Professional Documents
Culture Documents
MyAuth Gateway
Como funciona
O Software MyAuth Gateway funciona baseado no conceito de gateway de captura. Nessa tcnica, um host localizado
em uma rede atrs do MyAuth necessita se autenticar para obter acesso.
Como existem muitas tecnologias para prover autenticao, cada uma exige um tipo de infraestrutura ou softwares
diferentes, ja tcnica de captura resume-se apenas em exibir para o usurio uma tela de login no navegador quando
uma pgina for solicitada pela primeira vez. Essa tela de login consiste em uma pgina html com um formulrio
exigindo login e senha.
O MyAuth 2 no utiliza nenhuma outra tecnologia de autenticao. A base de dados de usurios fica armazenada em
um banco de dados MySQL.
Para que o usurio possa ser capturado para pgina de login, necessrio que a infraestrutura da rede esteja
totalmente funcional (meio fsico cabeado ou wireles, etc...). Nesse ponto, o host cliente deve estar disponvel para
comunicaes com protocolo IP, seja configurado manualmente ou obtido automaticamente (DHCP).
Com a conexo de rede funcional, o host cliente necessitar apenas de:
Navegador que reconhea HTTP 1.0 ou superior (Internet Explorer, Firefox, etc...)
Outros...
Internet Explorer
Mozilla Firefox
Opera
O gateway que prover o recurso de autenticao deve estar no caminho direto de acesso para a internet, ou seja,
todo trfego dever passar pelo MyAuth. Somente assim o MyAuth poder diferenciar acessos autorizados, que j
possuem permisses e no autorizados, que devero ser autenticados para trafegar na rede.
Uma vez que um host cliente se autenticou, as permisses para trafegar na rede so concedidas de acordo com as
condies cadastradas: velocidade, tempo, volume de trfego, proxy transparente, agendamento de horrio. (ver
recursos).
O MyAuth no possui controle sobre os meios fsicos a que est conectado, ou seja, ele no prove recursos de enlace
de dados como Access Point, VLAN, etc... Suas funes so especificas para portal de autenticao.
Sua topologia de rede pode ser da mais varivel e mista possvel, bastando estar de acordo os requisitos, o MyAuth
funcionar perfeitamente.
Recursos
O Software MyAuth Gateway dispe de vrios recursos que proveem maior flexibilidade e gerenciamento de usurios
e conexes. Ei-los:
Cadastro de clientes
Informaes pessoais e suportes prestados e associao de logins (nomes de usurio que o cliente possui).
Cadastro de suporte
Cadastro de nome de usurios que podero efetuar login no gateway. Nas propriedades do usurio esto disponveis:
Conceder permisso desde que o usurio esteja usando um endereo IP ou/e MAC
Conceder permisso a um nmero limitado ou ilimitado de logins simultneos, evitando
compartilhamento de login com outro usurios
Desativar o login, caso o cliente no possa acessar a internet temporariamente
Escolher um valor de banda pr-definido para o usurio
Vizializar o grfico de consumo de banda do usurio
Conceder acesso por um perodo de tempo (agendado, onde o usurio s poder acessar durante
determinados dias da semana) ou limite de tempo (onde o usurio ter um limite de tempo: mensal, semanal ou
dirio)
Conceder acesso limitado a um trfego mensal. O usurio estar limitado a uma quantidade de
megabyes para download/upload por ms, por semana ou por dia.
Enviar uma mensagem para o usurio no ato do login. Ao autenticar-se, o usurio ver o aviso na
tela.
Grupos
Os grupos server para limitar aes dos usurios e podem ser de 3 tipos:
Banda
Neste grupo se definir os valores de banda de download e upload. Os usurios que se encontrarem em um destes
grupos tero sua velocidade de navegao limitadas aos valores especificados.
Agendamento
Neste grupo se definir os dias da semana e os horrios em que os usurios do grupo podero acessar. Fora dos
intervalos permitidos, a autenticao retorna acesso negado, caso algum usurio do grupo esteja conectado fora do
tempo, sua permisso removida em tempo real.
Volume
Neste grupo se definir a quantidade de bytes que podero ser consumidos pelos usurios mensalmente,
semanalmente ou diariamente. Se o limite de trfego de download ou upload for atingido o acesso ser negado.
