Cấu hình máy khách

Một phần của tài liệu luận văn giải pháp xác thực người dùng bằng công nghệ captive portal (Trang 59 - 78)

4.4.1. Phương pháp truy nhập phổ thông - Universal Access Method

Với phƣơng pháp truy nhập phổ thông (UAM) máy khách không dây đƣợc gửi một lần nữa tới trang web đăng nhập. Tên đăng nhập và mật khẩu hợp lệ đƣợc máy khách cho phép truy nhập mạng ngoài (Internet hoặc Intranet). Việc sử dụng UAM bao gồm các bƣớc trong máy khách nhƣ sau:

o Cài đặt card LAN không dây.

o Kết hợp với Access Point trong hotspot.

o Bắt đầu trình duyệt thay vào trang chủ, bình thƣờng trình duyệt sẽ gửi

một lần nữa tới trang đăng nhập HotSpot .

o Nhập tên đăng nhập và mật khẩu, cần phải phù hợp với tên đăng nhập và

mật khẩu đƣợc định hình trƣớc đó trong máy chủ radius.

Sau đó máy khách này đƣợc phép truy nhập mạng ngoài. Máy khách không dây sẽ thoát bởi DHCP timeout, hoặc quay lại trang đăng nhập và thoát ra ngoài.

Với UAM lƣu lƣợng giữa máy khách không dây và Access Point truyền không cần mã hóa. Có nghĩa là bất cứ ai có thiết bị thích hợp đều có thể quan sát truyền thông tin và nó cũng có thể bị đánh cắp khi kết nối có sẵn. Đối với nhiều cách sử dụng sự thiếu an toàn này không là vấn đề nhƣng cho cách sử UAM thì không thích hợp.

Hƣớng dẫn ngƣời dùng chung:

1. Thay đổi WLAN SSID tới ChilliSpot (hoặc bất cứ SSID nào bạn định hình trên Access Point).

2. PC phải kết nối tới Access Point tự động (tối thiểu nếu bạn sử dụng Windows MS).

3. Bắt đầu trình duyệt. Khi trình duyệt web khởi động Chilli phải gửi ngƣời dùng tới web server xác thực của bạn.

4. Ngƣời dùng nhập tên đăng nhập và mật khẩu (nhƣ đƣợc định hình trong

máy chủ radius )

5. Đăng nhập đƣợc xác nhận và ngƣời dùng đƣợc tự do duyệt Internet.

6.Nếu bất kỳ điều gì sai: làm chắc chắn rằng sự mã hóa mạng WLAN đƣợc tắt và ủy quyền trình duyệt web cho phép sửa chữa. Khởi động lại PC.

4.4.2. Bảo vệ sự truy nhập không dây - Wireless Protected Access

Bảo vệ sự truy nhập không dây (WPA) giải quyết hầu hết vấn đề an toàn liên quan đến phƣơng pháp UAM. WPA sử dụng giao thức xác thực mở rộng Extensible Authentication Protocol (EAP) mà yêu cầu phạm vi băng rộng của phƣơng pháp xác thực. Với WPA có thể mã hóa lƣu lƣợng giữa máy khách không dây và Access Point .

WPA phải đƣợc hỗ trợi bởi cả card mạng LAN máy khách cũng nhƣ hệ điều hành. Microsoft cung cấp một gói WPA cho dịch vụ Windows XP gói 1.

4.5. Những file được tạo ra hoặc được sử dụng

Thư mục

/usr/share/doc/chillispot-1.1.0/ Thƣ mục tài liệu ngƣời dùng, ví dụ tập lệnh và tệp cấu hình.

/usr/sbin/chilli Có thể thi hành ChilliSpot

/etc/chilli.conf Tệp cấu hình ChilliSpot

/etc/rc.d/init.d/chilli Hệ thống ChilliSpot khởi tạo tập lệnh.

/var/www/cgi-

bin/hotspotlogin.cgi

Tập lệnh Perl cgi thực hiện phƣơng pháp truy nhập phổ thông Trang sách hướng dẫn chilli (8) Sách hƣớng dẫn ChilliSpot. 4.6. Tùy chọn 4.6.1. Tóm tắt chilli --help chilli --version chilli

[ --fg ] [ --debug ] [ --conf file ] [ --pidfile file ] [ --statedir file ] [ --net net ] [ - -dynip net ] [ --statip net ] [ --dns1 host ] [ --dns2 host ] [ --domain domain ] [ --ipup

script ] [ --ipdown script ] [ --conup script ] [ --condown script ] [ --radiuslisten host

