Manual do usurio

MyAuth Gateway

Como funciona
O Software MyAuth Gateway funciona baseado no conceito de gateway de captura. Nessa tcnica, um host localizado
em uma rede atrs do MyAuth necessita se autenticar para obter acesso.
Como existem muitas tecnologias para prover autenticao, cada uma exige um tipo de infraestrutura ou softwares
diferentes, ja tcnica de captura resume-se apenas em exibir para o usurio uma tela de login no navegador quando
uma pgina for solicitada pela primeira vez. Essa tela de login consiste em uma pgina html com um formulrio
exigindo login e senha.

O MyAuth 2 no utiliza nenhuma outra tecnologia de autenticao. A base de dados de usurios fica armazenada em
um banco de dados MySQL.
Para que o usurio possa ser capturado para pgina de login, necessrio que a infraestrutura da rede esteja
totalmente funcional (meio fsico cabeado ou wireles, etc...). Nesse ponto, o host cliente deve estar disponvel para
comunicaes com protocolo IP, seja configurado manualmente ou obtido automaticamente (DHCP).
Com a conexo de rede funcional, o host cliente necessitar apenas de:

Navegador que reconhea HTTP 1.0 ou superior (Internet Explorer, Firefox, etc...)

Outros...
Internet Explorer

Mozilla Firefox

Opera

O gateway que prover o recurso de autenticao deve estar no caminho direto de acesso para a internet, ou seja,
todo trfego dever passar pelo MyAuth. Somente assim o MyAuth poder diferenciar acessos autorizados, que j
possuem permisses e no autorizados, que devero ser autenticados para trafegar na rede.

No mapa acima, os clientes so separados da internet e dos servidores pelo

MyAuth Gateway, que se encarrega de controlar o acesso dos clientes a
internet e autentic-los.

Uma vez que um host cliente se autenticou, as permisses para trafegar na rede so concedidas de acordo com as
condies cadastradas: velocidade, tempo, volume de trfego, proxy transparente, agendamento de horrio. (ver
recursos).
O MyAuth no possui controle sobre os meios fsicos a que est conectado, ou seja, ele no prove recursos de enlace
de dados como Access Point, VLAN, etc... Suas funes so especificas para portal de autenticao.
Sua topologia de rede pode ser da mais varivel e mista possvel, bastando estar de acordo os requisitos, o MyAuth
funcionar perfeitamente.

Recursos
O Software MyAuth Gateway dispe de vrios recursos que proveem maior flexibilidade e gerenciamento de usurios
e conexes. Ei-los:
Cadastro de clientes

Informaes pessoais e suportes prestados e associao de logins (nomes de usurio que o cliente possui).
Cadastro de suporte

Informaes de suporte prestado ao cliente e nome do tcnico que atendeu. Simples.

Cadastro de usurios

Cadastro de nome de usurios que podero efetuar login no gateway. Nas propriedades do usurio esto disponveis:
Conceder permisso desde que o usurio esteja usando um endereo IP ou/e MAC
Conceder permisso a um nmero limitado ou ilimitado de logins simultneos, evitando
compartilhamento de login com outro usurios
Desativar o login, caso o cliente no possa acessar a internet temporariamente
Escolher um valor de banda pr-definido para o usurio
Vizializar o grfico de consumo de banda do usurio
Conceder acesso por um perodo de tempo (agendado, onde o usurio s poder acessar durante
determinados dias da semana) ou limite de tempo (onde o usurio ter um limite de tempo: mensal, semanal ou
dirio)
Conceder acesso limitado a um trfego mensal. O usurio estar limitado a uma quantidade de
megabyes para download/upload por ms, por semana ou por dia.
Enviar uma mensagem para o usurio no ato do login. Ao autenticar-se, o usurio ver o aviso na
tela.
Grupos

Os grupos server para limitar aes dos usurios e podem ser de 3 tipos:
Banda

Neste grupo se definir os valores de banda de download e upload. Os usurios que se encontrarem em um destes
grupos tero sua velocidade de navegao limitadas aos valores especificados.
Agendamento

Neste grupo se definir os dias da semana e os horrios em que os usurios do grupo podero acessar. Fora dos
intervalos permitidos, a autenticao retorna acesso negado, caso algum usurio do grupo esteja conectado fora do
tempo, sua permisso removida em tempo real.
Volume

Neste grupo se definir a quantidade de bytes que podero ser consumidos pelos usurios mensalmente,
semanalmente ou diariamente. Se o limite de trfego de download ou upload for atingido o acesso ser negado.
Tempo

Neste grupo se definir o tempo mensal, semanal ou dirio de acesso, apos ser ultrapassado o acesso ser negado.

Permisso fixa (hosts livres)

Caso seja necessrio conceder permisses fixas para alguns clientes, bastar adicion-los na lista de hosts livres. O
nome de usurio dever ser previamente cadastrado para que o MyAuth possa localizar os limites estabelecidos para
ele.
Permisso para acesso a hosts na internet sem necessidade de autenticao (sites livres)

Caso seja necessrio conceder permisses de acesso a alguns sites na internet para usurios que ainda se
autenticaro no gateway.
Cadastro de endereos MAC

Esse recurso permite que voc cadastre os endereos MAC dos equipamentos presentes na sua rede. Voc poder
usar esse cadastro para conceder acesso ao usurios desde que eles usem endereos presentes na lista.
Lista de usurios autorizados

Com esse recurso voc poder ver em tempo real quais usurios esto conectados no momento. Nas informaes
disponveis esto: Nome do usurio, endereo IP, endereo MAC, tempo da conexo, tempo que o usurio est em
utilizar a rede e a quantidade de bytes enviados/recebidos. Os usurios podero ser desconectados a qualquer
momento bastando remover a permisso nessa lista.
Servidor PPPoE

O MyAuth conta com um servidor PPPoE interno para prover conexo do usurio at o gateway. Mesmo se
autenticando via PPPoE, necessrio autenticar-se na pgina de login. O servidor PPPoE requer um servidor de
autenticao Radius para funcionar.
Servidor Radius

O MyAuth conta com um servidor Radius interno para prover autenticao de usurio do PPPoE. A interface de
configurao e gerenciamento provida pelo DialUp Admin simples e poderosa.
Proxy transparente

Os usurios do MyAuth podero fazer uso do proxy transparente. O proxy deve estar previamente configurado e em
execuo. O MyAuth Gateway far isso na instalao para voc.
Endereos IPs adicionais nas interfaces de rede

Com esse recurso voc poder adicionar endereos IP s interfaces de rede. Utilize-o caso deseje criar varias redes
lgicas sobre uma nica rede fsica.
Grficos

O MyAuth dispe grficos do trfego de rede nas interfaces e dos endereos IP autenticados no gateway. O
administrador e o cliente podem consultar as estatsticas de navegao pelos grficos, detalhados em 8 horas, 1 dia,
1 semana, 1 ms e 1 ano.
Temas para tela de login

A tela de login consiste em uma simples pgina HTML que poder ser alterada pelo cliente.

