Manual de Referencia IPBrick 5.2
Transcrição
Manual de Referencia IPBrick 5.2
IPBrick Manual Referência Versão 5.2 iPortalMais - Serviços de Internet e Redes, Lda. Setembro 2010 2 c Copyright iPortalMais Todos os direitos reservados. Setembro 2010. A informação contida neste documento está sujeita a alterações sem aviso prévio. As declarações, dados técnicos, configurações e recomendações deste documento são supostamente precisas e fiáveis mas são apresentadas sem garantias expressas ou implı́citas. Manual Referência- Versão 5.2 iPortalMais - 2010 Conteúdo 1 Objecto deste documento 15 2 Antes de começar 17 3 IPBrick.I 3.1 Grupos de Máquinas . . . . . . . . . . . . 3.2 Gestão de Máquinas . . . . . . . . . . . . 3.2.1 Operações em Massa . . . . . . . . 3.3 Grupos de Utilizadores . . . . . . . . . . . 3.4 Gestão de Utilizadores . . . . . . . . . . . 3.4.1 Operações em Massa . . . . . . . . 3.5 Gestão XML-RPC . . . . . . . . . . . . . 3.5.1 Adicionar mensagem de utilizador . 3.5.2 Modificar a mensagem do utilizador 3.5.3 Apagar a mensagem do utilizador . 3.6 Servidor de Domı́nio . . . . . . . . . . . . 3.6.1 Configuração . . . . . . . . . . . . 3.6.2 Gestão de Utilizadores . . . . . . . 3.7 Áreas de Trabalho . . . . . . . . . . . . . 3.7.1 Áreas de Trabalho Individuais . . . 3.7.2 Áreas de Trabalho de Grupo . . . . 3.7.3 Kaspersky . . . . . . . . . . . . . . 3.8 Correio Electrónico . . . . . . . . . . . . . 3.8.1 Configurar . . . . . . . . . . . . . . 3.8.2 Definições . . . . . . . . . . . . . . 3.8.3 Gestão de Filas . . . . . . . . . . . 3.8.4 Gestão de Utilizadores . . . . . . . 3.8.5 Listas de Distribuição . . . . . . . 3.8.6 Estatı́sticas . . . . . . . . . . . . . 3.8.7 Anti-Vı́rus . . . . . . . . . . . . . . 3.8.8 Anti-Spam . . . . . . . . . . . . . . 3.9 Servidor de Impressão . . . . . . . . . . . 3.10 Servidor de Backup . . . . . . . . . . . . . 3.10.1 Remoto . . . . . . . . . . . . . . . 3.11 Servidor de Terminais . . . . . . . . . . . 3.11.1 Configuração . . . . . . . . . . . . 19 19 20 22 25 26 29 31 31 32 33 33 33 34 35 35 36 41 43 45 48 50 51 55 55 56 60 66 70 70 73 73 iPortalMais - 2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Manual Referência- Versão 5.2 4 CONTEÚDO 3.11.2 Configuração dos clientes . . . . . . . . . . . . . . . . . . . . 77 4 IPBrick.C 4.1 Firewall . . . . . . . . . . . . . 4.1.1 Serviços Disponı́veis . . 4.1.2 Bloquear Serviços . . . . 4.2 Proxy . . . . . . . . . . . . . . 4.2.1 Configuração . . . . . . 4.2.2 Estatı́sticas . . . . . . . 4.2.3 Kaspersky Proxy . . . . 4.3 VPN . . . . . . . . . . . . . . . 4.3.1 PPTP . . . . . . . . . . 4.3.2 SSL . . . . . . . . . . . 4.3.3 IPSec . . . . . . . . . . 4.3.4 GRE . . . . . . . . . . . 4.4 Correio Electrónico . . . . . . . 4.4.1 Relay Avançado . . . . . 4.4.2 Buscar correio no ISP . 4.4.3 Cópia de Correio . . . . 4.5 SMS . . . . . . . . . . . . . . . 4.5.1 Configurar . . . . . . . . 4.5.2 Gestão de Rotas . . . . 4.5.3 Estatı́sticas . . . . . . . 4.5.4 Enviar um SMS . . . . . 4.6 Servidor Web . . . . . . . . . . 4.6.1 Criar um novo site . . . 4.6.2 Gestão . . . . . . . . . . 4.7 Webmail . . . . . . . . . . . . . 4.8 Servidor FTP . . . . . . . . . . 4.8.1 Log de Acessos . . . . . 4.9 VoIP . . . . . . . . . . . . . . . 4.9.1 Gestão do telefone . . . 4.9.2 Gestão de Utilizadores . 4.9.3 Funções . . . . . . . . . 4.9.4 Monitorização . . . . . . 4.9.5 Gestão de Rotas . . . . 4.9.6 Música em Espera . . . 4.10 IM . . . . . . . . . . . . . . . . 4.10.1 Activação / Desactivação 5 Configurações Avançadas 5.1 IPBrick . . . . . . . . . . . 5.1.1 Definições . . . . . . 5.1.2 Informações Sistema 5.1.3 Acesso WEB . . . . 5.1.4 Autenticação . . . . 5.1.5 Update . . . . . . . . Manual Referência- Versão 5.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . do . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . servidor IM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 81 82 83 83 84 92 93 95 95 97 102 105 107 107 108 109 110 110 111 112 113 114 115 116 120 121 122 123 125 126 128 146 153 157 157 158 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 . 161 . 161 . 163 . 164 . 167 . 171 iPortalMais - 2010 CONTEÚDO 5.2 5.3 5.4 5.5 5.6 5 Rede . . . . . . . . . . . . . . . . . . . . . . . 5.2.1 Firewall . . . . . . . . . . . . . . . . . 5.2.2 Gestão de Rotas . . . . . . . . . . . . 5.2.3 QOS . . . . . . . . . . . . . . . . . . . 