A3S - Indice dedownload.aker.com.br/prod/current/manuais/a3s/a3s-1.0.0-pt-manual... · Cadastro de...

*Aker Security Solutions *Captive Portal by PacketFence Página 1

Versão: 20/07/2016


ÍNDICE 2

ÍNDICE DE FIGURAS ................................................................................................................................ 4

1 INTRODUÇÃO ................................................................................................................................... 9

COMO ESTÁ DISPOSTO ESTE MANUAL ......................................................................................................... 9

TERMINOLOGIAS E CONCEITOS .................................................................................................................. 9

2 A3S 12

REQUISITOS PARA O A3S ....................................................................................................................... 12

INSTALAÇÃO ........................................................................................................................................ 13

GERENCIAMENTO DO A3S ..................................................................................................................... 19

PRIMEIRO ACESSO À INTERFACE DE GERENCIAMENTO WEB DO A3S ................................................................ 19

PAINEL ............................................................................................................................................... 21

USUÁRIOS ........................................................................................................................................... 22

AKER SSO .......................................................................................................................................... 23

CAPTIVE PORTAL .................................................................................................................................. 25

ADMINISTRAÇÃO .................................................................................................................................. 26

AJUDA ............................................................................................................................................... 29

OPÇÕES DE IDIOMA DA INTERFACE DE GERENCIAMENTO WEB ...................................................................... 30

LISTA DE COMANDOS DISPONÍVEIS PARA A INTERFACE DE TEXTO DO A3S ......................................................... 31

3 AKER SINGLE SIGN-ON .................................................................................................................... 36

CONFIGURANDO O AKER SINGLE SIGN-ON ................................................................................................ 37

Cadastro de Firewall no Aker Single Sign-On ........................................................................................ 38

Cadastro de Escopo ............................................................................................................................... 40

Habilitando o Aker Single Sign-On no Aker Firewall .............................................................................. 46

HABILITANDO O AKER SINGLE SIGN-ON VIA AKER CONTROL CENTER .............................................................. 47

CONFIGURANDO O AKER SINGLE SIGN-ON VIA INTERFACE DE TEXTO – COMANDO “FWACCESS” .......................... 49

REGRAS DE FILTRAGEM NECESSÁRIAS PARA O AKER SINGLE SIGN-ON ............................................................. 50

AKER SINGLE SIGN-ON TROUBLESHOOTING ............................................................................................... 50

4 CAPTIVE PORTAL ............................................................................................................................ 53

PRIMEIROS PASSOS CAPTIVE PORTAL ....................................................................................................... 54

CONFIGURANDO O AKER FIREWALL PARA INTEGRAÇÃO COM O CAPTIVE PORTAL ............................................... 57

Habilitando o Captive Portal no Aker Firewall via Aker Control Center ................................................ 58

Habilitando o Captive Portal no Aker Firewall via Interface de Texto .................................................. 61


CONFIGURANDO O CAPTIVE PORTAL ........................................................................................................ 62

Roles ...................................................................................................................................................... 63

CADASTRO DE ROLE .............................................................................................................................. 68

Sources .................................................................................................................................................. 69

Internal .................................................................................................................................................. 69

External .................................................................................................................................................. 75

CONFIGURANDO O AUTO REGISTRO DE USUÁRIOS ....................................................................................... 78

Exclusive ................................................................................................................................................ 84

Local ....................................................................................................................................................... 84

Portal Profiles ........................................................................................................................................ 85

Cadastrando o Aker Firewall no Captive Portal ..................................................................................... 91

Auto registro de usuários ...................................................................................................................... 94

5 GERENCIANDO O CAPTIVE PORTAL ............................................................................................... 101

Menu Status ........................................................................................................................................ 101

Menu Reports ...................................................................................................................................... 102

Menu Nodes ........................................................................................................................................ 103

Search .................................................................................................................................................. 103

Menu Users ......................................................................................................................................... 104

Menu Configuration ............................................................................................................................ 106

CAPTIVE PORTAL TROUBLESHOOTING ..................................................................................................... 107


Figura 1 - Tela de Boas Vindas ................................................................................................. 13

Figura 2 - Definindo senha de administrador .......................................................................... 14

Figura 3 - Opções de particionamento de disco ...................................................................... 14

Figura 4 - Formatando .............................................................................................................. 15

Figura 5 - Instalação de pacotes .............................................................................................. 15

Figura 6 - Execução de scripts de pós-instalação ..................................................................... 16

Figura 7 - Configuração do Domínio ........................................................................................ 16

Figura 8 - tela de configuração de acesso exclusivo ao A3S .................................................... 17

Figura 9 - Tela de configuração de acesso exclusivo ao A3S ................................................... 18

Figura 10 - Confirmar a operação ............................................................................................ 18

Figura 11 - Tela de login ........................................................................................................... 18

Figura 12 - Tela de login do A3S ............................................................................................... 19

Figura 13 - Alteração de senha SSH ......................................................................................... 20

Figura 14 - Alteração de senha Webgui ................................................................................... 20

Figura 15- Perfil - Alteração de senha Webgui ........................................................................ 20

Figura 16 - Menus do A3S ........................................................................................................ 21

Figura 17 - Painel ...................................................................................................................... 21

Figura 18 - Lista de usuários ..................................................................................................... 22

Figura 19 - Gerenciamento de perfil de acesso. ...................................................................... 22

Figura 20 - Aker SSO ................................................................................................................. 23

Figura 21 - Lista de Escopos ..................................................................................................... 24

Figura 22 - Lista de Firewalls .................................................................................................... 24

Figura 23 - Captive Portal ......................................................................................................... 25

Figura 24 - Janela de Administração do Captive Portal ........................................................... 25

Figura 25 - Menu Administração .............................................................................................. 26

Figura 26 - Tipo de Autenticação ............................................................................................. 26

Figura 27 - Autenticação do tipo LDAP .................................................................................... 27

Figura 28 - Aba Servidores NTP ................................................................................................ 27

Figura 29 - Configurações de rede ........................................................................................... 28

Figura 30 - Menu Ajuda ............................................................................................................ 29

Figura 31 - Sobre ...................................................................................................................... 30


Figura 32 - Opções de idioma .................................................................................................. 30

Figura 33 - Comando para restauração ................................................................................... 32

Figura 34 - Configuração de envio de e-mail Captive Portal ................................................... 33

Figura 35 - Configuração do Domínio do A3S .......................................................................... 33

Figura 36 - Configuração de acesso exclusivo .......................................................................... 34

Figura 37 - Esquema de implementação ................................................................................. 38

Figura 38 - Event Viewer > Firewall.......................................................................................... 38

Figura 39 - Cadastro de Firewall .............................................................................................. 39

Figura 40 - Configuração da senha no Aker Firewall ............................................................... 39

Figura 41 - Escopos .................................................................................................................. 40

Figura 42 - Aba Configuração - SSO ......................................................................................... 41

Figura 43 - Timeout no Aker Control Center. ........................................................................... 41

Figura 44 - Modelo de configuração de faixas de IP ................................................................ 42

Figura 45 - Aba Servidores AD - SSO ........................................................................................ 43

Figura 46 - Janela de cadastro de AD ....................................................................................... 43

Figura 47 – Visualizando a base DN ......................................................................................... 44

Figura 48 - Visualizando o Bind DN .......................................................................................... 44

Figura 49 -Aba Firewalls - Escopo SSO ..................................................................................... 45

Figura 50 - Configuração no Aker Firewall - Autenticação ...................................................... 47

Figura 51 - Aba Aker Single Sign-On ......................................................................................... 47

Figura 52 - Entidade representando o servidor A3S ................................................................ 48

Figura 53 - Esquema de implementação do Captive Portal ..................................................... 56

Figura 54 - Regras gerais .......................................................................................................... 57

Figura 55 - Filtro web ............................................................................................................... 59

Figura 56 - Filtro Web Aba Geral .............................................................................................. 59

Figura 57 - Aba Autenticação Captive Portal ........................................................................... 60

Figura 58 - A3S > Captive Portal ............................................................................................... 62

Figura 59 - Tela de Login da Interface de Gerenciamento do Captive Portal .......................... 62

Figura 60 - Página Inicial .......................................................................................................... 63

Figura 61 - AD cadastrado em Sources .................................................................................... 65

Figura 62 - Role com o DN dos grupos ..................................................................................... 65

Figura 63 - Roles atribuídos a fonte de Autenticação - AD testes.aker ................................... 66

Figura 64 - Criação de Rule ...................................................................................................... 67


Figura 65 - Atribuição de Roles no cadastro de Firewall dentro do Captive Portal ................. 67

Figura 66 - Autenticação Aker Firewall .................................................................................... 67

Figura 67 - Roles ....................................................................................................................... 68

Figura 68 - Roles ....................................................................................................................... 68

Figura 69 - Quantidade de dispositivos por usuários .............................................................. 69

Figura 70 - Fontes de autenticação Internas ........................................................................... 69

Figura 71 - Configuração Captive e Aker Firewall .................................................................... 70

Figura 72 - Cadastro de AD ...................................................................................................... 71

Figura 73 - Identificando base DN ............................................................................................ 72

Figura 74 - Identificando Bind DN ............................................................................................ 73

Figura 75 – Regra para o AD ..................................................................................................... 73

Figura 76 - Validação de conexão ............................................................................................ 74

Figura 77 - Autenticação estabelecida com sucesso ............................................................... 74

Figura 78 - Fontes de autenticação Externas ........................................................................... 75

Figura 79 - Configurando fonte de autenticação do tipo mídia social .................................... 77

Figura 80 - Regra para autenticação por mídias externas ....................................................... 78

Figura 81 - Tela de Registro de Convidado .............................................................................. 79

Figura 82 - Configuração padrão de envio de e-mail Captive Portal ....................................... 80

Figura 83 - Source Email e Sponsor atribuídas ao Portal Profile ............................................. 80

Figura 84 - Registro por e-mail. ................................................................................................ 81

Figura 85 - Registro através de um patrocinador .................................................................... 82

Figura 86 - Criação de usuários locais no Captive Portal ......................................................... 82

Figura 87 -Janela de criação de usuários local ......................................................................... 83

Figura 88 – Fontes de autenticação exclusivas ........................................................................ 84

Figura 89 – Registro de usuários locais .................................................................................... 85

Figura 90 - Portal Profiles aba settings .................................................................................... 86

Figura 91 - Portal Profiles aba Captive Portal .......................................................................... 87

Figura 92 - Portal Profiles aba Files .......................................................................................... 88

Figura 93 - Access duration ...................................................................................................... 91

Figura 94 - Cadastro de Firewall no A3S .................................................................................. 92

Figura 95 - Cadastrando o Aker Firewall no Captive Portal ..................................................... 93

Figura 96 - Tela de Login do Captive Portal ............................................................................. 95

Figura 97 - Tela de registro ...................................................................................................... 96


Figura 98 - Acesso à Rede Solicitado ........................................................................................ 96

Figura 99 - Registro por meio de Mídias sociais ...................................................................... 97

Figura 100 - Página de login Facebook .................................................................................... 98

Figura 101 - Página do login Google ........................................................................................ 99

Figura 102 - Ativação de rede .................................................................................................. 99

Figura 103 - Menus do Captive Portal.................................................................................... 101

Figura 104 - Aba Dashboard ................................................................................................... 101

Figura 105 - Aba Services ....................................................................................................... 102

Figura 106 - Menu Reports .................................................................................................... 102

Figura 107 - Menu Nodes _Search ......................................................................................... 103

Figura 108 - Filtragem ............................................................................................................ 103

Figura 109 - Menu Nodes_Create .......................................................................................... 104

Figura 110 - Menu Users ........................................................................................................ 105

Figura 111 – Exclusão de usuário ........................................................................................... 106

Figura 112 - monitoramento de logs do Captive Portal ........................................................ 109


Seja bem-vindo ao manual do A3S

Como está disposto este manual

Este manual é organizado em vários capítulos e cada capítulo mostra um aspecto de configuração do

produto e todas as informações relevantes ao aspecto tratado.