Tempo
Neste grupo se definir o tempo mensal, semanal ou dirio de acesso, apos ser ultrapassado o acesso ser negado.
Caso seja necessrio conceder permisses fixas para alguns clientes, bastar adicion-los na lista de hosts livres. O
nome de usurio dever ser previamente cadastrado para que o MyAuth possa localizar os limites estabelecidos para
ele.
Permisso para acesso a hosts na internet sem necessidade de autenticao (sites livres)
Caso seja necessrio conceder permisses de acesso a alguns sites na internet para usurios que ainda se
autenticaro no gateway.
Cadastro de endereos MAC
Esse recurso permite que voc cadastre os endereos MAC dos equipamentos presentes na sua rede. Voc poder
usar esse cadastro para conceder acesso ao usurios desde que eles usem endereos presentes na lista.
Lista de usurios autorizados
Com esse recurso voc poder ver em tempo real quais usurios esto conectados no momento. Nas informaes
disponveis esto: Nome do usurio, endereo IP, endereo MAC, tempo da conexo, tempo que o usurio est em
utilizar a rede e a quantidade de bytes enviados/recebidos. Os usurios podero ser desconectados a qualquer
momento bastando remover a permisso nessa lista.
Servidor PPPoE
O MyAuth conta com um servidor PPPoE interno para prover conexo do usurio at o gateway. Mesmo se
autenticando via PPPoE, necessrio autenticar-se na pgina de login. O servidor PPPoE requer um servidor de
autenticao Radius para funcionar.
Servidor Radius
O MyAuth conta com um servidor Radius interno para prover autenticao de usurio do PPPoE. A interface de
configurao e gerenciamento provida pelo DialUp Admin simples e poderosa.
Proxy transparente
Os usurios do MyAuth podero fazer uso do proxy transparente. O proxy deve estar previamente configurado e em
execuo. O MyAuth Gateway far isso na instalao para voc.
Endereos IPs adicionais nas interfaces de rede
Com esse recurso voc poder adicionar endereos IP s interfaces de rede. Utilize-o caso deseje criar varias redes
lgicas sobre uma nica rede fsica.
Grficos
O MyAuth dispe grficos do trfego de rede nas interfaces e dos endereos IP autenticados no gateway. O
administrador e o cliente podem consultar as estatsticas de navegao pelos grficos, detalhados em 8 horas, 1 dia,
1 semana, 1 ms e 1 ano.
Temas para tela de login
A tela de login consiste em uma simples pgina HTML que poder ser alterada pelo cliente.
Pr-requisitos
O MyAuth Gateway um software de preciso e por isso, deve rodar sob condies aceitveis para prover estabilidade
e bom funcionamento. Algumas condies e pr requisitos devem ser observados:
Hardware mnimo
Processador: 1.0 Ghz (32 bits)
Memria RAM: 256 Mb
Disco Rgido: 40 Gb IDE
Interfaces de rede: 2 ou mais
Sistema operacional
Distribuio Linux: Slackware 10.1, 10.2 ou 11.0
Tipo de instalao: Completa, no se deve desmarcar nenhum pacote
Devido a quantidade de recursos anexos ao kernel, pacotes do sistema entre outros, o MyAuth no executar em
outra distribuio alm do Slackware.
Conhecimentos do operador
Bsico de hardware PC, conhecimento sobre redes de computadores,
TCP/IP e roteamento, bsico de administrao de redes Linux.
Instalao
O MyAuth deve ser instalado em um servidor dedicado ao servio de compartilhamento de acesso. Para melhor
desempenho, estabilidade e segurana, no execute nenhum outro servio paralelo ao MyAuth (ex.: correio
eletrnico, hospedagem, etc...).
O primeiro passo baixar o pacote de instalao do MyAuth Gateway no seu servidor. Coloque-o no diretorio "/".
root@servidor:~# cd
myauth.tar.gz
/myauth
root@servidor:/myauuth# sh install.sh
Deseja instalar o MyAuth Gateway 2? (s/n) _
root@servidor:/# /usr/local/apache2/bin/htpasswd
/myauth/etc/passwd
administrador
New password:
Re-type new password:
Updating password for user administrador
root@servidor:/#
O arquivo /myauth/etc/passwd contm os nomes de usurio e as suas respectivas senhas criptografadas. Para
adicionar usurios, execute:
root@servidor:/# /usr/local/apache2/bin/htpasswd
/myauth/etc/passwd
NOVO_USUARIO
New password:
Re-type new password:
Updating password for user NOVO_USUARIO
root@servidor:/#
Substitua "NOVO_USUARIO" pelo nome de usurio que deseja criar.