Pr-requisitos
O MyAuth Gateway um software de preciso e por isso, deve rodar sob condies aceitveis para prover estabilidade
e bom funcionamento. Algumas condies e pr requisitos devem ser observados:

Hardware mnimo
Processador: 1.0 Ghz (32 bits)
Memria RAM: 256 Mb
Disco Rgido: 40 Gb IDE
Interfaces de rede: 2 ou mais

Sistema operacional
Distribuio Linux: Slackware 10.1, 10.2 ou 11.0
Tipo de instalao: Completa, no se deve desmarcar nenhum pacote
Devido a quantidade de recursos anexos ao kernel, pacotes do sistema entre outros, o MyAuth no executar em
outra distribuio alm do Slackware.
Conhecimentos do operador
Bsico de hardware PC, conhecimento sobre redes de computadores,
TCP/IP e roteamento, bsico de administrao de redes Linux.

Instalao
O MyAuth deve ser instalado em um servidor dedicado ao servio de compartilhamento de acesso. Para melhor
desempenho, estabilidade e segurana, no execute nenhum outro servio paralelo ao MyAuth (ex.: correio
eletrnico, hospedagem, etc...).
O primeiro passo baixar o pacote de instalao do MyAuth Gateway no seu servidor. Coloque-o no diretorio "/".
root@servidor:~# cd

root@servidor:/# wget http://www.myauth.com.br/downloads/myauth.tar.gz

Agora descompacte o pacote, execute:
root@servidor:/# tar xvzf

myauth.tar.gz

Aps descompacta-lo no diretrio "/", entre na pasta "myauth" e execute na ordem:

root@servidor:/# cd

/myauth

root@servidor:/myauuth# sh install.sh
Deseja instalar o MyAuth Gateway 2? (s/n) _

Responsa a pergunta digitando s e em seguida tecle ENTER.

Varias letras indicando as aes que esto sendo executadas aparecero na tela. Aguarde pacientemente at que
todas terminem.
Aps esse passo, o MyAuth estar instalado e programado para executar quando o sistema operacional for carregado.
Depois que o linux for carregado, o MyAuth tambm estar em execuo. Para acess-lo, abra o navegador (Internet
Explorer, Mozilla, Firefox, etc...) no seguinte endereo:
http:// + IP do Servidor + :1881/admin
Observao: Caso deseje proteger sua conexo ao MyAuth entre usando a porta 1882, ela automaticamente
proteger seus dados com SSL (HTTPS).
Exemplo: http://192.168.0.219:1881/admin
Se no conseguir abrir, consulte o captulo "Resolvendo problemas".
Aparecer para voc a seguinte tela:

Informe o nome de usurio administrador e a senha padro tulipa

Aps isso ser exibida a tela de administrao principal do MyAuth Gateway.

Alterando a senha do administrador

Para alterar a senha padro, execute no shell Linux:

root@servidor:/# /usr/local/apache2/bin/htpasswd
/myauth/etc/passwd

administrador

New password:
Re-type new password:
Updating password for user administrador
root@servidor:/#
O arquivo /myauth/etc/passwd contm os nomes de usurio e as suas respectivas senhas criptografadas. Para
adicionar usurios, execute:

root@servidor:/# /usr/local/apache2/bin/htpasswd
/myauth/etc/passwd

NOVO_USUARIO

New password:
Re-type new password:
Updating password for user NOVO_USUARIO
root@servidor:/#
Substitua "NOVO_USUARIO" pelo nome de usurio que deseja criar.
O MyAuth Gateway no suporta usurios com poderes diferenciados, todos os usurios criados para acesso a pgina
podero realizar quaisquer operaes.
Agora o prximo passo ativar a licena do MyAuth Gateway.

Ativando a licena
O MyAuth, assim como outros software comerciais, necessita de ser habilitado por um serial.
No MyAuth, o serial calculado pela assinatura digital da instalao. A assinatura garada baseada na verso do
MyAuth e o nome do cliente.
Entre na pgina administrativa do MyAuth: http:// + IP do Servidor + :1881/admin
Localize no menu administrativo, a esquerda, o item "Licena".

Informe seu nome e clique em "Alterar"

O nmero de srie gerado baseado na assinatura digital. Para obt-lo, entre em contato com a TMSoft e inicie o
processo de aquisio (simples e rpido) informando a assinatura digital gerada..

Aps ter inserido o nmero de srie, reinicie o MyAuth com os comandos abaixo:

root@server3:/# myauth stop

Parando httpd... OK
Parando myauthd... OK
root@server3:/# myauth start
Iniciando RAMfs em /myauth/var/run(10) ........OK
Iniciando RAMfs em /myauth/var/cache(10) ........OK
Verificando banco de dados ...................................OK
Iniciando httpd....OK
Iniciando myauthd... OK
root@server3:/#

Agora a licena est ativada e o MyAuth est em execuo pronto para ser usado normalmente. Entre na pgina
administrativa e inicie a operao do sistema.

Configurao do MyAuth
O primeiro passo na operao do sistema conferir se as configuraes esto corretas e adequar o sistema as suas
necessidades.
Entre na pgina administrativa (http:// + IP DO SERVIDOR + :1881/admin/) e clique no menu a esquerda no item
"Parmetros MyAuth".

Leia atentamente a descrio de cada opo:

Endereo de autenticao local: define para qual dos endereos IPv4 presentes nas interfaces de rede do
servidor o cliente ser enviado para ter acesso a pgina de login quando for capturado.

Usar MAC na regra de firewall: o MyAuth pode detectar o endereo de hardware (MAC) que o cliente est
usando e inserir as regras no firewall associando o MAC ao IP, ativar esse recurso dificulta o acesso em casos de
clonagem de IP (spoof). Caso sua rede seja roteada do lado do cliente ou o MAC do cliente no chegue at o servidor
(mltiplas bridges), desative esse recurso.