Este guia foi criado com o objetivo de auxiliar engenheiros, gerentes dos produtos e especialistas de

rede a instalar, configurar e entender as funcionalidades do A3S.

Todos os capítulos começam com uma introdução teórica sobre o tema a ser tratado seguido dos

aspectos específicos de configuração do A3S. Juntamente com esta introdução teórica, alguns módulos

possuem exemplos práticos do uso do serviço a ser configurado, em situações hipotéticas, porém, bastante

plausíveis. Buscamos, com isso, tornar o entendimento das diversas variáveis de configuração o mais simples

possível.

Recomendamos que este manual seja lido na ordem apresentada pelo menos, uma vez por inteiro, na ordem

apresentada. Posteriormente, se for necessário, é possível utilizá-lo como fonte de referência.

Para facilitar o seu uso como referência, os capítulos estão divididos em tópicos, com acesso

imediato pelo índice principal. Desta forma, acha-se facilmente a informação desejada.

No decorrer deste manual, aparecerá o símbolo seguido de uma frase escrita em letras

vermelhas. Isto significa que a frase em questão é uma observação muito importante e deve ser totalmente

entendida antes que se prossiga com a leitura do capítulo.

Terminologias e conceitos

Oauth – Protocolo de segurança utilizado para fazer a comunicação com as mídias

sociais suportadas pelo Captive Portal.

Field - Campo que armazena as informações do usuário como: Nome, Sobrenome, E-

mail, Endereço e etc.

Tag - Campo que armazena permissões de acesso administrativo a outros sistemas

ou flags para um objetivo específico.

Provider - Mecanismo de autenticação e autorização de acesso. Normalmente adici-

ona entradas às interfaces administrativas e do usuário.


Provider ID - Identificação fornecida durante uma autenticação com o A3S, que

combinada com o Provider, identifica uma conta de usuário associada.

Endpoint - A URL que expõe a API do A3S.

Portal Profile – Portal de acesso atribuído às redes do Captive Portal.

API Key - ID em forma numérica ou string usada na comunicação do Captive Portal

com as fontes de autenticação externas do tipo redes sociais.

API Secret - Segredo, token, senha utilizada na encriptação dos dados enviados. A

API secret é armazenada com a API key e ambas são utilizadas na comunicação do

Captive Portal com as fontes de autenticação externas do tipo redes sociais.

Source - Sources são as fontes de autenticação que serão utilizadas para autenticar

os usuários das redes gerenciadas pelo Captive Portal.

Role - Roles representam as regras aplicadas aos dispositivos das redes gerenciadas

pelo Captive Portal, e definem o número limite de dispositivos que cada usuário po-

derá autenticar na rede.

Node – Nodes são os dispositivos conectados ao Captive Portal.

Base DN – Ponto inicial da hierarquia do Active Directory que será usado na procura

e solicitação de autenticação com o AD.

Exemplo: CN=Users,DC=seudominio,DC=com,DC=br

Bind DN - É o usuário (usuário com privilégios para efetuar procura por outros usuá-

rios ou em outros servidores) que será utilizado na procura e solicitação de autenti-

cação com o AD(s).

Exemplo:CN=Administrador,CN=Users,DC=meudominio,DC=com,DC=br

MAC Address– Media Access Control, é o endereço físico associado à interface de

comunicação dos dispositivos conectados ao A3S. Exemplo: 00:19:B9:FB:E2:58

Username Attribute – Atributo de pesquisa utilizado para identificar usuários no AD.

O atributo comumente utilizado é o “sAMAcountName”.

WMI - Instrumento de gerenciamento do Windows (Windows Management

Instrumentation) é a implementação da Microsoft, como uma iniciativa da indústria

que visa estabelecer padrões para acessar e compartilhar informações de gerencia-

mento por meio de uma rede empresarial. O WMI pode ser usado pelas ferramentas

de gerenciamento do computador para ajudar a gerenciar seus computadores.


Este capítulo aborda o procedimento de instalação e os requisitos do sistema do A3S.

O A3S é uma central de autenticação unificada baseada no sistema operacional “Cent OS 6” que, por

meio de uma Interface Web simples e intuitiva, permite o gerenciamento do Aker Single Sign-On e Captive

Portal (by Packetfence), em conjunto com o Aker Firewall. Essas duas ferramentas são fundamentais para o

cumprimento do Marco Civil da Internet.

A seguir, mais detalhes sobre os requisitos e a instalação do produto.

O A3S pode ser instalado a partir de diversos tipos de mídias, desde que a BIOS da máquina permita.

Requisitos para o A3S

Para que o A3S funcione de maneira satisfatória recomenda-se que os requisitos abaixo sejam

atendidos:

Requisitos mínimos - Processador Intel ou AMD CPU 3Ghz (4 cores), 4 GB de RAM,

100 GB

Recomendado - Processador Intel I7 (4 cores) ou superior, 8GB de RAM, 100 GB

Homologado na plataforma VMware VSphere Versão 5.5 e 6.0.


Instalação A seguir, o passo a passo do procedimento instalação do A3S.

O instalador do A3S está disponível para download em: A3S installer

Ao iniciar a instalação do A3S será exibida a tela de boas-vindas. Selecione a

opção “Instalar”:

Figura 1 - Tela de Boas Vindas

Em seguida, será exibida a tela de definição de senha de acesso para a conta de administrador do

A3S (ROOT). Defina a senha e pressione a tecla Enter.

Esta senha será solicitada para gerenciar o A3S pela interface de texto.

http://download.aker.com.br/index.php?path=prod%2Fcurrent%2Fservidor%2Fa3s/


Figura 2 - Definindo senha de administrador

Em seguida, selecione o tipo de particionamento e em qual disco que a instalação será efetuada, e

pressione a tecla Enter.

Figura 3 - Opções de particionamento de disco

Aguarde até que o processo de instalação seja concluído e a tela de login seja exibida.


Figura 4 - Formatando

Figura 5 - Instalação de pacotes


Figura 6 - Execução de scripts de pós-instalação

Após a execução dos scripts, a tela de configuração de Hostname e Domínio do A3S será exibida.

Preencha os campos corretamente e prossiga para o próximo passo.

Esta configuração também pode ser aplicada por meio da linha de comando (comando: a3s-config-

Hostname-domain). Para mais informações sobre os comandos disponíveis no A3S, clique aqui.

Figura 7 - Configuração do Domínio

Caso o administrador opte por não configurar o Hostname e Domínio da máquina, serão utilizados os

padrões: akersinglesignon.aker.com.br


Em seguida, a tela de configuração de rede será exibida. Insira o endereço IP, máscara, gateway e

endereços DNS, e selecione OK. Nesta janela os campos de endereço IP e máscara são mandatórios.

a3s

Em seguida, a tela de configuração de acesso exclusivo ao A3S será exibida. Selecione “Sim” para

selecionar as redes que poderão acessar a interface de gerenciamento do A3S, ou selecione “Não” para

prosseguir para o próximo passo.

É recomendado que pelo menos uma rede seja definida nesta configuração.

Figura 8 - tela de configuração de acesso exclusivo ao A3S

Defina as redes e respectivas máscaras, que terão permissão de acesso à interface de gerenciamento

do A3S e pressione Enter.

Esta configuração também pode ser aplicada por meio da linha de comando (comando: a3s-config-

access). Para mais informações sobre os comandos disponíveis para o A3S, clique aqui.


Figura 9 - Tela de configuração de acesso exclusivo ao A3S

Confirme a configuração selecionando “Sim”.

Figura 10 - Confirmar a operação

Ao confirmar a configuração, o sistema será reiniciado e a tela de login exibida.

Figura 11 - Tela de login

Ao concluir a instalação, a máquina será reiniciada e a tela de login será exibida.

Login: root

Senha: definida na instalação.


Para informações sobre as configurações do Aker Single Sign-On clique aqui.

Para informações sobre as configurações do Captive Portal clique aqui.

Gerenciamento do A3S Este tópico apresenta uma breve apresentação dos menus e opções da interface de gerenciamento

do A3S.

Primeiro Acesso à Interface de gerenciamento web do A3S Ao concluir a instalação do A3S, acesse o IP definido na instalação na “porta 1442”.

A tela de login será exibida a seguir:

Figura 12 - Tela de login do A3S

Utilize as credencias abaixo para efetuar o primeiro acesso.

*Interface web

Usuário: admin

Senha: 123456


*SSH

Usuário: root

Senha: definida na instalação

Recomenda-se que estas senhas sejam alteradas no primeiro acesso, para isso, siga os passos descritos abaixo:

Para alterar a senha de acesso da interface de texto, utilize o comando abaixo:

Execute o comando “passwd root”, em seguida insira a nova senha.

Figura 13 - Alteração de senha SSH

Para efetuar a alteração de senha da interface de gerenciamento web, clique em “Perfil”, localizado

no canto superior direito da tela e modifique sua senha.

Figura 14 - Alteração de senha Webgui

Figura 15- Perfil - Alteração de senha Webgui


O A3S possui 6 (seis) menus principais que permitem ao administrador acesso rápido às informações

de usuários e a aplicação e definição dos parâmetros de configurações do Aker Single Sign-On e Captive

Portal. A seguir, mais informações sobre estes menus.

Figura 16 - Menus do A3S

Painel

O menu Painel do A3S exibe as informações dos usuários autenticados por meio do Aker Single Sign-

On. Nesta janela são exibidos: Login, IP, data e hora, grupos, Domínio, servidor de AD, tipo de autenticação

utilizada e logon ID dos usuários.

Figura 17 - Painel


Usuários O menu Usuários exibe informações dos usuários administradores do A3S. Por meio desta janela, é

possível visualizar todos os usuários administradores, editar, excluir ou cadastrar um novo usuário.

Figura 18 - Lista de usuários

Também é possível gerenciar o perfil do usuário que está conectado por meio do ícone ,

localizado na parte superior direita da tela.

Figura 19 - Gerenciamento de perfil de acesso.


Aker SSO

O menu Aker SSO (Aker Single Sign-On) possui dois módulos de configuração que permitem

configurar os escopos que definem os parâmetros de configurações do Aker Single Sign-On, e efetuar o

cadastro de Firewalls, os quais serão vinculados aos escopos para efetuar a autenticação dos usuários das

redes que utilizam o serviço de diretório da Microsoft “Active Directory (AD)” de forma transparente no Aker

Firewall.

Para mais informações sobre o cadastro de escopos clique aqui.

A seguir, mais detalhes sobre estes módulos.

Figura 20 - Aker SSO

Escopos

Por meio desta janela, o administrador pode definir os escopos contendo as configurações de

funcionamento do Aker Single Sign-On, como: Faixas de IPs que serão monitoradas por meio das consultas

utilizando o Visualizador de Eventos do Windows ou Polling, cadastro de Servidores de AD, Whitelist/Blacklist,

usuário WMI que será utilizado na consulta e vínculo de Firewalls. A seguir, mais detalhes sobre estas

configurações.


Figura 21 - Lista de Escopos

Firewall

Por meio desta janela, o administrador pode cadastrar Firewalls que receberão os usuários das redes

que utilizam o serviço de diretório da Microsoft “Active Directory (AD)” para efetuar a autenticação

transparente.

Figura 22 - Lista de Firewalls

Para mais informações sobre o cadastro de Firewalls no Aker Single Sign-On clique aqui.


Captive Portal

Por meio deste menu é possível configurar os parâmetros do Captive Portal, uma solução de controle

de acesso (baseado no PacketFence) desenvolvida para gerenciar e controlar redes específicas, que

proporciona altos níveis de segurança devido à integração com o Aker Firewall, além de reduzir custos de TI

com a automatização do registro de usuários e auxiliar empresas no cumprimento dos requisitos do Marco

Civil da Internet (Lei nº 12.965, de 23 de abril de 2014).