O MyAuth Gateway no suporta usurios com poderes diferenciados, todos os usurios criados para acesso a pgina
podero realizar quaisquer operaes.
Agora o prximo passo ativar a licena do MyAuth Gateway.
Ativando a licena
O MyAuth, assim como outros software comerciais, necessita de ser habilitado por um serial.
No MyAuth, o serial calculado pela assinatura digital da instalao. A assinatura garada baseada na verso do
MyAuth e o nome do cliente.
Entre na pgina administrativa do MyAuth: http:// + IP do Servidor + :1881/admin
Localize no menu administrativo, a esquerda, o item "Licena".
O nmero de srie gerado baseado na assinatura digital. Para obt-lo, entre em contato com a TMSoft e inicie o
processo de aquisio (simples e rpido) informando a assinatura digital gerada..
Aps ter inserido o nmero de srie, reinicie o MyAuth com os comandos abaixo:
Agora a licena est ativada e o MyAuth est em execuo pronto para ser usado normalmente. Entre na pgina
administrativa e inicie a operao do sistema.
Configurao do MyAuth
O primeiro passo na operao do sistema conferir se as configuraes esto corretas e adequar o sistema as suas
necessidades.
Entre na pgina administrativa (http:// + IP DO SERVIDOR + :1881/admin/) e clique no menu a esquerda no item
"Parmetros MyAuth".
Endereo de autenticao local: define para qual dos endereos IPv4 presentes nas interfaces de rede do
servidor o cliente ser enviado para ter acesso a pgina de login quando for capturado.
Usar MAC na regra de firewall: o MyAuth pode detectar o endereo de hardware (MAC) que o cliente est
usando e inserir as regras no firewall associando o MAC ao IP, ativar esse recurso dificulta o acesso em casos de
clonagem de IP (spoof). Caso sua rede seja roteada do lado do cliente ou o MAC do cliente no chegue at o servidor
(mltiplas bridges), desative esse recurso.
Idioma: o MyAuth permite que as mensagens do sistema sejam traduzidas, os arquivos contendo os idiomas
devem estar localizados no diretrio /myauth/share/lang.
Tema da tela de login: as pgina exibidas para o cliente (login, sucesso na autenticao, alterao de
senha) podem ser personalizadas. Cada sub-diretrio no diretrio /myauth/share/themes/ deve conter os
arquivos HTML necessrios para formar um tema (leia o captulo destinado ao ensino de criao de temas).
Protocolo HTTP para autenticao: possivel escolher entre duas opes: HTTP (porta 1881), onde o
acesso feito sem uma camada de segurana ou HTTP + SSL (porta 1882), onde as informaes enviadas e
recebidas pelo cliente ao acessar a pgina de login sero protegidas por SSL.
Pgina padro: aps a autenticao o cliente dever ser redirecionado para uma pgina na internet. Escolha
aqui para qual pgina deseja enviar o cliente. O valor definido aqui ser diretamente passado ao navegador, procure
seguir o formato: http:// + endereo do site + :80
Exibir tela de sucesso na autenticao: Caso escolha "Sim", o cliente receber uma tela de boas vindas
informando que ele est conectado e opcionalmente exibir uma mensagem definida pelo administrador (nos
prximos captulos veremos como enviar mensagens particulares para os clientes no momento do login). Caso escolha
"No" o cliente diretamente enviado para a pgina padro sem receber nenhum aviso.
Tempo limite: define quanto tempo em segundos o cliente permanecer sem enviar dados para a internet
antes de ser desconectado por TIMEOUT. O tempo que o cliente ficou inativo antes de ser desconectado no
contabilizado.
MyAuthD Delay: De tempos em tempos o MyAuth verifica as sesses dos clientes on-line. Aqui voc define o
tempo em segundos que o MyAuth ir permanecer em repouso antes de iniciar a verificao das sesses. O valor
recomendado 5 segundos, procure no escolher valores acima de 60 segundos.
