- Aker Security Solutions

Transcrição

*Aker Security Solutions
*Captive Portal by PacketFence
Versão: 20/07/2016
Página 1
ÍNDICE 2
ÍNDICE DE FIGURAS ................................................................................................................................ 4
1 INTRODUÇÃO ................................................................................................................................... 9
COMO ESTÁ DISPOSTO ESTE MANUAL ......................................................................................................... 9
TERMINOLOGIAS E CONCEITOS .................................................................................................................. 9
2 A3S 12
REQUISITOS PARA O A3S ....................................................................................................................... 12
INSTALAÇÃO ........................................................................................................................................ 13
GERENCIAMENTO DO A3S ..................................................................................................................... 19
PRIMEIRO ACESSO À INTERFACE DE GERENCIAMENTO WEB DO A3S................................................................ 19
PAINEL ............................................................................................................................................... 21
USUÁRIOS........................................................................................................................................... 22
AKER SSO .......................................................................................................................................... 23
CAPTIVE PORTAL .................................................................................................................................. 25
ADMINISTRAÇÃO .................................................................................................................................. 26
AJUDA ............................................................................................................................................... 29
OPÇÕES DE IDIOMA DA INTERFACE DE GERENCIAMENTO WEB ...................................................................... 31
LISTA DE COMANDOS DISPONÍVEIS PARA A INTERFACE DE TEXTO DO A3S ......................................................... 31
3 AKER SINGLE SIGN-ON .................................................................................................................... 37
CONFIGURANDO O AKER SINGLE SIGN-ON ................................................................................................ 38
Cadastro de Firewall no Aker Single Sign-On ........................................................................................ 39
Cadastro de Escopo ............................................................................................................................... 41
Habilitando o Aker Single Sign-On no Aker Firewall.............................................................................. 47
HABILITANDO O AKER SINGLE SIGN-ON VIA AKER CONTROL CENTER .............................................................. 48
CONFIGURANDO O AKER SINGLE SIGN-ON VIA INTERFACE DE TEXTO – COMANDO “FWACCESS” .......................... 50
REGRAS DE FILTRAGEM NECESSÁRIAS PARA O AKER SINGLE SIGN-ON ............................................................. 51
AKER SINGLE SIGN-ON TROUBLESHOOTING ............................................................................................... 51
4 CAPTIVE PORTAL ............................................................................................................................ 54
PRIMEIROS PASSOS CAPTIVE PORTAL ....................................................................................................... 55
CONFIGURANDO O AKER FIREWALL PARA INTEGRAÇÃO COM O CAPTIVE PORTAL............................................... 58
Habilitando o Captive Portal no Aker Firewall via Aker Control Center ................................................ 59
Habilitando o Captive Portal no Aker Firewall via Interface de Texto .................................................. 62
Página 2
CONFIGURANDO O CAPTIVE PORTAL ........................................................................................................ 63
Roles ...................................................................................................................................................... 64
CADASTRO DE ROLE .............................................................................................................................. 68
Sources .................................................................................................................................................. 70
Internal .................................................................................................................................................. 70
External.................................................................................................................................................. 76
CONFIGURANDO O AUTO REGISTRO DE USUÁRIOS ....................................................................................... 79
Exclusive ................................................................................................................................................ 85
Local....................................................................................................................................................... 85
Portal Profiles ........................................................................................................................................ 86
Cadastrando o Aker Firewall no Captive Portal ..................................................................................... 92
Auto registro de usuários ...................................................................................................................... 95
5 GERENCIANDO O CAPTIVE PORTAL ............................................................................................... 102
Menu Status ........................................................................................................................................ 102
Menu Reports ...................................................................................................................................... 103
Menu Nodes ........................................................................................................................................ 104
Search .................................................................................................................................................. 104
Menu Users ......................................................................................................................................... 105
Menu Configuration ............................................................................................................................ 107
CAPTIVE PORTAL TROUBLESHOOTING ..................................................................................................... 108
Página 3
Figura 1 - Tela de Boas Vindas ................................................................................................. 13
Figura 2 - Definindo senha de administrador .......................................................................... 14
Figura 3 - Opções de particionamento de disco ...................................................................... 14
Figura 4 - Formatando.............................................................................................................. 15
Figura 5 - Instalação de pacotes .............................................................................................. 15
Figura 6 - Execução de scripts de pós-instalação ..................................................................... 16
Figura 7 - Configuração do Domínio ........................................................................................ 16
Figura 8 - tela de configuração de acesso exclusivo ao A3S .................................................... 17
Figura 9 - Tela de configuração de acesso exclusivo ao A3S ................................................... 18
Figura 10 - Confirmar a operação ............................................................................................ 18
Figura 11 - Tela de login ........................................................................................................... 18
Figura 12 - Tela de login do A3S ............................................................................................... 19
Figura 13 - Alteração de senha SSH ......................................................................................... 20
Figura 14 - Alteração de senha Webgui ................................................................................... 20
Figura 15- Perfil - Alteração de senha Webgui ........................................................................ 20
Figura 16 - Menus do A3S ........................................................................................................ 21
Figura 17 - Painel ...................................................................................................................... 22
Figura 18 - Lista de usuários..................................................................................................... 23
Figura 19 - Gerenciamento de perfil de acesso. ...................................................................... 23
Figura 20 - Aker SSO ................................................................................................................. 24
Figura 21 - Lista de Escopos ..................................................................................................... 24
Figura 22 - Lista de Firewalls .................................................................................................... 25
Figura 23 - Captive Portal ......................................................................................................... 26
Figura 24 - Janela de Administração do Captive Portal ........................................................... 26
Figura 25 - Menu Administração.............................................................................................. 27
Figura 26 - Tipo de Autenticação ............................................................................................. 27
Figura 27 - Autenticação do tipo LDAP .................................................................................... 28
Figura 28 - Aba Servidores NTP ................................................................................................ 28
Figura 29 - Configurações de rede ........................................................................................... 29
Figura 30 - Menu Ajuda ............................................................................................................ 30
Figura 31 - Sobre ...................................................................................................................... 31
Página 4
Figura 32 - Opções de idioma .................................................................................................. 31
Figura 33 - Comando para restauração ................................................................................... 33
Figura 34 - Configuração de envio de e-mail Captive Portal ................................................... 34
Figura 35 - Configuração do Domínio do A3S .......................................................................... 34
Figura 36 - Configuração de acesso exclusivo.......................................................................... 35
Figura 37 - Esquema de implementação ................................................................................. 39
Figura 38 - Event Viewer > Firewall.......................................................................................... 39
Figura 39 - Cadastro de Firewall .............................................................................................. 40
Figura 40 - Configuração da senha no Aker Firewall ............................................................... 40
Figura 41 - Escopos .................................................................................................................. 41
Figura 42 - Aba Configuração - SSO ......................................................................................... 42
Figura 43 - Timeout no Aker Control Center............................................................................ 42
Figura 44 - Modelo de configuração de faixas de IP ................................................................ 43
Figura 45 - Aba Servidores AD - SSO ........................................................................................ 44
Figura 46 - Janela de cadastro de AD ....................................................................................... 44
Figura 47 – Visualizando a base DN ......................................................................................... 45
Figura 48 - Visualizando o Bind DN .......................................................................................... 45
Figura 49 -Aba Firewalls - Escopo SSO ..................................................................................... 46
Figura 50 - Configuração no Aker Firewall - Autenticação ...................................................... 48
Figura 51 - Aba Aker Single Sign-On ......................................................................................... 48
Figura 52 - Entidade representando o servidor A3S ................................................................ 49
Figura 53 - Esquema de implementação do Captive Portal..................................................... 57
Figura 54 - Regras gerais .......................................................................................................... 58
Figura 55 - Filtro web ............................................................................................................... 60
Figura 56 - Filtro Web Aba Geral.............................................................................................. 60
Figura 57 - Aba Autenticação Captive Portal ........................................................................... 61
Figura 58 - A3S > Captive Portal ............................................................................................... 63
Figura 59 - Tela de Login da Interface de Gerenciamento do Captive Portal .......................... 63
Figura 60 - Página Inicial .......................................................................................................... 64
Figura 61 - AD cadastrado em Sources .................................................................................... 66
Figura 62 - Role com o DN dos grupos ..................................................................................... 66
Figura 63 - Roles atribuídos a fonte de Autenticação - AD testes.aker ................................... 67
Figura 64 - Criação de Rule ...................................................................................................... 68
Página 5
Figura 65 - Atribuição de Roles no cadastro de Firewall dentro do Captive Portal ................. 68
Figura 66 - Autenticação Aker Firewall .................................................................................... 68
Figura 67 - Roles ....................................................................................................................... 69
Figura 68 - Roles ....................................................................................................................... 69
Figura 69 - Quantidade de dispositivos por usuários .............................................................. 70
Figura 70 - Fontes de autenticação Internas ........................................................................... 70
Figura 71 - Configuração Captive e Aker Firewall .................................................................... 71
Figura 72 - Cadastro de AD ...................................................................................................... 72
Figura 73 - Identificando base DN............................................................................................ 73
Figura 74 - Identificando Bind DN ............................................................................................ 74
Figura 75 – Regra para o AD..................................................................................................... 74
Figura 76 - Validação de conexão ............................................................................................ 75
Figura 77 - Autenticação estabelecida com sucesso ............................................................... 75
Figura 78 - Fontes de autenticação Externas ........................................................................... 76
Figura 79 - Configurando fonte de autenticação do tipo mídia social .................................... 78
Figura 80 - Regra para autenticação por mídias externas ....................................................... 79
Figura 81 - Tela de Registro de Convidado .............................................................................. 80
Figura 82 - Configuração padrão de envio de e-mail Captive Portal ....................................... 81
Figura 83 - Source Email e Sponsor atribuídas ao Portal Profile ............................................. 81
Figura 84 - Registro por e-mail................................................................................................. 82
Figura 85 - Registro através de um patrocinador .................................................................... 83
Figura 86 - Criação de usuários locais no Captive Portal ......................................................... 83
Figura 87 -Janela de criação de usuários local ......................................................................... 84
Figura 88 – Fontes de autenticação exclusivas ........................................................................ 85
Figura 89 – Registro de usuários locais .................................................................................... 86
Figura 90 - Portal Profiles aba settings .................................................................................... 87
Figura 91 - Portal Profiles aba Captive Portal .......................................................................... 88
Figura 92 - Portal Profiles aba Files .......................................................................................... 89
Figura 93 - Access duration ...................................................................................................... 92
Figura 94 - Cadastro de Firewall no A3S .................................................................................. 93
Figura 95 - Cadastrando o Aker Firewall no Captive Portal ..................................................... 94
Figura 96 - Tela de Login do Captive Portal ............................................................................. 96
Figura 97 - Tela de registro ...................................................................................................... 97
Página 6
Figura 98 - Acesso à Rede Solicitado........................................................................................ 97
Figura 99 - Registro por meio de Mídias sociais ...................................................................... 98
Figura 100 - Página de login Facebook .................................................................................... 99
Figura 101 - Página do login Google ...................................................................................... 100
Figura 102 - Ativação de rede ................................................................................................ 100
Figura 103 - Menus do Captive Portal.................................................................................... 102
Figura 104 - Aba Dashboard ................................................................................................... 102
Figura 105 - Aba Services ....................................................................................................... 103
Figura 106 - Menu Reports .................................................................................................... 103
Figura 107 - Menu Nodes _Search ......................................................................................... 104
Figura 108 - Filtragem ............................................................................................................ 104
Figura 109 - Menu Nodes_Create .......................................................................................... 105
Figura 110 - Menu Users ........................................................................................................ 106
Figura 111 – Exclusão de usuário ........................................................................................... 107
Figura 112 - monitoramento de logs do Captive Portal ........................................................ 110
Página 7
Página 8
Seja bem-vindo ao manual do A3S
Como está disposto este manual
Este manual é organizado em vários capítulos e cada capítulo mostra um aspecto de configuração do
produto e todas as informações relevantes ao aspecto tratado.
Este guia foi criado com o objetivo de auxiliar engenheiros, gerentes dos produtos e especialistas de
rede a instalar, configurar e entender as funcionalidades do A3S.
Todos os capítulos começam com uma introdução teórica sobre o tema a ser tratado seguido dos
aspectos específicos de configuração do A3S. Juntamente com esta introdução teórica, alguns módulos
possuem exemplos práticos do uso do serviço a ser configurado, em situações hipotéticas, porém, bastante
plausíveis. Buscamos, com isso, tornar o entendimento das diversas variáveis de configuração o mais simples
possível.
Recomendamos que este manual seja lido na ordem apresentada pelo menos, uma vez por inteiro, na ordem
apresentada. Posteriormente, se for necessário, é possível utilizá-lo como fonte de referência.
Para facilitar o seu uso como referência, os capítulos estão divididos em tópicos, com acesso
imediato pelo índice principal. Desta forma, acha-se facilmente a informação desejada.
No decorrer deste manual, aparecerá o símbolo
seguido de uma frase escrita em letras
vermelhas. Isto significa que a frase em questão é uma observação muito importante e deve ser totalmente
entendida antes que se prossiga com a leitura do capítulo.
Terminologias e conceitos
 Oauth – Protocolo de segurança utilizado para fazer a comunicação com as mídias
sociais suportadas pelo Captive Portal.
 Field - Campo que armazena as informações do usuário como: Nome, Sobrenome, Email, Endereço e etc.
 Tag - Campo que armazena permissões de acesso administrativo a outros sistemas
ou flags para um objetivo específico.
 Provider - Mecanismo de autenticação e autorização de acesso. Normalmente adiciona entradas às interfaces administrativas e do usuário.
Página 9
 Provider ID - Identificação fornecida durante uma autenticação com o A3S, que
combinada com o Provider, identifica uma conta de usuário associada.
 Endpoint - A URL que expõe a API do A3S.
 Portal Profile – Portal de acesso atribuído às redes do Captive Portal.
 API Key - ID em forma numérica ou string usada na comunicação do Captive Portal
com as fontes de autenticação externas do tipo redes sociais.
 API Secret - Segredo, token, senha utilizada na encriptação dos dados enviados. A
API secret é armazenada com a API key e ambas são utilizadas na comunicação do
Captive Portal com as fontes de autenticação externas do tipo redes sociais.
 Source - Sources são as fontes de autenticação que serão utilizadas para autenticar
os usuários das redes gerenciadas pelo Captive Portal.
 Role - Roles representam as regras aplicadas aos dispositivos das redes gerenciadas
pelo Captive Portal, e definem o número limite de dispositivos que cada usuário poderá autenticar na rede.
 Node – Nodes são os dispositivos conectados ao Captive Portal.
 Base DN – Ponto inicial da hierarquia do Active Directory que será usado na procura
e solicitação de autenticação com o AD.
Exemplo: CN=Users,DC=seudominio,DC=com,DC=br
 Bind DN - É o usuário (usuário com privilégios para efetuar procura por outros usuários ou em outros servidores) que será utilizado na procura e solicitação de autenticação com o AD(s).
Exemplo:CN=Administrador,CN=Users,DC=meudominio,DC=com,DC=br
 MAC Address– Media Access Control, é o endereço físico associado à interface de
comunicação dos dispositivos conectados ao A3S. Exemplo: 00:19:B9:FB:E2:58
 Username Attribute – Atributo de pesquisa utilizado para identificar usuários no AD.
O atributo comumente utilizado é o “sAMAcountName”.