O Packetfence é um projeto Open Source de um Network Access Controller. O Packetfence pode ser

utilizado como um Portal de Autenticação para o Aker Firewall e o Aker Firewall também pode ser

integrado com o Packet Fence, quando ele for utilizado como um NAC (Network Access Controller).

Para mais informações sobre as configurações e módulos do Captive Portal clique aqui.

Figura 23 - Captive Portal

Figura 24 - Janela de Administração do Captive Portal


Administração

O menu Administração possui três módulos de configuração que permitem definir os parâmetros de

configuração de autenticação no A3S, parâmetros NTP (Network Time Protocol), e parâmetros de

configuração das interfaces de rede.

Figura 25 - Menu Administração

Autenticação

Por meio desta janela, é definido o método de autenticação da interface de administração web do

A3S. As opções disponíveis são: Local e LDAP.

Figura 26 - Tipo de Autenticação

https://en.wikipedia.org/wiki/Network_Time_Protocol


Local: ao selecionar este método, apenas usuários cadastrados no menu Usuários do A3S poderão

acessar a interface de gerenciamento web. Estes usuários são armazenados no próprio banco de dados do

A3S.

LDAP: ao selecionar este método, usuários autenticados por meio de um servidor LDAP terão

permissão para se autenticar à interface de gerenciamento web do A3S.

Para que os usuários LDAP tenham permissões de administrador, é necessário que tal permissão seja

atribuída ao mesmo. Esta permissão deve ser fornecida por meio de um usuário administrador LOCAL.

Figura 27 - Autenticação do tipo LDAP

NTP

Por meio desta janela, o administrador pode definir os servidores NTP (Network Time Protocol) do

A3S.

Figura 28 - Aba Servidores NTP

https://en.wikipedia.org/wiki/Network_Time_Protocol


É recomendado que o NTP do servidor A3S esteja sincronizado com NTP dos Servidores AD, os quais

terão seus usuários autenticados no Aker Firewall de forma transparente por meio do Aker Single Sign-

On.

Rede

Por meio desta janela, é possível visualizar e modificar configurações de rede do A3S, como:

Interfaces de Rede, Rota Padrão e Servidores DNS.

Ressaltando que estas configurações são definidas na instalação do A3S.

Recomenda-se que todas as alterações de rede referentes ao Captive Portal e Aker Single Sign-On

sejam efetuadas por meio da interface de gerenciamento de rede do A3S.

Figura 29 - Configurações de rede


Ajuda

O menu Ajuda fornece links de fácil acesso a imagens e pacotes do A3S, acesso ao Fórum da Aker e a

versão do A3S.

Figura 30 - Menu Ajuda

http://www.aker.com.br/forum/


Figura 31 - Sobre

Opções de Idioma da Interface de Gerenciamento Web

O A3S oferece duas opções de idioma em sua interface de gerenciamento web. As opções disponíveis

são: Português e Inglês.

O botão de alteração de idioma fica localizado na parte superior direita da tela.

Figura 32 - Opções de idioma


Lista de comandos disponíveis para a interface de texto do A3S

A seguir, serão listados os comandos do A3S disponíveis para a interface de texto.

Comando “a3s”

Por meio deste comando é efetuado o processo de backup e restauração do A3S.

Seguem os comandos disponíveis:

A3S

backup → Realiza o backup de todas as configurações

restore: → Realiza a restauração de todas as configurações backup

backup:a3s → Realiza o backup das configurações do Aker Single Sign-On

backup: packetfence → Realiza o backup das configurações do Captive Portal e sua base de dados restore

restore: a3s → Realiza a restauração do A3S

restore:packetfence → Realiza a restauração do Packet Fence

Efetuando o backup do A3S:

a3s backup (nome do backup)

Efetuando a restauração do A3S:

→a3s restore (nome do backup salvo)


Figura 33 - Comando para restauração

Ao aplicar a restauração, o sistema será reiniciado.

Comando “a3sc-config-email”

Este comando configura o envio de e-mails do A3S relacionados ao auto registro de usuários do

Captive Portal. Por padrão, os e-mails são enviados pela porta 25, contudo, alguns servidores de e-mail

requerem autenticação e a utilização de uma porta específica.

Esta configuração é necessária para efetuar o registro de usuários do Captive Portal de forma

automatizada, pelas opções “Registro por E-mail e Registro por patrocinador”.

Para monitorar os logs referentes ao envio de e-mails utilize o comando abaixo na

interface de texto do A3S: tail -f /var/log/maillog

Quando o sistema de alerta do Captive Portal não for configurado, a seguinte configuração padrão do

sistema será utilizada:

Porta de envio utilizada: 25

Remetente: root@servidor+nome-do-dominio ([email protected])

Servidor SMTP: Localhost

Para alterar os parâmetros acima acesse: A3S > Menu Captive Portal > Configuration > Alerting


Figura 34 - Configuração de envio de e-mail Captive Portal

Exemplo de utilização do comando a3sc-config-email:

a3sc-config-email <Servidor SMTP> <Porta> <Nome de usuário> <Senha>

a3sc-config-email smtp.provedor.com 587 usuario@provedor 123456

Comando “a3sc-config-Hostname-domain”

Este comando permite configurar o Hostname e Domínio do A3S. Esta configuração é exibida na

instalação, contudo, caso o administrador opte por pular estes processo na instalação, é possível efetuar a

configuração posteriormente, por meio deste comando.

Definindo o Hostname e Domínio do A3S:

Execute o comando “a3sc-config-Hostname-domain”, em seguida a tela abaixo será exibida.

Insira o Hostname e Domínio desejados e aplique a configuração:

Figura 35 - Configuração do Domínio do A3S


Comando “a3s-config-access”

Por meio deste comando, o administrador pode definir as redes que terão acesso exclusivo à

interface de gerenciamento do A3S (interface web e texto).

Definindo o acesso à interface de gerenciamento do A3S:

Execute o comando “a3s-config-access”, em seguida, insira as redes que terão permissão para

acessar a interface de gerenciamento do A3S. Ao concluir, aplique a configuração por meio da opção

“Aceitar”.

Figura 36 - Configuração de acesso exclusivo


Maior flexibilidade de acesso para usuários do Aker Firewall com alto nível de segurança e gerencia-

mento de acesso.

O Aker Single Sign-On (login único) é uma central de autenticação de múltiplos usuários, que

dispensa a instalação de softwares nas estações dos usuários da rede. O Aker Single Sign-On autentica os

usuários no Aker Firewall de forma transparente por meio de uma única autenticação, descartando a

necessidade de utilizar credenciais de acesso ao Aker Firewall de tempos em tempos, proporcionando maior

segurança aos dados de autenticação, aumentando a produtividade e reduzindo a sobrecarga de senhas.

O Aker Single Sign-On autentica usuários de uma rede Microsoft com Active Directory (versões

suportadas do Windows Server 2008, 2012 e 2016) de forma transparente, utilizando o protocolo WMI

(Instrumentação de gerenciamento do Windows) LDAP (Lightweight Directory Access Protocol), permitindo a

aplicação de: Políticas, Filtragem Web, Filtragem de Aplicativos, Regras de Filtragem nos Perfis e demais

funcionalidades do Aker Firewall.

Como funciona:

Aker Single Sign-On funciona de duas maneiras:

Efetua consultas utilizando o protocolo WMI (Instrumentação de Gerenciamento do

Windows), identifica usuários por meio dos eventos de autenticação nos logs dos

servidores AD (Log de evento de segurança Windows ID 4624). Ao concluir a busca,

encaminha as informações para o Aker Firewall.

Efetua consultas utilizando o método Polling (checagem contínua) nas estações de

trabalho, identificando o usuário que está autenticado. O protocolo utilizado é o

WMI (Instrumentação de Gerenciamento do Windows).

O Aker SSO não oferece suporte aos ambientes virtualizados como Microsoft Terminal Service e Citrix. Para estes

ambientes, recomenda-se o uso do Aker Client.

https://technet.microsoft.com/pt-br/library/cc787057(v=ws.10).aspx

https://pt.wikipedia.org/wiki/LDAP




Benefícios:

Redução de “Password fatique ou Password overload” (fadiga ou sobrecarga de

senha);

Redução de tempo utilizado na reinserção de senhas;

Redução do custo de TI devido à diminuição de chamados referentes a problemas

com senhas ou nomes de usuários;

Interface de administração simples e intuitiva;

Aumento de segurança;

Rapidez, eficiência e flexibilidade no gerenciamento de acesso;

Configurando o Aker Single Sign-On

A seguir, serão abordados todos os passos de configuração necessários para obter uma implantação

bem sucedida do Aker Single Sign-On.

Premissas

Configurações dos servidores de ADs que serão cadastrados ao Aker Single Sign-On

(informações sobre rede, NTP, LDAP, DNS, informação de grupos e usuários como:

Base DN, Bind DN, senha, permissões de usuários administradores);

Aker Firewall instalado e com configurações básicas (configurações relacionadas ao

Aker Single Sign-On serão descritas a seguir,);

Recomenda-se que os passos descritos a seguir, sejam executados, na ordem apresentada, para

efetuar a configuração do Single Sign-On Server.

Cadastro de Firewall no Aker Single Sign-On;

Cadastro de Escopo (AD) no Aker Single Sign-On;

Habilitando o Aker Single Sign-On no Aker Firewall;

https://en.wikipedia.org/wiki/Password_fatigue


Modelo de implementação do Aker Single Sign-On.

Figura 37 - Esquema de implementação

O primeiro passo recomendado para a configuração do Aker Single Sign-On é o cadastro do Firewall.

Firewall no qual os usuários dos Servidores AD se autenticarão. Na Interface de Gerenciamento Web, acesse

o menu Event Viewer > Firewalls:

Figura 38 - Event Viewer > Firewall


Em seguida, clique no botão “Adicionar Firewall”, localizado na parte superior direita da tela.

Preenchas os campos da janela de Cadastro de Firewall e clique em Salvar.

Figura 39 - Cadastro de Firewall

Nome: nome que representará o Firewall;

IP: IP do Firewall;

Senha: senha de comunicação com o Firewall. Esta senha deve ser inserida na configuração do

Firewall, por meio do módulo Configuração do Firewall > Autenticação>Aba Aker Single Sign-On.

Figura 40 - Configuração da senha no Aker Firewall


Escopos: escopo ao qual o Firewall será atribuído (este campo é preenchido automaticamente ao

inserir um Firewall nos parâmetros de configuração de um Escopo).

Clonar Firewall: cria uma cópia do Firewall desejado.

Ao concluir clique em Salvar.

A mensagem abaixo será exibida no canto superior direito da tela.

Após cadastrar o Firewall, acesse o menu exibido abaixo para criar um escopo e definir as configura-

ções de funcionamento do Aker Single Sign-On, como: Faixa de IPs que serão monitoradas, por meio das

consultas utilizando o Visualizador de Eventos do Windows ou Polling, Servidores de AD, Whitelist/Blacklist,

usuários WMI e vínculo de Firewalls. A seguir, mais detalhes sobre estas configurações.

Menu Event Viewer > Escopos.

Figura 41 - Escopos

Em seguida, clique no botão localizado na parte superior direita da tela.

Os escopos possuem três abas, que serão descritas a seguir:


Nesta aba é realizada a configuração dos métodos de consulta do Aker Single Sign-On: Polling e Event

Viewer (tempo limite de autenticação, intervalo de consulta, conexões simultâneas), e o usuário que será

utilizado nos métodos de consulta do Aker Single Sign-On. A seguir, mais detalhes sobre estas opções.

Figura 42 - Aba Configuração - SSO

Escopo: nome para o escopo em criação;

Timeout de autenticação: tempo limite que os usuários ficarão autenticados pelo Aker Single Sign-

On.