Failure Delay: Define o tempo de espera antes de liberar a pgina de autenticao para o cliente caso ele
tenha errado a senha ou nome de usurio. Esta opo usada para proteger o sistema de ataques de fora bruta
(para tentar adivinhar a senha de algum cliente).
Armazenar senhas no banco de dados: Escolha a forma que deseja utilizar para armazenar as senhas no
banco de dados. Procure usar "Texto plano", assim as senhas dos clientes podero ser recuperadas em casos de
esquecimento. Esta opo no define como a senha ser transportada pela rede, ela apenas define o mtodo de
armazenamento.
Configurao do PPPoE
No menu da pgina de administrao, clique no item "PPPoE".
Executar servidor PPPoE: Ativa/desativa servio de conexes PPPoE entre o cliente e o servidor.
Timeout: escolha o tempo em minutos que ser repassado para o processo PPPD para desconectar o host
remoto em caso de inatividade.
Interfaces: escolha em quais interfaces sero permitido conexes PPPoE com o servidor.
LCP ECHO: determina o intervalo em segundos em que o servidor enviar um ECHO para o cliente verificando
se ele est presente.
LCP FAILURE: determina o nmero de ECHO's perdidos para considerar o cliente ausente e desconect-lo.
Endereo IP inicial local: determina o endereo IP inicial para cada conexo PPPoE. Este endereo
passado ao host remoto como default gateway dentro do tunel PPPoE. Ateno: No escolha um endereo em uso
na sua rede, isso pode causar um efeito indesejado na tabela de rotas.
Endereo IP inicial remoto / at...: Define o range de IPs que sero usados para os clientes (hosts
remotos). Os endereos aqui definidos so usados caso o servidor Radius no fornea o parmetro Framed-IP-Address
que contm o IP que deve ser definido para o cliente.
Nmero mximo de sesses: limita o nmero mximo de usurios conectados ao servidor PPPoE. Sesses
PPPoE consomem levemente recursos de processador e memria, porem em grande nmero podem esgotar esses
recursos.
Servidor Radius / Porta / Senha (secret): define qual servidor Radius ser utilizado para autenticar os
usurios. O MyAuth dispinibiliza um servidor Radius local conectado a sua base de dados de usurios, sendo assim
no necessrio alterar o valor padro.
Iniciar sesso MyAuth automaticamente: conectar-se ao servidor via PPPoE no garante acesso para
navegar passando pelo MyAuth, ainda necessrio a autenticao convencional (captura para tela de login). Caso
voc tenha definido o IP do cliente no cadastro o MyAuth pode detectar automaticamente o usurio e inserir a sesso,
evitando a autenticao convencional.
Configurao de Proxy
Clique no menu a esquerda no item "Proxy transparente".
Configuraes:
Endereo do proxy: determina qual o endereo IPv4 do servidor Proxy. Por padro, use o prprio endereo
IP do servidor, assim voc utilizar o proxy-cache instalado pelo MyAuth.
Ativar acelerador: recurso disponivel apenas quando o MyAuth est sendo executado no kernel 2.6 (linux2.6) instalado por ele (veja o menu do lilo ao iniciar o servidor). Esse recurso permite que o MyAuth controle somente
a velocidade do cliente caso ele esteja acessando algo que est na internet, ao acessar um objeto em cache
(armazenado no servidor) este objeto entregue na velocidade da rede.
por sua vez vai at o site na internet, baixa o objeto, entrega para o cliente e armazena-o em cache.
Agora que o proxy est configurado corretamente, veremos mais adiante como ativar o uso de proxy para os clientes que desejar disponibilizar
este recurso.
Configurao de Grupos
A configurao dos grupos importante caso deseje limitar os recursos de internet de alguns clientes. O MyAuth
possui quatro tipos de grupos:
Banda: usado para limitar a velocidade dos clientes.
Agendamento: usado para determinar os horrios e os dias da semana em qua o usurio poder acessar a
internet.
Volume: usado para limitar a quantidade de bytes enviados ou recebidos pelo usurio, determinando uma
cota diria, semanal ou mensal.
Tempo: usado para limitar o tempo de acesso a internet, determinando tambm uma cota di ria, semanal ou
mensal.
Um grupo de controle de banda possui definies de download e upload, cada uma com 3 parmetros:
Velocidade: velocidade em kbit/s mxima permitida para acesso a internet.
