la derecha, la denominaremos frame principal. Se presenta entonces una ventana de navegador con el siguiente aspecto: Telefnica Data Espaa, S.A. 18/01/02 Pg.: 177 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Figura K-1: Ventana de Operacin Web Se pueden seleccionar las operaciones de la frame de operaciones. Es decir: K.3.1 Arrancar Servidor RADIUS Aparece una ventana similar a la anterior: Telefnica Data Espaa, S.A. 18/01/02 Pg.: 178 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. Figura K-2: Arranque de Servidor RADIUS En la frame principal se rellenan los datos para los directorios de instalacin, configuracin y contabilidad. Mediante el botn de Radio se selecciona el nivel de trazas deseado. Al pulsar Enviar, se muestra en la frame principal la misma salida que muestra la lnea de comandos al arrancar el servidor. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 179 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. K.3.2 Parar el Servidor RADIUS Al pulsar en la opcin aparece la siguiente ventana: Figura K-3: Parada de Servidor RADIUS De la misma manera que en el arranque, se seleccionan los directorios de instalacin y configuracin y se pulsa el botn Enviar. La ventana que aparece a continuacin, muestra la salida estndar en la frame principal. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 180 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. K.3.3 Consulta de Estado del Servidor RADIUS Si se pulsa esta opcin obtenemos: Figura K-4: Consulta de Estado de Servidor RADIUS Se procede de la misma manera que en los apartados anteriores. Al pulsar Enviar, se obtiene otra ventana en la que aparece el estado de las conexiones del servidor RADIUS en la frame principal. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 181 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. L CONFIGURACIN DEL SERVIDOR RADIUS PARA DISTINTOS ESCENARIOS L.1 Configuracion bsica para escenario servidor final con clientes SW L.1.1 Definicin del escenario En este escenario el servidor radius atiende a clientes software (clientes que se definen en el fichero redIP_delegado), no asigna direcciones, puede guardar informacin sobre las sesiones de los usuarios. Se puede observar este escenario en la siguiente figura: L.1.2 Configuracin bsica del servidor. Se editarn los ficheros de configuracion del servidor Radius siguiendo los pasos que se detallan a continuacin. Para una correcta configuracin, se deber partir de un estado de los ficheros de configuracin idntico al que se tiene tras el proceso de instalacin del servidor. Estos son los pasos a seguir: Paso 1. Edicin de cfg_local_INFOVIA En este fichero definiremos los siguientes parmetros: Telefnica Data Espaa, S.A. 18/01/02 Pg.: 182 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. UDP_AUTH: Se indicar el puerto para autenticacin, en este ejemplo se le dar el valor: UDP_AUTH 1645 UDP_ACCT: Puerto para contabilidad, por ejemplo puede tomar el valor: UDP_ACCT 1646 UDP_SNMP: En este ejemplo no se trabajar con el modo SNMP, luego esta linea deber aparecer comentada: #UDP_SNMP 1680 HASHSIZE: Se le dar un valor similar al nmero mximo de conexiones simultneas, por ejemplo: HASHSIZE 30000 Los siguientes parmetros se refieren a tarifa plana, en este ejemplo no se trabajar con tarifa plana, luego aparecern comentados: #NEMONICO_PLANO psi_plano #HORA_FIN_TARIFA_PLANA 8 #MIN_FIN_TARIFA_PLANA 0 #HORA_INICIO_TARIFA_PLANA 18 #MIN_INICIO_TARIFA_PLANA 0 ALIAS: Se indicarn los nemnicos que sern tratados localmente, por ejemplo: ALIAS psi HARDWARE_INFOVIA_OMISION: No se admitirn clientes hardware, entonces: HARDWARE_INFOVIA_OMISION 0 MODO_PROXY: El servidor a configurar no debe funcionar en modo proxy, luego: MODO_PROXY 0 MODO_SNMP: No trabaja en modo SNMP, por tanto: MODO_SNMP 0 MODO_ENCRIPTADO: No trabaja en modo ENCRIPTADO, por tanto: MODO_ENCRIPTADO 0 SUBRED_FICTICIA: Subred de la que se asignan direcciones ficticias, por