Este parâmetro deve ser o mesmo definido no Aker Firewall, na janela: Configuração do Firewall

> Autenticação > Aba Aker Single Sign-On.

Figura 43 - Timeout no Aker Control Center.

Intervalo de Consulta: intervalo de consulta do Event Viewer e Polling.


Habilitar Polling: habilita ou desabilita a consulta Polling para os servidores AD do escopo;

Conexões simultâneas: define o número de conexões simultâneas que serão efetuadas nas

consultas.

Usuário: usuário com permissões de consulta nos ADs cadastrados no escopo que será utilizado nas

consultas do Polling.

É necessário que este usuário tenha permissão para consultar os logs do AD via WMI,

e também, permissão para realizar consultas via LDAP.

Senha: senha do usuário com permissões de consulta WMI.

Faixa de IPs: faixas de IPs que serão consultadas pelo Aker Single Sign-On. Os IPs segmentados

devem ser inseridos como exibido no exemplo a seguir.

Figura 44 - Modelo de configuração de faixas de IP

Whitelist/Blacklist: define os IPs/redes que entrarão ou não nas consultas, estando ou não dentro

das faixas de IPs. No campo “Whitelist” devem-se inserir os IPs que deverão entrar nas consultas efetuadas

pelo Aker Single Sign-On, estando ou não dentro das faixas de IPs. No campo “Blacklist” devem-se inserir os

IPs que não deverão entrar nas consultas efetuadas pelo Aker Single Sign-On, estando ou não dentro das

faixas de IPs.

Após preencher os campos descritos acima, clique em .

Nesta aba são cadastrados os servidores de AD que terão seus usuários autenticados no Firewall por

meio das consultas efetuadas pelo Aker Single Sign-On. Esta aba exibe os ADs cadastrados para o escopo em

questão, além de permitir adicionar, clonar, editar, ou deletar Servidores AD.


Figura 45 - Aba Servidores AD - SSO

Siga os passos abaixo para adicionar um servidor AD.

Na aba Servidores AD, clique no botão e preencha os campos abaixo:

Figura 46 - Janela de cadastro de AD

Domínio: nome do servidor AD;

Servidor: IP do servidor AD;

Base DN: Base DN na qual a consulta será iniciada, ou seja, ponto inicial da hierarquia do Active

Directory na qual a pesquisa efetuada pelo Aker Single Sign-On será iniciada.


No LDAP, o grupo primário não é incluído como entrada no IADsUser:::Groups Collections, nem faz

parte dos grupos DN (Distinguished Name) do atributo MemberOf. Sendo assim, estes não são exibi-

dos na listagem de grupos do A3S. Devido a esta condição, a autenticação e atribuição de usuários aos

seus respectivos perfis não será efetuada de forma satisfatória. Clique aqui para mais informações.

Homologado para LDAP V3. Recomenda-se que apenas a versão 3 do LDAP seja utilizada no A3S e seus

módulos.

Utilize os comandos abaixo para identificar a Base DN em seu Servidor de AD:

Windows + R

CMD

dsquery user

Figura 47 – Visualizando a base DN

Bind DN: Bind DN é o usuário que será usado na procura e solicitação de autenticação no AD.

Utilize os comandos abaixo para identificar o Bind DN em seu Servidor de AD:

Comando: dsquery user –name “nome do usuário para o bind”

Exemplo: dsquery user –name “administrador”

Figura 48 - Visualizando o Bind DN

https://support.microsoft.com/en-us/kb/321360


Senha: senha de acesso do usuário (Bind DN)

Timeout: tempo limite que o usuário acima ficará conectado.

Atributo grupo: atributo utilizado na autenticação.

Filtro: filtro utilizado na autenticação com o servidor AD.

Porta: porta utilizada na autenticação com o servidor AD. A porta padrão é 389.

Criptografia: criptografia utilizada na autenticação com o servidor AD. As opções disponíveis são: SSL

e Starttls.

Após preencher os campos descritos acima, clique em OK.

Por meio desta aba é realizado o vínculo com o(s) Firewall(s) ao qual os usuários dos Servidores AD

serão autenticados de forma transparente.

Figura 49 -Aba Firewalls - Escopo SSO

Para vincular um ou mais Firewalls ao escopo, siga os passos descritos a seguir:

Na aba Firewalls, clique em e selecione o(s) Firewall(s) que será vinculado ao

Escopo em criação. Ao concluir, clique em Vincular Selecionados.


Conclua a criação do escopo clicando em .

A mensagem abaixo será exibida no canto superior direito da tela.

Estes são os passos necessários no A3S para configurar o Aker Single Sign-On. Ao concluí-los, acesse a

interface remota de gerenciamento do Aker Firewall para concluir a implementação.

Ao concluir as configurações no A3S, relacionadas ao Aker Single Sign-On, é necessário efetuar

algumas configurações no Aker Firewall. As configurações no Aker Firewall podem ser realizadas por meio da

interface remota de gerenciamento do Aker Firewall, a Aker Control Center, ou via interface de texto por

meio do comando “fwaccess”.

Premissas para efetuar as configurações no Aker Firewall:

Ter efetuado as configurações do Aker Single Sign-On no A3S (tópico anterior);

Criar as entidades que representaram as redes que terão seus usuários autenticados

no Aker Firewall, IP do A3S;

Ter cadastrado os autenticadores do tipo LDAP, que serão utilizados para autenticar

os usuários dos servidores ADs cadastrados no Aker Single Sign-On;

Ter criado os Perfis de Acesso para atribuí-los aos usuários autenticados pelo Aker

Single Sign-On;

Ter cadastrado de usuários/grupos que serão autenticados pelos servidores ADs,

cadastrados no Aker Single Sign-On.

Para informações sobre as configurações acima acesse a última versão do manual do Aker

Firewall 6.8.1 em: http://www.aker.com.br/produtos/aker-firewall-utm/manuais/

http://www.aker.com.br/produtos/aker-firewall-utm/manuais/


Habilitando o Aker Single Sign-On via Aker Control Center

Com as premissas descritas acima atendidas, acesse o Aker Firewall via Aker Control Center e siga os

passos descritos a seguir:

No Aker Control Center acesse: Configuração do Firewall > Autenticação > Aba Aker Single Sign-On

Figura 50 - Configuração no Aker Firewall - Autenticação

Figura 51 - Aba Aker Single Sign-On


Preencha os campos desta janela definindo as informações do Aker Single Sign-On. A seguir, mais detalhes

sobre estes campos.

Habilitar autenticação Aker Single Sign-On: habilita a autenticação de usuários no Aker Firewall pelo Aker

Single Sign-On.

Endereço do servidor: entidade que representa o servidor Aker Single Sign-On.

Figura 52 - Entidade representando o servidor A3S

Senha Compartilhada: senha compartilhada entre o Aker Firewall e o servidor Aker Single Sign-On. Esta senha

deve ser a mesma definida na interface de gerenciamento web do Aker Single Sign-On.

Autenticadores: autenticadores LDAP que serão utilizados na autenticação transparente de usuários dos

servidores AD por meio do Aker Single Sign-On.

Sessões de usuários


Perfil padrão: perfil padrão que será atribuído aos usuários autenticados pelo Aker Single Sign-On.

Tempo limite: tempo limite para expiração de sessões dos usuários autenticados pelo Aker Single Sign-On. O

tempo limite pode ser informado em segundos, minutos, horas ou dias, sendo necessário apenas informar o número e a

letra da unidade desejada. Exemplo:

“1s” para 1 segundo;

“1m” para 1 minuto;

“1h” para 1 hora;

“1d” para 1 dia;

Configurando o Aker Single Sign-On via Interface de texto – Comando “fwaccess”

A configuração do Aker Single Sign-On pela Interface de texto é efetuada pelo comando “fwaccess”.

Ao utilizar a interface de texto pela “Console” do Aker Firewall, não é necessário utilizar o prefixo

“fw”. Desta forma, utilize apenas o comando “access” pela console ou “fwaccess” via SSH.

A seguir, mais detalhes sobre os comandos disponíveis para esta configuração.

Aker Firewall - Versão 6.8

Uso do controle de acesso: fwaccess ajuda

fwaccess mostra

fwaccess inclui [usuario | grupo] <pos> <autenticador> <nome> <perfil>

fwaccess inclui_local [usuario | grupo] <pos> <nome> <perfil>

fwaccess lista [usuarios | grupos] <authenticator>

fwaccess lista_local [usuarios | grupos]

fwaccess lista perfis

fwaccess remove <pos>

Uso do Configurador do Aker Single Sign-On:

fwaccess a3s -p <senha> -t <timeout> --acl <perfil padrao> --ip <A3S ip> --auth <autenticadores>

fwaccess a3s --habilita|--desabilita

Os parâmetros para o controle de acesso são:

pos: posição da regra na lista

autenticador: agente remoto que realiza a autenticação

nome: nome do usuário ou grupo que será autenticado

perfil: perfil para usuário ou grupo

Os parâmetros do Aker Single Sign On são:

Password: Senha utilizada para o A3S conectar ao Firewall.

Timeout: Tempo de expiração para as sessões de usuário.


A3S IP: Entidade com o IP da máquina do A3S.

Perfil Padrao: Perfil utilizado quando não usa nenhuma outra regra de acesso.

Autenticadores: Autenticador usado para criar regras de acesso.

Habilita: Habilita esse tipo de autenticação.

Desabilita: Desabilita esse tipo de autenticação.

Regras de Filtragem necessárias para o Aker Single Sign-On A seguir, serão exibidas as portas de serviços necessárias para estabelecer a comunicação entre o

Servidor A3S, ADs e Redes de Usuários para a implementação e configuração do Aker Single Sign-On.

Dos Servidores ADs e Servidor A3S com destino à Internet, libere a porta 123 (NTP).

Entre o Servidor A3S e as redes com permissão de gerenciamento do A3S, é necessário liberar

as portas 1442 e 1443 (portas utilizadas para gerenciar o A3S pela interface de gerenciamen-

to web).

Entre o servidor A3S, Servidores ADs e as redes de usuários, é necessário liberar as portas 123

(NTP – que deve estar sincronizado entre Servidores ADs e Servidor A3S), 53 (DNS), 135 (pro-

tocolo RPC utilizado pelo WMI), e as portas altas TCP de 34000 à 65000 (portas aleatórias

utilizadas pelo RPC).

Exemplo ↓

Aker Single Sign-on Troubleshooting Este tópico descreve possíveis soluções para alguns problemas que os administradores e usuários do

Aker Single Sign-On podem encontrar.

A seguir, serão exibidos alguns comandos que auxiliam na validação de configuração do sistema e

monitoramento.

1 - Onde posso monitorar os logs dos usuários autenticados pelo Aker Single Sign-On?

Na interface de texto do A3S, acesse os arquivos em /var/logs/messages

Exemplos de monitoramentos:

tail -f /var/log/messages |egrep "administrador"

tail -f /var/log/messages |egrep "networkPolling"

tail -f /var/log/messages |egrep "eventViewer"


tail -f /var/log/messages |egrep "eventViewerGroup"

tail -f /var/log/messages |egrep "from authuser"

tail -f /var/log/messages |egrep "Inserindo"

2 - Meus usuários LDAP não se autenticam no pelo Aker Single Sign-On, o Firewall já está

com o Single Sign-On habilitado e propriamente configurado. E o Firewall, também foi cadastrado

na interface de gerenciamento web do A3S.

Valide se a comunicação foi efetivada com sucesso entre o servidor A3S, ADs, e o Aker

FIrewall na porta 389.

Valide se a comunicação foi efetivada com sucesso entre o Aker Firewall e o Servidor A3S na

porta 22.

*Estas conexões são estabelecidas assim que a configuração é efetuada nas duas partes, por

exemplo, no Servidor A3S e no Firewall, ao cadastrar um novo escopo de AD.