Garantia: velocidade em kbit/s mdia garantida para cada cliente.
Fila de prioridade: prioridade de atendimento dos pacotes do cliente em relao a outros clientes. No altere a
fila de prioridade a menos que tenha uma aplicao para ela especificadamente. Isso no faz com que o acesso a
internet melhore por si s, quando um cliente priorizado outro tem sua velocidade reduzida e latncia aumentada.
Crie todos os grupos necessrios para sua rede. Estes grupos sero usados para associar usurios.
Para editar os parmetros de um grupo, clique no icone "Ferramenta" abaixo do nome do grupo.
em bytes por segundo adquirida dividindo o valor em bits por 8 (oito). Exemplo:
Velocidade em kilobit (Kbit/s)
Comparativo
64
6~8
ISDN 1 canal
128
16
11.5 ~ 17.5
ISDN 2 canais
256
32
26 ~ 33.5
ADSL
512
64
51.5 ~ 67
ADSL/Cabo
1.024
128
100 ~ 125
Wireless 11b/Cabo
10.240
1.024
956 ~ 1048
Wireless 11a/Cabo
100.000
12.500
9.000 ~ 12.128
FastEthernet
O grupo de limitao de banda faz esse controle via software, ou seja, ao receber e enviar pacotes, o software analisa
estatisticamente a velocidade e reduz ou libera e envio desses pacotes.
Uma limitao por software no semelhante a uma limitao por hardware, por exemplo: Ao se conectar em uma
linha discada e estabelecer uma conexo a 52 kbits por segundo no possivel ultrapassar esta velocidade pois
mesmo que o computador enviasse a uma velocidade maior o meio fsico (linha telefonica) no possui suporte fsico
para isso; o que pode acontecer nessa tentativa o pacote ser perdido ou impedido de ser transmitido pelo protocolo
em uso.
Na limitao de banda via software, o host cliente envia dados a velocidade permitida pela rede fsica, suponhamos 10
megabits por segundo em uma rede cabeada, o servidor, ao receber esse volume de dados, verifica junto as suas
estatsticas se aquele host est no limite permitido. Se constatado que foi ultrapassado o limite de velocidade, o
algortimo de limitao pode tomar as seguintes medidas:
1 - Destruir pacotes aleatoriamente, aumentando o nmero de destruies a medida que o host insiste em enviar
dados acima do permitido (algoritmo RED, no presente no MyAuth).
2 - Segurar os pacotes que chegaram depois que a barreira de limite foi rompida na memria e aguardando um
determinado tempo que incrementado a medida que o host insiste em enviar dados acima do permitido (algoritmo
HTB, TBF, CBQ).
Essas medidas fazem com que o software emissor de pacotes no host, atravez do protocolo em uso (TCP por
exemplo) detecte a reduo de sucessos no envio de informaes ou o aumento da lentido nas resposta e
automaticamente reduz a velocidade de envio.
O host no tem como descobrir se a limitao de trfeco causada por um congestionamento ou por um software de
controle de banda, assim, ele constantemente envia dados acima da velocidade para tentar concluir suas tarefas mais
rpido, causando picos constantes. Um host limitado a 128kbits via software em um rede que suporte 100 mbits por
segundo insistentemente enviar dados acima da velocidade, o controle detectar isso e tomar medidas para que a
velocidade caia abaixo de 128kbits, assim a mdia da velocidade 128kbits.
Veja um exemplo de como se comporta um cliente limitado a 64kbits em uma rede com capacidade fsica superior:
A linha branca o limite estabelecido. Repare que sempre que o host envia pacotes acima da velocidade permitida o
controle de banda toma medidas que obrigam a reduo bem abaixo do limite, fazendo com que a mdia da
velocidade seja o limite estabelecido.
Tabela de edio de horrios: exibe a relao dos dias da semana e seus horrios. Cada marcador representa
um intervalo de 30 minutos. Passe o mouse sobre um marcador e um tool-tip (descrio associada ao mouse) ser
exibido informando o intervalo de horrio que ele represente. Clique sobre o marcador para ativ-lo ou desativ-lo.
Aps definir os horrios desejados, clique em "Salvar".
Tipo de limitao: escolhe o periodo em que o controle acumular os dados para verificar se atingiram o
limite.
Download: especifica a quantidade mxima de bytes recebidos pelo cliente no perodo escolhido.