WMI - Instrumento de gerenciamento do Windows (Windows Management
Instrumentation) é a implementação da Microsoft, como uma iniciativa da indústria
que visa estabelecer padrões para acessar e compartilhar informações de gerenciamento por meio de uma rede empresarial. O WMI pode ser usado pelas ferramentas
de gerenciamento do computador para ajudar a gerenciar seus computadores.
Página 10
Página 11
Este capítulo aborda o procedimento de instalação e os requisitos do sistema do A3S.
O A3S é uma central de autenticação unificada baseada no sistema operacional “Cent OS 6” que, por
meio de uma Interface Web simples e intuitiva, permite o gerenciamento do Aker Single Sign-On e Captive
Portal (by Packetfence), em conjunto com o Aker Firewall. Essas duas ferramentas são fundamentais para o
cumprimento do Marco Civil da Internet.
A seguir, mais detalhes sobre os requisitos e a instalação do produto.
O A3S pode ser instalado a partir de diversos tipos de mídias, desde que a BIOS da máquina permita.
Requisitos para o A3S
Para que o A3S funcione de maneira satisfatória recomenda-se que os requisitos abaixo sejam
atendidos:
 Requisitos mínimos - Processador Intel ou AMD CPU 3Ghz (4 cores), 4 GB de RAM,
100 GB
 Recomendado - Processador Intel I7 (4 cores) ou superior, 8GB de RAM, 100 GB
Homologado na plataforma VMware VSphere Versão 5.5 e 6.0.
Página 12
Instalação
A seguir, o passo a passo do procedimento instalação do A3S.
O instalador do A3S está disponível para download em: A3S installer
 Ao iniciar a instalação do A3S será exibida a tela de boas-vindas. Selecione a
opção “Instalar”:
Figura 1 - Tela de Boas Vindas
Em seguida, será exibida a tela de definição de senha de acesso para a conta de administrador do
A3S (ROOT). Defina a senha e pressione a tecla Enter.
Esta senha será solicitada para gerenciar o A3S pela interface de texto.
Página 13
Figura 2 - Definindo senha de administrador
Em seguida, selecione o tipo de particionamento e em qual disco que a instalação será efetuada, e
pressione a tecla Enter.
Figura 3 - Opções de particionamento de disco
Aguarde até que o processo de instalação seja concluído e a tela de login seja exibida.
Página 14
Figura 4 - Formatando
Figura 5 - Instalação de pacotes
Página 15
Figura 6 - Execução de scripts de pós-instalação
Após a execução dos scripts, a tela de configuração de Hostname e Domínio do A3S será exibida.
Preencha os campos corretamente e prossiga para o próximo passo.
Esta configuração também pode ser aplicada por meio da linha de comando (comando: a3s-configHostname-domain). Para mais informações sobre os comandos disponíveis no A3S, clique aqui.
Figura 7 - Configuração do Domínio
Caso o administrador opte por não configurar o Hostname e Domínio da máquina, serão utilizados os
padrões: akersinglesignon.aker.com.br
Página 16
Em seguida, a tela de configuração de rede será exibida. Insira o endereço IP, máscara, gateway e
endereços DNS, e selecione OK. Nesta janela os campos de endereço IP e máscara são mandatórios.
a3s
Em seguida, a tela de configuração de acesso exclusivo ao A3S será exibida. Selecione “Sim” para
selecionar as redes que poderão acessar a interface de gerenciamento do A3S, ou selecione “Não” para
prosseguir para o próximo passo.
É recomendado que pelo menos uma rede seja definida nesta configuração.
Figura 8 - tela de configuração de acesso exclusivo ao A3S
Defina as redes e respectivas máscaras, que terão permissão de acesso à interface de gerenciamento
do A3S e pressione Enter.
Esta configuração também pode ser aplicada por meio da linha de comando (comando: a3s-configaccess). Para mais informações sobre os comandos disponíveis para o A3S, clique aqui.
Página 17
Figura 9 - Tela de configuração de acesso exclusivo ao A3S
Confirme a configuração selecionando “Sim”.
Figura 10 - Confirmar a operação
Ao confirmar a configuração, o sistema será reiniciado e a tela de login exibida.
Figura 11 - Tela de login
Ao concluir a instalação, a máquina será reiniciada e a tela de login será exibida.
Login: root
Página 18
Senha: definida na instalação.
Para informações sobre as configurações do Aker Single Sign-On clique aqui.
Para informações sobre as configurações do Captive Portal clique aqui.
Gerenciamento do A3S
Este tópico apresenta uma breve apresentação dos menus e opções da interface de gerenciamento
do A3S.
Primeiro Acesso à Interface de gerenciamento web do A3S
Ao concluir a instalação do A3S, acesse o IP definido na instalação na “porta 1442”.
A tela de login será exibida a seguir:
Figura 12 - Tela de login do A3S
Utilize as credencias abaixo para efetuar o primeiro acesso.
*Interface web
Usuário: admin
Página 19
Senha: 123456
*SSH
Usuário: root
Senha: definida na instalação
Recomenda-se que estas senhas sejam alteradas no primeiro acesso, para isso, siga os passos descritos abaixo:
Para alterar a senha de acesso da interface de texto, utilize o comando abaixo:
 Execute o comando “passwd root”, em seguida insira a nova senha.
Figura 13 - Alteração de senha SSH
Para efetuar a alteração de senha da interface de gerenciamento web, clique em “Perfil”, localizado
no canto superior direito da tela e modifique sua senha.
Figura 14 - Alteração de senha Webgui
Figura 15- Perfil - Alteração de senha Webgui
Página 20
O A3S possui 6 (seis) menus principais que permitem ao administrador acesso rápido às informações
de usuários e á aplicação e definição dos parâmetros de configurações do Aker Single Sign-On e Captive
Portal. A seguir, mais informações sobre estes menus.
Figura 16 - Menus do A3S
Painel
O menu Painel do A3S exibe as informações dos usuários autenticados por meio do Aker Single SignOn. Nesta janela são exibidos: Login, IP, data e hora, grupos, Domínio, servidor de AD, tipo de autenticação
utilizada e logon ID dos usuários.
Página 21
Figura 17 - Painel
Usuários
O menu Usuários exibe informações dos usuários administradores do A3S. Por meio desta janela, é
possível visualizar todos os usuários administradores, editar, excluir ou cadastrar um novo usuário.
Página 22
Figura 18 - Lista de usuários
Também é possível gerenciar o perfil do usuário que está conectado por meio do ícone
,
localizado na parte superior direita da tela.
Figura 19 - Gerenciamento de perfil de acesso.
Aker SSO
O menu Aker SSO (Aker Single Sign-On) possui dois módulos de configuração que permitem
configurar os escopos que definem os parâmetros de configurações do Aker Single Sign-On, e efetuar o
cadastro de Firewalls, os quais serão vinculados aos escopos para efetuar a autenticação dos usuários das
redes que utilizam o serviço de diretório da Microsoft “Active Directory (AD)” de forma transparente no Aker
Firewall.
Para mais informações sobre o cadastro de escopos clique aqui.
A seguir, mais detalhes sobre estes módulos.
Página 23
Figura 20 - Aker SSO
Escopos
Por meio desta janela, o administrador pode definir os escopos contendo as configurações de
funcionamento do Aker Single Sign-On, como: Faixas de IPs que serão monitoradas por meio das consultas
utilizando o Visualizador de Eventos do Windows ou Polling, cadastro de Servidores de AD, Whitelist/Blacklist,
usuário WMI que será utilizado na consulta e vínculo de Firewalls. A seguir, mais detalhes sobre estas
configurações.
Figura 21 - Lista de Escopos
Página 24
Firewall
Por meio desta janela, o administrador pode cadastrar Firewalls que receberão os usuários das redes
que utilizam o serviço de diretório da Microsoft “Active Directory (AD)” para efetuar a autenticação
transparente.
Figura 22 - Lista de Firewalls
Para mais informações sobre o cadastro de Firewalls no Aker Single Sign-On clique aqui.
Captive Portal
Por meio deste menu é possível configurar os parâmetros do Captive Portal, uma solução de controle
de acesso (baseado no PacketFence) desenvolvida para gerenciar e controlar redes específicas, que
proporciona altos níveis de segurança devido à integração com o Aker Firewall, além de reduzir custos de TI
com a automatização do registro de usuários e auxiliar empresas no cumprimento dos requisitos do Marco
Civil da Internet (Lei nº 12.965, de 23 de abril de 2014).
O Packetfence é um projeto Open Source de um Network Access Controller. O Packetfence pode ser
utilizado como um Portal de Autenticação para o Aker Firewall e o Aker Firewall também pode ser
integrado com o Packet Fence, quando ele for utilizado como um NAC (Network Access Controller).
Para mais informações sobre as configurações e módulos do Captive Portal clique aqui.
Página 25
Figura 23 - Captive Portal
Figura 24 - Janela de Administração do Captive Portal
Administração
O menu Administração possui três módulos de configuração que permitem definir os parâmetros de
configuração de autenticação no A3S, parâmetros NTP (Network Time Protocol), e parâmetros de
configuração das interfaces de rede.
Página 26
Figura 25 - Menu Administração
 Autenticação
Por meio desta janela, é definido o método de autenticação da interface de administração web do
A3S. As opções disponíveis são: Local e LDAP.
Figura 26 - Tipo de Autenticação
Local: ao selecionar este método, apenas usuários cadastrados no menu Usuários do A3S poderão
acessar a interface de gerenciamento web. Estes usuários são armazenados no próprio banco de dados do
A3S.
LDAP: ao selecionar este método, usuários autenticados por meio de um servidor LDAP terão
permissão para se autenticar à interface de gerenciamento web do A3S.
Página 27
Para que os usuários LDAP tenham permissões de administrador, é necessário que tal permissão seja
atribuída ao mesmo. Esta permissão deve ser fornecida por meio de um usuário administrador LOCAL.
Figura 27 - Autenticação do tipo LDAP
NTP
Por meio desta janela, o administrador pode definir os servidores NTP (Network Time Protocol) do
A3S.
Figura 28 - Aba Servidores NTP
É recomendado que o NTP do servidor A3S esteja sincronizado com NTP dos Servidores AD, os quais
terão seus usuários autenticados no Aker Firewall de forma transparente por meio do Aker Single SignOn.
Rede
Por meio desta janela, é possível visualizar e modificar configurações de rede do A3S, como:
Interfaces de Rede, Rota Padrão e Servidores DNS.
Página 28
Ressaltando que estas configurações são definidas na instalação do A3S.
Recomenda-se que todas as alterações de rede referentes ao Captive Portal e Aker Single Sign-On
sejam efetuadas por meio da interface de gerenciamento de rede do A3S.
Figura 29 - Configurações de rede
Ajuda
O menu Ajuda fornece links de fácil acesso a imagens e pacotes do A3S, acesso ao Fórum da Aker e a
versão do A3S.
Página 29
Figura 30 - Menu Ajuda
Página 30
Figura 31 - Sobre
Opções de Idioma da Interface de Gerenciamento Web
O A3S oferece duas opções de idioma em sua interface de gerenciamento web. As opções disponíveis
são: Português e Inglês.
O botão de alteração de idioma fica localizado na parte superior direita da tela.
Figura 32 - Opções de idioma
Lista de comandos disponíveis para a interface de texto do A3S
Página 31
A seguir, serão listados os comandos do A3S disponíveis para a interface de texto.
 Comando “a3s”
Por meio deste comando é efetuado o processo de backup e restauração do A3S.
Seguem os comandos disponíveis:
A3S
backup → Realiza o backup de todas as configurações
restore: → Realiza a restauração de todas as configurações backup
backup:a3s → Realiza o backup das configurações do Aker Single Sign-On
backup: packetfence → Realiza o backup das configurações do Captive Portal e sua base de dados restore
restore: a3s → Realiza a restauração do A3S
restore:packetfence → Realiza a restauração do Packet Fence
Efetuando o backup do A3S:
a3s backup (nome do backup)
Efetuando a restauração do A3S:
→a3s restore (nome do backup salvo)
Página 32
Figura 33 - Comando para restauração
Ao aplicar a restauração, o sistema será reiniciado.
 Comando “a3sc-config-email”
Este comando configura o envio de e-mails do A3S relacionados ao auto registro de usuários do
Captive Portal. Por padrão, os e-mails são enviados pela porta 25, contudo, alguns servidores de e-mail
requerem autenticação e a utilização de uma porta específica.
Esta configuração é necessária para efetuar o registro de usuários do Captive Portal de forma
automatizada, pelas opções “Registro por E-mail e Registro por patrocinador”.
Para monitorar os logs referentes ao envio de e-mails utilize o comando abaixo na
interface de texto do A3S: tail -f /var/log/maillog
Quando o sistema de alerta do Captive Portal não for configurado, a seguinte configuração padrão do
sistema será utilizada:
 Porta de envio utilizada: 25
 Remetente: root@servidor+nome-do-dominio ([email protected])
 Servidor SMTP: Localhost
Para alterar os parâmetros acima acesse: A3S > Menu Captive Portal > Configuration > Alerting
Página 33
Figura 34 - Configuração de envio de e-mail Captive Portal
Exemplo de utilização do comando a3sc-config-email:
a3sc-config-email <Servidor SMTP> <Porta> <Nome de usuário> <Senha>
a3sc-config-email smtp.provedor.com 587 usuario@provedor 123456
 Comando “a3sc-config-Hostname-domain”
Este comando permite configurar o Hostname e Domínio do A3S. Esta configuração é exibida na
instalação, contudo, caso o administrador opte por pular estes processo na instalação, é possível efetuar a
configuração posteriormente, por meio deste comando.
Definindo o Hostname e Domínio do A3S:
Execute o comando “a3sc-config-Hostname-domain”, em seguida a tela abaixo será exibida.
Insira o Hostname e Domínio desejados e aplique a configuração:
Figura 35 - Configuração do Domínio do A3S
Página 34
 Comando “a3s-config-access”
Por meio deste comando, o administrador pode definir as redes que terão acesso exclusivo à
interface de gerenciamento do A3S (interface web e texto).
Definindo o acesso à interface de gerenciamento do A3S:
Execute o comando “a3s-config-access”, em seguida, insira as redes que terão permissão para
acessar a interface de gerenciamento do A3S. Ao concluir, aplique a configuração por meio da opção
“Aceitar”.
Figura 36 - Configuração de acesso exclusivo
Página 35
Página 36
Maior flexibilidade de acesso para usuários do Aker Firewall com alto nível de segurança e gerenciamento de acesso.
O Aker Single Sign-On (login único) é uma central de autenticação de múltiplos usuários, que
dispensa a instalação de softwares nas estações dos usuários da rede. O Aker Single Sign-On autentica os
usuários no Aker Firewall de forma transparente por meio de uma única autenticação, descartando a
necessidade de utilizar credenciais de acesso ao Aker Firewall de tempos em tempos, proporcionando maior
segurança aos dados de autenticação, aumentando a produtividade e reduzindo a sobrecarga de senhas.
O Aker Single Sign-On autentica usuários de uma rede Microsoft com Active Directory (versões
suportadas do Windows Server 2008, 2012 e 2016) de forma transparente, utilizando o protocolo WMI
(Instrumentação de gerenciamento do Windows) LDAP (Lightweight Directory Access Protocol), permitindo a
aplicação de: Políticas, Filtragem Web, Filtragem de Aplicativos, Regras de Filtragem nos Perfis e demais
funcionalidades do Aker Firewall.
Como funciona:
Aker Single Sign-On funciona de duas maneiras:

Efetua consultas utilizando o protocolo WMI (Instrumentação de Gerenciamento do
Windows), identifica usuários por meio dos eventos de autenticação nos logs dos
servidores AD (Log de evento de segurança Windows ID 4624). Ao concluir a busca,
encaminha as informações para o Aker Firewall.

Efetua consultas utilizando o método Polling (checagem contínua) nas estações de
trabalho, identificando o usuário que está autenticado. O protocolo utilizado é o
WMI (Instrumentação de Gerenciamento do Windows).
O Aker SSO não oferece suporte aos ambientes virtualizados como Microsoft Terminal Service e Citrix. Para estes
ambientes, recomenda-se o uso do Aker Client.
Página 37
Benefícios:
 Redução de “Password fatique ou Password overload” (fadiga ou sobrecarga de
senha);
 Redução de tempo utilizado na reinserção de senhas;
 Redução do custo de TI devido à diminuição de chamados referentes a problemas
com senhas ou nomes de usuários;
 Interface de administração simples e intuitiva;
 Aumento de segurança;
 Rapidez, eficiência e flexibilidade no gerenciamento de acesso;
Configurando o Aker Single Sign-On
A seguir, serão abordados todos os passos de configuração necessários para obter uma implantação
bem sucedida do Aker Single Sign-On.
Premissas
 Configurações dos servidores de ADs que serão cadastrados ao Aker Single Sign-On
(informações sobre rede, NTP, LDAP, DNS, informação de grupos e usuários como:
Base DN, Bind DN, senha, permissões de usuários administradores);
 Aker Firewall instalado e com configurações básicas (configurações relacionadas ao
Aker Single Sign-On serão descritas a seguir,);
Recomenda-se que os passos descritos a seguir, sejam executados, na ordem apresentada, para
efetuar a configuração do Single Sign-On Server.
 Cadastro de Firewall no Aker Single Sign-On;
 Cadastro de Escopo (AD) no Aker Single Sign-On;
 Habilitando o Aker Single Sign-On no Aker Firewall;
Página 38
Modelo de implementação do Aker Single Sign-On.
Figura 37 - Esquema de implementação
O primeiro passo recomendado para a configuração do Aker Single Sign-On é o cadastro do Firewall.
Firewall no qual os usuários dos Servidores AD se autenticarão. Na Interface de Gerenciamento Web, acesse
o menu Event Viewer > Firewalls:
Figura 38 - Event Viewer > Firewall
Página 39
Em seguida, clique no botão “Adicionar Firewall”, localizado na parte superior direita da tela.
Preenchas os campos da janela de Cadastro de Firewall e clique em Salvar.
Figura 39 - Cadastro de Firewall
Nome: nome que representará o Firewall;
IP: IP do Firewall;
Senha: senha de comunicação com o Firewall. Esta senha deve ser inserida na configuração do
Firewall, por meio do módulo Configuração do Firewall > Autenticação>Aba Aker Single Sign-On.
Figura 40 - Configuração da senha no Aker Firewall
Página 40
Escopos: escopo ao qual o Firewall será atribuído (este campo é preenchido automaticamente ao
inserir um Firewall nos parâmetros de configuração de um Escopo).
Clonar Firewall: cria uma cópia do Firewall desejado.
Ao concluir clique em Salvar.
A mensagem abaixo será exibida no canto superior direito da tela.
Após cadastrar o Firewall, acesse o menu exibido abaixo para criar um escopo e definir as configurações de funcionamento do Aker Single Sign-On, como: Faixa de IPs que serão monitoradas, por meio das
consultas utilizando o Visualizador de Eventos do Windows ou Polling, Servidores de AD, Whitelist/Blacklist,
usuários WMI e vínculo de Firewalls. A seguir, mais detalhes sobre estas configurações.
 Menu Event Viewer > Escopos.
Figura 41 - Escopos
Em seguida, clique no botão
localizado na parte superior direita da tela.
Os escopos possuem três abas, que serão descritas a seguir:
Página 41
Nesta aba é realizada a configuração dos métodos de consulta do Aker Single Sign-On: Polling e Event
Viewer (tempo limite de autenticação, intervalo de consulta, conexões simultâneas), e o usuário que será
utilizado nos métodos de consulta do Aker Single Sign-On (este usuário deve ter permissões wmi). A seguir,
mais detalhes sobre as opções.
Figura 42 - Aba Configuração - SSO
Escopo: nome para o escopo em criação;
Timeout de autenticação: tempo limite que os usuários ficarão autenticados pelo Aker Single SignOn.
Este parâmetro deve ser o mesmo definido no Aker Firewall, na janela: Configuração do Firewall
> Autenticação > Aba Aker Single Sign-On.
Figura 43 - Timeout no Aker Control Center.
Página 42
Intervalo de Consulta: intervalo de consulta do Event Viewer e Polling.
Habilitar Polling: habilita ou desabilita a consulta Polling para os servidores AD do escopo;
Conexões simultâneas: define o número de conexões simultâneas que serão efetuadas nas
consultas.
Usuário: usuário com permissões de consulta nos ADs cadastrados no escopo (Domain Controller ou
similar), que será utilizado nas consultas do Polling.
Senha: senha do usuário com permissões de consulta WMI.
Faixa de IPs: faixas de IPs que serão consultadas pelo Aker Single Sign-On. Os IPs segmentados
devem ser inseridos como exibido no exemplo a seguir,.
Figura 44 - Modelo de configuração de faixas de IP
Whitelist/Blacklist: define os IPs/redes que entrarão ou não nas consultas, estando ou não dentro
das faixas de IPs. No campo “Whitelist” devem-se inserir os IPs que deverão entrar nas consultas efetuadas
pelo Aker Single Sign-On, estando ou não dentro das faixas de IPs. No campo “Blacklist” devem-se inserir os
IPs que não deverão entrar nas consultas efetuadas pelo Aker Single Sign-On, estando ou não dentro das
faixas de IPs.
Após preencher os campos descritos acima, clique em
.
Nesta aba são cadastrados os servidores de AD que terão seus usuários autenticados no Firewall por
meio das consultas efetuadas pelo Aker Single Sign-On. Esta aba exibe os ADs cadastrados para o escopo em
questão, além de permitir adicionar, clonar, editar, ou deletar Servidores AD.
Página 43
Figura 45 - Aba Servidores AD - SSO
Siga os passos abaixo para adicionar um servidor AD.
Na aba Servidores AD, clique no botão
e preencha os campos abaixo:
Figura 46 - Janela de cadastro de AD
Domínio: nome do servidor AD;
Servidor: IP do servidor AD;
Base DN: Base DN na qual a consulta será iniciada, ou seja, ponto inicial da hierarquia do Active
Directory na qual a pesquisa efetuada pelo Aker Single Sign-On será iniciada.
Página 44
No LDAP, o grupo primário não é incluído como entrada no IADsUser:::Groups Collections, nem faz
parte dos grupos DN (Distinguished Name) do atributo MemberOf. Sendo assim, estes não são exibidos na listagem de grupos do A3S. Devido a esta condição, a autenticação e atribuição de usuários aos
seus respectivos perfis não será efetuada de forma satisfatória. Clique aqui para mais informações.
Homologado para LDAP V3. Recomenda-se que apenas a versão 3 do LDAP seja utilizada no A3S e seus
módulos.
Utilize os comandos abaixo para identificar a Base DN em seu Servidor de AD:
 Windows + R
 CMD
 dsquery user
Figura 47 – Visualizando a base DN
Bind DN: Bind DN é o usuário que será usado na procura e solicitação de autenticação no AD.
Utilize os comandos abaixo para identificar o Bind DN em seu Servidor de AD:
 Comando: dsquery user –name “nome do usuário para o bind”
 Exemplo: dsquery user –name “administrador”
Figura 48 - Visualizando o Bind DN
Página 45
Senha: senha de acesso do usuário (Bind DN)
Timeout: tempo limite que o usuário acima ficará conectado.
Atributo grupo: atributo utilizado na autenticação.
Filtro: filtro utilizado na autenticação com o servidor AD.
Porta: porta utilizada na autenticação com o servidor AD. A porta padrão é 389.
Criptografia: criptografia utilizada na autenticação com o servidor AD. As opções disponíveis são: SSL
e Starttls.
Após preencher os campos descritos acima, clique em OK.
Por meio desta aba é realizado o vínculo com o(s) Firewall(s) ao qual os usuários dos Servidores AD
serão autenticados de forma transparente.
Figura 49 -Aba Firewalls - Escopo SSO
Para vincular um ou mais Firewalls ao escopo, siga os passos descritos a seguir:
Na aba Firewalls, clique em
e selecione o(s) Firewall(s) que será vinculado ao
Escopo em criação. Ao concluir, clique em Vincular Selecionados.
Página 46
Conclua a criação do escopo clicando em
.
A mensagem abaixo será exibida no canto superior direito da tela.
Estes são os passos necessários no A3S para configurar o Aker Single Sign-On. Ao concluí-los, acesse a
interface remota de gerenciamento do Aker Firewall para concluir a implementação.
Ao concluir as configurações no A3S, relacionadas ao Aker Single Sign-On, é necessário efetuar
algumas configurações no Aker Firewall. As configurações no Aker Firewall podem ser realizadas por meio da
interface remota de gerenciamento do Aker Firewall, a Aker Control Center, ou via interface de texto por
meio do comando “fwaccess”.
Premissas para efetuar as configurações no Aker Firewall:
 Ter efetuado as configurações do Aker Single Sign-On no A3S (tópico anterior);
 Criar as entidades que representaram as redes que terão seus usuários autenticados
no Aker Firewall, IP do A3S;
 Ter cadastrado os autenticadores do tipo LDAP, que serão utilizados para autenticar
os usuários dos servidores ADs cadastrados no Aker Single Sign-On;
 Ter criado os Perfis de Acesso para atribuí-los aos usuários autenticados pelo Aker
Single Sign-On;
 Ter cadastrado de usuários/grupos que serão autenticados pelos servidores ADs,
cadastrados no Aker Single Sign-On.
Para informações sobre as configurações acima acesse a última versão do manual do Aker
Firewall 6.8.1 em: http://www.aker.com.br/produtos/aker-firewall-utm/manuais/
Página 47
Habilitando o Aker Single Sign-On via Aker Control Center
Com as premissas descritas acima atendidas, acesse o Aker Firewall via Aker Control Center e siga os
passos descritos a seguir:
No Aker Control Center acesse: Configuração do Firewall > Autenticação > Aba Aker Single Sign-On
Figura 50 - Configuração no Aker Firewall - Autenticação
Figura 51 - Aba Aker Single Sign-On
Página 48
Preencha os campos desta janela definindo as informações do Aker Single Sign-On. A seguir, mais detalhes
sobre estes campos.
Habilitar autenticação Aker Single Sign-On: habilita a autenticação de usuários no Aker Firewall pelo Aker
Single Sign-On.
Endereço do servidor: entidade que representa o servidor Aker Single Sign-On.
Figura 52 - Entidade representando o servidor A3S
Senha Compartilhada: senha compartilhada entre o Aker Firewall e o servidor Aker Single Sign-On. Esta senha
deve ser a mesma definida na interface de gerenciamento web do Aker Single Sign-On.
Autenticadores: autenticadores LDAP que serão utilizados na autenticação transparente de usuários dos
servidores AD por meio do Aker Single Sign-On.
Sessões de usuários
Página 49
Perfil padrão: perfil padrão que será atribuído aos usuários autenticados pelo Aker Single Sign-On.
Tempo limite: tempo limite para expiração de sessões dos usuários autenticados pelo Aker Single Sign-On. O
tempo limite pode ser informado em segundos, minutos, horas ou dias, sendo necessário apenas informar o número e a
letra da unidade desejada. Exemplo:




“1s” para 1 segundo;
“1m” para 1 minuto;
“1h” para 1 hora;
“1d” para 1 dia;
Configurando o Aker Single Sign-On via Interface de texto – Comando “fwaccess”
A configuração do Aker Single Sign-On pela Interface de texto é efetuada pelo comando “fwaccess”.
Ao utilizar a interface de texto pela “Console” do Aker Firewall, não é necessário utilizar o prefixo
“fw”. Desta forma, utilize apenas o comando “access” pela console ou “fwaccess” via SSH.
A seguir, mais detalhes sobre os comandos disponíveis para esta configuração.
Aker Firewall - Versão 6.8
Uso do controle de acesso: fwaccess ajuda
fwaccess mostra
fwaccess inclui [usuario | grupo] <pos> <autenticador> <nome> <perfil>
fwaccess inclui_local [usuario | grupo] <pos> <nome> <perfil>
fwaccess lista [usuarios | grupos] <authenticator>
fwaccess lista_local [usuarios | grupos]
fwaccess lista perfis
fwaccess remove <pos>
Uso do Configurador do Aker Single Sign-On:
fwaccess a3s -p <senha> -t <timeout> --acl <perfil padrao> --ip <A3S ip> --auth <autenticadores>
fwaccess a3s --habilita|--desabilita
Os parâmetros para o controle de acesso são:
pos:
posição da regra na lista
autenticador: agente remoto que realiza a autenticação
nome:
perfil:
nome do usuário ou grupo que será autenticado
perfil para usuário ou grupo
Os parâmetros do Aker Single Sign On são:
Password:
Timeout:
Senha utilizada para o A3S conectar ao Firewall.
Tempo de expiração para as sessões de usuário.
Página 50
A3S IP:
Entidade com o IP da máquina do A3S.
Perfil Padrao: Perfil utilizado quando não usa nenhuma outra regra de acesso.
Autenticadores: Autenticador usado para criar regras de acesso.
Habilita:
Habilita esse tipo de autenticação.
Desabilita:
Desabilita esse tipo de autenticação.
Regras de Filtragem necessárias para o Aker Single Sign-On
A seguir, serão exibidas as portas de serviços necessárias para estabelecer a comunicação entre o
Servidor A3S, ADs e Redes de Usuários para a implementação e configuração do Aker Single Sign-On.
 Dos Servidores ADs e Servidor A3S com destino à Internet, libere a porta 123 (NTP).
 Entre o Servidor A3S e as redes com permissão de gerenciamento do A3S, é necessário liberar
as portas 1442 e 1443 (portas utilizadas para gerenciar o A3S pela interface de gerenciamento web).
 Entre o servidor A3S, Servidores ADs e as redes de usuários, é necessário liberar as portas 123
(NTP – que deve estar sincronizado entre Servidores ADs e Servidor A3S), 53 (DNS), 135 (protocolo RPC utilizado pelo WMI), e as portas altas TCP de 34000 à 65000 (portas aleatórias
utilizadas pelo RPC).
Exemplo ↓
Aker Single Sign-on Troubleshooting
Este tópico descreve possíveis soluções para alguns problemas que os administradores e usuários do
Aker Single Sign-On podem encontrar.
A seguir, serão exibidos alguns comandos que auxiliam na validação de configuração do sistema e
monitoramento.
1 - Onde posso monitorar os logs dos usuários autenticados pelo Aker Single Sign-On?
Na interface de texto do A3S, acesse os arquivos em /var/logs/messages
Exemplos de monitoramentos:
 tail -f /var/log/messages |egrep "administrador"
 tail -f /var/log/messages |egrep "networkPolling"
 tail -f /var/log/messages |egrep "eventViewer"
Página 51
 tail -f /var/log/messages |egrep "eventViewerGroup"
 tail -f /var/log/messages |egrep "from authuser"
 tail -f /var/log/messages |egrep "Inserindo"
2 - Meus usuários LDAP não se autenticam no pelo Aker Single Sign-On, o Firewall já está
com o Single Sign-On habilitado e propriamente configurado. E o Firewall, também foi cadastrado
na interface de gerenciamento web do A3S.
 Valide se a comunicação foi efetivada com sucesso entre o servidor A3S, ADs, e o
Aker FIrewall na porta 389.
 Valide se a comunicação foi efetivada com sucesso entre o Aker Firewall e o Servidor
A3S na porta 22.
*Estas conexões são estabelecidas assim que a configuração é efetuada nas duas partes, por
exemplo, no Servidor A3S e no Firewall, ao cadastrar um novo escopo de AD.
Exemplos de comandos para validar a conectividade:
ss -anp |grep :389
Ou
netstat -n |grep 22
Caso AD, redes AD e servidores A3S (servidores NTP devem estar sincronizados entre AD e
A3S) estejam passando pelo firewall, certifique-se de que, nas regras de filtragem, as portas abaixo
estejam liberadas:
389 - AD
123 - NTP
53 - DNS
137/138
135 + portas altas (34000 a 65000) - WMI/ RPC/
Página 52
Página 53
Acesso rápido e seguro para visitantes, controle e disponibilidade de recursos, e automatização de
registro de acesso.
O aumento do uso de dispositivos remotos no ambiente corporativo vêm estimulando cada vez mais
organizações a disponibilizarem sua rede para acesso à Internet e compartilhamento de recursos com
parceiros, clientes ou outros visitantes. Fato que requer o uso de uma ferramenta (NAC – Network Access
Control) para controlar os aparelhos e usuários conectados à rede.
Com o objetivo de oferecer maior segurança no acesso de visitantes (redes públicas) e outros
usuários, limitar a disponibilidade dos recursos da rede para usuários específicos e oferecer um sistema
automatizado com múltiplas opções de autenticação, a Aker oferece a integração do Aker Firewall com o
Captive Portal, possibilitando a configuração de regras de acesso, bloqueios, aplicação de políticas, e
controle de banda.
O Captive Portal é uma solução de controle de acesso (baseado no PacketFence) desenvolvida para
gerenciar e controlar redes específicas, proporcionando altos níveis de segurança devido à integração com o
Aker Firewall, além de reduzir custos de TI com a automatização do registro de usuários e auxiliar empresas
no cumprimento dos requisitos do Marco Civil da Internet (Lei nº 12.965, de 23 de abril de 2014).
O Packetfence é um projeto Open Source de um Network Access Controller. O Packetfence pode ser
utilizado como um Portal de Autenticação para o Aker Firewall e o Aker Firewall também pode ser
integrado com o Packet Fence, quando ele for utilizado como um NAC (Network Access Controller).
Com o Captive Portal é possível controlar de forma centralizada as redes cabeadas e sem fio,
proporcionando maior segurança e agilidade.
Principais Benefícios:

Maior controle e segurança no acesso à Internet (cabeada ou sem fio) para visitantes ou um grupo (rede) específico de usuários (configurar regras, permissões e uso de banda para grupo e usuário), aumentando a satisfação e utilização dos usuários;

Habilita a limitação de acesso aos recursos da rede da empresa;

Provê rápida autenticação e conectividade para colaboradores e visitantes,
aumentado a produtividade e satisfação dos clientes;

Reduz a propagação de códigos maliciosos como vírus, worms, cavalos de Troia,
Spyware e outras formas de malware;
Página 54

Permite a aplicação de regras de acesso, bloqueios, aplicação de políticas, e
controle de banda;

Oferece múltiplas opções de autenticação;

Proporciona a automatização de registros de usuários;

Limitação de conexões simultâneas, definindo a quantidade de acessos/dispositivos para cada usuário, ajudando a evitar ataques como, por exemplo, DoS (Negação de Serviço);

Melhor controle de banda;

Tempo limite de acesso para usuários e grupos.
Como funciona:
 Ao abrir o navegador para acessar a Internet, os usuários das redes que se autenticarem por meio do Captive Portal serão redirecionados para a página de
autenticação para que realizem o login (por meio de um auto registro, integrarção com bases internas ou externas de usuários como: Local, AD, LDAP, Facebook, Google e etc.).
O Captive Portal suporta vários métodos de autenticação, a seguir, alguns dos principais métodos:







Active Directory
Apache htpasswd file
Email
Facebook (OAuth 2)
Github (OAuth 2)
Google (OAuth 2)
Kerberos







LDAP
LinkedIn (OAuth 2)
Null
RADIUS
SMS
Sponsored Email
Windows Live (OAuth 2)
Primeiros Passos Captive Portal
Recomenda-se que os passos descritos a seguir, sejam seguidos na ordem apresentada.
 Configuração do Aker Firewall para integração com o Captive Portal
 Configuração do Captive Portal para integração com o Aker Firewall
Página 55
Premissas
 Aker Firewall (versão compatível com o Captive Portal > Aker Firewall 6.8.1 ou
posterior) instalado e pronto para receber as configurações de integração com
Captive Portal;
 Criar as entidades que representam máquinas/redes e serviços que estão envolvidos na configuração do Captive portal. Exemplo: rede(s) que se autenticaram utilizando o Captive Portal, redes internas, Servidores AD, Servidores DNS,
serviços HTTP e HTTPS com e sem proxy.
Localização no Aker Control Center: Entidades > Aba Redes/Aba Máquinas/Aba Serviços
 Ter cadastrado os autenticadores que serão utilizados para autenticar os usuários das redes que serão autenticadas pelo Captive Portal. Localização no Aker
Control Center: Entidades > Aba Agentes externos
 Ter criado Perfis de acesso para atribui-los aos usuários autenticados pelo Cap-
tive Portal. Localização na Aker Control Center: Configuração do Firewall > Perfis
Página 56
 Ter cadastrado os usuários/grupos na aba autenticação do Aker Firewall. Localização no Aker Control Center: Configuração do Firewall > Autenticação
Para mais informações sobre a instalação do Aker Firewall acesse a última versão do manual em: Manuais
Aker Firewall
Modelo de implementação do Captive Portal
Figura 53 - Esquema de implementação do Captive Portal
Página 57
Configurando o Aker Firewall para integração com o Captive Portal
O Captive Portal pode ser configurado e habilitado pelas interfaces remotas e de texto do Aker
Firewall. Seguem mais detalhes sobre ambas as configurações a seguir.
Com as premissas descritas acima atendidas, acesse o Aker Control Center no módulo “Configuração
do Firewall > Regras de Filtragem”.
Figura 54 - Regras gerais
Em Regras de Filtragem, crie as seguintes regras, liberando os serviços especificados abaixo:
1. Uma regra com a origem do Servidor A3S com destino à Internet, liberando: DNS
(53), porta que será utilizada para enviar e-mail (25,465 ou 587), HTTP (80) e HTTPS
(443).
2. Uma regra com origem na rede que será autenticada pelo Captive Portal (no exemplo
abaixo, Rede Visitantes), com destino ao servidor A3S, liberando: HTTP (80) e HTTPS
(443).
Página 58
3. Uma regra com na origem a rede que será autenticada pelo Captive Portal (no exemplo abaixo, Rede Visitantes), com destino à Internet, liberando: DNS (53), HTTP (80)
com PROXY, e HTTPS (443) com PROXY.
Caso a Rede que será autenticada pelo Captive Portal for uma rede interna do Firewall, certifiquese de que existe um NAT, permitindo que os IPs desta rede tenham acesso à Internet.
Ao concluir os passos descritos acima, inicie a habilitação e configuração do Captive Portal.
Mais detalhes a seguir.
Após efetuar as configurações descritas no tópico anterior, na Aker Control Center acesse o módulo
Aplicação > Filtro Web.
Na Aba Geral marque as opções:
 Ativar o Filtro Web;
 Autenticar usuários WWW;
 Forçar autenticação;
Página 59
Figura 55 - Filtro web
Figura 56 - Filtro Web Aba Geral
Em seguida, continuando no módulo Filtro Web, acesse a aba Autenticação Captive Portal e defina
os parâmetros de configuração do Captive Portal. Mais detalhes sobre os campos desta aba a seguir,.
Página 60
Figura 57 - Aba Autenticação Captive Portal
Habilitar Autenticação Captive Portal: habilita a autenticação do Captive Portal.
Endereço do servidor: nome ou IP do Captive Portal.
Senha Compartilhada: senha compartilhada entre o Aker Firewall e o Captive Portal.
Rede dos clientes: entidades que representam máquinas/redes que serão gerenciadas pelo Captive Portal.
Autenticadores: autenticadores LDAP que serão utilizados pelo Captive Portal.
Sessões de usuários
Perfil padrão: perfil padrão que será atribuído aos usuários gerenciados pelo Captive Portal.
Tempo limite: tempo limite para expiração de sessões de usuários autenticados pelo Captive Portal. O tempo
limite pode ser informado em segundos, minutos, horas ou dias, sendo necessário apenas informar o número e a letra
da unidade desejada. Exemplo:




“1s” para 1 segundo;
“1m” para 1 minuto;
“1h” para 1 hora;
“1d” para 1 dia;
Oauth2: marque esta opção para permitir o acesso temporário à Internet aos usuários do Captive Portal por
meio de mídias sociais (Facebook, Google, Linkedin, etc.).
Clique em “Aplicar” para finalizar.
Página 61
Para habilitar/configurar o Captive Portal por meio da interface de texto do Aker Firewall utilize o
comando “fwhttp”.
Para utilizar os comandos de configuração do Captive Portal, é necessário que a Aker Control Center esteja
desconectada do Firewall.
fwhttp: Comando para configurar o modulo de Filtro Web do Aker Firewall.
Uso:
configura [acp | auth]: Configura o Filtro Web.
acp : Configura o Captive Portal:
fwhttp configura acp -u <url> -p <senha> --net <maquina|rede|conjunto> --acl <perfil>
-t <timeout> --auth <autenticador> --com-oauth
-u : Configura o endereço de acesso ao Captive Portal
-p : Configura a senha de comunicação entre o Firewall e o Captive Portal
--net : Configura as entidades redes de acesso dos usuários ao Captive Portal
--acl : Configura o Perfil Padrão de acesso dos usuários
-t : Timeout da sessão dos usuários autenticados
--auth : Configura os autenticadores utilizados para vincular usuários
--com-oauth : Habilita autenticação via Oauth
--sem-oauth : Desabilita autenticação via Oauth
auth : Configura a autenticação www:
fwhttp configura auth <--exige-auth | --nao-exige-auth>
--exige-auth : Configura para a Autenticação ser obrigatória
--nao-exige-auth : Configura para a Autenticação ser opcional
habilita [acp | auth]: Habilita o Filtro Web e seus módulos
desabilita [acp | auth]: Desabilita o Filtro Web e seus módulos
mostra
[acp | auth]: Mostra a configuração Filtro Web
acp : Mostra a configuração apenas do Captive Portal
Página 62
auth : Mostra a configuração apenas da autenticação
ajuda
[acp | auth]: Mostra essa ajuda.
acp : Mostra a ajuda especifica do Captive Portal
auth : Mostra a ajuda especifica da autenticação
Configurando o Captive Portal
Após efetuar as configurações no Aker Firewall, acesse a Interface de gerenciamento web do A3S,
clique no menu “Captive Portal”.
Figura 58 - A3S > Captive Portal
Em seguida, a tela de login será exibida, utilize o login e senha descritos a seguir,:
 Username: admin
 Password: 123456
Figura 59 - Tela de Login da Interface de Gerenciamento do Captive Portal
Recomenda-se que o nome de usuário e senha padrão sejam alterados no primeiro acesso.
Página 63
Figura 60 - Página Inicial
Para que o Captive Portal seja implementado com sucesso, recomenda-se que os parâmetros
descritos abaixo sejam configurados na ordem apresentada:
 Roles
 Sources
 Portal Profiles
 Cadastro do Aker Firewall
Roles representam parâmetros de configuração específicos que serão aplicados aos dispositivos das
redes gerenciadas pelo Captive Portal, além de serem utilizados para efetuar a atribuição dos usuários
(método de autenticação interno AD/LDAP/Radius) aos seus respectivos perfis de acesso no Aker Firewall.
Roles são atribuídos às configurações de Sources, Firewalls cadastrados e posteriormente Portal
Profiles, desta forma, é recomendado que Roles sejam criados primeiro. Mais detalhes sobre Sources,
Cadastro de Firewalls e Portal Profiles nos próximos tópicos.
Utilização de Role 1
Roles são utilizados para definir o número de dispositivos que os Usuários/Nodes/Fontes de
autenticação do Captive Portal (Sources) poderão autenticar.
Página 64
Ao definir o valor “0”, não existirá um número limite de dispositivos, ou seja, ilimitado, o usuário
poderá se autenticar em quantos dispositivos quiser, o que não é recomendado.
Exemplo:
Nome do Role: Padrão > Número máximo de Nodes por usuário > valor “2”
Os Usuários/Nodes/Fontes de autenticação do Captive Portal (Sources) que receberem o Role
acima poderão se autenticar apenas em 2 dispositivos. Exemplo, o usuário “José foi atribuído a Role Padrão”,
e se autenticou em seu notebook e celular. Desta forma, ao tentar se autenticar em um 3º dispositivo José
será bloqueado, pois o número máximo de dispositivos autenticados com o usuário José já foi atingido.
Utilização de Role 2
Para as fontes de autenticação (Sources) internas do Captive Portal (AD/LDAP/RADIUS) os Roles são
extremamente importantes, devido sua utilização na atribuição dos usuários autenticados, por meio de
bases AD/LDAP/RADIUS, nos perfis de acesso do Aker Firewall.
Os DNs dos grupos devem ser separados por pronto e vírgula (;)
As regras exibidas abaixo são mandatórias para a atribuição de usuários aos seus perfis de acesso do
Aker Firewall (por meio das fontes de autenticação internas AD/LDAP/RADIUS).
parte dos grupos DN (Distinguished Name) do atributo MemberOf. Sendo assim, estes não são exibidos na listagem de grupos do A3S. Devido a esta condição, a autenticação e atribuição de usuários de
grupos primários, aos seus respectivos perfis não será efetuada de forma satisfatória. Clique aqui para
mais informações.
módulos.
Página 65
Exemplo de utilização de Roles para autenticação utilizando AD/LDAP/RADIUS.
O Administrador do AD “testes. Aker”, habilitou seu AD como uma das fontes de autenticação do
Captive Portal.
Figura 61 - AD cadastrado em Sources
Desta forma, para que os usuários do AD “testes.aker” se autentiquem pelo Captive Portal e sejam
atribuídos aos seus respectivos perfis no Aker Firewall, é necessário a criação de Roles com os DN dos grupos
de usuários do AD.
Figura 62 - Role com o DN dos grupos
Estes Roles devem ser atribuídos à fonte de autenticação (Source) que representa o AD - testes.aker
Página 66
Figura 63 - Roles atribuídos a fonte de Autenticação - AD testes.aker
Esta atribuição é efetuada por meio da criação de regras (Rule) dentro da configuração da fonte de
autenticação Source.
Página 67
Figura 64 - Criação de Rule
Também é necessário que estes Roles sejam atribuídos ao Firewall (Local: A3S > Captive Portal >
Configuration > Firewall SSO) que receberá os usuários e os atribuirá aos seus respectivos perfis de acesso.
Figura 65 - Atribuição de Roles no cadastro de Firewall dentro do Captive Portal
Posteriormente, certifique-se que os mesmos grupos de usuários estão cadastrados na janela de
Autenticação do Aker Firewall. Localização na Aker Control Center: Módulo Configuração do Firewall >
Autenticação > Aba Control de Acesso.
Figura 66 - Autenticação Aker Firewall
Cadastro de Role
No A3S clique no menu Captive Portal e navegue até: Menu Configuration> Users> Roles
Página 68
Figura 67 - Roles
Figura 68 - Roles
Siga os passos descritos a seguir, para adicionar um novo Role:
 Clique em Add role
 Insira o nome, descrição e defina a quantidade de dispositivos que usuários atribuídos a este Role poderão autenticar no Captive Portal.
Página 69
Figura 69 - Quantidade de dispositivos por usuários
Sources são as fontes de autenticação que serão utilizadas para autenticar os usuários das redes
gerenciadas pelo Captive Portal. Cada fonte de autenticação possui seu próprio conjunto de regras,
condições e ações, que serão definidas pelo administrador.
As fontes de autenticação (Sources) devem ser atribuídas posteriormente aos Perfis de acesso do
Captive Portal para que os usuários possam se autenticar por meio das mesmas.
O Captive Portal suporta fontes de autenticação: local, internas, externas ou exclusivas.
A seguir, mais detalhes sobre as fontes de autenticação suportadas pelo Captive Portal e alguns
exemplos de configurações.
O Captive Portal suporta as fontes de autenticação internas do tipo: AD, Chained, Htpasswd, http,
Kerberos, LDAP, RADIUS.
Figura 70 - Fontes de autenticação Internas
Página 70
Cadastro de fonte de autenticação do tipo AD
Para cadastrar uma fonte de autenticação do tipo AD, navegue até o menu “Configuration >
Sources> User Sources > Add Source > Internal > AD” e preencha os campos descritos a seguir:
Para que a integração do Captive Portal e Aker Firewall seja efetuada com sucesso, garantindo o
funcionamento satisfatório da autenticação dos usuários de fontes de autenticação internas do tipo
AD/LDAP/RADIUS, é necessário que as configurações da janela de cadastro de AD/LDAP/RADIUS tenham as mesma configurações que as entidades que representam estes servidores no Aker Firewall.
parte dos grupos DN (Distinguished Name) do atributo MemberOf. Sendo assim, estes não são exibidos na listagem de grupos do A3S. Devido a esta condição, a autenticação e atribuição de usuários de
grupos primários aos seus respectivos perfis não será efetuada de forma satisfatória. Clique aqui para
mais informações.
módulos.
Figura 71 - Configuração Captive e Aker Firewall
Página 71
Figura 72 - Cadastro de AD
Name: nome do servidor (este nome deve ser o mesmo nome atribuído ao servidor de AD).
Description: descrição para o servidor de AD.
Host: IP do servidor, porta e tipo de criptografia que será utilizada na autenticação: SSL, Start TLS ou
nenhuma.
Connection Timeout: período de tempo definido em segundos que o Captive Portal espera a
resposta do Servidor.
Base DN: Base DN é o ponto inicial da hierarquia do Active Directory na qual a busca será iniciada.
Utilize os comandos abaixo para identificar a Base DN em seu Servidor de AD:
 Windows + R
 CMD
 dsquery user –name (nome de um usuário, recomenda-se o Administrador)
Página 72
Figura 73 - Identificando base DN
Base DN no exemplo acima: CN=Users,DC=testes,DC=aker
No exemplo acima, o usuário “Administrador” está dentro de “Users”, que está dentro do Domínio “testes.aker”. Desta forma, a pesquisa será iniciada no grupo “User”, pegando todos usuários do grupo.
Scope: define o âmbito da procura. As opções disponíveis são:
 Base Object: limita a procura para apenas a base de objeto.