Exemplos de comandos para validar a conectividade:

ss -anp |grep :389

Ou

netstat -n |grep 22

Caso AD, redes AD e servidores A3S (servidores NTP devem estar sincronizados entre AD e

A3S) estejam passando pelo firewall, certifique-se de que, nas regras de filtragem, as portas abaixo

estejam liberadas:

389 - AD

123 - NTP

53 - DNS

137/138

135 + portas altas (34000 a 65000) - WMI/ RPC/



Acesso rápido e seguro para visitantes, controle e disponibilidade de recursos, e automatização de

registro de acesso.

O aumento do uso de dispositivos remotos no ambiente corporativo vem estimulando cada vez mais

organizações a disponibilizarem sua rede para acesso à Internet e compartilhamento de recursos com

parceiros, clientes ou outros visitantes. Fato que requer o uso de uma ferramenta (NAC – Network Access

Control) para controlar os aparelhos e usuários conectados à rede.

Com o objetivo de oferecer maior segurança no acesso de visitantes (redes públicas) e outros

usuários, limitar a disponibilidade dos recursos da rede para usuários específicos e oferecer um sistema

automatizado com múltiplas opções de autenticação, a Aker oferece a integração do Aker Firewall com o

Captive Portal, possibilitando a configuração de regras de acesso, bloqueios, aplicação de políticas, e

controle de banda.

O Captive Portal é uma solução de controle de acesso (baseado no PacketFence) desenvolvida para

gerenciar e controlar redes específicas, proporcionando altos níveis de segurança devido à integração com o

Aker Firewall, além de reduzir custos de TI com a automatização do registro de usuários e auxiliar empresas

no cumprimento dos requisitos do Marco Civil da Internet (Lei nº 12.965, de 23 de abril de 2014).

O Packetfence é um projeto Open Source de um Network Access Controller. O Packetfence pode ser

utilizado como um Portal de Autenticação para o Aker Firewall e o Aker Firewall também pode ser

integrado com o Packet Fence, quando ele for utilizado como um NAC (Network Access Controller).

Com o Captive Portal é possível controlar de forma centralizada as redes cabeadas e sem fio,

proporcionando maior segurança e agilidade.

Principais Benefícios:

Maior controle e segurança no acesso à Internet (cabeada ou sem fio) para vi-

sitantes ou um grupo (rede) específico de usuários (configurar regras, permis-

sões e uso de banda para grupo e usuário), aumentando a satisfação e utiliza-

ção dos usuários;

Habilita a limitação de acesso aos recursos da rede da empresa;

Provê rápida autenticação e conectividade para colaboradores e visitantes,

aumentado a produtividade e satisfação dos clientes;

Reduz a propagação de códigos maliciosos como vírus, worms, cavalos de Troia,

Spyware e outras formas de malware;


Permite a aplicação de regras de acesso, bloqueios, aplicação de políticas, e

controle de banda;

Oferece múltiplas opções de autenticação;

Proporciona a automatização de registros de usuários;

Limitação de conexões simultâneas, definindo a quantidade de aces-

sos/dispositivos para cada usuário, ajudando a evitar ataques como, por exem-

plo, DoS (Negação de Serviço);

Melhor controle de banda;

Tempo limite de acesso para usuários e grupos.

Como funciona:

Ao abrir o navegador para acessar a Internet, os usuários das redes que se au-

tenticarem por meio do Captive Portal serão redirecionados para a página de

autenticação para que realizem o login (por meio de um auto registro, integrar-

ção com bases internas ou externas de usuários como: Local, AD, LDAP, Face-

book, Google e etc.).

O Captive Portal suporta vários métodos de autenticação, a seguir, alguns dos principais métodos:

Active Directory

Apache htpasswd file

Email

Facebook (OAuth 2)

Github (OAuth 2)

Google (OAuth 2)

Kerberos

LDAP

LinkedIn (OAuth 2)

Null

RADIUS

SMS

Sponsored Email

Windows Live (OAuth 2)

Primeiros Passos Captive Portal Recomenda-se que os passos descritos a seguir, sejam seguidos na ordem apresentada.

Configuração do Aker Firewall para integração com o Captive Portal

Configuração do Captive Portal para integração com o Aker Firewall


Premissas

Aker Firewall (versão compatível com o Captive Portal > Aker Firewall 6.8.1 ou

posterior) instalado e pronto para receber as configurações de integração com

Captive Portal;

Criar as entidades que representam máquinas/redes e serviços que estão en-

volvidos na configuração do Captive portal. Exemplo: rede(s) que se autentica-

ram utilizando o Captive Portal, redes internas, Servidores AD, Servidores DNS,

serviços HTTP e HTTPS com e sem proxy.

Localização no Aker Control Center: Entidades > Aba Redes/Aba Máquinas/Aba Serviços

Ter cadastrado os autenticadores que serão utilizados para autenticar os usuá-

rios das redes que serão autenticadas pelo Captive Portal. Localização no Aker

Control Center: Entidades > Aba Agentes externos

Ter criado Perfis de acesso para atribui-los aos usuários autenticados pelo Cap-

tive Portal. Localização na Aker Control Center: Configuração do Firewall > Per-

fis


Ter cadastrado os usuários/grupos na aba autenticação do Aker Firewall. Lo-

calização no Aker Control Center: Configuração do Firewall > Autenticação

Para mais informações sobre a instalação do Aker Firewall acesse a última versão do manual em: Manuais

Aker Firewall

Modelo de implementação do Captive Portal

Figura 53 - Esquema de implementação do Captive Portal




Configurando o Aker Firewall para integração com o Captive Portal

O Captive Portal pode ser configurado e habilitado pelas interfaces remotas e de texto do Aker

Firewall. Seguem mais detalhes sobre ambas as configurações a seguir.

Com as premissas descritas acima atendidas, acesse o Aker Control Center no módulo “Configuração

do Firewall > Regras de Filtragem”.

Figura 54 - Regras gerais

Em Regras de Filtragem, crie as seguintes regras, liberando os serviços especificados abaixo:

1. Uma regra com a origem do Servidor A3S com destino à Internet, liberando: DNS

(53), porta que será utilizada para enviar e-mail (25,465 ou 587), HTTP (80) e HTTPS

(443).

2. Uma regra com origem na rede que será autenticada pelo Captive Portal (no exemplo

abaixo, Rede Visitantes), com destino ao servidor A3S, liberando: HTTP (80) e HTTPS

(443).


3. Uma regra com na origem a rede que será autenticada pelo Captive Portal (no exem-

plo abaixo, Rede Visitantes), com destino à Internet, liberando: DNS (53), HTTP (80)

com PROXY, e HTTPS (443) com PROXY.

Caso a Rede que será autenticada pelo Captive Portal for uma rede interna do Firewall, certifique-

se de que existe um NAT, permitindo que os IPs desta rede tenham acesso à Internet.

Ao concluir os passos descritos acima, inicie a habilitação e configuração do Captive Portal.

Mais detalhes a seguir.

Após efetuar as configurações descritas no tópico anterior, na Aker Control Center acesse o módulo

Aplicação > Filtro Web.

Na Aba Geral marque as opções:

Ativar o Filtro Web;

Autenticar usuários WWW;

Forçar autenticação;


Figura 55 - Filtro web

Figura 56 - Filtro Web Aba Geral

Em seguida, continuando no módulo Filtro Web, acesse a aba Autenticação Captive Portal e defina

os parâmetros de configuração do Captive Portal. Mais detalhes sobre os campos desta aba a seguir,.


Figura 57 - Aba Autenticação Captive Portal

Habilitar Autenticação Captive Portal: habilita a autenticação do Captive Portal.

Endereço do servidor: nome ou IP do Captive Portal.

Senha Compartilhada: senha compartilhada entre o Aker Firewall e o Captive Portal.

Rede dos clientes: entidades que representam máquinas/redes que serão gerenciadas pelo Captive Portal.

Autenticadores: autenticadores LDAP que serão utilizados pelo Captive Portal.

Sessões de usuários

Perfil padrão: perfil padrão que será atribuído aos usuários gerenciados pelo Captive Portal.

Tempo limite: tempo limite para expiração de sessões de usuários autenticados pelo Captive Portal. O tempo

limite pode ser informado em segundos, minutos, horas ou dias, sendo necessário apenas informar o número e a letra

da unidade desejada. Exemplo:

“1s” para 1 segundo;

“1m” para 1 minuto;

“1h” para 1 hora;

“1d” para 1 dia;

Oauth2: marque esta opção para permitir o acesso temporário à Internet aos usuários do Captive Portal por

meio de mídias sociais (Facebook, Google, Linkedin, etc.).

Clique em “Aplicar” para finalizar.


Para habilitar/configurar o Captive Portal por meio da interface de texto do Aker Firewall utilize o

comando “fwhttp”.

Para utilizar os comandos de configuração do Captive Portal, é necessário que a Aker Control Center esteja

desconectada do Firewall.

fwhttp: Comando para configurar o modulo de Filtro Web do Aker Firewall.

Uso:

configura [acp | auth]: Configura o Filtro Web.

acp : Configura o Captive Portal:

fwhttp configura acp -u <url> -p <senha> --net <maquina|rede|conjunto> --acl <perfil>

-t <timeout> --auth <autenticador> --com-oauth

-u : Configura o endereço de acesso ao Captive Portal

-p : Configura a senha de comunicação entre o Firewall e o Captive Portal

--net : Configura as entidades redes de acesso dos usuários ao Captive Portal

--acl : Configura o Perfil Padrão de acesso dos usuários

-t : Timeout da sessão dos usuários autenticados

--auth : Configura os autenticadores utilizados para vincular usuários

--com-oauth : Habilita autenticação via Oauth

--sem-oauth : Desabilita autenticação via Oauth

auth : Configura a autenticação www:

fwhttp configura auth <--exige-auth | --nao-exige-auth>

--exige-auth : Configura para a Autenticação ser obrigatória

--nao-exige-auth : Configura para a Autenticação ser opcional

habilita [acp | auth]: Habilita o Filtro Web e seus módulos

desabilita [acp | auth]: Desabilita o Filtro Web e seus módulos

mostra [acp | auth]: Mostra a configuração Filtro Web

acp : Mostra a configuração apenas do Captive Portal


auth : Mostra a configuração apenas da autenticação

ajuda [acp | auth]: Mostra essa ajuda.

acp : Mostra a ajuda especifica do Captive Portal

auth : Mostra a ajuda especifica da autenticação

Configurando o Captive Portal Após efetuar as configurações no Aker Firewall, acesse a Interface de gerenciamento web do A3S,

clique no menu “Captive Portal”.

Figura 58 - A3S > Captive Portal

Em seguida, a tela de login será exibida, utilize o login e senha descritos a seguir,:

Username: admin

Password: 123456

Figura 59 - Tela de Login da Interface de Gerenciamento do Captive Portal

Recomenda-se que o nome de usuário e senha padrão sejam alterados no primeiro acesso.


Figura 60 - Página Inicial

Para que o Captive Portal seja implementado com sucesso, recomenda-se que os parâmetros

descritos abaixo sejam configurados na ordem apresentada:

Roles

Sources

Portal Profiles

Cadastro do Aker Firewall

Roles representam parâmetros de configuração específicos que serão aplicados aos dispositivos das

redes gerenciadas pelo Captive Portal, além de serem utilizados para efetuar a atribuição dos usuários

(método de autenticação interno AD/LDAP/Radius) aos seus respectivos perfis de acesso no Aker Firewall.

Roles são atribuídos às configurações de Sources, Firewalls cadastrados e posteriormente Portal

Profiles, desta forma, é recomendado que Roles sejam criados primeiro. Mais detalhes sobre Sources,

Cadastro de Firewalls e Portal Profiles nos próximos tópicos.