Upload: especifica a quantidade mxima de bytes enviados pelo cliente no perodo escolhido.
Tempo
Os grupos de tempo limitam os usurios a um tempo de uso de internet durante um determinado perodo. O limite
pode ser feito diariamente, semanalmente ou mensalmente. Aps atingir o limite no perodo (dirio, semanal ou
mensal) determinado pelo grupo o usurio perde acesso a internet e as tentativas de login reportam erro informando
que a cota de tempo foi ultrapassada.
Tipo de limitao: escolhe o periodo em que o controle acumular o tempo para verificar se atingiu o limite.
Cadastrando clientes
Iremos agora iniciar o cadastro de clientes. O MyAuth tem um sistema de cadastros para uso informativo.
No menu do MyAuth, clique em "Clientes".
Aps clicar, a sua direita aparecer a pgina contendo a lista de clientes. Esta pgina possui um ndice de A-Z, ao
clicar em alguma letra desse ndice sero exibidos os clientes cujos nomes iniciem com a opo escolhida. Para exibir
todos os clientes, clique em "Todos".
Repare bem a imagem acima. Ela representa a tela mais importante do sistema: O cadastro do login de acesso
autenticado. Os seguintes campos s?requeridos:
ID do cliente: este campo automaticamente preenchido com o ID do cliente ao qual este login ser
associado.
Usurio: nome de usurio para autenticao. Deve conter apenas letras, nmeros e os caracteres ._-@
IP reservado: campo opcional. Se este campo for preenchido, o cliente s conseguir efetuar logon na rede se
o endereo IP que est usando for identico ao informado aqui. Caso este campo fique em branco, o cliente poder
efetuar login de qualquer endereo IP.
MAC reservado: aplica as mesmas regras do IP reservado porem ao endereo MAC do clientes.
Verificar cadastro de MAC: Caso escolha sim, o cliente s conseguir autenticar com sucesso se o MAC
reservado estiver preenchido e for igual ao MAC que ele est usando ou se o MAC que ele est usando estiver na lista
"Cadastro de MAC".
Proxy transparente: caso esteja ativado, aps efetuar o logon na rede o usurio ter suas conexes HTTP
desviadas para o Proxy de forma transparente.
Ativo: este campo permite ativar e desativar o login. Caso o valor seja alterado para no, o cliente no
conseguir autenticar-se. Se ele j estiver autenticado quando este valor for alterado o MyAuth o desconectar.
Login simultneo: realiza controle de login simultneo. Caso seja definido para zero, o cliente poder se
conectar simultneamente em vrios computadores na rede. Ao definir um valor diferente de zero, o cliente s poder
efetuar o nmero de logins permitidos por voc.
Mensagem: define a mensagem que ser exibida para o cliente aps autenticao.
Cadastrando usurios
O MyAuth permite que voc crie usurios sem a necessidade de criar cadastros de clientes para eles. No menu, clique
em "Usurios".
A lista de usurios cadastrados no sistema ser exibida e na mesma linha informaes sobre ele como consumo de
tempo, volume de bytes enviados e recebidos entre outras informaes de acesso rpido.
Repare bem a imagem acima. Ela representa a tela mais importante do sistema: O cadastro do login de acesso
autenticado. Os seguintes campos s?requeridos:
ID do cliente: este campo automaticamente preenchido com o ID do cliente ao qual este login ser
associado.
Usurio: nome de usurio para autenticao. Deve conter apenas letras, nmeros e os caracteres ._-@
IP reservado: campo opcional. Se este campo for preenchido, o cliente s conseguir efetuar logon na rede se
o endereo IP que est usando for identico ao informado aqui. Caso este campo fique em branco, o cliente poder
efetuar login de qualquer endereo IP.
MAC reservado: aplica as mesmas regras do IP reservado porem ao endereo MAC do clientes.
Verificar cadastro de MAC: Caso escolha sim, o cliente s conseguir autenticar com sucesso se o MAC
reservado estiver preenchido e for igual ao MAC que ele est usando ou se o MAC que ele est usando estiver na lista
"Cadastro de MAC".
Proxy transparente: caso esteja ativado, aps efetuar o logon na rede o usurio ter suas conexes HTTP
desviadas para o Proxy de forma transparente.