5.2.4 Encaminhamento de serviços . . . . . . Serviços de Suporte . . . . . . . . . . . . . . . 5.3.1 LDAP . . . . . . . . . . . . . . . . . . 5.3.2 DNS . . . . . . . . . . . . . . . . . . . 5.3.3 DHCP . . . . . . . . . . . . . . . . . . 5.3.4 ENUM . . . . . . . . . . . . . . . . . . Recuperação de desastre . . . . . . . . . . . . 5.4.1 Configurações . . . . . . . . . . . . . . 5.4.2 Aplicações . . . . . . . . . . . . . . . . Sistema . . . . . . . . . . . . . . . . . . . . . 5.5.1 Serviços . . . . . . . . . . . . . . . . . 5.5.2 Gestor de Tarefas . . . . . . . . . . . . 5.5.3 Data e Hora . . . . . . . . . . . . . . . 5.5.4 Utilizadores do sistema . . . . . . . . . 5.5.5 Monitorização . . . . . . . . . . . . . . 5.5.6 Monitorização . . . . . . . . . . . . . . 5.5.7 SSH . . . . . . . . . . . . . . . . . . . 5.5.8 Reiniciar . . . . . . . . . . . . . . . . . 5.5.9 Desligar . . . . . . . . . . . . . . . . . Telefonia . . . . . . . . . . . . . . . . . . . . . 5.6.1 Cartas . . . . . . . . . . . . . . . . . . 5.6.2 Telefones Registados . . . . . . . . . . 5.6.3 Configurações . . . . . . . . . . . . . . 5.6.4 Endereço Alternativo do domı́nio VoIP 5.6.5 Interfaces . . . . . . . . . . . . . . . . 5.6.6 SIP peers . . . . . . . . . . . . . . . . 5.6.7 IAX peers . . . . . . . . . . . . . . . . 5.6.8 Aprovisionamento automático . . . . . 5.6.9 Telefones suportados . . . . . . . . . . 5.6.10 Outros telefones suportados . . . . . . 6 Aplicar Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 171 174 175 177 184 184 185 194 199 200 200 202 202 203 204 205 206 207 207 211 212 212 213 213 215 216 225 226 227 228 228 231 232 233 7 Anexo A - Colocação no Domı́nio 235 7.1 Colocação de uma máquina num domı́nio . . . . . . . . . . . . . . . 235 7.1.1 Estação de Trabalho Windows XP Profissional . . . . . . . . 236 8 Anexo B - Configuração de uma ligação VPN 239 8.1 Configuração de uma ligação VPN (PPTP) . . . . . . . . . . . . . . 239 iPortalMais - 2010 Manual Referência- Versão 5.2 6 CONTEÚDO 9 Anexo C - Configuração de uma ligação VPN SSL (OpenVPN) 241 9.1 Configuração de uma ligação VPN SSL . . . . . . . . . . . . . . . . 241 9.1.1 Dois ou mais certificados SSL . . . . . . . . . . . . . . . . . 241 9.1.2 Configuração de uma Ligação SSL para o MS Windows 2000 / XP e superior . . . . . . . . . . . . . . . . . . . . . . . . . 242 10 Anexo D - Servidor de Backup: Arkeia 243 10.0.1 Administração Avançada . . . . . . . . . . . . . . . . . . . . 246 11 Anexo E - Alta Disponibilidade 11.1 Introdução . . . . . . . . . . . . 11.1.1 Vantagens . . . . . . . . 11.2 Requisitos HA . . . . . . . . . . 11.3 Configuração HA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 . 249 . 249 . 250 . 250 12 Anexo F - UCoIP 253 12.0.1 Perfil do Utilizador . . . . . . . . . . . . . . . . . . . . . . . 255 13 Anexo G - MyIPBrick 257 14 Anexo H - Contacts 261 14.1 Começar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261 14.2 Criar uma Entidade . . . . . . . . . . . . . . . . . . . . . . . . . . . 265 14.3 Criar um Contacto . . . . . . . . . . . . . . . . . . . . . . . . . . . 268 Manual Referência- Versão 5.2 iPortalMais - 2010 Lista de Figuras 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 3.12 3.13 3.14 3.15 3.16 3.17 3.18 3.19 3.20 3.21 3.22 3.23 3.24 3.25 3.26 3.27 3.28 3.29 3.30 3.31 3.32 3.33 3.34 3.35 3.36 Grupos de Máquinas . . . . . . . . . . . . . . . . . . . Gestão de Máquinas - Registo de Máquinas . . . . . . . Gestão de Máquinas - Opções . . . . . . . . . . . . . . Gestão de Máquinas - Lista . . . . . . . . . . . . . . . Machine Management - Exportar . . . . . . . . . . . . Machine Management - Operações em Massa . . . . . . Grupos de Utilizadores - Inserir . . . . . . . . . . . . . Grupos de Utilizadores - Listagem . . . . . . . . . . . . Grupos de Utilizadores - Definição de Utilizadores . . . Gestão Utilizadores - Inserir . . . . . . . . . . . . . . . Gestão Utilizadores - Parâmetros Extra LDAP . . . . . Gestão de Utilizadores - Listagem . . . . . . . . . . . . Gestão de Utilizadores - Operações . . . . . . . . . . . Gestão de Utilizadores - Alterar . . . . . . . . . . . . . Servidor de Domı́nio - Definições . . . . . . . . . . . . Servidor de Domı́nio - Gestão de Utilizadores . . . . . Áreas de Trabalho - Resumo . . . . . . . . . . . . . . . Áreas de Trabalho - Listagem . . . . . . . . . . . . . . Áreas de Trabalho - Resumo Áreas Individuais . . . . . Áreas de Trabalho - Lista . . . . . . . . . . . . . . . . Áreas de Trabalho - Grupo - Inserção com Reciclagem Áreas de Trabalho - Grupo - Inserção com Reciclagem Áreas de Trabalho - Grupo - Gestão . . . . . . . . . . . Áreas de Trabalho - Grupo - Acesso Utilizadores . . . . Áreas de Trabalho - Licença Kaspersky . . . . . . . . . Áreas de trabalho - Kaspersky - Configuração 1/2 . . . Áreas de trabalho - Kaspersky - Configure 2/2 . . . . . Áreas de Trabalho - Kaspersky . . . . . . . . . . . . . Áreas de Trabalho - Kaspersky - Estatı́sticas 1/2 . . . Áreas de Trabalho - Kaspersky - Estatı́sticas 2/2 . . . Correio Electrónico - Configurar . . . . . . . . . . . . . E-Mail - Definições 1/2 . . . . . . . . . . . . . . . . . . E-Mail - Definições 2/2 . . . . . . . . . . . . . . . . . . E-Mail - Definições - Destinatários Internos Válidos . . E-Mail - Definições - Remetentes Inválidos . . . . . . . Correio Electrónico - Gestão de filas . . . . . . . . . . . iPortalMais - 2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 21 21 22 24 24 25 26 26 27 28 28 29 30 34 35 36 36 37 37 38 38 40 40 41 43 44 44 45 46 47 50 51 52 52 53 Manual Referência- Versão 5.2 8 LISTA DE FIGURAS 3.37 Correio Electrónico - Gestão de Utilizadores . . . . . . . . . . . . 3.38 Correio Electrónico - Endereços Alternativos, Encaminhamento e respostas automáticas . . . . . . . . . . . . . . . . . . . . . . . . 3.39 Correio Electrónico - Lista de Distribuição - Inserir . . . . . . . . 3.40 Correio Electrónico - Lista de Distribuição - Utilizadores . . . . . 3.41 Correio Electrónico - Lista de Distribuição - Utilizadores Externos 3.42 Correio Electrónico - Anti-vı́rus . . . . . . . . . . . . . . . . . . . 3.43 Correio Electrónico - Anti-Virus Kasp. - Configurações Gerais . . 3.44 Anti-vı́rus - Gestão de Grupos . . . . . . . . . . . . . . . . . . . . 3.45 Anti-vı́rus - Regras Notificação . . . . . . . . . . . . . . . . . . . 3.46 Anti-vı́rus - Filtro . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.47 Correio Electrónico - Anti-Vı́rus Kasp. - Estatı́sticas 1/2 . . . . . 3.48 Correio Electrónico - Anti-Vı́rus Kasp. - Estatı́sticas 2/2 . . . . . 3.49 Correio Electrónico - Anti-Vı́rus - ClamAV - Menu Principal . . . 3.50 Correio Electrónico - Anti-Vı́rus - ClamAV - Definições . . . . . . 3.51 Anti-Spam - Domı́nios Protegidos . . . . . . . . . . . . . . . . . . 3.52 Anti-Spam - Acções . . . . . . . . . . . . . . . . . . . . . . . . . . 3.53 Anti-Spam - Regras . . . . . . . . . . . . . . . . . . . . . . . . . . 3.54 Anti-Spam - Estatı́sticas . . . . . . . . . . . . . . . . . . . . . . . 3.55 Correio Electrónico - AntiSpam - SpamAssassin - Menu Principal 3.56 Correio Electrónico - AntiSpam - SpamAssassin - Opções Gerais Rejeitar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.57 Correio Electrónico - AntiSpam - SpamAssassin - Opções Gerais Marcar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.58 Correio Electrónico - AntiSpam - SpamAssassin - Regras Criadas 3.59 Correio Electrónico - AntiSpam - SpamAssassin - Whitelist . . . . 3.60 Inserir uma impressora de rede . . . . . . . . . . . . . . . . . . . . 3.61 Controlador da impressora . . . . . . . . . . . . . . . . . . . . . . 3.62 Inserção de tarefas de backups . . . . . . . . . . . . . . . . . . . . 3.63 Lista de tarefas de backups . . . . . . . . . . . . . . . . . . . . . . 3.64 Servidor de Terminais - Configuração Geral - 1/2 . . . . . . . . . 3.65 Servidor de Terminais - Configuração Geral - 2/2 . . . . . . . . . 3.66 Servidor de Terminais - Configuração do Sistema de Arranque . . 3.67 Servidor de Terminais - Configuração do Boot Loader . . . . . . . 3.68 Servidor de Terminais - Sistema Operativo . . . . . . . . . . . . . 3.69 Servidor de Terminais - Configuração para boot PXE . . . . . . . 3.70 Terminal Server - Machines . . . . . . . . . . . . . . . . . . . . . 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 Firewall - Serviços Disponı́veis . . . . . . . Firewall - Bloquear Serviços . . . . . . . . Firewall - Excepções MSN . . . . . . . . . Proxy - Configuração . . . . . . . . . . . . Proxy - Rules 1/2 . . . . . . . . . . . . . . Proxy - Rules 2/2 . . . . . . . . . . . . . . Proxy - Grupos de origem . . . . . . . . . Proxy - Grupos de Origem - Filtro LDAP Manual Referência- Versão 5.2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 . . . . . . . . . . . . . . . . . . 54 55 56 57 57 58 58 59 59 60 61 61 62 62 63 63 64 66 . 66 . . . . . . . . . . . . . . 