Idioma: o MyAuth permite que as mensagens do sistema sejam traduzidas, os arquivos contendo os idiomas
devem estar localizados no diretrio /myauth/share/lang.

Tema da tela de login: as pgina exibidas para o cliente (login, sucesso na autenticao, alterao de
senha) podem ser personalizadas. Cada sub-diretrio no diretrio /myauth/share/themes/ deve conter os
arquivos HTML necessrios para formar um tema (leia o captulo destinado ao ensino de criao de temas).

Protocolo HTTP para autenticao: possivel escolher entre duas opes: HTTP (porta 1881), onde o
acesso feito sem uma camada de segurana ou HTTP + SSL (porta 1882), onde as informaes enviadas e
recebidas pelo cliente ao acessar a pgina de login sero protegidas por SSL.

Pgina padro: aps a autenticao o cliente dever ser redirecionado para uma pgina na internet. Escolha
aqui para qual pgina deseja enviar o cliente. O valor definido aqui ser diretamente passado ao navegador, procure
seguir o formato: http:// + endereo do site + :80

Exibir tela de sucesso na autenticao: Caso escolha "Sim", o cliente receber uma tela de boas vindas
informando que ele est conectado e opcionalmente exibir uma mensagem definida pelo administrador (nos
prximos captulos veremos como enviar mensagens particulares para os clientes no momento do login). Caso escolha
"No" o cliente diretamente enviado para a pgina padro sem receber nenhum aviso.

Tempo limite: define quanto tempo em segundos o cliente permanecer sem enviar dados para a internet
antes de ser desconectado por TIMEOUT. O tempo que o cliente ficou inativo antes de ser desconectado no
contabilizado.

MyAuthD Delay: De tempos em tempos o MyAuth verifica as sesses dos clientes on-line. Aqui voc define o
tempo em segundos que o MyAuth ir permanecer em repouso antes de iniciar a verificao das sesses. O valor
recomendado 5 segundos, procure no escolher valores acima de 60 segundos.

Failure Delay: Define o tempo de espera antes de liberar a pgina de autenticao para o cliente caso ele
tenha errado a senha ou nome de usurio. Esta opo usada para proteger o sistema de ataques de fora bruta
(para tentar adivinhar a senha de algum cliente).

Armazenar senhas no banco de dados: Escolha a forma que deseja utilizar para armazenar as senhas no
banco de dados. Procure usar "Texto plano", assim as senhas dos clientes podero ser recuperadas em casos de
esquecimento. Esta opo no define como a senha ser transportada pela rede, ela apenas define o mtodo de
armazenamento.

Aps ter configurado clique em "Salvar".

Configurao do PPPoE
No menu da pgina de administrao, clique no item "PPPoE".

Configurao do servidor PPPoE:

Executar servidor PPPoE: Ativa/desativa servio de conexes PPPoE entre o cliente e o servidor.
Timeout: escolha o tempo em minutos que ser repassado para o processo PPPD para desconectar o host
remoto em caso de inatividade.

Interfaces: escolha em quais interfaces sero permitido conexes PPPoE com o servidor.

Nome do concentrador: parmetro opcional, fornece ao host remoto o nome de concentrador.

Nome do servio: parmetro opcional, fornece ao host remoto o nome do servio.

Os dois parmetros acima no tem uma funo especfica mas permite que sua rede seja projetada para ter mais de
um servidor PPPoE, assim o host remoto poder escolher em qual conectar. Se houver mais de um servidor PPPoE na
rede e o cliente no tiver preferncia por um nome de concentrador e servio especfico ele se conectar no que
responder primeiro ao pedido de conexo.

LCP ECHO: determina o intervalo em segundos em que o servidor enviar um ECHO para o cliente verificando
se ele est presente.

LCP FAILURE: determina o nmero de ECHO's perdidos para considerar o cliente ausente e desconect-lo.

MRU: determina unidade mxima de recebimento.

MSS: determina o tamanho mximo do segmento.

Endereo IP inicial local: determina o endereo IP inicial para cada conexo PPPoE. Este endereo
passado ao host remoto como default gateway dentro do tunel PPPoE. Ateno: No escolha um endereo em uso
na sua rede, isso pode causar um efeito indesejado na tabela de rotas.

Endereo IP inicial remoto / at...: Define o range de IPs que sero usados para os clientes (hosts
remotos). Os endereos aqui definidos so usados caso o servidor Radius no fornea o parmetro Framed-IP-Address
que contm o IP que deve ser definido para o cliente.

MS Dns Primrio: determina o endereo IP do servidor DNS preferencial.

MS Dns Secundrio: determina o endereo IP do servidor DNS alternativo.

Nmero mximo de sesses: limita o nmero mximo de usurios conectados ao servidor PPPoE. Sesses
PPPoE consomem levemente recursos de processador e memria, porem em grande nmero podem esgotar esses
recursos.

Servidor Radius / Porta / Senha (secret): define qual servidor Radius ser utilizado para autenticar os
usurios. O MyAuth dispinibiliza um servidor Radius local conectado a sua base de dados de usurios, sendo assim
no necessrio alterar o valor padro.

Iniciar sesso MyAuth automaticamente: conectar-se ao servidor via PPPoE no garante acesso para
navegar passando pelo MyAuth, ainda necessrio a autenticao convencional (captura para tela de login). Caso
voc tenha definido o IP do cliente no cadastro o MyAuth pode detectar automaticamente o usurio e inserir a sesso,
evitando a autenticao convencional.

Configurao de Proxy
Clique no menu a esquerda no item "Proxy transparente".

Configuraes:

Endereo do proxy: determina qual o endereo IPv4 do servidor Proxy. Por padro, use o prprio endereo
IP do servidor, assim voc utilizar o proxy-cache instalado pelo MyAuth.

Porta: determina a porta TCP do proxy-cache.

Ativar acelerador: recurso disponivel apenas quando o MyAuth est sendo executado no kernel 2.6 (linux2.6) instalado por ele (veja o menu do lilo ao iniciar o servidor). Esse recurso permite que o MyAuth controle somente
a velocidade do cliente caso ele esteja acessando algo que est na internet, ao acessar um objeto em cache
(armazenado no servidor) este objeto entregue na velocidade da rede.