 One-Level: procura em um nível imediato, excluindo a base de objeto.
 Subtree: procura em toda a sub-árvore, incluindo todos os níveis filhos e a própria base de
objeto.
 Children: limita a procura para apenas os níveis filhos.
Username Attribute: atributo de usuário que será utilizado na autenticação com o AD.
Exemplo: SamAccountName, Userprincipalname, etc.
Bind DN: Bind DN é o usuário que será usado na procura e solicitação de autenticação no AD.
Utilize os comandos abaixo para identificar o Bind DN em seu Servidor de AD:
 Comando: dsquery user –name “nome do usuário”
 Exemplo: dsquery user –name “Administador”
Página 73
Figura 74 - Identificando Bind DN
Cache match: Armazena os resultados de pesquisas efetuadas nas regras da Fonte de autenticação
(Sources) em questão, aumentando a velocidade de atribuição dos usuários a seus respectivos Roles, e
posteriormente em seus respectivos perfis no Aker Firewall.
Password: senha de acesso utilizada na autenticação.
Use stripped username: usa nomes de usuários (stripped username) retornados por RADIUS para
testar as regras da Fonte de autenticação (Sources) em questão.
Clique em Save e prossiga para o próximo passo.
Em seguida, clique em Rule (parte inferior direita da página) e crie uma regra para a atribuir os
usuários do(s) AD(s) em seus respectivos perfis do Aker Firewall. Segue um modelo.
Figura 75 – Regra para o AD
Página 74
Ao cadastrar uma regra para fontes de autenticação AD/LDAP/RADIUS, certifique-se que o DN do(s)
grupo(s) de usuário(s) que se autenticaram por meio desta fonte de autenticação esteja separado por “ponto
e vírgula (;)”, como exibido na imagem acima.
Para mais informações sobre Roles clique aqui.
Ao concluir valide se a conexão com o AD foi estabelecida com sucesso.
Para validar clique em Teste.
Figura 76 - Validação de conexão
Em seguida, visualize a mensagem que será exibida no topo da página com o estado da autenticação.
Figura 77 - Autenticação estabelecida com sucesso
Página 75
O Captive Portal suporta as seguintes fontes de autenticação externas: E-mail, Facebook, Github,
Google, Linkedin, SMS, SponsorEmail, Twitter e WindowsLive.
Figura 78 - Fontes de autenticação Externas
Cadastro de fontes de autenticação externas - Mídias Sociais (Facebook, Microsoft, Linkedin, etc.)
Para habilitar a autenticação por meio de mídias sociais é necessário criar um app na mídia social
desejada. Ao obter a chave acesse o Captive Portal para configurar a source externa que representará a mídia
social desejada.
Configuration> Sources > ADD > External Source.
Google: Para habilitar a autenticação pelo Google registre-se:
http://code.google.com/apis/console.
Certifique-se
de
que
o
campo
“Redirect
URI”
possui
a
URL
de
seu
portal
(ex:
https://meuPortalCaptive/oauth2/google) e adicione seguintes Domínios autorizados: *.google.com, *.google.ca,
*.google.br, *.gstatic.com, *.googleapis.com, *.accounts.youtube.com
Mais informações sobre como configurar um app no Google aqui.
Ao obter os dados do aplicativo (API ID, API Secret e etc.) acesse A3S > Captive > Sources, e crie sua
nova fonte de autenticação externa.
Facebook: Para habilitar a autenticação pelo Facebook registre-se em:
https://developers.facebook.com/apps
Certifique-se
de
que
o
campo
“Redirect
URI”
possui
a
URL
de
seu
portal
(ex:
https://meuPortalCaptive/oauth2/facebook) e adicione seguintes Domínios autorizados: *.facebook.com,
*.fbcdn.net, *.akamaihd.net
Página 76
Mais informações sobre como configurar um app no Facebook aqui.
Github: Para habilitar a autenticação pelo Github registre-se em:
https://github.com/settings/applications.
Certifique-se
de
que
o
campo
“Redirect
URI”
possui
a
URL
de
seu
portal
(ex:
https://meuPortalCaptive/oauth2/github).
Mais informações sobre como configurar um app no Github aqui
Linkedin: Para habilitar a autenticação pelo Linkedin registre-se em:
https://developer.linkedin.com/.
Certifique-se
de
que
o
campo
“Redirect
URI”
possui
a
URL
de
seu
portal
(ex:
https://meuPortalCaptive/oauth2/linkedin).
Mais informações sobre como configurar um app no Linkedin aqui.
Windows Live: Para habilitar a autenticação pelo Windows Live registre-se em:
https://account.live.com/developers/applications
Certifique-se
de
que
o
campo
“Redirect
URI”
possui
a
URL
de
seu
portal
(ex:
https://meuPortalCaptive/oauth2/windowslive).
Mais informações sobre como configurar um app no Windows Live aqui.
Cabe ressaltar que o procedimento é efetuado nas próprias mídias sociais, e pode ser alterado.
Após a criação da nova fonte de autenticação, certifique-se de que as fontes que representam a mídias sociais
desejadas estejam selecionadas no Portal Profile de sua rede, para que as mesmas sejam disponibilizadas para
autenticação dos usuários.
Para validar esta configuração acesse: Configuration > Portal Profiles > clique no portal desejado e insira a nova
fonte de autenticação em Sources.
Página 77
Siga os passos descritos abaixo para criar uma autenticação externa para mídias sociais:
 No A3S acesse: Captive > Configuration > Sources
 Clique em “ADD” e selecione a source externa que deseja criar (Facebook no exemplo abaixo).
 A janela de criação será exibida. Nesta janela configure os quatro parâmetros descritos a seguir:
App ID e App Secret: estas informações são fornecidas pelas mídias sociais na criação do App.
Mais detalhes nas páginas acima.
Portal URL: neste campo coloque o Hostname do seu Captive Portal.
https://MEUCAPTIVE.COM.BR/oauth2/facebook
Figura 79 - Configurando fonte de autenticação do tipo mídia social
Página 78
Rules: Esta opção é disponibilizada após a criação da fonte de autenticação, localizada na parte
inferior esquerda da tela. Para que os usuários possam ser autenticados por meio desta fonte de
autenticação é mandatório que exista uma regra com as duas ações, set_role e
set_access_duration, como exibido na imagem abaixo.
Figura 80 - Regra para autenticação por mídias externas
Configurando o auto registro de usuários
O Captive Portal permite que usuários se auto registrem e obtenham acesso à Internet. Este processo
é efetuado por meio das opções Registro por e-mail ou Registro através de um patrocinador que são
disponibilizadas na tela de login do Captive Portal.
Página 79
Figura 81 - Tela de Registro de Convidado
Por padrão, os e-mails são enviados pela porta 25-TCP, contudo, alguns servidores de e-mail requerem
autenticação e a utilização de uma porta especifica.
Para definir os parâmetros de configuração para autenticação, utilize o comando: a3sc-config-email
Utilização: a3sc-config-email <Servidor SMTP> <Porta> <Nome de usuário> <Senha>
Quando o sistema de alerta do Captive Portal não é configurado, a seguinte configuração padrão do
sistema será utilizada:
 Porta de envio utilizada: 25-TCP
 Remetente: root@servidor+nome-do-dominio ([email protected])
 Servidor SMTP: Localhost
Para alterar os parâmetros de envio de e-mail padrão acesse: A3S > Menu Captive Portal >
Configuration > Alerting
Página 80
Figura 82 - Configuração padrão de envio de e-mail Captive Portal
Ao efetuar o registro, a navegação do usuário será liberada por 10 minutos para a ativação da conta.
Caso a conta não seja ativada, o usuário será bloqueado por uma hora.
Para que as opções de Registro por e-mail ou Registro através de um patrocinador estejam
disponíveis na tela de autenticação do Captive Portal é necessário que as Sources “Email e Sponsor” estejam
atribuídas ao Portal Profile de sua rede.
As Sources “Email e Sponsor” são criadas por padrão pelo Captive Portal, desta forma, é necessário
que estas fontes de autenticação estejam presentes no Perfil de acesso de sua rede e as configurações
descritas a seguir, sejam atendidas.
Figura 83 - Source Email e Sponsor atribuídas ao Portal Profile
Página 81
Habilitando o Registro por E-mail
Para habilitar a opção “Registro de e-mail” para os usuários do Captive Portal siga os passos
descritos a seguir:
 Defina as configurações de envio de e-mails por meio do comando “a3sc-configemail” como descrito acima. Caso opte por não definir estes parâmetros, os e-mails
serão enviados pela porta padrão do SMTP, porta 25.
 No menu Captive Portal, acesse: Configuration > Portal Profiles > Selecione o portal
desejado. Ao abrir o Portal, certifique-se de que a Source e-mail foi selecionada como
exibido na imagem a seguir:
Figura 84 - Registro por e-mail.
Para monitorar os logs referentes ao envio de e-mail na interface de texto do A3S, utilize o comando:
tail -f /var/log/maillog
Mais informações sobre os comandos do A3S clique aqui.
Mais informações sobre o Auto registro clique aqui.
Habilitando a opção de Registro através de um patrocinador
Para habilitar a opção de “Registro através de um patrocinador” para os usuários do Captive Portal
siga os passos descritos a seguir,:
 Defina as configurações de envio de e-mails por meio do comando “a3sc-configemail” como descrito acima. Caso opte por não definir estes parâmetros, os e-mails
serão enviados pela porta padrão do SMTP, porta 25.
 No menu Captive Portal, acesse: Configuration > Portal Profiles > Selecione o portal
desejado. Ao abrir o Portal, certifique-se de que a Source “Sponsor” foi selecionada
como exibido na imagem a seguir:
Página 82
Figura 85 - Registro através de um patrocinador
 Em seguida, crie um usuário e atribua-o ao e-mail que os usuários utilizarão como
patrocinador. Em seguida, atribua as permissões de patrocinador para o usuário desejado.
Exemplo a seguir:
 No menu Captive Portal, acesse: Users > Create.
Figura 86 - Criação de usuários locais no Captive Portal
 Defina os campos necessários para criação do usuário.
Página 83
Figura 87 -Janela de criação de usuários local