Utilização de Role 1

Roles são utilizados para definir o número de dispositivos que os Usuários/Nodes/Fontes de

autenticação do Captive Portal (Sources) poderão autenticar.


Ao definir o valor “0”, não existirá um número limite de dispositivos, ou seja, ilimitado, o usuário

poderá se autenticar em quantos dispositivos quiser, o que não é recomendado.

Exemplo:

Nome do Role: Padrão > Número máximo de Nodes por usuário > valor “2”

Os Usuários/Nodes/Fontes de autenticação do Captive Portal (Sources) que receberem o Role

acima poderão se autenticar apenas em 2 dispositivos. Exemplo, o usuário “José foi atribuído a Role Padrão”,

e se autenticou em seu notebook e celular. Desta forma, ao tentar se autenticar em um 3º dispositivo José

será bloqueado, pois o número máximo de dispositivos autenticados com o usuário José já foi atingido.

Utilização de Role 2

Para as fontes de autenticação (Sources) internas do Captive Portal (AD/LDAP/RADIUS) os Roles são

extremamente importantes, devido sua utilização na atribuição dos usuários autenticados, por meio de

bases AD/LDAP/RADIUS, nos perfis de acesso do Aker Firewall.

Os DNs dos grupos devem ser separados por pronto e vírgula (;)

As regras exibidas abaixo são mandatórias para a atribuição de usuários aos seus perfis de acesso do

Aker Firewall (por meio das fontes de autenticação internas AD/LDAP/RADIUS).



dos na listagem de grupos do A3S. Devido a esta condição, a autenticação e atribuição de usuários de

grupos primários, aos seus respectivos perfis não será efetuada de forma satisfatória. Clique aqui para

mais informações.


módulos.



Exemplo de utilização de Roles para autenticação utilizando AD/LDAP/RADIUS.

O Administrador do AD “testes. Aker”, habilitou seu AD como uma das fontes de autenticação do

Captive Portal.

Figura 61 - AD cadastrado em Sources

Desta forma, para que os usuários do AD “testes.aker” se autentiquem pelo Captive Portal e sejam

atribuídos aos seus respectivos perfis no Aker Firewall, é necessário a criação de Roles com os DN dos grupos

de usuários do AD.

Figura 62 - Role com o DN dos grupos

Estes Roles devem ser atribuídos à fonte de autenticação (Source) que representa o AD - testes.aker


Figura 63 - Roles atribuídos a fonte de Autenticação - AD testes.aker

Esta atribuição é efetuada por meio da criação de regras (Rule) dentro da configuração da fonte de

autenticação Source.


Figura 64 - Criação de Rule

Também é necessário que estes Roles sejam atribuídos ao Firewall (Local: A3S > Captive Portal >

Configuration > Firewall SSO) que receberá os usuários e os atribuirá aos seus respectivos perfis de acesso.

Figura 65 - Atribuição de Roles no cadastro de Firewall dentro do Captive Portal

Posteriormente, certifique-se que os mesmos grupos de usuários estão cadastrados na janela de

Autenticação do Aker Firewall. Localização na Aker Control Center: Módulo Configuração do Firewall >

Autenticação > Aba Control de Acesso.

Figura 66 - Autenticação Aker Firewall


Cadastro de Role

No A3S clique no menu Captive Portal e navegue até: Menu Configuration> Users> Roles

Figura 67 - Roles

Figura 68 - Roles

Siga os passos descritos a seguir, para adicionar um novo Role:

Clique em Add role

Insira o nome, descrição e defina a quantidade de dispositivos que usuários atribuí-

dos a este Role poderão autenticar no Captive Portal.


Figura 69 - Quantidade de dispositivos por usuários

Sources são as fontes de autenticação que serão utilizadas para autenticar os usuários das redes

gerenciadas pelo Captive Portal. Cada fonte de autenticação possui seu próprio conjunto de regras,

condições e ações, que serão definidas pelo administrador.

As fontes de autenticação (Sources) devem ser atribuídas posteriormente aos Perfis de acesso do

Captive Portal para que os usuários possam se autenticar por meio das mesmas.

O Captive Portal suporta fontes de autenticação: local, internas, externas ou exclusivas.

A seguir, mais detalhes sobre as fontes de autenticação suportadas pelo Captive Portal e alguns

exemplos de configurações.

O Captive Portal suporta as fontes de autenticação internas do tipo: AD, Chained, Htpasswd, http,

Kerberos, LDAP, RADIUS.

Figura 70 - Fontes de autenticação Internas


Cadastro de fonte de autenticação do tipo AD

Para cadastrar uma fonte de autenticação do tipo AD, navegue até o menu “Configuration >

Sources> User Sources > Add Source > Internal > AD” e preencha os campos descritos a seguir:

Para que a integração do Captive Portal e Aker Firewall seja efetuada com sucesso, garantindo o

funcionamento satisfatório da autenticação dos usuários de fontes de autenticação internas do tipo

AD/LDAP/RADIUS, é necessário que as configurações da janela de cadastro de AD/LDAP/RADIUS te-

nham as mesma configurações que as entidades que representam estes servidores no Aker Firewall.



dos na listagem de grupos do A3S. Devido a esta condição, a autenticação e atribuição de usuários de

grupos primários aos seus respectivos perfis não será efetuada de forma satisfatória. Clique aqui para

mais informações.


módulos.

Figura 71 - Configuração Captive e Aker Firewall



Figura 72 - Cadastro de AD

Name: nome do servidor (este nome deve ser o mesmo nome atribuído ao servidor de AD).

Description: descrição para o servidor de AD.

Host: IP do servidor, porta e tipo de criptografia que será utilizada na autenticação: SSL, Start TLS ou

nenhuma.

Connection Timeout: período de tempo definido em segundos que o Captive Portal espera a

resposta do Servidor.

Base DN: Base DN é o ponto inicial da hierarquia do Active Directory na qual a busca será iniciada.

Utilize os comandos abaixo para identificar a Base DN em seu Servidor de AD:

Windows + R

CMD

dsquery user –name (nome de um usuário, recomenda-se o Administrador)


Figura 73 - Identificando base DN

Base DN no exemplo acima: CN=Users,DC=testes,DC=aker

No exemplo acima, o usuário “Administrador” está dentro de “Users”, que está dentro do Domínio “tes-

tes.aker”. Desta forma, a pesquisa será iniciada no grupo “User”, pegando todos usuários do grupo.

Scope: define o âmbito da procura. As opções disponíveis são:

Base Object: limita a procura para apenas a base de objeto.

One-Level: procura em um nível imediato, excluindo a base de objeto.

Subtree: procura em toda a sub-árvore, incluindo todos os níveis filhos e a própria base de

objeto.

Children: limita a procura para apenas os níveis filhos.

Username Attribute: atributo de usuário que será utilizado na autenticação com o AD.

Exemplo: SamAccountName, Userprincipalname, etc.

Bind DN: Bind DN é o usuário que será usado na procura e solicitação de autenticação no AD.

Utilize os comandos abaixo para identificar o Bind DN em seu Servidor de AD:

Comando: dsquery user –name “nome do usuário”

Exemplo: dsquery user –name “Administador”


Figura 74 - Identificando Bind DN

Cache match: Armazena os resultados de pesquisas efetuadas nas regras da Fonte de autenticação

(Sources) em questão, aumentando a velocidade de atribuição dos usuários a seus respectivos Roles, e

posteriormente em seus respectivos perfis no Aker Firewall.

Password: senha de acesso utilizada na autenticação.

Use stripped username: usa nomes de usuários (stripped username) retornados por RADIUS para

testar as regras da Fonte de autenticação (Sources) em questão.

Clique em Save e prossiga para o próximo passo.

Em seguida, clique em Rule (parte inferior direita da página) e crie uma regra para a atribuir os

usuários do(s) AD(s) em seus respectivos perfis do Aker Firewall. Segue um modelo.

Figura 75 – Regra para o AD


Ao cadastrar uma regra para fontes de autenticação AD/LDAP/RADIUS, certifique-se que o DN do(s)

grupo(s) de usuário(s) que se autenticaram por meio desta fonte de autenticação esteja separado por “ponto

e vírgula (;)”, como exibido na imagem acima.

Para mais informações sobre Roles clique aqui.

Ao concluir valide se a conexão com o AD foi estabelecida com sucesso.

Para validar clique em Teste.

Figura 76 - Validação de conexão

Em seguida, visualize a mensagem que será exibida no topo da página com o estado da autenticação.

Figura 77 - Autenticação estabelecida com sucesso


O Captive Portal suporta as seguintes fontes de autenticação externas: E-mail, Facebook, Github,

Google, Linkedin, SMS, SponsorEmail, Twitter e WindowsLive.

Figura 78 - Fontes de autenticação Externas

Cadastro de fontes de autenticação externas - Mídias Sociais (Facebook, Microsoft, Linkedin, etc.)

Para habilitar a autenticação por meio de mídias sociais é necessário criar um app na mídia social

desejada. Ao obter a chave acesse o Captive Portal para configurar a source externa que representará a mídia

social desejada.

Configuration> Sources > ADD > External Source.

Google: Para habilitar a autenticação pelo Google registre-se:

http://code.google.com/apis/console.

Certifique-se de que o campo “Redirect URI” possui a URL de seu portal (ex:

https://meuPortalCaptive/oauth2/google) e adicione seguintes Domínios autorizados: *.google.com, *.google.ca,

*.google.br, *.gstatic.com, *.googleapis.com, *.accounts.youtube.com

Mais informações sobre como configurar um app no Google aqui.

Ao obter os dados do aplicativo (API ID, API Secret e etc.) acesse A3S > Captive > Sources, e crie sua

nova fonte de autenticação externa.

Facebook: Para habilitar a autenticação pelo Facebook registre-se em:

https://developers.facebook.com/apps


https://meuPortalCaptive/oauth2/facebook) e adicione seguintes Domínios autorizados: *.facebook.com,

*.fbcdn.net, *.akamaihd.net

http://code.google.com/apis/console

https://meuportalcaptive/oauth2/google

https://auth0.com/docs/connections/social/google

https://developers.facebook.com/apps

https://meuportalcaptive/oauth2/facebook


Mais informações sobre como configurar um app no Facebook aqui.



Github: Para habilitar a autenticação pelo Github registre-se em:

https://github.com/settings/applications.


https://meuPortalCaptive/oauth2/github).

Mais informações sobre como configurar um app no Github aqui



Linkedin: Para habilitar a autenticação pelo Linkedin registre-se em:

https://developer.linkedin.com/.


https://meuPortalCaptive/oauth2/linkedin).

Mais informações sobre como configurar um app no Linkedin aqui.



Windows Live: Para habilitar a autenticação pelo Windows Live registre-se em:

https://account.live.com/developers/applications


https://meuPortalCaptive/oauth2/windowslive).

Mais informações sobre como configurar um app no Windows Live aqui.



Cabe ressaltar que o procedimento é efetuado nas próprias mídias sociais, e pode ser alterado.

Após a criação da nova fonte de autenticação, certifique-se de que as fontes que representam a mídias sociais

desejadas estejam selecionadas no Portal Profile de sua rede, para que as mesmas sejam disponibilizadas para

autenticação dos usuários.

Para validar esta configuração acesse: Configuration > Portal Profiles > clique no portal desejado e insira a nova

fonte de autenticação em Sources.

https://auth0.com/docs/connections/social/facebook

https://github.com/settings/applications

https://meuportalcaptive/oauth2/github

https://developer.github.com/guides/basics-of-authentication/

https://github.com/settings/applications

https://meuportalcaptive/oauth2/linkedin

https://developer.linkedin.com/docs/oauth2

https://account.live.com/developers/applications

https://meuportalcaptive/oauth2/windowslive

https://msdn.microsoft.com/en-us/library/ff751474.aspx


Siga os passos descritos abaixo para criar uma autenticação externa para mídias sociais:

No A3S acesse: Captive > Configuration > Sources

Clique em “ADD” e selecione a source externa que deseja criar (Facebook no exem-

plo abaixo).