] [ --radiusserver1 host ] [ --radiusserver2 host ] [ --radiusauthport port ] [ -- radiusacctport port ] [ --radiussecret secret ] [ --radiusnasid id ] [ --radiusnasip

host ] [ --radiuscalled name ] [ --radiuslocationid id ] [ --radiuslocationname name

] [ --radiusnasporttype type ] [ --coaport port ] [ --coanoipcheck ] [ --proxylisten

host ] [ --proxyport port ] [ --proxyclient host ] [ --proxysecret secret ] [ -- confusername username ] [ --confpassword password ] [ --dhcpif dev ] [ --dhcpmac

address ] [ --lease seconds ] [ --eapolenable ] [ --uamserver url ] [ --uamhomepage

url ] [ --uamsecret secret ] [ --uamlisten host ] [ --uamport port ] [ --uamallowed

domain ] [ --uamanydns ] [ --macauth ] [ --macallowed ] [ --macsuffix suffix ] [ -- macpasswd password ]

4.6.2. Tùy chọn

--help

--version

Phiên bản in và thóat.

--fg

Chạy trong mặt trƣớc (mặc định = off)

--debug

Chạy trong chế độ debug (mặc định = off)

--conf file

Đọc file cấu hình (mặc định = /etc/chilli.conf) nơi mỗi hàng tƣơng ứng tới một dòng lệnh tùy chọn, nhƣng khoảng cách giữa những dòng chữ in '--' loại bỏ. Tùy chọn dòng lệnh ghi đè tùy chọn cho trong file cấu hình.

--interval seconds

Đọc lại file cấu hình và làm DNS tra cứu mỗi interval seconds. Cái này có cùng hiệu ứng nhƣ việc gửi tín hiệu HUP. Nếu interval là 0 (zero) tính năng này đƣợc vô hiệu hóa.

file (mặc định = /etc/chilli.conf) nơi mỗi hàng tƣơng ứng tới một lệnh tùy chọn, nhƣng với khoảng cách giữa những dòng in '--' loại bỏ. Tùy chọn hàng lệnh ghi đè những tùy chọn cho trong file cấu hình.

--pidfile file

Tên file của file id xử lý (mặc định = /var/run/chilli.pid)

--statedir path

Đƣờng dẫn tới thƣ mục của dữ liệu không thay đổi (mặc định = /var/lib/chilli/)

--net net

Địa chỉ mạng của giao diện liên kết lên trên (mặc định = 192.168.182.0/24). Địa chỉ mạng là quá trình thiết đặt initialisation khi chilli thiết lập một thiết bị TUN cho giao diện liên kết lên trên. Địa chỉ mạng đƣợc chỉ rõ nhƣ <address>/<netmask> (192.168.182.0/255.255.255.0) hoặc <address>/<prefix> (192.168.182.0/24).

--dynip net

Vùng địa chỉ IP động. Chỉ rõ một vùng của địa chỉ IP động. Nếu tùy chọn này bị bỏ qua địa chỉ mạng chỉ rõ bởi tùy chọn net đƣợc sử dụng cho sự định vị địa chỉ IP động. Xem xét tùy chọn net cho phần miêu tả của định dạng địa chỉ mạng.

Vùng địa chỉ IP tĩnh. Chỉ rõ một vùng của địa chỉ IP tĩnh. Với định phần một địa chỉ tĩnh, địa chỉ IP của máy khách có thể đƣợc chỉ rõ bởi máy chủ radius. Định phần địa chỉ tĩnh có thể sử dụng cho cả xác thực MAC và WPA..

--dns1 host

Máy chủ DNS 1. Nó sử dụng để thông tin cho máy khách khoảng địa chỉ DNS để sử dụng cho quyết định hostname. Nếu tùy chọn này không đƣợc định sẵn hệ thống DNS sơ cấp đƣợc sử dụng.

--dns2 host

Máy chủ DNS 2. Nó sử dụng để thông tin cho máy khách khoảng địa chỉ DNS để sử dụng cho quyết định hostname. Nếu tùy chọn này không đƣợc định sẵn hệ thống DNS thứ cấp đƣợc sử dụng.

--domain domain

Tên miền. Nó sử dụng để thông tin máy khách về tên miền để sử dụng cho việc tra cứu DNS.