Como funciona o proxy transparente

Um proxy um procurador entre um cliente e um recurso de internet. O proxy-cache Squid um proxy HTTP (para pgina de acesso a
internet apenas, ele no funciona para servio de e-mail, dns, etc...). O recurso de cache permite que o servidor armazene em disco os objetos
que foram requeridos pelos clientes (arquivos, imagens, alguns videos, downloads, etc...), desta forma, um objeto requisitado por um cliente
que ja esteja em cache no precisa ser buscado na internet, fazendo com que haja economia de link e aumento da velocidade na navegao.
O navegador de internet normalmente deve ser configurado para utilizar o proxy, mas no caso do proxy transparente isso no acontece: o
cliente tenta se conectar diretamente no site desejado, no momento em que a conexo passa pelo servidor o MyAuth captura essa conexo e a
desvia para a porta do proxy que por sua vez se faz passar pelo site remoto. O navegador solicita ao proxy um determinado objeto, o proxy

por sua vez vai at o site na internet, baixa o objeto, entrega para o cliente e armazena-o em cache.
Agora que o proxy est configurado corretamente, veremos mais adiante como ativar o uso de proxy para os clientes que desejar disponibilizar
este recurso.

Configurao de Grupos
A configurao dos grupos importante caso deseje limitar os recursos de internet de alguns clientes. O MyAuth
possui quatro tipos de grupos:
Banda: usado para limitar a velocidade dos clientes.
Agendamento: usado para determinar os horrios e os dias da semana em qua o usurio poder acessar a
internet.
Volume: usado para limitar a quantidade de bytes enviados ou recebidos pelo usurio, determinando uma
cota diria, semanal ou mensal.
Tempo: usado para limitar o tempo de acesso a internet, determinando tambm uma cota di ria, semanal ou
mensal.

No menu do MyAuth, localize o item "Grupos".

Grupos de controle de banda

O primeiro tipo de grupo do menu "Grupos" o grupo de controle de "Banda". A finalidade destes grupos de
servir de perfil para definir a velocidade de navegao dos clientes associados a eles.
Clique no item "Banda". Por padro o MyAuth disponibiliza alguns grupos criados por padro. Em cada grupo h uma
coluna informando quais usurios esto configurados nele. Para adicionar um novo grupo, clique em "Adicionar
grupo de controle de banda".

Adicionando novo grupo:

Um grupo de controle de banda possui definies de download e upload, cada uma com 3 parmetros:
Velocidade: velocidade em kbit/s mxima permitida para acesso a internet.
Garantia: velocidade em kbit/s mdia garantida para cada cliente.
Fila de prioridade: prioridade de atendimento dos pacotes do cliente em relao a outros clientes. No altere a
fila de prioridade a menos que tenha uma aplicao para ela especificadamente. Isso no faz com que o acesso a
internet melhore por si s, quando um cliente priorizado outro tem sua velocidade reduzida e latncia aumentada.
Crie todos os grupos necessrios para sua rede. Estes grupos sero usados para associar usurios.
Para editar os parmetros de um grupo, clique no icone "Ferramenta" abaixo do nome do grupo.

Como funciona o controle de banda

Ao logar, um usurio associado a um grupo que limita sua velocidade, por exemplo, a 128 kilobits por segundo jamais
passar dessa velocidade (salvo pelo recurso de acelerao do proxy, leia o captulo destinado a configurao do
proxy). A velocidade definida no grupo em kilobits. 1 (um) byte equivalente a 8 bits, sendo assim, a velocidade

em bytes por segundo adquirida dividindo o valor em bits por 8 (oito). Exemplo:
Velocidade em kilobit (Kbit/s)

Velocidade em kilobyte (Kb/s)

Taxa de download mxima (Kb/s)

Comparativo

64

6~8

ISDN 1 canal

128

16

11.5 ~ 17.5

ISDN 2 canais

256

32

26 ~ 33.5

ADSL

512

64

51.5 ~ 67

ADSL/Cabo

1.024

128

100 ~ 125

Wireless 11b/Cabo

10.240

1.024

956 ~ 1048

Wireless 11a/Cabo

100.000

12.500

9.000 ~ 12.128

FastEthernet

O grupo de limitao de banda faz esse controle via software, ou seja, ao receber e enviar pacotes, o software analisa
estatisticamente a velocidade e reduz ou libera e envio desses pacotes.
Uma limitao por software no semelhante a uma limitao por hardware, por exemplo: Ao se conectar em uma
linha discada e estabelecer uma conexo a 52 kbits por segundo no possivel ultrapassar esta velocidade pois
mesmo que o computador enviasse a uma velocidade maior o meio fsico (linha telefonica) no possui suporte fsico
para isso; o que pode acontecer nessa tentativa o pacote ser perdido ou impedido de ser transmitido pelo protocolo
em uso.
Na limitao de banda via software, o host cliente envia dados a velocidade permitida pela rede fsica, suponhamos 10
megabits por segundo em uma rede cabeada, o servidor, ao receber esse volume de dados, verifica junto as suas
estatsticas se aquele host est no limite permitido. Se constatado que foi ultrapassado o limite de velocidade, o
algortimo de limitao pode tomar as seguintes medidas:
1 - Destruir pacotes aleatoriamente, aumentando o nmero de destruies a medida que o host insiste em enviar
dados acima do permitido (algoritmo RED, no presente no MyAuth).
2 - Segurar os pacotes que chegaram depois que a barreira de limite foi rompida na memria e aguardando um
determinado tempo que incrementado a medida que o host insiste em enviar dados acima do permitido (algoritmo
HTB, TBF, CBQ).
Essas medidas fazem com que o software emissor de pacotes no host, atravez do protocolo em uso (TCP por
exemplo) detecte a reduo de sucessos no envio de informaes ou o aumento da lentido nas resposta e
automaticamente reduz a velocidade de envio.
O host no tem como descobrir se a limitao de trfeco causada por um congestionamento ou por um software de
controle de banda, assim, ele constantemente envia dados acima da velocidade para tentar concluir suas tarefas mais
rpido, causando picos constantes. Um host limitado a 128kbits via software em um rede que suporte 100 mbits por
segundo insistentemente enviar dados acima da velocidade, o controle detectar isso e tomar medidas para que a
velocidade caia abaixo de 128kbits, assim a mdia da velocidade 128kbits.
Veja um exemplo de como se comporta um cliente limitado a 64kbits em uma rede com capacidade fsica superior:

A linha branca o limite estabelecido. Repare que sempre que o host envia pacotes acima da velocidade permitida o
controle de banda toma medidas que obrigam a reduo bem abaixo do limite, fazendo com que a mdia da
velocidade seja o limite estabelecido.