A janela de criação será exibida. Nesta janela configure os quatro parâmetros descri-

tos a seguir:

App ID e App Secret: estas informações são fornecidas pelas mídias sociais na criação do App.

Mais detalhes nas páginas acima.

Portal URL: neste campo coloque o Hostname do seu Captive Portal.

https://MEUCAPTIVE.COM.BR/oauth2/facebook

Figura 79 - Configurando fonte de autenticação do tipo mídia social

https://meucaptive.com.br/oauth2/facebook


Rules: Esta opção é disponibilizada após a criação da fonte de autenticação, localizada na parte

inferior esquerda da tela. Para que os usuários possam ser autenticados por meio desta fonte de

autenticação é mandatório que exista uma regra com as duas ações, set_role e

set_access_duration, como exibido na imagem abaixo.

Figura 80 - Regra para autenticação por mídias externas

Configurando o auto registro de usuários

O Captive Portal permite que usuários se auto registrem e obtenham acesso à Internet. Este processo

é efetuado por meio das opções Registro por e-mail ou Registro através de um patrocinador que são

disponibilizadas na tela de login do Captive Portal.


Figura 81 - Tela de Registro de Convidado

Por padrão, os e-mails são enviados pela porta 25-TCP, contudo, alguns servidores de e-mail requerem

autenticação e a utilização de uma porta especifica.

Para definir os parâmetros de configuração para autenticação, utilize o comando: a3sc-config-email

Utilização: a3sc-config-email <Servidor SMTP> <Porta> <Nome de usuário> <Senha>

Quando o sistema de alerta do Captive Portal não é configurado, a seguinte configuração padrão do

sistema será utilizada:

Porta de envio utilizada: 25-TCP

Remetente: root@servidor+nome-do-dominio ([email protected])

Servidor SMTP: Localhost

Para alterar os parâmetros de envio de e-mail padrão acesse: A3S > Menu Captive Portal >

Configuration > Alerting


Figura 82 - Configuração padrão de envio de e-mail Captive Portal

Ao efetuar o registro, a navegação do usuário será liberada por 10 minutos para a ativação da conta.

Caso a conta não seja ativada, o usuário será bloqueado por uma hora.

Para que as opções de Registro por e-mail ou Registro através de um patrocinador estejam

disponíveis na tela de autenticação do Captive Portal é necessário que as Sources “Email e Sponsor” estejam

atribuídas ao Portal Profile de sua rede.

As Sources “Email e Sponsor” são criadas por padrão pelo Captive Portal, desta forma, é necessário

que estas fontes de autenticação estejam presentes no Perfil de acesso de sua rede e as configurações

descritas a seguir, sejam atendidas.

Figura 83 - Source Email e Sponsor atribuídas ao Portal Profile


Habilitando o Registro por E-mail

Para habilitar a opção “Registro de e-mail” para os usuários do Captive Portal siga os passos

descritos a seguir:

Defina as configurações de envio de e-mails por meio do comando “a3sc-config-

email” como descrito acima. Caso opte por não definir estes parâmetros, os e-mails

serão enviados pela porta padrão do SMTP, porta 25.

No menu Captive Portal, acesse: Configuration > Portal Profiles > Selecione o portal

desejado. Ao abrir o Portal, certifique-se de que a Source e-mail foi selecionada como

exibido na imagem a seguir:

Figura 84 - Registro por e-mail.

Para monitorar os logs referentes ao envio de e-mail na interface de texto do A3S, utilize o comando:

tail -f /var/log/maillog

Mais informações sobre os comandos do A3S clique aqui.

Mais informações sobre o Auto registro clique aqui.

Habilitando a opção de Registro através de um patrocinador

Para habilitar a opção de “Registro através de um patrocinador” para os usuários do Captive Portal

siga os passos descritos a seguir:

Defina as configurações de envio de e-mails por meio do comando “a3sc-config-

email” como descrito acima. Caso opte por não definir estes parâmetros, os e-mails

serão enviados pela porta padrão do SMTP, porta 25.

No menu Captive Portal, acesse: Configuration > Portal Profiles > Selecione o portal

desejado. Ao abrir o Portal, certifique-se de que a Source “Sponsor” foi selecionada

como exibido na imagem a seguir:


Figura 85 - Registro através de um patrocinador

Em seguida, crie um usuário e atribua-o ao e-mail que os usuários utilizarão como

patrocinador. Em seguida, atribua as permissões de patrocinador para o usuário de-

sejado.

Exemplo a seguir:

No menu Captive Portal, acesse: Users > Create.

Figura 86 - Criação de usuários locais no Captive Portal

Defina os campos necessários para criação do usuário.


Figura 87 -Janela de criação de usuários local

No campo “Registration Window” defina a data de expiração para esta conta;

No campo “Actions” selecione a opção “Mark as Sponsor” e demais atribuições que

desejar para o usuário. Clique em “Create Users” para concluir.

O E-mail definido para este (patrocinador) sponsor não deve ser o mesmo utilizado por outro usuário.


Para monitorar os logs referentes ao envio de e-mails, utilize o comando abaixo na interface de texto

do A3S: tail -f /var/log/maillog

Mais informações sobre o Auto registro clique aqui.

O Captive Portal suporta as fontes de autenticação Exclusivas do tipo: Blackhole, Kickbox e Null.

Figura 88 – Fontes de autenticação exclusivas

Além das opções de autenticação descritas acima, o Captive Portal permite a criação de usuários em

seu banco de dados local, sendo possível registrar usuários (individual ou múltiplos), por MAC ou importação

(por meio de um arquivo CSV).

Registro de Usuários Locais

Para o registro de usuários no banco de dados local do Captive Portal acesse: Menu Users> Create >

Create Users”. Selecione o método desejado e crie o usuário. Os métodos disponíveis são: Single, Multiple,

ou Import.

https://pt.wikipedia.org/wiki/Comma-separated_values


Figura 89 – Registro de usuários locais

Preencha os campos com as informações dos usuários e clique em .

Portal Profiles são os perfis que podem ser atribuídos às Redes, Realm, URI, por meio dos filtros

disponíveis.

Desta forma, é possível criar um portal específico para grupos, departamentos, dispositivos e etc.,

proporcionando maior controle para sua rede.

Caso não exista nenhum portal criado, todos os clientes se autenticarão usando as regras padrões do

Captive Portal.

Os portais possuem três (3) abas de configuração que serão descritas a seguir:


Aba Settings

Por meio desta aba o usuário define o nome do portal, descrição, as fontes de autenticação

(Sources), e pode inserir filtros específicos para o Portal. Além de oferecer outras configurações disponíveis

para personalizar o portal de acesso.

Caso não existam fontes de autenticação selecionadas em seu portal, serão utilizadas as fontes definidas no

perfil “Default”. Caso não existam fontes selecionadas em ambos os perfis, todas as fontes (Internas ou externas)

poderão se autenticar.

Figura 90 - Portal Profiles aba settings

Aba Captive Portal

Por meio desta aba é possível configurar o nome da logo principal apresentada na página de

autenticação do Captive Portal, definir se o usuário será redirecionado para uma URL específica após

autenticação ou se será redirecionado para a mesma página que ele estava tentando acessar, definir a

quantidade de tentativas de login, idiomas disponíveis para o portal, e a definição dos campos mandatórios

no formulário de registro do usuário e outras configurações disponíveis para personalização do portal de

acesso.

Para modificar a logo é necessário que a arte desejada seja colocada na pasta (por meio do programa

WINSCP ou similar), ou utilizar a URL de uma imagem:


/usr/local/pf/html/captive-portal/content/images

Personalize sua arte e salve-a na pasta descrita acima no formato “.png”. Em seguida, simplesmente altere o

nome no campo logo. O tamanho médio das imagens é 210/100 pixels, ficando à critério do usuário.

Figura 91 - Portal Profiles aba Captive Portal

Aba Files

Por meio desta aba o administrador pode personalizar as imagens e textos que serão exibidos pelo

portal em questão, como: imagens, mensagens de erro, ativação, alertas, estado de autenticação, cabeçalho,

rodapé, redirecionamento, registro de dispositivo, e mais.


Figura 92 - Portal Profiles aba Files

Exemplo de personalização da tela de login dos usuários.

Na aba Files clique em “login.html”.

É recomendado que se tenha conhecimento básico de HTML para efetuar a personalização descrita a

seguir,.

É possível pré-visualizar a página clicando em:


Ao clicar, o HTML será aberto em uma janela onde o usuário pode personalizar os textos e imagens

do portal.

No exemplo abaixo será modificado o texto da tela principal de registro de usuários.

Clique na opção “Show line numbers” e em seguida navegue até a linha 33.

Na linha 33 edite a mensagem de boas-vindas, e insira sua mensagem personalizada

nas linhas 36 e 37, como destacado na imagem abaixo.


Para modificar as imagens é necessário que a arte desejada seja colocada na pasta (por meio do

programa WINSCP ou similar) ou endereço:

/usr/local/pf/html/captive-portal/content/images

www.host.com.br/minhaimagem.png

Personalize sua arte e salve-a na pasta descrita acima no formato “.png”. Em seguida, simplesmente altere o

nome da imagem em sua respectiva linha.

Ao alterar uma string, é necessário criar uma tradução para a mesma, caso contrário, a mesma não

será traduzida para outras linguagens.

Linguagem padrão: Inglês.

O tamanho médio recomendado das imagens é 210/100 pixels, ficando à critério do usuário.

Ao concluir clique em .

Por padrão, a duração de acesso dos usuários é de 12 horas. Caso queira alterar este parâmetro, acesse a

interface de gerenciamento do Captive Portal e navegue até o “Menu Configuration>Access Duration”.


Figura 93 - Access duration

Access duration choices: lista as opções de duração de acesso para as fontes de autenticação do

Captive Portal.

Default access duration: exibe a duração de acesso padrão do sistema, a qual será aplicada as fontes

de autenticação que não possuírem sua própria duração de acesso definidas.

Duration: permite que o administrador crie uma nova opção de duração de acesso para as fontes de

autenticação.

O cadastro de Firewall é necessário para atribuir usuários autenticados pelo Captive Portal aos perfis

de acesso específicos no Aker Firewall, permitindo a aplicação de regras de acesso.

Para cadastrar um novo Firewall, siga os passos descritos a seguir:

No menu Captive Portal do A3S navegue até: Menu Configuration> Networks > Firewall SSO


Figura 94 - Cadastro de Firewall no A3S

Clique em Add Firewall e selecione AkerFirewall.

Cadastre as informações de seu Firewall e defina os papeis (Roles).


Figura 95 - Cadastrando o Aker Firewall no Captive Portal

Hostname or IP Address: endereço IP ou Hostname do Aker Firewall

Password: senha de comunicação entre o Aker Firewall e Captive Portal. Esta senha deve ser a

mesma definida na aba de autenticação do Captive Portal na Aker Control Center, como exibido a seguir.

Localização na Aker Control Center: Módulo Aplicação > Filtro Web > Autenticação Captive Portal

Port of the service: porta utilizada na conexão com o Firewall.

Roles: selecione as Roles que serão atribuídas aos usuários que serão gerenciados por este Firewall.

Estes Roles são utilizados para definir a quantidade de dispositivos que cada usuário pode autenticar

utilizando o Captive Portal e na atribuição de usuários autenticados por meio de fontes internas do tipo

LDAP, AD e RADIUS.


Na utilização de fontes de autenticação (Sources) internas do tipo LDAP, AD e RADIUS, é mandatório

que os Roles com as bases DNs dos grupos de usuários dos ADs, que serão gerenciados por este Fire-

wall, estejam selecionadas neste campo, para que os usuários sejam atribuídos aos seus respectivos

perfis de acesso no Aker Firewall.



dos na listagem de grupos do A3S. Devido a esta condição, a autenticação e a atribuição de usuários

de grupos primários, aos seus respectivos perfis não será efetuada de forma satisfatória. Clique aqui

para mais informações.