No campo “Registration Window” defina a data de expiração para esta conta;

No campo “Actions” selecione a opção “Mark as Sponsor” e demais atribuições que
desejar para o usuário. Clique em “Create Users” para concluir.
O E-mail definido para este (patrocinador) sponsor não deve ser o mesmo utilizado por outro usuário.
Página 84
Para monitorar os logs referentes ao envio de e-mails, utilize o comando abaixo na interface de texto
do A3S: tail -f /var/log/maillog
Mais informações sobre o Auto registro clique aqui.
O Captive Portal suporta as fontes de autenticação Exclusivas do tipo: Blackhole, Kickbox e Null.
Figura 88 – Fontes de autenticação exclusivas
Além das opções de autenticação descritas acima, o Captive Portal permite a criação de usuários em
seu banco de dados local, sendo possível registrar usuários (individual ou múltiplos), por MAC ou importação
(por meio de um arquivo CSV).
Registro de Usuários Locais
Para o registro de usuários no banco de dados local do Captive Portal acesse: Menu Users> Create >
Create Users”. Selecione o método desejado e crie o usuário. Os métodos disponíveis são: Single, Multiple,
ou Import.
Página 85
Figura 89 – Registro de usuários locais
Preencha os campos com as informações dos usuários e clique em
.
Portal Profiles são os perfis que podem ser atribuídos às Redes, Realm, URI, por meio dos filtros
disponíveis.
Desta forma, é possível criar um portal específico para grupos, departamentos, dispositivos e etc.,
proporcionando maior controle para sua rede.
Caso não exista nenhum portal criado, todos os clientes se autenticarão usando as regras padrões do
Captive Portal.
Os portais possuem três (3) abas de configuração que serão descritas a seguir:
Página 86
 Aba Settings
Por meio desta aba o usuário define o nome do portal, descrição, as fontes de autenticação
(Sources), e pode inserir filtros específicos para o Portal. Além de oferecer outras configurações disponíveis
para personalizar o portal de acesso.
Caso não existam fontes de autenticação selecionadas em seu portal, serão utilizadas as fontes definidas no
perfil “Default”. Caso não existam fontes selecionadas em ambos os perfis, todas as fontes (Internas ou externas)
poderão se autenticar.
Figura 90 - Portal Profiles aba settings
 Aba Captive Portal
Por meio desta aba é possível configurar o nome da logo principal apresentada na página de
autenticação do Captive Portal, definir se o usuário será redirecionado para uma URL específica após
autenticação ou se será redirecionado para a mesma página que ele estava tentando acessar, definir a
quantidade de tentativas de login, idiomas disponíveis para o portal, e a definição dos campos mandatórios
no formulário de registro do usuário e outras configurações disponíveis para personalização do portal de
acesso.
Para modificar a logo é necessário que a arte desejada seja colocada na pasta (por meio do programa
WINSCP ou similar), ou utilizar a URL de uma imagem:
Página 87
/usr/local/pf/html/captive-portal/content/images
Personalize sua arte e salve-a na pasta descrita acima no formato “.png”. Em seguida, simplesmente altere o
nome no campo logo. O tamanho médio das imagens é 210/100 pixels, ficando à critério do usuário.
Figura 91 - Portal Profiles aba Captive Portal
 Aba Files
Por meio desta aba o administrador pode personalizar as imagens e textos que serão exibidos pelo
portal em questão, como: imagens, mensagens de erro, ativação, alertas, estado de autenticação, cabeçalho,
rodapé, redirecionamento, registro de dispositivo, e mais.
Página 88
Figura 92 - Portal Profiles aba Files
Exemplo de personalização da tela de login dos usuários.
Na aba Files clique em “login.html”.
É recomendado que se tenha conhecimento básico de HTML para efetuar a personalização descrita a
seguir,.
É possível pré-visualizar a página clicando em:
Página 89
Ao clicar, o HTML será aberto em uma janela onde o usuário pode personalizar os textos e imagens
do portal.
No exemplo abaixo será modificado o texto da tela principal de registro de usuários.
 Clique na opção “Show line numbers” e em seguida navegue até a linha 33.
 Na linha 33 edite a mensagem de boas-vindas, e insira sua mensagem personalizada
nas linhas 36 e 37, como destacado na imagem abaixo.
Página 90
Para modificar as imagens é necessário que a arte desejada seja colocada na pasta (por meio do
programa WINSCP ou similar) ou endereço:
/usr/local/pf/html/captive-portal/content/images
www.host.com.br/minhaimagem.png
Personalize sua arte e salve-a na pasta descrita acima no formato “.png”. Em seguida, simplesmente altere o
nome da imagem em sua respectiva linha.
Ao alterar uma string, é necessário criar uma tradução para a mesma, caso contrário, a mesma não
será traduzida para outras linguagens.
Linguagem padrão: Inglês.
O tamanho médio recomendado das imagens é 210/100 pixels, ficando à critério do usuário.
Ao concluir clique em
.
Por padrão, a duração de acesso dos usuários é de 12 horas. Caso queira alterar este parâmetro, acesse a
interface de gerenciamento do Captive Portal e navegue até o “Menu Configuration>Access Duration”.
Página 91
Figura 93 - Access duration
Access duration choices: lista as opções de duração de acesso para as fontes de autenticação do
Captive Portal.
Default access duration: exibe a duração de acesso padrão do sistema, a qual será aplicada as fontes
de autenticação que não possuírem sua própria duração de acesso definidas.
Duration: permite que o administrador crie uma nova opção de duração de acesso para as fontes de
autenticação.
O cadastro de Firewall é necessário para atribuir usuários autenticados pelo Captive Portal aos perfis
de acesso específicos no Aker Firewall, permitindo a aplicação de regras de acesso.
Para cadastrar um novo Firewall, siga os passos descritos a seguir:
No menu Captive Portal do A3S navegue até: Menu Configuration> Networks > Firewall SSO
Página 92
Figura 94 - Cadastro de Firewall no A3S
 Clique em Add Firewall e selecione AkerFirewall.
Cadastre as informações de seu Firewall e defina os papeis (Roles).
Página 93
Figura 95 - Cadastrando o Aker Firewall no Captive Portal
Hostname or IP Address: endereço IP ou Hostname do Aker Firewall
Password: senha de comunicação entre o Aker Firewall e Captive Portal. Esta senha deve ser a
mesma definida na aba de autenticação do Captive Portal na Aker Control Center, como exibido a seguir.
Localização na Aker Control Center: Módulo Aplicação > Filtro Web > Autenticação Captive Portal
Port of the service: porta utilizada na conexão com o Firewall.
Roles: selecione as Roles que serão atribuídas aos usuários que serão gerenciados por este Firewall.
Estes Roles são utilizados para definir a quantidade de dispositivos que cada usuário pode autenticar
utilizando o Captive Portal e na atribuição de usuários autenticados por meio de fontes internas do tipo
LDAP, AD e RADIUS.
Página 94
Na utilização de fontes de autenticação (Sources) internas do tipo LDAP, AD e RADIUS, é mandatório
que os Roles com as bases DNs dos grupos de usuários dos ADs, que serão gerenciados por este Firewall, estejam selecionadas neste campo, para que os usuários sejam atribuídos aos seus respectivos
perfis de acesso no Aker Firewall.
parte dos grupos DN (Distinguished Name) do atributo MemberOf. Sendo assim, estes não são exibidos na listagem de grupos do A3S. Devido a esta condição, a autenticação e a atribuição de usuários
de grupos primários, aos seus respectivos perfis não será efetuada de forma satisfatória. Clique aqui
para mais informações.
Homologado para LDAP V3. Recomenda-se que apenas a versão 3 do LDAP seja utilizada no A3S e
seus módulos.
Para mais informações sobre Roles clique aqui.
Ao concluir clique em
.
Usuários visitantes ou de redes que se autentiquem no Captive Portal podem se registrar de forma
automatizada por meio de um código de verificação que é enviado para o e-mail do usuário ou para o e-mail
do patrocinador. Além das opções de acesso mencionadas anteriormente é possível se autenticar utilizando
as mídias sóciais (Facebook, Google, Linkedin e outras) disponibilizadas no Captive Portal.
Página 95
Ao abrir seu navegador o usuário será redirecionado para a página de autenticação do Captive Portal,
onde, o mesmo poderá efetuar o login (por meio de uma das fontes de autenticação Interna, Externa,
Exclusiva, Local, Mídias sociais: Facebook, Google e etc., ou por meio do auto registro).
Ao concluir o registro, o usuário terá acesso à Internet para acessar seu e-mail e ativar o registro em
seu e-mail. Caso utilize a opção de registro “Patrocinador (Sponsor)” a ativação será efetuada pelo
patrocinador.
Para mais informações sobre os cadastros de fontes de autenticação clique aqui.
Figura 96 - Tela de Login do Captive Portal
Caso o usuário pertença a uma base interna cadastrada no Captive Portal, insira o nome de usuário e
senha (Leia os termos de uso e marque a checkbox “Eu li e aceito os termos”), e clique em “Usuário”.
Caso não tenha um usuário na base interna clique em Registrar e preencha os campos necessários ou
acesse as mídias sociais disponíveis no portal.
A tela de registro será exibida, preencha os dados solicitados corretamente.
Página 96
Figura 97 - Tela de registro
Após preencher os campos necessários clique em Registrar por E-mail para efetuar a ativação em