Grupos de acesso agendado

O segundo grupo do menu "Grupos" o grupo de controle de acesso agendado, "Agendamento". A finalidade
destes grupos limitar os horrios de acessos do cliente, de domingo a sbado, das 00:00 as 23:59.
Clique no item "Agendamento". Para adicionar um novo grupo, clique em "Adicionar grupo de agendamento".

Adicionando novo grupo:

No formulrio, os seguintes campos so exibidos:

Nome: nome de referncia do grupo.

Descrio: breve descrio do grupo de agendamento.

Tipo de agendamento: Voc poder:

Permitir nos horrios marcados: o acesso nos horrios marcados permitido e nos demais negado.
Negar nos horrios marcados: o acesso permitido em todo tempo com excesso nos horros marcados.

Tabela de edio de horrios: exibe a relao dos dias da semana e seus horrios. Cada marcador representa
um intervalo de 30 minutos. Passe o mouse sobre um marcador e um tool-tip (descrio associada ao mouse) ser
exibido informando o intervalo de horrio que ele represente. Clique sobre o marcador para ativ-lo ou desativ-lo.
Aps definir os horrios desejados, clique em "Salvar".

Grupos de cota: tempo e volume

Os outros dois grupos so para controles quantitativos de recursos:
Volume
Os grupos de volume limitam os usurios a uma quantidade de bytes enviados e recebidos durante um determinado
perodo. O limite pode ser feito diariamente, semanalmente ou mensalmente. Aps atingir o limite no perodo (dirio,
semanal ou mensal) determinado pelo grupo o usurio perde acesso a internet e as tentativas de login reportam erro
informando que a cota de volume foi utrapassada. Esse grupo controla o volume de download e upload
separadamente, o primeiro a ser atingido desativa o usurio.

Para adicionar um novo grupo, clique em "Adicionar grupo de limite de volume".

Um grupo de limite de volume possui os seguintes campos:

Nome: nome de referncia do grupo.

Tipo de limitao: escolhe o periodo em que o controle acumular os dados para verificar se atingiram o
limite.

Download: especifica a quantidade mxima de bytes recebidos pelo cliente no perodo escolhido.

Upload: especifica a quantidade mxima de bytes enviados pelo cliente no perodo escolhido.

Descrio: breve descrio do grupo.

Tempo
Os grupos de tempo limitam os usurios a um tempo de uso de internet durante um determinado perodo. O limite
pode ser feito diariamente, semanalmente ou mensalmente. Aps atingir o limite no perodo (dirio, semanal ou
mensal) determinado pelo grupo o usurio perde acesso a internet e as tentativas de login reportam erro informando
que a cota de tempo foi ultrapassada.

Para adicionar um novo grupo, clique em "Adicionar grupo de limite de tempo".

Um grupo de limite de tempo possui os seguintes campos:

Nome: nome de referncia do grupo.

Tempo: especifica o tempo permitido de uso de internet do cliente no periodo escolhido.

Tipo de limitao: escolhe o periodo em que o controle acumular o tempo para verificar se atingiu o limite.

Descrio: breve descrio do grupo.

Cadastrando clientes
Iremos agora iniciar o cadastro de clientes. O MyAuth tem um sistema de cadastros para uso informativo.
No menu do MyAuth, clique em "Clientes".

Aps clicar, a sua direita aparecer a pgina contendo a lista de clientes. Esta pgina possui um ndice de A-Z, ao
clicar em alguma letra desse ndice sero exibidos os clientes cujos nomes iniciem com a opo escolhida. Para exibir
todos os clientes, clique em "Todos".

Clique em "Adicionar cliente" para iniciar um novo cadastro.

Preencha as informaes do cliente e clique em "Adicionar"

Localize o cadastro do cliente na lista de clientes e clique sobre o nome dele. Abrir a tela de informaes, onde voc
poder alterar os dados se desejar. O primeiro campo, ID, ser usado para associar nomes de usurio ao cadastro do
cliente. Repare no rodap da pgina o quadro "Logins no sistema". aqui que cadastraremos o nome de usurio e
senha para acesso a internet.

Clique no cone "Adicionar" para iniciarmos o cadastro de usurio no sistema de autenticao.

Repare bem a imagem acima. Ela representa a tela mais importante do sistema: O cadastro do login de acesso
autenticado. Os seguintes campos s?requeridos:

ID do cliente: este campo automaticamente preenchido com o ID do cliente ao qual este login ser
associado.

Usurio: nome de usurio para autenticao. Deve conter apenas letras, nmeros e os caracteres ._-@

Senha: senha de acesso.

IP reservado: campo opcional. Se este campo for preenchido, o cliente s conseguir efetuar logon na rede se
o endereo IP que est usando for identico ao informado aqui. Caso este campo fique em branco, o cliente poder
efetuar login de qualquer endereo IP.

MAC reservado: aplica as mesmas regras do IP reservado porem ao endereo MAC do clientes.

Verificar cadastro de MAC: Caso escolha sim, o cliente s conseguir autenticar com sucesso se o MAC
reservado estiver preenchido e for igual ao MAC que ele est usando ou se o MAC que ele est usando estiver na lista
"Cadastro de MAC".

Proxy transparente: caso esteja ativado, aps efetuar o logon na rede o usurio ter suas conexes HTTP
desviadas para o Proxy de forma transparente.

Ativo: este campo permite ativar e desativar o login. Caso o valor seja alterado para no, o cliente no
conseguir autenticar-se. Se ele j estiver autenticado quando este valor for alterado o MyAuth o desconectar.

Login simultneo: realiza controle de login simultneo. Caso seja definido para zero, o cliente poder se
conectar simultneamente em vrios computadores na rede. Ao definir um valor diferente de zero, o cliente s poder
efetuar o nmero de logins permitidos por voc.

Mensagem: define a mensagem que ser exibida para o cliente aps autenticao.

Informaes: campo destinado a armazenar informaes sobre o login, uso livre.

Cadastrando usurios
O MyAuth permite que voc crie usurios sem a necessidade de criar cadastros de clientes para eles. No menu, clique
em "Usurios".