67 67 68 68 69 70 72 75 76 76 77 77 78 78 . . . . . . . . 82 83 83 84 85 86 87 87 iPortalMais - 2010 LISTA DE FIGURAS 4.9 4.10 4.11 4.12 4.13 4.14 4.15 4.16 4.17 4.18 4.19 4.20 4.21 4.22 4.23 4.24 4.25 4.26 4.27 4.28 4.29 4.30 4.31 4.32 4.33 4.34 4.35 4.36 4.37 4.38 4.39 4.40 4.41 4.42 4.43 4.44 4.45 4.46 4.47 4.48 4.49 4.50 4.51 4.52 4.53 4.54 9 Proxy - Grupos de destino . . . . . . . . . . . . . . . . . . . . . . . Proxy - Listas de acessos . . . . . . . . . . . . . . . . . . . . . . . . Proxy - Proxy Remoto . . . . . . . . . . . . . . . . . . . . . . . . . Proxy - Outras configurações 1/2 . . . . . . . . . . . . . . . . . . . Proxy - Outras configurações 1/2 . . . . . . . . . . . . . . . . . . . Proxy - Estatı́sticas . . . . . . . . . . . . . . . . . . . . . . . . . . . Proxy - Kaspersky - Licença . . . . . . . . . . . . . . . . . . . . . . Proxy - Kaspersky - Definições Gerais . . . . . . . . . . . . . . . . . Proxy - Kaspersky - Estatı́sticas . . . . . . . . . . . . . . . . . . . . VPN - PPTP - Utilizadores . . . . . . . . . . . . . . . . . . . . . . VPN - SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VPN SSL - Configuração do Certificado de Cliente . . . . . . . . . VPN SSL - Lista de Polı́ticas de Acesso . . . . . . . . . . . . . . . . VPN SSL - Configuração de Polı́ticas de Acesso . . . . . . . . . . . VPN - Configuração IPSec 1/2 . . . . . . . . . . . . . . . . . . . . VPN - Configuração IPSec 2/2 . . . . . . . . . . . . . . . . . . . . VPN - Configuração GRE . . . . . . . . . . . . . . . . . . . . . . . E-Mail - Relay Avançado . . . . . . . . . . . . . . . . . . . . . . . . Buscar Correio no ISP . . . . . . . . . . . . . . . . . . . . . . . . . Buscar Correio no ISP - Gestão de Servidores . . . . . . . . . . . . Buscar Correio no ISP - Inserção de Contas . . . . . . . . . . . . . Cópia de correio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Utilizadores SMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . SMS - Gestão de Rotas . . . . . . . . . . . . . . . . . . . . . . . . . Web Server - Adding sites . . . . . . . . . . . . . . . . . . . . . . . Servidor Web - Caracterı́sticas . . . . . . . . . . . . . . . . . . . . . Servidor Web - Alias 1 . . . . . . . . . . . . . . . . . . . . . . . . . Servidor Web - Alias 2 . . . . . . . . . . . . . . . . . . . . . . . . . Web Server - Lista Endereços Alternativos . . . . . . . . . . . . . . Servidor Web - Redireccionamento - Exemplo 1 . . . . . . . . . . . Servidor Web - Redireccionamento - Exemplo 2 . . . . . . . . . . . Web Server - Lista Redireccionamentos . . . . . . . . . . . . . . . . Servidor Web - Proxy Inverso - Exemplo 1 - Criação site vazio . . . Servidor Web - Proxy Inverso - Exemplo 1 - Adicionar . . . . . . . Servidor Web - Proxy Inverso - Exemplo 2 - Adicionar . . . . . . . Servidor Web - Proxy Inverso - Exemplo 2 - Lista . . . . . . . . . . Web Server - Statistics . . . . . . . . . . . . . . . . . . . . . . . . . WebMail - Servidores . . . . . . . . . . . . . . . . . . . . . . . . . . FTP Server - Account definitions . . . . . . . . . . . . . . . . . . . VoIP - Gestão de Telefones . . . . . . . . . . . . . . . . . . . . . . . VoIP - Adicionar endereços alternativos . . . . . . . . . . . . . . . . VoIP - Gestão de Utilizadores . . . . . . . . . . . . . . . . . . . . . VoIP - Gestão Utilizadores - Configurações VoIP de Utilizador . . . VoIP - Gestão de Utilizadores - Classes de Acesso e Filas de Espera VoIP - Grupos de Chamadas . . . . . . . . . . . . . . . . . . . . . . VoIP - Definições de Sequência . . . . . . . . . . . . . . . . . . . . iPortalMais - 2010 89 90 90 92 93 93 94 95 96 96 98 100 101 102 104 105 106 107 108 109 109 110 111 112 116 117 118 118 118 119 119 120 121 121 122 122 123 123 124 125 126 127 128 129 130 131 Manual Referência- Versão 5.2 10 LISTA DE FIGURAS 4.55 4.56 4.57 4.58 4.59 4.60 4.61 4.62 4.63 4.64 4.65 4.66 4.67 4.68 4.69 4.70 4.71 4.72 4.73 4.74 4.75 4.76 4.77 4.78 4.79 4.80 4.81 4.82 4.83 4.84 4.85 4.86 4.87 4.88 4.89 4.90 VoIP - Lista de Sequências de atendimento . . . . . . . . . . . . . . 131 VoIP - Configuração de atendimento IVR . . . . . . . . . . . . . . . 133 VoIP - IVR Simples . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 VoIP - Inserção de conferência de chamadas . . . . . . . . . . . . . 134 VoIP - Lista de conferência de chamadas . . . . . . . . . . . . . . . 