--ipup script

Thực hiện tập lệnh sau khi giao diện mạng TUN đƣợc đƣa lên. Thực hiện với các tham số sau: <devicename> <ip address> <mask>

--ipdown script

Thực hiện tập lệnh sau khi giao diện mạng TUN đƣa xuống. Thực hiện với các tham số sau: <devicename> <ip address> <mask>

--conup script

Thực hiện tập lệnh sau khi xác thực. Thực hiện với các tham số sau: <devicename> <ip address> <mask> <user ip address> <user mac address> <filter ID>

--condown script

Thực hiện tập lệnh sau khi ngƣời dùng tắt. Thực hiện với các tham số sau: <devicename> <ip address> <mask> <user ip address> <user mac address> <filter ID>

--radiuslisten host

Giao diện địa phƣơng địa chỉ IP sử dụng cho giao diện radius. Địa chỉ này cũng xác định giá trị cho thuộc tính NAS-IP-Address radius. Nếu radiuslisten bị bỏ qua thì

thuộc tính NAS-IP-Address sẽ đƣợc đặt "0.0.0.0" và điạ chỉ IP nguồn của yêu cầu radius sẽ đƣợc xác định bởi bảng lộ trình hệ điều hành.

--radiusserver1 host

Địa chỉ IP của máy chủ radius 1 (mặc định=rad01.hotradius.com).

--radiusserver2 host

Địa chỉ IP của máy chủ radius 2 (mặc định =rad02.hotradius.com).

--radiusauthport port

Số cổng UDP sử dụng cho radius yêu cầu xác thực (mặc định=1812).

--radiusacctport port

Số cổng UDP sử dụng cho radius yêu cầu tính toán (mặc định=1813).

--radiussecret secret

Radius chia sẻ bí mật cho cả các máy chủ (mặc định=testing123). Bí mật này nên thay đổi để không làm bí mật bị lộ.

--radiusnasid id

Định danh máy chủ truy nhập mạng (mặc định=nas01).

--radiusnasip host

Địa chỉ IP tới báo cáo trong thuộc tính NAS-IP-Addres. Mặc định địa chỉ IP chỉ rõ bởi tùy chọn radiuslisten.

--radiuscalled name

Đặt tên tới báo cáo trong thuộc tính Called-Station-ID. Mặc định cho địa chỉ MAC của giao diện không dây mà có thể chỉ rõ bởi tùy chọn dhcpmac.

--radiuslocationid id

ID định vị WISPr. Cần định dang: isocc=<ISO_Country_Code>, cc=<E.164_Country_Code>,ac=<E.164_Area_Code>,network=<ssid/ZONE>. Tham số này miêu tả rõ hơn trong tài liệu: Wi-Fi Alliance - Wireless ISP Roaming - Best Current Practices v1, tháng 2- 2003.

--radiuslocationname name

Tên định vị WISPr. Cần định dạng: <HOTSPOT_OPERATOR_NAME>, <LOCATION Tham số này miêu tả rõ hơn trong tài liệu: Wi-Fi Alliance - Wireless ISP Roaming - Best Current Practices v1, tháng 2- 2003.

--radiusnasporttype type

Giá trị của thuộc tính NAS-Port-Type. Mặc định 19 (Wireless-IEEE-802.11).

--coaport port

Cổng UDP nghe cho radius chấp nhận yêu cầu ngừng kết nối.

--coanoipcheck

Nếu tùy chọn đã cho không có sự kiểm tra nào đƣợc thực hiện trên địa chỉ IP nguồn của radius yêu cầu ngừng kết nối. Mặt khác, nó kiểm tra là radius yêu cầu ngừng kết nối bắt nguồn từ máy chủ radius1 hoặc máy chủ radius2.

--proxylisten host

Giao diện IP địa phƣơng gửi tới sử dụng để chấp nhận radius yêu cầu.

--proxyport port

Cổng UDP nghe để cho chấp nhận radius yêu cầu.

--proxyclient host

Từ địa chỉ IP mà radius yêu cầu đƣợc chấp nhận. Nếu bỏ qua máy chủ sẽ không chấp nhận radius yêu cầu.

--proxysecret secret

Radius chia sẻ bí mật cho máy khách. Nếu không chỉ rõ nó mặc định radiussecret.

--confusername username

Nếu confusername đƣợc chỉ rõ cùng với confpassword, ChilliSpot sẽ chỉ rõ khoảng cách bởi tùy chọn interval truy vấn máy chủ radius cho thông tin cấu hình. Trả lời từ máy chủ radius phải có thuộc tính Service-Type đặt tới ChilliSpot cho phép duy nhất để có bất kỳ hiệu ứng nào. Hiện nay, hỗ trợ ChilliSpot-UAM-Allowed, ChilliSpot-MAC-Allowed và ChilliSpot-Interval. Những thuộc tính này ghi đè các tùy chọn theo thứ tự uamallowed , macallowed và interval.