A lista de usurios cadastrados no sistema ser exibida e na mesma linha informaes sobre ele como consumo de
tempo, volume de bytes enviados e recebidos entre outras informaes de acesso rpido.

Clique no cone "Adicionar" para criar um novo usurio.

Repare bem a imagem acima. Ela representa a tela mais importante do sistema: O cadastro do login de acesso
autenticado. Os seguintes campos s?requeridos:

ID do cliente: este campo automaticamente preenchido com o ID do cliente ao qual este login ser
associado.

Usurio: nome de usurio para autenticao. Deve conter apenas letras, nmeros e os caracteres ._-@

Senha: senha de acesso.

IP reservado: campo opcional. Se este campo for preenchido, o cliente s conseguir efetuar logon na rede se
o endereo IP que est usando for identico ao informado aqui. Caso este campo fique em branco, o cliente poder
efetuar login de qualquer endereo IP.

MAC reservado: aplica as mesmas regras do IP reservado porem ao endereo MAC do clientes.

Verificar cadastro de MAC: Caso escolha sim, o cliente s conseguir autenticar com sucesso se o MAC
reservado estiver preenchido e for igual ao MAC que ele est usando ou se o MAC que ele est usando estiver na lista
"Cadastro de MAC".

Proxy transparente: caso esteja ativado, aps efetuar o logon na rede o usurio ter suas conexes HTTP
desviadas para o Proxy de forma transparente.

Ativo: este campo permite ativar e desativar o login. Caso o valor seja alterado para no, o cliente no
conseguir autenticar-se. Se ele j estiver autenticado quando este valor for alterado o MyAuth o desconectar.

Login simultneo: realiza controle de login simultneo. Caso seja definido para zero, o cliente poder se
conectar simultneamente em vrios computadores na rede. Ao definir um valor diferente de zero, o cliente s poder
efetuar o nmero de logins permitidos por voc.

Mensagem: define a mensagem que ser exibida para o cliente aps autenticao.

Informaes: campo destinado a armazenar informaes sobre o login, uso livre.

Grupos de controle de acesso

Controle de banda: determina qual o perfil de controle de banda ser aplicado ao usurio.
Usar banda do usurio: alternativa a escolha do grupo de controle de banda. Se escolher um usurio na lista, o
usurio atual e o usurio escolhido compartilharo o mesmo recurso de banda. Por exemplo: se o usurio joao estiver
no grupo de controle de banda 128kbit e criarmos o usurio acme associado a banda do usurio joao, quando esses
dois usurios estiverem on-line eles disputaro a mesma banda de 128kbit.

Acesso agendado: define se o usurio sofrer controle de horrio.

Controle de volume: define se o usurio sofrer controle de volume de bytes enviados e recebidos.

Controle de tempo: define se o usurio sofrer controle de tempo de acesso.

Depois de ter escolhido as opes que melhor lhe adequo, clique em "Salvar" para finalizar o cadastro do login.

Redes livres
Em alguns casos faz-se necessrio que uma rede interna tenha acesso livre a internet, sem autenticao e sem
controle de banda. Para permitir que uma rede tenha esses privilgios, adicione-a em "Redes livres".
Como fazer

No menu do MyAuth, clique em "Redes livres"

Em seguida clique no icone "Adicionar rede"

No formulrio para adicionar a rede livre h 5 campos:

Rede: endereo da rede a ser permitida.

Bits de mscara: nmero de bits da mscara de rede.

Usar proxy transparente: escolha se deseja que os hosts da rede livre usem proxy para acelerar suas
conexes HTTP.

Tipo de rede: determinar se o MyAuth vai fazer NAT ou no da rede livre. Se sua rede for uma rede privada
(192.168.*.*, 10.*.*.*, 172.16.*.* a 172.31.*.*) recomendavel escolher a opo "Invalida (fazer NAT)".

Descrio: dados de descrio da rede livre.

Aps informar os dados corretamente, clique em "Adicionar".

Redes autenticadas
Uma das principais configuraes do MyAuth 2 so as redes autenticadas.
Uma rede autenticada uma mscara que testar todos os pacotes que passam pelo servidor. Uma vez que o pacote
no se encaixou em uma rede livre (captulo anterior) ele passar pelas redes autenticadas. Duas funes so
exercidas por uma rede autenticada:
- Desviar o trfego HTTP para a tela de autenticao.
- Realizar ou no NAT na saida para a internet.

Como fazer

No menu do MyAuth, clique em "Redes autenticadas"

Em seguida clique no icone "Adicionar rede"

No formulrio para adicionar a rede autenticada h 5 campos:

Rede: endereo da rede a ser autenticada.

Bits de mscara: nmero de bits da mscara de rede.

Tipo de rede: determinar se o MyAuth vai fazer NAT ou no da rede autenticada. Se sua rede for uma rede
privada (192.168.*.*, 10.*.*.*, 172.16.*.* a 172.31.*.*) recomendavel escolher a opo "Invalida (fazer NAT)".

Interface: escolha a interface de entrada. Esta a interface onde os pacotes entram no servidor.
Recomendamos colocar "*Todas"

Descrio: dados de descrio da rede autenticada.

Aps informar os dados corretamente, clique em "Adicionar".

Hosts livres
Hosts livres uma tabela de permisses estticas. As vezes necessrio permitir que um usurio tenha permisso de navegar
necessidade de autenticao. Para isso, basta adicionar uma entrada em "Hosts Livres".

Como fazer

No menu do MyAuth, clique em "Hosts livres"

Em seguida clique no icone "Adicionar rede"

No formulrio para adicionar um host livre h 3 campos:

Usurio: escolha o usurio cadastrado que deseja liberar.
IP (endereo IP): Informe o endereo IP usado pelo usurio na rede.
MAC: Opcional, informe aqui caso desejar o endereo MAC do equipamento usado pelo usurio.

Aps informar os dados corretamente, clique em "Adicionar".

Sites livres
Um site livre uma permisso permanente de acesso a um servidor na internet. Aqui voc poder adicionar o
endereo ip ou o FQDN do site na internet.
Observao: deve-se adicionar apenas o endereo ip ou FQDN, esse recurso no libera URL's. Exemplos de
entradas:
200.160.2.3
www.meusite.com.br
www.provedor.com.br

Como fazer

No menu do MyAuth, clique em "Sites livres"

Em seguida clique no icone "Adicionar site"

No formulrio para adicionar a rede livre h 2 campos:

Endereo FQDN: endereo do site (no pode ser url, apenas nome DNS do servidor) ou endereo IP.
Descrio: dados de descrio do site livre.