Ativo: este campo permite ativar e desativar o login. Caso o valor seja alterado para no, o cliente no
conseguir autenticar-se. Se ele j estiver autenticado quando este valor for alterado o MyAuth o desconectar.
Login simultneo: realiza controle de login simultneo. Caso seja definido para zero, o cliente poder se
conectar simultneamente em vrios computadores na rede. Ao definir um valor diferente de zero, o cliente s poder
efetuar o nmero de logins permitidos por voc.
Mensagem: define a mensagem que ser exibida para o cliente aps autenticao.
Controle de banda: determina qual o perfil de controle de banda ser aplicado ao usurio.
Usar banda do usurio: alternativa a escolha do grupo de controle de banda. Se escolher um usurio na lista, o
usurio atual e o usurio escolhido compartilharo o mesmo recurso de banda. Por exemplo: se o usurio joao estiver
no grupo de controle de banda 128kbit e criarmos o usurio acme associado a banda do usurio joao, quando esses
dois usurios estiverem on-line eles disputaro a mesma banda de 128kbit.
Controle de volume: define se o usurio sofrer controle de volume de bytes enviados e recebidos.
Depois de ter escolhido as opes que melhor lhe adequo, clique em "Salvar" para finalizar o cadastro do login.
Redes livres
Em alguns casos faz-se necessrio que uma rede interna tenha acesso livre a internet, sem autenticao e sem
controle de banda. Para permitir que uma rede tenha esses privilgios, adicione-a em "Redes livres".
Como fazer
Usar proxy transparente: escolha se deseja que os hosts da rede livre usem proxy para acelerar suas
conexes HTTP.
Tipo de rede: determinar se o MyAuth vai fazer NAT ou no da rede livre. Se sua rede for uma rede privada
(192.168.*.*, 10.*.*.*, 172.16.*.* a 172.31.*.*) recomendavel escolher a opo "Invalida (fazer NAT)".
Redes autenticadas
Uma das principais configuraes do MyAuth 2 so as redes autenticadas.
Uma rede autenticada uma mscara que testar todos os pacotes que passam pelo servidor. Uma vez que o pacote
no se encaixou em uma rede livre (captulo anterior) ele passar pelas redes autenticadas. Duas funes so
exercidas por uma rede autenticada:
- Desviar o trfego HTTP para a tela de autenticao.
- Realizar ou no NAT na saida para a internet.
Como fazer
Tipo de rede: determinar se o MyAuth vai fazer NAT ou no da rede autenticada. Se sua rede for uma rede
privada (192.168.*.*, 10.*.*.*, 172.16.*.* a 172.31.*.*) recomendavel escolher a opo "Invalida (fazer NAT)".
Interface: escolha a interface de entrada. Esta a interface onde os pacotes entram no servidor.
Recomendamos colocar "*Todas"
Hosts livres
Hosts livres uma tabela de permisses estticas. As vezes necessrio permitir que um usurio tenha permisso de navegar
necessidade de autenticao. Para isso, basta adicionar uma entrada em "Hosts Livres".
Como fazer
Sites livres
Um site livre uma permisso permanente de acesso a um servidor na internet. Aqui voc poder adicionar o
endereo ip ou o FQDN do site na internet.
Observao: deve-se adicionar apenas o endereo ip ou FQDN, esse recurso no libera URL's. Exemplos de
entradas:
200.160.2.3
www.meusite.com.br
www.provedor.com.br
Como fazer
Interfaces de rede
Outra configurao muito importante para a execuo do MyAuth a declarao de interfaces de rede. atravez dela
que o MyAuth saber quais interfaces esto ligadas internet e quais esto ligadas s redes internas.
Uma interface de rede pode assumir duas posies no MyAuth:
Em seguida clique no icone "Declarar nova interface" para declarar a existncia de outra interface de rede. O
MyAuth detecta automaticamente as interfaces de rede na instalao e pre-configura essa parte.
Adicionas endereos IP a uma interface
Localize visualmente a interface onde deseja adicionar o endereo ip e clique em "Adicionar endereamento IP"
Endereo IP/Mscara: informe o endereo IP que deseja adicionar e o tamanha da msca em bits.
Aps ter adiciona um endereo, basta configurar o cliente na mesma rede, usando o endereo adicionado como
default gateway.