134 VoIP - Conferências dinâmicas de chamadas . . . . . . . . . . . . . 135 VoIP - Parqueamento de chamadas . . . . . . . . . . . . . . . . . . 135 VoIP - Parqueamento de chamadas - Alterar . . . . . . . . . . . . . 135 VoIP - Escalonamento . . . . . . . . . . . . . . . . . . . . . . . . . 136 VoIP - Inserir Regras . . . . . . . . . . . . . . . . . . . . . . . . . . 137 VoIP - Escalonamento - Lista de Regras . . . . . . . . . . . . . . . 138 VoIP - DISA - Inserir . . . . . . . . . . . . . . . . . . . . . . . . . . 139 VoIP - Retorno de Chamada a qualquer número . . . . . . . . . . . 140 VoIP - Retorno de Chamada a números autorizados ou hangup . . . 140 VoIP - Retorno de Chamada a números autorizados ou redireccionar 141 VoIP - Definição Filas de Espera . . . . . . . . . . . . . . . . . . . 143 VoIP - Membros Fila de Espera . . . . . . . . . . . . . . . . . . . . 144 VoIP - Classes de Acesso - Inserir . . . . . . . . . . . . . . . . . . . 145 VoIP - Classes de Acesso - Membros . . . . . . . . . . . . . . . . . 145 VoIP - Marcação Rápida . . . . . . . . . . . . . . . . . . . . . . . . 146 VoIP - Telefones Online . . . . . . . . . . . . . . . . . . . . . . . . 146 VoIP - Filtro Estatı́sticas . . . . . . . . . . . . . . . . . . . . . . . . 148 VoIP - Definições de Gravação de Chamadas . . . . . . . . . . . . . 149 VoIP - Gravação de Chamadas - Configuração de Telefones . . . . . 149 VoIP - Grupo de Supervisão de Chamadas . . . . . . . . . . . . . . 150 VoIP - Call Supervision Group members . . . . . . . . . . . . . . . 150 VoIP - Supervisão de Chamadas Supervision - Telefones Supervisionados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 VoIP - Configuração do gestor de chamadas . . . . . . . . . . . . . 151 VoIP - Gestor de chamadas . . . . . . . . . . . . . . . . . . . . . . 152 VoIP - Gestão de Rotas . . . . . . . . . . . . . . . . . . . . . . . . 153 VoIP - Rotas Locais . . . . . . . . . . . . . . . . . . . . . . . . . . 154 VoIP - SIP server for registering . . . . . . . . . . . . . . . . . . . . 157 VoIP - Música em Espera . . . . . . . . . . . . . . . . . . . . . . . 157 Activação do servidor de mensagens instantâneas . . . . . . . . . . 158 Bloqueando aplicações MSN . . . . . . . . . . . . . . . . . . . . . . 159 Sites Web Messenger bloqueando na firewall . . . . . . . . . . . . . 159 5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8 Configurações Avançadas Configurações Avançadas Configurações Avançadas Configurações Avançadas Configurações Avançadas Idioma . . . . . . . . . . Configurações Avançadas Configurações Avançadas Manual Referência- Versão 5.2 da IPBrick . . . . . . . . . . . - Bonding . . . . . . . . . . . . - Informação de Sistema - 1/2 . - Informação de Sistema - 2/2 . - Acesso Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . - Modos de Autenticação . . . - Autenticação - IPBrick Slave . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 164 165 166 167 167 169 169 iPortalMais - 2010 LISTA DE FIGURAS 5.9 5.10 5.11 5.12 5.13 5.14 5.15 5.16 5.17 5.18 5.19 5.20 5.21 5.22 5.23 5.24 5.25 5.26 5.27 5.28 5.29 5.30 5.31 5.32 5.33 5.34 5.35 5.36 5.37 5.38 5.39 5.40 5.41 5.42 5.43 5.44 5.45 5.46 5.47 5.48 5.49 5.50 5.51 5.52 5.53 11 Configurações Avançadas - Autenticação - Cliente IPBrick . . . . Configurações Avançadas - Autenticação - Lista de Servidores . . Update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Rede - Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . Rede - Firewall - Inserir . . . . . . . . . . . . . . . . . . . . . . . Rede - Firewall - Desactivar Regra de Acesso . . . . . . . . . . . . Rede - Firewall - Regra DNAT . . . . . . . . . . . . . . . . . . . . Rede - Firewall - Ordem . . . . . . . . . . . . . . . . . . . . . . . Rede - Gestão de Rotas . . . . . . . . . . . . . . . . . . . . . . . . Rede - Gestão QoS . . . . . . . . . . . . . . . . . . . . . . . . . . Rede - QOS - Configurações Gerais . . . . . . . . . . . . . . . . . Rede - Encaminhamento de Serviços . . . . . . . . . . . . . . . . Serviços de Suporte - LDAP . . . . . . . . . . . . . . . . . . . . . Serviços de Suporte - DNS - Zonas de resolução de nomes . . . . . Serviços de Suporte - DNS - Opções Básicas SPF . . . . . . . . . Serviços de Suporte - DNS - Opções Avançadas . . . . . . . . . . Serviços de Suporte - DNS - Gestão de zonas 1/2 . . . . . . . . . Serviços de Suporte - DNS - Gestão de zonas 2/2 . . . . . . . . . Serviços de Suporte - DNS - Zona de Resolução Inversa . . . . . . DNS - Forwarders . . . . . . . . . . . . . . . . . . . . . . . . . . . DNS - Resolução de Nomes . . . . . . . . . . . . . . . . . . . . . Serviços de Suporte - DHCP - Sub-Redes . . . . . . . . . . . . . . DHCP - Opções Gerais . . . . . . . . . . . . . . . . . . . . . . . . DHCP - Definições de Sub-Redes . . . . . . . . . . . . . . . . . . Redundância . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP - Máquinas . . . . . . . . . . . . . . . . . . . . . . . . . . Serviços de suporte - ENUM . . . . . . . . . . . . . . . . . . . . . Repôr Configurações . . . . . . . . . . . . . . . . . . . . . . . . . Recuperação de desastre - Descarregar Configurações . . . . . . . Recuperação de desastre - Carregar Configurações remotas . . . . Recuperação de desastre - Aplicações - Listagem de backups dos dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Recuperação de desastre - Aplicações - Confirmação de restauro . Serviços . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Sistema - Gestor de tarefas . . . . . . . . . . . . . . . . . . . . . . Data e hora do sistema . . . . . . . . . . . . . . . . . . . . . . . . Utilizadores do Sistema . . . . . . . . . . . . . . . . . . . . . . . . Logs do Sistema . . . . . . . . . . . . . . . . . . . . . . . . . . . . System - Monitoring - System Logs . . . . . . . . . . . . . . . . . System - Monitoring - System Logs - Remote server . . . . . . . . System - Monitoring - IPBrick logs list . . . . . . . . . . . . . . . System - Monitoring - IPBrick current log . . . . . . . . . . . . . Sistema - Monitorização- Acessos - Gestão . . . . . . . . . . . . . Sistema - Monitorização - Acessos - Entradas . . . . . . . . . . . . Sistema - Monitorização - Tráfego . . . . . . . . . . . . . . . . . . System - Monitoring - Alerts . . . . . . . . . . . . . . . . . . . . . iPortalMais - 2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170 170 171 172 174 174 175 176 176 177 177 178 184 188 190 191 191 192 193 194 194 195 195 196 198 198 200 201 201 202 . . . . . . . . . . . . . . . 203 203 204 205 206 206 207 208 208 208 209 210 210 211 211 Manual Referência- Versão 5.2 12 LISTA DE FIGURAS 5.54 5.55 5.56 5.57 5.58 5.59 5.60 5.61 5.62 5.63 5.64 5.65 5.66 5.67 5.68 5.69 5.70 5.71 5.72 5.73 5.74 5.75 5.76 SSH . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 Reiniciar o Servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 Desligar o Servidor . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 Telefonia - Cartas - Inserir . . . . . . . . . . . . . . . . . . . . . . . 215 Telefonia - Definições de Carta . . . . . . . . . . . . . . . . . . . . . 215 Telefonia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 Telefonia - Registo simples de telefone . . . . . . . . . . . . . . . . 217 Telefonia - Configurações . . . . . . . . . . . . . . . . . . . . . . . . 218 Telefonia - Opções de cartas analógicas e ISDN PRI . . . . . . . . . 221 Telefonia - Opções ISDN BRI . . . . . . . . . . . . . . . . . . . . . 222 Telefonia - Configurações - Codecs . . . . . . . . . . . . . . . . . . . 223 Telefonia - Configurações - Codecs com g729 . . . . . . . . . . . . . 223 Telefonia - Configurações - licença g729 . . . . . . . . . . . . . . . . 224 Telefonia - Gestores remotos PBX IP . . . . . . . . . . . . . . . . . 224 Telefonia - Gestores remotos PBX IP - Configuração . . . . . . . . 225 Telephony - VoIP domain alias . . . . . . . . . . . . . . . . . . . . . 225 Telefonia - Inserção de interfaces . . . . . . . . . . . . . . . . . . . . 227 Telefonia - interface OCS . . . . . . . . . . . . . . . . . . . . . . . . 228 Telefonia - SIP peers . . . . . . . . . . . . . . . . . . . . . . . . . . 228 Telefonia - IAX peers . . . . . . . . . . . . . . . . . . . . . . . . . . 229 Aprovisionamento automático - Lista de Templates . . . . . . . . . 229 Aprovisionamento automático - Telefone com um template especı́fico 230 Aprovisionamento Automático - Inserir uma nova configuração para um telefone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 5.77 Aprovisionamento Automático - Lista completa de templates . . . . 231 6.1 6.2 Aplicar Configurações e Reiniciar . . . . . . . . . . . . . . . . . . . 234 Aplicar Configurações . . . . . . . . . . . . . . . . . . . . . . . . . . 