Aps informar os dados corretamente, clique em "Adicionar".

Interfaces de rede
Outra configurao muito importante para a execuo do MyAuth a declarao de interfaces de rede. atravez dela
que o MyAuth saber quais interfaces esto ligadas internet e quais esto ligadas s redes internas.
Uma interface de rede pode assumir duas posies no MyAuth:

Interface WEB: usada para fazer controle de banda de UPLOAD

Interface INTRANET: usada para fazer controle de banda de DOWNLOAD

Alem do posicionamento, por essa sesso voc pode adicionar endereos IPs virtuais nas interfaces de rede. Esse tipo
de tcnica importante e muito usada para colocar clientes em redes IP's diferentes na mesma rede fsica e impedir
que um acesse o outro.
Como fazer

No menu do MyAuth, clique em "Interfaces de rede"

Em seguida clique no icone "Declarar nova interface" para declarar a existncia de outra interface de rede. O
MyAuth detecta automaticamente as interfaces de rede na instalao e pre-configura essa parte.
Adicionas endereos IP a uma interface
Localize visualmente a interface onde deseja adicionar o endereo ip e clique em "Adicionar endereamento IP"

No formulrio para adicionar um endereo IP a interface h 3 campos:

Interface: escolha a interface onde deseja adicionar o endereo IP

Endereo IP/Mscara: informe o endereo IP que deseja adicionar e o tamanha da msca em bits.

Descrio: dados de descrio do endereamento.

Aps informar os dados corretamente, clique em "Adicionar".

Aps ter adiciona um endereo, basta configurar o cliente na mesma rede, usando o endereo adicionado como
default gateway.

Cadastro de MAC
O cadastro de mac uma lista de anotaes de endereos MAC usados em sua rede.
Voc pode utilizar esta lista em dois casos:

Permitir que seus usurios consigam fazer autenticao apenas se estiverem utilizando equipamento
cadastrado. V ao cadastro do login e no campo Verificar cadastro de MAC mude para Sim. Desta forma o usurio
s poder se autenticar se o MAC utilizado estiver na lista Cadastro de mac.

Integrar a lista a outros servios de verificao como Radius, para isso, contacte seu administrador de rede ou
programador, como o banco de dados do MyAuth aberto, ele poder fazer isto sem problemas.

Como fazer

No menu do MyAuth, clique em "Cadastro de MAC"

Em seguida clique no icone "Cadastrar MAC"

No formulrio para adicionar a rede livre h 2 campos:

MAC: endereo MAC que deseja cadastrar.

Descrio: dados de descrio do endereo MAC.

Aps informar os dados corretamente, clique em "Adicionar".

Macs Bloqueados

Em alguns momentos faz-se necessrio bloquear totalmente o acesso de uma estao ao servidor, impedindo at mesmo que e
autenticao.
Para bloquear um endereo MAC, adicione-o na lista de "MAC's bloqueados"
Para acessar esta lista, no menu do MyAuth, clique em "MAC's bloqueados"

Na lista, clique em "Bloquear MAC" para adicionar um endereo na lista.

Usurios autorizados
Em usurios autorizados possivel vizualizar a lista de usurios on-line e as estatsticas de cada sesso como:
Tempo on-line
Tempo inativo (sem enviar ou receber dados)
Bytes enviados
Bytes recebidos

Como fazer
No menu do MyAuth, clique em "Usurios autorizados":

Ser exibida a lista de usurios on-line. No rodap dessa sesso h dois icones:
Grfico conjunto: exibir grfico de consumo de todas as sesses on-line.
Desconectar todos: fecha todas as sesses.

Em cada registro de usurio h dois icones:

Liberar: torna a sesso atual em um registro de "Hosts livres"
Desconectar: remove a sesso do usurio.

Ao clicar no endereo IP da sesso o MyAuth ir exibir as informaes detalhadas da sesso:

Backup e recuperao
O MyAuth possui recurso de backup e recuperao de dados. Os dados em questo so:

Configurao do MyAuth

Banco de dados MySQL: myauth

Nenhuma outra informao do servidor incluida no backup, assim, se precisar salvar outras informaes de outros
software faa-o manualmente.
Ao solicitar a realizao do backup, o MyAuth executa o script /myauth/bin/backup que se encarregar de criar um
arquivo tar + gz no diretrio /myauth/backup/.
Ao solicitar a recuperao do backup, o MyAuth executa o script /myauth/bin/restore informando como parmetro a
localizao do arquivo de backup.
Como fazer
No menu do MyAuth, clique em "Backup":

O MyAuth gera arquivos de backup automaticamente pelo crontab (/etc/cron.weekly), para gerar um arquivo de
backup, clique em "Gerar novo backup".

Faa o download do arquivo de backup e salve em lugar seguro.

Para restaurar o backup, coloque o arquivo no servidor na pasta /myauth/backup/. Aparecer o registro dele na
sesso de backup do MyAuth, selecione-o e clique em "Restaurar backup selecionado".

Realizando backup manualmente

Em alguns momentos faz-se necessrio fazer o backup e restaurao manualmente. Siga os passos abaixo:
1 - Criar arquivo contendo banco de dados no formato SQL

root@servidor:~# cd

root@servidor:/# mysqldump

-p

-c

-B

myauth

>

/backup.sql

Ser exigido a senha do usurio root do MySQL (esse usurio root no tem nada a ver com o usurio root do
sistema). A senha padro do banco de dados do MyAuth : tulipasql
Aps executar o comando acima com sucesso, o MySQL ir gerar o arquivo /backup.sql contendo todas as instrues
SQL para recriar o banco de dados com suas informaes. Salve este arquivo (backup.sql) em local seguro.