ejemplo: SUBRED_FICTICIA 1 El fichero cfg_local_INFOVIA del ejemplo quedar de la siguiente forma: UDP_AUTH 1645 UDP_ACCT 1646 #UDP_SNMP 1680 HASHSIZE 30000 #NEMONICO_PLANO psi_plano #HORA_FIN_TARIFA_PLANA 8 #MIN_FIN_TARIFA_PLANA 0 #HORA_INICIO_TARIFA_PLANA 18 #MIN_INICIO_TARIFA_PLANA 0 Telefnica Data Espaa, S.A. 18/01/02 Pg.: 183 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. ALIAS psi HARDWARE_INFOVIA_OMISION 0 MODO_PROXY 0 MODO_SNMP 0 MODO_ENCRIPTADO 0 SUBRED_FICTICIA 1 Paso 2. Edicin de usuarios_INFOVIA En este fichero se definirn los datos de los usuarios autorizados por el PSI. Para el escenario actual slo proporcionaremos los siguientes atributos: Es obligatorio indicar el nombre de usuario y la password de dicho usuario, por ejemplo: prueba Password = clave Max-Num-Connections: Indica el nmero mximo de conexiones simultneas permitidas para el usuario que estamos definiendo. Por defecto toma el valor 1. Por ejemplo, se podran permitir 2 conexiones: Max-Num-Connections = 2 El perfil del usuario en el fichero usuarios_INFOVIA quedar de la siguiente forma: prueba Password = madrid Max-Num-Connections = 2 Paso 3. Edicin de redIP_delegado En este fichero se completarn los datos de los clientes SW con los que va a conectarse el PSI. En cada lnea se indicar un cliente SW, compuesta por cuatro campos ademas de algunas opciones adicionales. En el primer campo se indica la direccin IP del cliente SW. En el segundo campo se indica la palabra clave asociada cada cliente. En el tercer campo se indica el puerto UDP por el que escucha el cliente. En el cuarto campo se indica el identificador de cliente: El fichero redIP_delegado correspondiente a la figura contendr las siguientes lneas: 193.152.36.63 Operador_CVCA 1645 10 127.0.0.1 Operador 3000 1000 Se definen as dos clientes, un cliente ser el CVCA y el otro cliente la propia maquina, de forma que se permita el uso de la herramienta rad_tool. Paso 4. Edicin de cfg_OPERADOR_INFOVIA En este fichero se definirn los siguientes parmetros: UDP_PSI: puerto por el que escucha el servidor Radius del PSI. Segn se indic en el fichero cfg_local_INFOVIA, este puerto es el 1645: UDP_PSI 1645 UDP_RAD_TOOL: puerto para la herramienta rad_tool, en este caso: Telefnica Data Espaa, S.A. 18/01/02 Pg.: 184 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. UDP_RAD_TOOL 3000 UDP_CVCA: se indicar el puerto por el que el Centro de Validacin y Control de Acceso de la Red IP (CVCA) escucha las peticiones de autenticacion. Para este caso: UDP_CVCA 1645 IP_CVCA: direccin IP del cliente SW del CVCA: IP_CVCA 193.152.36.63 IP_PSI: se recomienda indicar la direccin IP siguiente, indicando que la maquina donde se est ejecutando el servisor Radius es la misma mquina: IP_PSI 127.0.0.1 SECRETO_PSI: secreto del servidor Radius local. En este ejemplo: SECRETO_PSI Operador SECRETO_CVCA: secreto del cliente SW del CVCA. Para este ejemplo: SECRETO_CVCA Operador_CVCA El fichero cfg_OPERADOR_INFOVIA quedar de la siguiente forma: UDP_PSI 1645 UDP_RAD_TOOL 3000 UDP_CVCA 1645 IP_CVCA 193.152.36.63 IP_PSI 127.0.0.1 SECRETO_PSI Operador SECRETO_CVCA Operador_CVCA L.1.3 Pruebas del servidor L.1.3.1 Arranque del servidor Radius de PSI. Se utlizar el ejecutable del servidor radius que no utiliza librerias dinmicas. Se deber indicar el directorio de configuracion y el directorio de contabilidad. Si se supone que el ejecutable radiusd se encuentra en /opt/radius5.04/bin, desde este directorio se lanzar: ./radiud -d ../raddb -a ../radacct L.1.3.2 Pruebas del servidor Se definirn a continuacin una serie de pruebas del servidor. Se utilizarn los ficheros de simulacin que se encuentran en el directorio /opt/radius5.04/bateria_delegado. En ste directorio se halla el ejecutable simula_delegado. Este ejecutable necesita de un fichero .txt en el que se definen los paquetes de Auth, Start y Stop para un usuario determinado. Este fichero se incluye en el directorio bateria_delegado. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 185 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. 1. Se debe aadir una lnea en el fichero redIP_delegado para declarar la propia mquina como cliente SW, y as poder lanzar el simulador desde la misma mquina. Para el caso del ejemplo se aadira la siguiente lnea: 1.0.15.151 secreto_simula 1645 50 2. En el fichero de configuracin del simulador (cfg_OPERADOR_INFOVIA) situado en el propio directorio bateria_delegado, debe definirse los datos del servidor Radius destino. En el caso del ejemplo contendr los siguientes valores: UDP_PSI 1645 IP_PSI 1.0.15.151 SECRETO_PSI secreto_simula Nota: El fichero de configuracin del simulador presenta una formato distinto que el fichero de configuracin del rad_tool. 3. En primer lugar realizaremos una peticin de auth (desde el directorio bateria_delegado): simula_delgado Auth delegado.txt Se deber recibir un AUTHACK. 4. Una vez hemos conseguido la autenticacin, realizaremos un start: simula_delegado Start delegado.txt Se deber recibir un ACK. 5. Posteriormente podemos liberar la conexin: simula_delegado Stop delegado.txt Se deber recibir ACK. Una vez realizada esta prueba conviene eliminar del fichero redIP_delegado la lnea introducida para el cliente simula_delegado. L.1.3.3 Prueba de rad_tool La herramienta rad_tool permite obtener informacin del estado del sistema, y realizar acciones de gestin bsicas sobre el servidor. Para el caso del ejemplo, simplemente se verificar la correcta configuracin de la herramienta lanzando una peticin de parada del servidor radius : Si se supone que el ejecutable rad_tool se encuentra en /opt/radius5.04/bin, desde este directorio se lanzar: ./rad_tool -d ../raddb parar_radius Telefnica Data Espaa, S.A. 18/01/02 Pg.: 187 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. M CONTROL DE CAMBIOS DEL DOCUMENTO Edicin Fecha Descripcin de cambios 1.00 15/06/2000 Creacin del documento 2.00 26/07/2000 Se incluye la presente hoja de control de ediciones del documento. Simplificacin del proceso de Configuracin del Servidor para Linux y NT. Actualizacin para la segunda fase del proyecto Mejoras del Servidor Radius de PSI: * Portado de funcionalidad de proxy para Linux y Windows NT * Herramienta de liberacin de conexiones pilladas para Solaris. * Herramienta de gestin automtica de Logs portada a Linux * Herramienta de actualizacin de ficheros DBM en tiempo real portada a Linux. * Procedimiento automtico de arranque del servidor para Linux. 2.01 3/08/2000 * Apartado 2.2; aclaraciones a la instalacin en Linux * Apartado 3.1.2; eliminados pequeos errores de explicacin * Nuevo apartado 3.2.2; procedimiento de arranque particularizado para Linux * Cambio de la footnote del apartado 3.3.10 al 3.3.9 * Apartado 4.2.7: Correccin en la descripcin de los parmetros del builddbm * Apartado 5.1 y 5.2: Indicacin del directorio donde se escriben los ficheros de trazas y el fichero logfile. * Apartado 4.2.5 y 4.2.6: Aviso sobre la utilizacin del fichero de perfiles suministrado para una correcta ejecucin de las baterias de pruebas. * Apartado 2.1: Aviso sobre necesidad de borrar las posibles libreras libCalidades y libFiltro que se encuentren en /usr/lib como resultado de anteriores instalaciones. 3.00 9/02/2001 Se incluyen los cambios de la versin 5.04: Telefnica Data Espaa, S.A. 18/01/02 Pg.: 188 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. * Se permite configurar el numero de sesiones simultaneas por usuario del servicio de tarifa plana. * Se permite configurar la accion a realizar con usuarios de RTB que no lleven numero A. * Se permite configurar la accion a realizar con usuarios de RDSI ya conectados por el mismo numero. * Se permite configurar, en modo proxy, el registro y control de peticiones progresadas a servidor final. * Encriptacin de loginnames y passwords en los ficheros de perfiles de usuario. * Soporte de las nuevas RFCs