234 10.1 10.2 10.3 10.4 10.5 10.6 Arkeia Arkeia Arkeia Arkeia Arkeia Arkeia - Menu Principal . . . . . . Running Jobs . . . . . . . Confirmação dos Backups Adicionar Utilizadores . . Directórios a Gravar . . . Nı́veis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244 245 245 246 247 248 11.1 HA Diagram . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251 12.1 Web Server - UCoIP site . . . . . . . . . . . . . . . . . . . . . . . . 254 12.2 Web Server - UCoIP site . . . . . . . . . . . . . . . . . . . . . . . . 255 13.1 13.2 13.3 13.4 Web Web Web Web Server Server Server Server - MyIPBrick MyIPBrick MyIPBrick MyIPBrick site site site site - Login . . . . . . Available options Change settings . Personal area . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257 258 259 260 14.1 Interface login do Contacts . . . . . . . . . . . . . . . . . . . . . . . 262 14.2 Página ı́ndex de Contacts . . . . . . . . . . . . . . . . . . . . . . . 262 Manual Referência- Versão 5.2 iPortalMais - 2010 LISTA DE FIGURAS 13 14.3 Página Dados Auxiliares . . . . . . . . . . . . . . . . . 14.4 Página de criação de Tipos de Entidade . . . . . . . . . 14.5 Página de gestão de perfis . . . . . . . . . . . . . . . . 14.6 Página Inserir da Gestão de Perfil . . . . . . . . . . . . 14.7 Página Gestão de Utilizadores . . . . . . . . . . . . . . 14.8 Caixas de Associação da Gestão de Entidades . . . . . 14.9 Página Gestão de Entidades com uma Entidade criada 14.10Página detalhes da Entidade . . . . . . . . . . . . . . . iPortalMais - 2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 263 264 265 266 267 268 269 Manual Referência- Versão 5.2 14 Manual Referência- Versão 5.2 LISTA DE FIGURAS iPortalMais - 2010 Capı́tulo 1 Objecto deste documento O documento tem como objectivo abordar de forma relevante todos os menus da IPBrick presentes na sua interface web. Inclui uma descrição detalhada sobre: • Configuração da IPBrick.I ; • Configuração da IPBrick.C ; • Configurações avançadas. Em anexo estão presentes os procedimentos para configurações de estações de trabalho. As configurações descritas são: • Procedimento para colocação de uma estação de trabalho (MS Windows) num domı́nio; • Procedimento para o estabelecimento de uma rede privada virtual (VPN) PPTP e SSL. iPortalMais - 2010 Manual Referência- Versão 5.2 16 Manual Referência- Versão 5.2 Objecto deste documento iPortalMais - 2010 Capı́tulo 2 Antes de começar O acesso à IPBrick é efectuado através de um browser, p.e., Google Chrome ou Mozilla Firefox. O endereço IP por omissão da IPBrick é o 192.168.69.199 e o endereço a colocar no browser é https://192.168.69.199. Ao estabelecer a sessão WEB com a IPBrick é apresentada uma página web para autenticação. Após validação correcta, a primeira página web de contacto com a IPBrick, permite-lhe alterar o domı́nio e as redes IP das interfaces privadas e públicas do servidor. Atenção: Se a rede de comunicações onde está a instalar uma IPBrick já tiver um servidor de DHCP, esta funcionalidade deve ser desactivada de modo a evitar conflitos. Para mais informações sobre como instalar a IPBrick e configurar a estação de trabalho para aceder à IPBrick, consultar o Manual de Instalação. A interface web de gestão da IPBrick está dividida em cinco menus principais: • IPBrick.I : Para configuração de todos os serviços especı́ficos de Intranet; • IPBrick.C : Para configuração de serviços de Comunicações; • IPBrick.GT: Permite configurar serviços normalmente activos numa appliance IPBrick.GT (appliance para gateway telefónica IP); • IPBrick.KAV: Permite configurar serviços normalmente activos numa appliance IPBrick.KAV (appliance de segurança); • Configurações Avançadas: Permite efectuar configurações adicionais aos serviços básicos e obter informações sobre o estado de funcionamento da IPBrick ; Qualquer configuração realizada na IPBrick só se torna efectiva após efectuar um Aplicar Configuraç~ oes. As alterações na configuração dos menus: • Configurações Avançadas IPBrick Definições; • Configurações Avançadas IPBrick Autenticação; iPortalMais - 2010 Manual Referência- Versão 5.2 18 Antes de começar obrigam a IPBrick a reiniciar (a IPBrick demora aproximadamente um minuto a reiniciar, dependendo do hardware onde está instalada). É aconselhável a colocação de uma PenDrive no servidor onde a IPBrick é instalada, a qual guarda as configurações actuais do sistema quando o Administrador efectua Aplicar Configuraç~ oes. Deste modo, está garantida uma das mais valias da IPBrick, o Disaster Recovery: como