Homologado para LDAP V3. Recomenda-se que apenas a versão 3 do LDAP seja utilizada no A3S e

seus módulos.

Para mais informações sobre Roles clique aqui.

Ao concluir clique em .

Usuários visitantes ou de redes que se autentiquem no Captive Portal podem se registrar de forma

automatizada por meio de um código de verificação que é enviado para o e-mail do usuário ou para o e-mail

do patrocinador. Além das opções de acesso mencionadas anteriormente é possível se autenticar utilizando

as mídias sóciais (Facebook, Google, Linkedin e outras) disponibilizadas no Captive Portal.



Ao abrir seu navegador o usuário será redirecionado para a página de autenticação do Captive Portal,

onde, o mesmo poderá efetuar o login (por meio de uma das fontes de autenticação Interna, Externa,

Exclusiva, Local, Mídias sociais: Facebook, Google e etc., ou por meio do auto registro).

Ao concluir o registro, o usuário terá acesso à Internet para acessar seu e-mail e ativar o registro em

seu e-mail. Caso utilize a opção de registro “Patrocinador (Sponsor)” a ativação será efetuada pelo

patrocinador.

Para mais informações sobre os cadastros de fontes de autenticação clique aqui.

Figura 96 - Tela de Login do Captive Portal

Caso o usuário pertença a uma base interna cadastrada no Captive Portal, insira o nome de usuário e

senha (Leia os termos de uso e marque a checkbox “Eu li e aceito os termos”), e clique em “Usuário”.

Caso não tenha um usuário na base interna clique em Registrar e preencha os campos necessários ou

acesse as mídias sociais disponíveis no portal.

A tela de registro será exibida, preencha os dados solicitados corretamente.


Figura 97 - Tela de registro

Após preencher os campos necessários clique em Registrar por E-mail para efetuar a ativação em

seu próprio e-mail, ou clique em Registrar por Patrocinador uma das opções abaixo:

Figura 98 - Acesso à Rede Solicitado

Acesso à Rede Solicitado.


Em seguida o usuário terá acesso liberado por 10 minutos para que acessar sua conta de e-mail e

clicar no link de ativação.

Caso o usuário não clique no link de ativação em 10 minutos (valor padrão), após o registro, o mesmo será

bloqueado e não poderá se autenticar no portal por uma hora. Para limpar esta lista, acesse o Aker Firewall via

SSH e remova os arquivos acp_blacklist_cache/acp_whitelist_cache em: /aker/config/firewall

Ao se conectar por meio de mídias sociais a ativação será efetuada automaticamente.

Figura 99 - Registro por meio de Mídias sociais


Conectando com uma conta Facebook:

Figura 100 - Página de login Facebook

Conectando com uma conta Google:


Figura 101 - Página do login Google

Figura 102 - Ativação de rede


Este capítulo apresenta uma breve apresentação dos menus e opções da interface gerenciamento do

Captive Portal.

Para mais informações sobre módulos específicos do Captive Portal clique aqui.

O Captive Portal possui cinco (5) menus que serão descritos a seguir:

Figura 103 - Menus do Captive Portal

O menu Status exibe de forma transparente e simples informações referentes à: registro de usuários,

carga do Servidor, memória disponível, solicitações por servidor, acessos, conexões, latência. Permite que o

administrador filtre os dados por datas específicas ou última hora, últimas 3 horas, últimas 12 horas, último

dia, última semana e últimas duas semanas.

Figura 104 - Aba Dashboard

E ainda, por meio da aba “Services”, é possível visualizar os serviços em execução do sistema,

permitindo que o administrador inicie, reinicie ou pare os serviços.

https://packetfence.org/support/index.html#/documentation


Figura 105 - Aba Services

O menu Reports exibe as informações do estado dos dispositivos (Nodes), gráfico com sistema

operacional, violações detectadas, tipos de conexões, SSIDs.

Figura 106 - Menu Reports


O menu Nodes exibe as informações de todos dispositivos (Nodes) que estão conectados no Captive

Portal. Este menu possui duas janelas: Search e Create.

Na Janela Search administrador pode ter acesso a todos os dispositivos conectados, o estado

(registrado ou não registrado), MAC, nome do computar, proprietário, endereço IP, Role atribuído ao

dispositivo. Além de efetuar filtragens nos dispositivos conectados por: MAC, Status, IP, Role, Notes, Person

Name, Violation Name, User agente, Source switch IP, Computer Name, Bypass Vlan e Bypass Role.

Figura 107 - Menu Nodes _Search

Na Janela Create o administrador pode adicionar manualmente Nodes (dispositivos) no sistema do

Captive Portal, desta forma, estes dispositivos serão automaticamente registrados obtendo acesso imediato.

É possível registrar dispositivos individualmente ou vários dispositivos por meio de um arquivo CSV.

Figura 108 - Filtragem

https://pt.wikipedia.org/wiki/Comma-separated_values


Figura 109 - Menu Nodes_Create

O menu User exibe as informações de todos os usuários registrados no Captive Portal. Este menu

possui duas janelas: Search e Create.

Na janela Search o administrador pode ter acesso a todos os usuários registrados no Captive Portal,

nome de usuário, primeiro nome, sobrenome, e-mail, telefone, e a quantidades de dispositivos (Nodes)

conectados por este usuário.


Figura 110 - Menu Users

Na Janela Create o administrador pode adicionar usuários locais no banco de dados local do Captive

Portal. É possível registrar usuários individualmente, criar um grupo de usuários, ou importar vários usuários

por meio de um arquivo CSV.

Para remover um usuário, siga os passos descritos abaixo:

Navegue até o menu User > Search

Clique no Usuário desejado

Clique em Delete

https://pt.wikipedia.org/wiki/Comma-sep%20arated_values


Figura 111 – Exclusão de usuário

O menu Configuration oferece ao administrador acesso às configurações avançadas do Captive Portal

referentes às redes, registros, alertas, Perfis do Portal, acesso, manutenção e mais.

Para mais informações sobre as opções avançadas do Captive Portal acesse:

http://www.packetfence.org/downloads/PacketFence/doc/PacketFence_Administration_Guide-

5.6.1.pdf

http://www.packetfence.org/downloads/PacketFence/doc/PacketFence_Administration_Guide-5.6.1.pdf

http://www.packetfence.org/downloads/PacketFence/doc/PacketFence_Administration_Guide-5.6.1.pdf


Captive Portal Troubleshooting Este tópico descreve possíveis soluções para alguns problemas que os administradores e usuários do

Captive Portal podem encontrar.

1. Usuários estão acessando a Internet sem se autenticar no Captive Portal?

Valide se o Captive Portal e o Filtro Web estão habilitados e propriamente con-

figurados. Regra de Proxy HTTPS e HTTP entre a rede de usuários do Captive

Portal, opções: autenticar usuários WWW e Forçar Autenticação na janela de

Filtros Web habilitadas.

Para mais informações clique aqui.

2. Minha Internet não está funcionando. A tela de login/registro do Captive não está

sendo exibida?

Na Interface de gerenciamento do Captive Portal, valide se a rede de origem ou

se todas as redes estão liberadas no perfil do portal em questão. Menu Confgu-

ration> Portal Profiles> clique no portal em uso> Filtros network

Caso nenhuma rede esteja especificada, todas as redes terão permissão. Caso exista uma rede, e não

seja a sua rede, insira sua rede no formato 0,0,0,0/0.

Exemplo: 10.3.80.0/24

Certifique-se de que a mesma rede está cadastrada, no Aker Firewall. Localização: Módulo Aplicação

> Filtro Web > Aba Autenticação Captive Portal > Campo Redes dos clientes.

Valide as configurações de Regras de Filtragem, Perfis e NAT no Aker Firewall.

Possível solução em casos que necessitem uma rápida remediação para o problema:

→ Na Interface de Texto do Captive Portal execute o comando service packetfence restart

Aguarde até que todos os serviços sejam reiniciados e valide se a tela de autenticação será exibida

nas máquinas dos usuários.

Para mais informações clique aqui.

3. Aker Firewall e Captive Portal não se comunicam?

Na linha de comando do Firewall, utilize o comando netstat -tunap |grep :22 para

visualizar se o Captive está conectado ao firewall.


Valide se o Captive Portal e Aker Firewall conseguem se pingar. Caso não, verifique

as Regras de Filtragem que permitem a comunicação entre os mesmos.

4. Onde estão os arquivos de log do Captive Portal?

Todos os arquivos de logs estão em: /usr/local/pf/logs

Sendo que:

PacketFence-Captive Portal (packetfence.log)

DHCP Listeners (pfdhcplistener*.log)

Apache - Captive Portal (httpd.portal.*)

Apache - Administrative UI (httpd.admin.*)

Apache - Web services (httpd.webservices.*)

Apache - AAA (httpd.aaa.*)

RADIUS (radius.log)

pfdns - PacketFence DNS service (pfdns.log)

SNMP Trap Daemon (snmptrapd.log)

SNORT Detect Daemon (pfdetect)

Violation Logs (violation.log)

Monitorando os logs do Captive Portal.

Comando: Tail –f /usr/local/pf/logs/(especifique o tipo de log desejado ou coloque “*” para

ver todos)


Figura 112 - monitoramento de logs do Captive Portal

5. Captive Portal não iniciou!

O motivo provavelmente será exibido na tela de console, contudo, também é possível obter mais

informações no arquivo de log: /usr/local/pf/logs/packetfence.log

Certifique-se de que o processo do Captive iniciou com o comando:

/etc/init.d/packetfence status

ou

service packetfence status

6. Como inicio, paro ou reinicio o Captive Portal?

Iniciar: /etc/init.d/packetfence start ou service packetfence start

Parar: /etc/init.d/packetfence stop ou service packetfence stop

Reiniciar: /etc/init.d/packetfence restart ou service packetfence restart

7. Aonde posso ver/remover usuários que foram inseridos na Whitelist/Blacklist?

Na interface de texto do Aker Firewall acesse: /aker/config/firewall/

→arquivos↓

acp_blacklist_cache

acp_whitelist_cache


8. Como posso limpar ou visualizar a tabela de banco de dados do Captive?

Para validar se um usuário está na tabela de banco de dados do Captive obtenha o MAC do usuário

(na interface de gerenciamento do Captive acesse o menu Nodes, efetue uma busca por meio dos

parâmetros disponíveis e pegue o MAC associado ao usuário em questão.

Exemplo de busca: <Person name is usuario.aker

Ao obter o MAC, na interface de texto do A3S, execute os comandos abaixo:

→Para validar se o usuário está na tabela:

mysql -uroot pf -p"senha do banco de dados, a mesma definida na instalação" -e "select * from

activation where mac = 'mais-o-mac';"

Exemplo: mysql -uroot pf -p123456 -e "select * from activation where mac = '00:00:0a:03:46:55';"

→Para remover um MAC específico ou limpar a tabela:

mysql -uroot pf -p"senha do banco de dados, a mesma definida na instalação" -e "delete from

activation where mac = 'um MAC específico ou * para todos';"

Exemplo limpar para tabela: mysql -uroot pf -p123456 -e "delete from activation where mac = '*';"

Exemplo para limpar o MAC de apenas um usuário: mysql -uroot pf -p123456 -e "delete from

activation where mac = '00:00:0a:03:46:55';"

A3S - Indice dedownload.aker.com.br/prod/current/manuais/a3s/a3s-1.0.0-pt-manual... · Cadastro de...

Documents

Transcript of A3S - Indice dedownload.aker.com.br/prod/current/manuais/a3s/a3s-1.0.0-pt-manual... · Cadastro de...