Cadastro de MAC
O cadastro de mac uma lista de anotaes de endereos MAC usados em sua rede.
Voc pode utilizar esta lista em dois casos:
Permitir que seus usurios consigam fazer autenticao apenas se estiverem utilizando equipamento
cadastrado. V ao cadastro do login e no campo Verificar cadastro de MAC mude para Sim. Desta forma o usurio
s poder se autenticar se o MAC utilizado estiver na lista Cadastro de mac.
Integrar a lista a outros servios de verificao como Radius, para isso, contacte seu administrador de rede ou
programador, como o banco de dados do MyAuth aberto, ele poder fazer isto sem problemas.
Como fazer
Macs Bloqueados
Em alguns momentos faz-se necessrio bloquear totalmente o acesso de uma estao ao servidor, impedindo at mesmo que e
autenticao.
Para bloquear um endereo MAC, adicione-o na lista de "MAC's bloqueados"
Para acessar esta lista, no menu do MyAuth, clique em "MAC's bloqueados"
Usurios autorizados
Em usurios autorizados possivel vizualizar a lista de usurios on-line e as estatsticas de cada sesso como:
Tempo on-line
Tempo inativo (sem enviar ou receber dados)
Bytes enviados
Bytes recebidos
Como fazer
No menu do MyAuth, clique em "Usurios autorizados":
Ser exibida a lista de usurios on-line. No rodap dessa sesso h dois icones:
Grfico conjunto: exibir grfico de consumo de todas as sesses on-line.
Desconectar todos: fecha todas as sesses.
Backup e recuperao
O MyAuth possui recurso de backup e recuperao de dados. Os dados em questo so:
Configurao do MyAuth
O MyAuth gera arquivos de backup automaticamente pelo crontab (/etc/cron.weekly), para gerar um arquivo de
backup, clique em "Gerar novo backup".
root@servidor:~# cd
root@servidor:/# mysqldump
-p
-c
-B
myauth
>
/backup.sql
Ser exigido a senha do usurio root do MySQL (esse usurio root no tem nada a ver com o usurio root do
sistema). A senha padro do banco de dados do MyAuth : tulipasql
Aps executar o comando acima com sucesso, o MySQL ir gerar o arquivo /backup.sql contendo todas as instrues
SQL para recriar o banco de dados com suas informaes. Salve este arquivo (backup.sql) em local seguro.
root@servidor:/# mysql -p
Em seguida, reconstrua o banco de dados atravs do arquivo de backup sql. (backup.sql por exemplo).
root@servidor:~# cd
root@servidor:/# mysql -p
< backup.sql
Normalmente em algumas atualizaes do MyAuth houve alteraes no banco de dados, execute o script
/myauth/doc/update.sh para verificar as colunas adicionais das tabelas, ignore erros exibidos, so normais.
root@servidor:~# cd
/myauth/share/themes
root@servidor:/myauth/share/themes# ls
default/
myauth2plus/
myauth2pluspw/
popupdefault/
Copie um tema atual com um novo nome, no exemplo abaixo, criaremos um tema chamado "meutema" que a
principio ser uma copia do tema "myauth2plus":
root@servidor:/myauth/share/themes# cp
myauth2plus
meutema
-ra
root@servidor:/myauth/share/themes# cd
meutema
root@servidor:/myauth/share/themes/meutema# ls
altpasswd.htm
popupoff.htm
report_login.htm
report_painel.htm splash.htm
login.htm
popupon.htm
report_menu.htm
rodape.htm
sucess.htm
Para configurar o servidor DNS que o servidor ir utilizar, edite o arquivo /etc/resolv.conf e informe em cada
linha o ip do servidor dns precedido da palavra nameserver, procure usar como servidor dns o ip 127.0.0.1, exemplo
de configurao:
nameserver 127.0.0.1
Resolvendo problemas
Alguns problemas podem ocorrer durente a operao de uma rede e podem ter causas variadas, abaixo listaremos os
mais rotineiros, normalmente reiniciar alguns equipamentos resolve maior parte dos problemas a curto prazo.
Teste dando ping para um nome de site, exemplo: www.google.com.br e verifique se o comando
retorna o endereo IP do site.
No Windows XP, 2000, 2003 e Linux h um comando chamado "nslookup", use-o para verificar se o
DNS est funcionando.
nslookup www.google.com.br