seu próprio e-mail, ou clique em Registrar por Patrocinador uma das opções abaixo:
Figura 98 - Acesso à Rede Solicitado
Acesso à Rede Solicitado.
Página 97
Em seguida o usuário terá acesso liberado por 10 minutos para que acessar sua conta de e-mail e
clicar no link de ativação.
Caso o usuário não clique no link de ativação em 10 minutos (valor padrão), após o registro, o mesmo será
bloqueado e não poderá se autenticar no portal por uma hora. Para limpar esta lista, acesse o Aker Firewall via
SSH e remova os arquivos acp_blacklist_cache/acp_whitelist_cache em: /aker/config/firewall
Ao se conectar por meio de mídias sociais a ativação será efetuada automaticamente.
Figura 99 - Registro por meio de Mídias sociais
Página 98
Conectando com uma conta Facebook:
Figura 100 - Página de login Facebook
Conectando com uma conta Google:
Página 99
Figura 101 - Página do login Google
Figura 102 - Ativação de rede
Página 100
Página 101
Este capítulo apresenta uma breve apresentação dos menus e opções da interface gerenciamento do
Captive Portal.
Para mais informações sobre módulos específicos do Captive Portal clique aqui.
O Captive Portal possui cinco (5) menus que serão descritos a seguir:
Figura 103 - Menus do Captive Portal
O menu Status exibe de forma transparente e simples informações referentes à: registro de usuários,
carga do Servidor, memória disponível, solicitações por servidor, acessos, conexões, latência. Permite que o
administrador filtre os dados por datas específicas ou última hora, últimas 3 horas, últimas 12 horas, último
dia, última semana e últimas duas semanas.
Figura 104 - Aba Dashboard
E ainda, por meio da aba “Services”, é possível visualizar os serviços em execução do sistema,
permitindo que o administrador inicie, reinicie ou pare os serviços.
Página 102
Figura 105 - Aba Services
O menu Reports exibe as informações do estado dos dispositivos (Nodes), gráfico com sistema
operacional, violações detectadas, tipos de conexões, SSIDs.
Figura 106 - Menu Reports
Página 103
O menu Nodes exibe as informações de todos dispositivos (Nodes) que estão conectados no Captive
Portal. Este menu possui duas janelas: Search e Create.
Na Janela Search administrador pode ter acesso a todos os dispositivos conectados, o estado
(registrado ou não registrado), MAC, nome do computar, proprietário, endereço IP, Role atribuído ao
dispositivo. Além de efetuar filtragens nos dispositivos conectados por: MAC, Status, IP, Role, Notes, Person
Name, Violation Name, User agente, Source switch IP, Computer Name, Bypass Vlan e Bypass Role.
Figura 107 - Menu Nodes _Search
Na Janela Create o administrador pode adicionar manualmente Nodes (dispositivos) no sistema do
Captive Portal, desta forma, estes dispositivos serão automaticamente registrados obtendo acesso imediato.
É possível registrar dispositivos individualmente ou vários dispositivos por meio de um arquivo CSV.
Figura 108 - Filtragem
Página 104
Figura 109 - Menu Nodes_Create
O menu User exibe as informações de todos os usuários registrados no Captive Portal. Este menu
possui duas janelas: Search e Create.
Na janela Search o administrador pode ter acesso a todos os usuários registrados no Captive Portal,
nome de usuário, primeiro nome, sobrenome, e-mail, telefone, e a quantidades de dispositivos (Nodes)
conectados por este usuário.
Página 105
Figura 110 - Menu Users
Na Janela Create o administrador pode adicionar usuários locais no banco de dados local do Captive
Portal. É possível registrar usuários individualmente, criar um grupo de usuários, ou importar vários usuários
por meio de um arquivo CSV.
Para remover um usuário, siga os passos descritos abaixo:
 Navegue até o menu User > Search
 Clique no Usuário desejado
 Clique em Delete
Página 106
Figura 111 – Exclusão de usuário
O menu Configuration oferece ao administrador acesso às configurações avançadas do Captive Portal
referentes às redes, registros, alertas, Perfis do Portal, acesso, manutenção e mais.
Para mais informações sobre as opções avançadas do Captive Portal acesse:
http://www.packetfence.org/downloads/PacketFence/doc/PacketFence_Administration_Guide5.6.1.pdf
Página 107
Captive Portal Troubleshooting
Este tópico descreve possíveis soluções para alguns problemas que os administradores e usuários do
Captive Portal podem encontrar.
1. Usuários estão acessando a Internet sem se autenticar no Captive Portal?
 Valide se o Captive Portal e o Filtro Web estão habilitados e propriamente configurados. Regra de Proxy HTTPS e HTTP entre a rede de usuários do Captive
Portal, opções: autenticar usuários WWW e Forçar Autenticação na janela de
Filtros Web habilitadas.
Para mais informações clique aqui.
2. Minha Internet não está funcionando. A tela de login/registro do Captive não está
sendo exibida?
 Na Interface de gerenciamento do Captive Portal, valide se a rede de origem ou
se todas as redes estão liberadas no perfil do portal em questão. Menu Confguration> Portal Profiles> clique no portal em uso> Filtros network
Caso nenhuma rede esteja especificada, todas as redes terão permissão. Caso exista uma rede, e não
seja a sua rede, insira sua rede no formato 0,0,0,0/0.
Exemplo: 10.3.80.0/24
Certifique-se de que a mesma rede está cadastrada, no Aker Firewall. Localização: Módulo Aplicação
> Filtro Web > Aba Autenticação Captive Portal > Campo Redes dos clientes.
 Valide as configurações de Regras de Filtragem, Perfis e NAT no Aker Firewall.
Possível solução em casos que necessitem uma rápida remediação para o problema:
→ Na Interface de Texto do Captive Portal execute o comando service packetfence restart
Aguarde até que todos os serviços sejam reiniciados e valide se a tela de autenticação será exibida
nas máquinas dos usuários.
Para mais informações clique aqui.
3. Aker Firewall e Captive Portal não se comunicam?
 Na linha de comando do Firewall, utilize o comando netstat -tunap |grep :22 para
visualizar se o Captive está conectado ao firewall.
Página 108
 Valide se o Captive Portal e Aker Firewall conseguem se pingar. Caso não, verifique
as Regras de Filtragem que permitem a comunicação entre os mesmos.
4. Onde estão os arquivos de log do Captive Portal?
Todos os arquivos de logs estão em: /usr/local/pf/logs
Sendo que:

PacketFence-Captive Portal (packetfence.log)

DHCP Listeners (pfdhcplistener*.log)

Apache - Captive Portal (httpd.portal.*)

Apache - Administrative UI (httpd.admin.*)

Apache - Web services (httpd.webservices.*)

Apache - AAA (httpd.aaa.*)

RADIUS (radius.log)

pfdns - PacketFence DNS service (pfdns.log)

SNMP Trap Daemon (snmptrapd.log)

SNORT Detect Daemon (pfdetect)

Violation Logs (violation.log)
Monitorando os logs do Captive Portal.
Comando: Tail –f /usr/local/pf/logs/(especifique o tipo de log desejado ou coloque “*” para
ver todos)
Página 109
Figura 112 - monitoramento de logs do Captive Portal
5. Captive Portal não iniciou!
O motivo provavelmente será exibido na tela de console, contudo, também é possível obter mais
informações no arquivo de log: /usr/local/pf/logs/packetfence.log
Certifique-se de que o processo do Captive iniciou com o comando:
/etc/init.d/packetfence status
ou
service packetfence status
6. Como inicio, paro ou reinicio o Captive Portal?
 Iniciar: /etc/init.d/packetfence start ou service packetfence start
 Parar: /etc/init.d/packetfence stop ou service packetfence stop
 Reiniciar: /etc/init.d/packetfence restart ou service packetfence restart
7. Aonde posso ver/remover usuários que foram inseridos na Whitelist/Blacklist?
Na interface de texto do Aker Firewall acesse: /aker/config/firewall/
→arquivos↓
acp_blacklist_cache
acp_whitelist_cache
Página 110
8. Como posso limpar ou visualizar a tabela de banco de dados do Captive?
Para validar se um usuário está na tabela de banco de dados do Captive obtenha o MAC do usuário
(na interface de gerenciamento do Captive acesse o menu Nodes, efetue uma busca por meio dos
parâmetros disponíveis e pegue o MAC associado ao usuário em questão.
Exemplo de busca: <Person name
is
usuario.aker
Ao obter o MAC, na interface de texto do A3S, execute os comandos abaixo:
→Para validar se o usuário está na tabela:
mysql -uroot pf -p"senha do banco de dados, a mesma definida na instalação" -e "select * from
activation where mac = 'mais-o-mac';"
Exemplo: mysql -uroot pf -p123456 -e "select * from activation where mac = '00:00:0a:03:46:55';"
→Para remover um MAC específico ou limpar a tabela:
mysql -uroot pf -p"senha do banco de dados, a mesma definida na instalação" -e "delete from
activation where mac = 'um MAC específico ou * para todos';"
Exemplo limpar para tabela: mysql -uroot pf -p123456 -e "delete from activation where mac = '*';"
Exemplo para limpar o MAC de apenas um usuário: mysql -uroot pf -p123456 -e "delete from
activation where mac = '00:00:0a:03:46:55';"
Página 111

- Aker Security Solutions

Transcrição

Documentos relacionados

Introdução Em alguns casos, pode ocorrer um erro durante a

HOW TO Como calcular os tempos de navegação web e chats do

HOW TO Como liberar acesso ao Skype utilizando Proxy Socks

Introdução Mostraremos como bloquear o MSN utilizando o Firewall

HOW TO Gerando certificado digital, auto

Softwares essenciais

Sejam bem-vindos à Aker Solutions

Procedimento_de_Gravação_de_imagem_e

hacker ( sites )

Segurança na internet