--confpassword password

Xem ở dƣới tùy chọn confusername.

--dhcpif dev

Giao diện Ethernet nghe để cho giao diện liên kết xuống. Tùy chọn này cần chỉ rõ.

--dhcpmac address

Địa chỉ MAC lắng nghe. Nếu không chỉ rõ địa chỉ MAC của giao diện sẽ đựợc sử dụng. Địa chỉ MAC cần phải chọn để nó không xung đột với địa chỉ khác trong LAN. Địa chỉ trong miền 00:00:5E:00:02:00 - 00:00:5E:FF:FF:FF nằm trong miền IANA của địa chỉ và không đƣợc cấp phát cho những mục đích khác.

Tùy chọn --dhcpmac có thể đƣợc sử dụng trong sự liên kết với bộ lọc truy nhập, hoặc với những điểm truy nhập mà hỗ trợ gói tin chuyển tiếp tới địa chỉ MAC. Nhƣ vậy nó có thể ở mức MAC để phân ra lƣu lƣợng quản lý điểm truy nhập từ lƣu lƣợng ngƣời dùng cho hệ thống an toàn hoàn thiện.

Tùy chọn --dhcpmac sẽ đặt giao diện trong chế độ promisc.

--lease seconds

Sử dụng một DHCP lease thứ hai (mặc định = 600).

--eapolenable

Nếu tùy chọn này dựa vào IEEE 802.1x xác thực đƣợc cho phép. ChilliSpot sẽ lắng nghe cho xác thực EAP yêu cầu trên giao diện chỉ rõ bởi --dhcpif. Những thông báo EAP nhận đƣợc trên giao diện này đƣợc chuyển tiếp tới máy chủ radius.

--uamserver url

URL của web server sử dụng để xác thực máy khách.

--uamhomepage url

URL của trang chủ gửi một lần nữa những ngƣời dùng không đƣợc xác nhận. Nếu không chỉ rõ cái này xác lập mặc định tới uamserver.

--uamsecret secret

Chia sẻ bí mật giữa uamserver và chilli. Bí mật này cần phải thiết lập trong thứ tự để không làm lộ bí mật.

--uamlisten host

Địa chỉ IP lắng nghe sự xác thực từ máy khách. Nếu một máy khách chƣa xác thực cố gắng truy nhập Internet thì sẽ đƣợc gửi một lần nữa tới địa chỉ này.

--uamport port

Cổng TCP nối kết để cho máy khách xác thực (mặc định = 3990). Nếu một máy khách chƣa đƣợc xác thực cố gắng truy nhập Internet thì sẽ đƣợc gửi một lần nữa tới cổng này trên --uamlisten địa chỉ IP.

--uamallowed domain

Dấu phẩy tách danh sách tên miền, địa chỉ IP hoặc mạng phân đoạn máy khách có thể truy nhập không dùng xác thực đầu tiên. Ví dụ:

--uamallowed http://www.chillispot.org,10.11.12.0/24

Tùy chọn này đƣợc dùng cho truy nhập tới một cổng thanh toán thẻ, cho truy nhập tới cộng đồng và thông tin miễn phí khác cũng nhƣ truy nhập tới VPN mà máy chủ lần đầu tiên không đăng nhập tới HotSpot.

ChilliSpot giải quyết tên miền để thiết lập địa chỉ IP trong quá trình khởi động. Một số vị trí lớn thay đổi địa chỉ IP quay lại để tra cứu. Hoạt động này không tƣơng thích với tùy chọn này. Điều này có thể chỉ rõ tùy chọn uamallowed nhiều hơn. Nó có ích nếu nhiều tên miiền đƣợc chỉ rõ.

--uamanydns

Cho phép bất kỳ máy chủ DNS nào. Bình thƣờng máy khách chƣa xác thực chỉ cho phép giao tiếp với máy chủ DNS chỉ rõ bởi tùy chọn dns1 và dns2. Nếu tùy chọn uamanydns đƣợc định sẵn ChilliSpot sẽ cho phép máy khách sử dụng tất cả các máy chủ DNS. Điều này thuận lợi cho máy khách đã định cấu hình sử dụng một thiết lập cố định của máy chủ DNS. Cho những lý do an toàn tùy chọn này cần phải đƣợc kết hợp với một quy tắc NAT firewall đích mà chuyển tiếp tất cả các yêu cầu DNS cho máy chủ DNS đã cho.