Realizando backup gerado manualmente

O primeiro passo remover o banco de dados atual, faa um backup dele antes por segurana.
Execute:
root@servidor:~# cd

root@servidor:/# mysql -p

-e "drop database myauth"

Em seguida, reconstrua o banco de dados atravs do arquivo de backup sql. (backup.sql por exemplo).

root@servidor:~# cd

root@servidor:/# mysql -p

< backup.sql

Normalmente em algumas atualizaes do MyAuth houve alteraes no banco de dados, execute o script
/myauth/doc/update.sh para verificar as colunas adicionais das tabelas, ignore erros exibidos, so normais.

root@servidor:~# sh /myauth/doc/update.sh 2>/dev/null 1>/dev/null

Personalizando a tela de login

O MyAuth possui suporte a temas da tela de login. Um tema uma coleo de arquivos HTML que so incluidos ao
cdigo do MyAuth sempre que necessrio exibir alguma tela ao clientes.
Os temas so armazenados em sub-pastas da pasta /myauth/share/themes/, cada tema uma sub-pasta que
pode ser selecionado atravs do MyAuth pelo menu "Parmetros MyAuth" na opo "Tema da tela de login".
1 - Contruindo um novo tema
Acesse o shell do servidor linux e v at a pasta /myauth/share/themes:

root@servidor:~# cd

/myauth/share/themes

root@servidor:/myauth/share/themes# ls
default/

myauth2plus/

myauth2pluspw/

popupdefault/

Copie um tema atual com um novo nome, no exemplo abaixo, criaremos um tema chamado "meutema" que a
principio ser uma copia do tema "myauth2plus":

root@servidor:/myauth/share/themes# cp

myauth2plus

meutema

-ra

Entre no diretrio "meutema":

root@servidor:/myauth/share/themes# cd

meutema

root@servidor:/myauth/share/themes/meutema# ls
altpasswd.htm

popupoff.htm

report_login.htm

report_painel.htm splash.htm

login.htm

popupon.htm

report_menu.htm

rodape.htm

sucess.htm

Os principais arquivos do tema so:

login.htm: tela de autenticao

altpasswd.htm: tela de alterao de senha

popupon.htm: tela do pop-up do usurio conectado

popupoff.htm: tela do pop-up do usurio desconectado

report_*: telas da sesso de relatrios do usurio

splash.htm: tela inicial exibida dentro da pgina administrativa do MyAuth

sucess.htm: tela exibida quando o usurio autenticou com sucesso.

Para personalizar um arquivo necessrio que o operador tenha conhecimento de HTML.
Para incluir imagens na tela do tema, necessrio:
1 - coloque o arquivo da imagem na pasta /myauth/htdocs/img/
2 - Referencie a imagem dentro do HTML assim: /img/NOME_DO_ARQUIVO

2 - Ativando o tema criado

V no MyAuth em clique no menu "Parmetros MyAuth"

Localize a configurao "Tema da tela de login" e escolha o tema criado:

Clique em seguida em "Salvar". O tema criado ser utilizado instantneamente.

Configurando clientes na rede

Este captulo uma instruo bsica de como configurar um cliente para utilizar o MyAuth.
Exemplo 1 - rede Cabeada

1 - Certifique-se de que as ligaes fsicas esto corretas (cabos, access-point, etc...).

2 - Configure os endereos IP do servidor. No slackware, siga os passos:

Edite o arquivo /etc/rc.d/rc.inet1.conf e informe corretamente os endereos IP das placas e informe o

GATEWAY

Reinicie a configurao da rede, execute:

/etc/rc.d/rc.inet1 stop
/etc/rc.d/rc.inet1 start

Para verificar a configurao das placas de rede, use o comando

ifconfig
ou
ip addr show

Verifique se o servidor consegue dar ping no roteador:

ping IP_DO_ROTEADOR, no nosso exemplo acima:

ping 200.3.2.1

Para configurar o servidor DNS que o servidor ir utilizar, edite o arquivo /etc/resolv.conf e informe em cada
linha o ip do servidor dns precedido da palavra nameserver, procure usar como servidor dns o ip 127.0.0.1, exemplo
de configurao:
nameserver 127.0.0.1

3 - Configure o cliente na rede e configure o ip da placa de rede. Exemplo no windows XP:

Clique em "Iniciar" -> "Configuraes" -> "Painel de controle"

No Painel de Controle, localize e clique 2 vezes no icone "Conexes de rede"

Clique com o boto direito do mouse na placa de rede:

Localize o protocolo TCP/IP na lista e clique duas vezes:

Informe o endereo IP da estao conforme no desenho no inicio desta pgina:

Clique em OK, em seguida clique em OK novamente at fechar as propriedades da placa de rede.

Agora as configuraes esto OK, verifique se o MyAuth est corretamente configurado e tente navegar no cliente,
dever ser exigido a tela de login.

Resolvendo problemas
Alguns problemas podem ocorrer durente a operao de uma rede e podem ter causas variadas, abaixo listaremos os
mais rotineiros, normalmente reiniciar alguns equipamentos resolve maior parte dos problemas a curto prazo.

Cliente no consegue navegar

1 - Verifique se ele est na rede, o teste mais bsico tentar dar ping em outro computador, principalmente o
servidor.
2 - Verifique se o servidor est na rede. O teste acima pode detectar este problema.
3 - Verifique se o servio de DNS est funcionando:

Teste dando ping para um nome de site, exemplo: www.google.com.br e verifique se o comando
retorna o endereo IP do site.

No Windows XP, 2000, 2003 e Linux h um comando chamado "nslookup", use-o para verificar se o
DNS est funcionando.
nslookup www.google.com.br

Tente abrir um site pelo endereo IP, exemplo:

http://200.160.2.3
Se constatar que o problema o servio de DNS, verifique se o servidor DNS est ativo ou reincie-o, seno, use outro
ip como servidor DNS.
4 - Se estiver utilizando Proxy Transparente, verifique se o proxy est funcionciando, tente desconectar o usurio e
retire a opo de proxy do cadastro dele, em seguida tente navegar novamente sem proxy. Se navegar, verifique o
servio de Proxy.
5 - Caso esteja usando no cliente um endereo ip que inicie com 172, 192.168, 10 ou 169.254, verifique se o gateway
da rede est com NAT ativado.

MSN e Skype abrem mas no navega.

Neste caso, o problema possivelmente no proxy, teste com um usurio sem a opo de proxy ativada.

O servidor acusa um erro de MySQL

Normalmente um desligamento incorreto pode afetar as tabelas do MySQL, tente:
1 - Reiniciar o servio MySQL com os comandos:
/etc/rc.d/rc.mysqld stop
/etc/rc.d/rc.mysqld start
2 - Tente restaurar as tabelas do MySQL, o MyAuth disponibiliza um script para isso:
/myauth/bin/optimize.sh