del protocolo Radius (RFCs 2865- 2869) * Acceso SNMP al servidor radius, y almacenamiento de datos definidos en las MIBs (RFCs 2618-2621) o * Se incorporan las siguientes funcionalidades procedentes de la versin TR03 y TR04:Se entrega sin informacion de depuracion.Se entrega compilado con opciones de optimizacion en velocidad.En modo proxy, evita los ocasionales problemas de autenticacion al acceder por CHAP o por PAP.En modo servidor final, acceso indexado a las sesiones establecidas. o * Se incorporan las siguientes funcionalidades procedentes de la versin TR02:Se incorpora la funcionalidad de proxy por inicial de loginname.Se incluye la opcion "ver_usuario <usuario>" para la herramienta rad_tool.Se incluye la opcion "numero_usuarios_conectados" para la herramienta rad_tool.Se corrige el problema de parametros corruptos en el fichero usuario_INFOVIA. Se incorpora la funcionalidad para la tarifa plana.Se incluye la funcionalidad de "control de fraude". 3.01 19/03/2001 * Se actualizan las referencias a las RFCs del protocolo Radius * Se amplia y actualiza la presentacin del servidor Radius de PSI. * Se presentan las diferencias entre las funcionalidades del servidor radius para la plataforma Solaris y las portadas a las plataformas Linux y Windows NT. * Se incluye un procedimiento para aadir perfiles de usuario con loginnames y passwords encriptadas a base de datos DBM. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 189 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. * Se incluye una advertencia sobre las versiones SNMP soportadas. * Se incluye un nuevo anexo con una gua de configuracin de un escenario sencillo; servidor radius final para clientes SW. * Se incluye el presente anexo con los cambios introducidos en el documento en cada edicin. 3.02 23/03/2001 Se realizan correcciones al documentos, las ms importantes son: * Correcciones en el Apartado 1.4.1 Caractersticas principales * Correcciones en el Apartado 1.4.3 Limitaciones * Correcciones en el Apartado 3.4 Ficheros de Configuracin * Correcciones en el Apartado 4.2 Ejecutables del servidor RADIUS, unificacin de los antiguos simuladores en uno nico. 3.03 11/05/2001 Se realizaron las siguientes correcciones: * Correcciones en el Apartado 3.2.2 Procedimiento para plataforma Linux. * Correcciones en el Apartado 3.4.3 cfg_local_INFOVIA. * Correccin en el Apartado 3.4.12 criterios_PROXY y siguiente (Criterios_PROXY_letra) * Correccin en el , aadiendo la opcin -o a la sintaxis. * Se actualiza el Anexo F Historia de las Versiones del Servidor Radius para reflejar los cambios realizados en la nueva liberacin del producto. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 191 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. GLOSARIO DE TRMINOS Y ACRNIMOS API: Application Programming Interface (Interfaz para la Programacin de Aplicaciones). ASIP: Area de Servicio de la Red IP. BNF: Backus-Naur Form. CHAP: Challenge Handshake Authentication Protocol. CPI: Centro Proveedor de Informacion (equivale a PSI). CPI: Centro Proveedor de Informacion (equivale a PSI). CSIV: Centro de Servicio Infova. DNS: Domain Name Server. GPL: General Public Licence. HTML: HyperText Markup Language. HTTP: Hypertext Transfer Protocol. IP: Internet Protocol. NA: Nodo de Acceso. NAS: Network Access Server. PAP: Password Authentication Protocol. Telefnica Data Espaa, S.A. 18/01/02 Pg.: 192 de 192 www.telefonica-data.com Propiedad de Telefnica Data Espaa, S.A. Prohibida cualquier reproduccin, distribucin o comunicacin pblica, salvo autorizacin expresa de Telefnica Data Espaa, S.A. PPP: Point to Point Protocol PSI: Proveedor de Servicios de Informacin. PTAC: Plataforma de Tarificacin y Atencin al Cliente. RADIUS: Remote Authentication Dial-In User Protocol. RDSI: Red Digital de Servicios Integrados. RFC: Request For Comments (Documentos de estndares de Internet). TCP: Transmision Control Protocol. UDP: User Datagram Protocol.