--macauth

Nếu tùy chọn này đã cho ChilliSpot sẽ cố gắng xác thực tất cả ngƣời dùng dựa vào địa chỉ MAC. Tên ngƣời dùng gửi tới máy chủ radius sẽ gồm có địa chỉ MAC và một hậu tố để tùy chọn mà đƣợc chỉ rõ bởi tùy chọn macsuffix. Nếu tùy chọn macauth đƣợc chỉ rõ thì tùy chọn macallowed đƣợc bỏ qua.

--macallowed mac

Danh sách địa chỉ MAC mà xác thực MAC sẽ thực hiện. Ví dụ:

--macallowed00-0A-5E-AC-BE-51,00-30-1B-3C-32-E9

Tên ngƣời dùng gửi tới máy chủ radius sẽ bao gồm địa chỉ MAC và một hậu tố suffix mà đƣợc chỉ rõ bởi tùy chọn macsuffix. Nếu tùy chọn macauth đƣợc chỉ rõ thì tùy chọn macallowed đƣợc bỏ qua.

Nó có thể chỉ rõ tùy chọn macallowed nhiều hơn. Điều này có ích nếu nhiều địa chỉ MAC đƣợc chỉ rõ.

--macsuffix suffix

Hậu tố thêm vào địa chỉ MAC để hình thành tên ngƣời dùng, mà đƣợc gửi cho máy chủ radius.

--macpasswd password

Mật khẩu đƣợc sử dụng khi xác thực MAC đƣợc thực hiện (mặc định = password)

4.6.3. Tệp tin

/etc/chilli.conf File cấu hình cho Chilli. /var/run/chilli.pid Xử lý file ID.

4.6.4. Tín hiệu

Phát tín hiệu HUP tới Chilli sẽ tạo ra file cấu hình để đọc ra và thực hiện tra cứu DNS. Những tùy chọn cấu hình không ảnh hƣởng bởi sự phát tín hiệu HUP: [ --fg ] [ --conf file ] [ --pidfile file ] [ --statedir file ] [ --net net ] [ --dynip net ] [ -- statip net ] [ --uamlisten host ] [ --uamport port ] [ --radiuslisten host ] [ --coaport

port ] [ --coanoipcheck ] [ --proxylisten host ] [ --proxyport port ] [ --proxyclient

host ] [ --proxysecret secret ] [ --dhcpif dev ] [ --dhcpmac address ] [ --lease seconds

] [ --eapolenable ]

Những tùy chọn cấu hình ở trên có thể chỉ thay đổi bởi việc khởi động lại daemon.

4.7. Các phiên bản của ChilliSpot

Ở đây chúng ta chỉ nói về những điều mới trong các phiên bản này

4.7.1. ChilliSpot 1.1

Là một phiên bản mới và phát triển nhất hiện nay. Tùy chọn cấu hình mới:

o Tùy chọn Radiusnasip: Cho phép đặc tả địa chỉ IP đƣợc sử dụng cho thuộc tính NAS-IP-Address. Việc này đƣợc xác định trƣớc bởi tùy chọn radiuslisten, cái mà vẫn đƣợc sử dụng nếu tùy chọn radiusnasip không đƣợc định rõ. Nhờ có David Bird.

o Tùy chọn Radiuscalled: Cho phép đặc tả của tên đƣợc sử dụng cho thuộc tính Called-Station-ID. Việc này đƣợc xác định trƣớc bởi địa chỉ MAC của giao diện không dây, nó vẫn đƣợc sử dụng nếu tùy chọn radiuscalled không đƣợc định rõ. Nhờ có David Bird.

o Tùy chọn Confusername và confpassword: Khi các tùy chọn này đƣợc đƣa ra ChilliSpot sẽ truy vấn máy chủ radius đều đặn. Các thuộc tính đƣợc trả lại bởi máy chủ radius sẽ ghi đè những tùy chọn aumallowed, macallowed và interval.

o Tùy chọn Conup và condown: Những lựa chọn này cho phép các tập lệnh chạy khi ngƣời dùng xác thực và ngừng kết nối. Các lệnh đƣợc thực thi với một nhóm các tham số: devicename, ip address, mask, user ip address user mac address và filter ID. Một nhóm các biến môi trƣờng đƣợc cung cấp khá tốt.

4.7.2. ChilliSpot 1.0

Tùy chọn Macallowed và uanallowed có thể nhân lên gấp nhiều lần theo lý

Một phần của tài liệu luận văn giải pháp xác thực người dùng bằng công nghệ captive portal (Trang 59 - 78)

Tải bản đầy đủ (PDF)

(78 trang)