exemplo, no caso de avaria do disco é possı́vel através do CD de instalação da IPBrick e da PenDrive repôr rapidamente as configurações existentes. Na interface de gestão, existem vários links que permitem navegar na IPBrick. Estes links são: • Voltar: Permite voltar à página anterior sem guardar eventuais alterações realizadas; • Inserir: Permite inserir novos items; • Alterar: Permite alterar as definições de um item; • Apagar: Permite eliminar um item. Manual Referência- Versão 5.2 iPortalMais - 2010 Capı́tulo 3 IPBrick.I Este capı́tulo descreve os menus da IPBrick.I utilizados para gerir os principais serviços de uma Intranet. O capı́tulo inclui as seguintes secções principais: • Grupos de máquinas; • Gestão de máquinas; • Grupos de utilizadores; • Gestão de utilizadores; • Servidor de Domı́nio; • Áreas de Trabalho; • Correio Electrónico; • Servidor de impressão; • Servidor de backup; • Servidor de FAX; • Servidor de Terminais. 3.1 Grupos de Máquinas Neste menu é possı́vel fazer a gestão de grupos de máquinas permitindo a criação de grupos e atribuição de máquinas a cada um dos grupos. Os grupos de máquinas podem, por exemplo, ser aplicados na configuração de acessos à web via proxy. Para inserir um grupo de máquinas é necessário indicar: • Nome do grupo: Nome a atribuir ao grupo de máquinas. • Tipo de grupo: iPortalMais - 2010 Manual Referência- Versão 5.2 20 IPBrick.I – Subredes de Máquinas: Conforme a classe de endereçamento IP usado, podem-se subdividir os grupos de máquinas em tamanhos definidos. – Máquinas soltas: Escolhendo esta opção e fazendo Inserir, é possı́vel atribuir máquinas presentes na rede ao grupo. • Número de máquinas: Caso o grupo seja uma subrede de máquinas, poderá ser escolhido o número de máquinas para o grupo; • Subnet: Subrede especı́fica usada para o grupo de máquinas. Representa o intervalo de endereços IP respeitante ao grupo em questão. Fazendo Inserir, o grupo é criado sendo de seguida apresentadas as definições para o grupo criado. Aı́ existem três ligações: Voltar para voltar à listagem; Alterar para alterar o nome do grupo actual; Apagar para remover o grupo de máquinas. Figura 3.1: Grupos de Máquinas 3.2 Gestão de Máquinas Esta secção permite adicionar e alterar o registo de máquinas (e.g., PC, portátil, impressora). Na IPBrick uma máquina é representada por um nome, um endereço IP, um endereço MAC e tipo de máquina, como pode ver na (Figura 3.2). Existem estes tipos de máquinas: • Estação de trabalho; Estação de trabalho na LAN que funciona com o sistema operativo Windows; • Estação de trabalho + SoftPhone: Estação de trabalho Windows na LAN associada a um softphone; • Estação de trabalho Linux: Estação de trabalho na LAN que funciona com uma distribuição Linux, assim é possı́vel exportar a conta interna do utilizador por NFS para esses clientes Linux; • Estação de trabalho Linux + SoftPhone: Estação de trabalho Linux na LAN associada a um softphone. O nome será o nome do utilizador SIP e estará sempre associado ao endereço IP; Manual Referência- Versão 5.2 iPortalMais - 2010 3.2 Gestão de Máquinas 21 • Impressora: Impressora da rede. A localização é uma descrição sobre a localização da impressora. O porto será o porto em que funciona o servidor da impressora. Exemplo: 9100 para a HP; • Telefone IP: Telefone SIP IP do hardware na LAN. O nome será o nome do utilizador SIP e será sempre associado ao endereço IP; • Terminal Linux: Thinclient com sessão remota com um computador Linux que será usado com o Servidor do Terminal na IPBrick; • Terminal Windows: Thinclient com sessão remota com um computador que será usado com o Servidor do Terminal na IPBrick; Para inserir uma máquina apenas é necessário definir o tipo, introduzir um nome e um endereço IP. Desta forma, o registo da máquina será criado no LDAP e no servidor de DNS. Se o campo Endereço MAC for preenchido com o endereço MAC da máquina a registar, será também criada uma entrada no servidor de DHCP para essa máquina. Note: The machine MAC address can be obtained from the network connection icon in Windows XP or by executing the order ipconfig /all in the command line. Figura 3.2: Gestão de Máquinas - Registo de Máquinas As opções para modificar e apagar uma máquina, são acessı́veis mediante o clique sobre o seu nome no formulário da Figura 3.3. Se a ligação Modificar for clicada, é apresentado o formulário da Figura 3.2, no qual é possı́vel redefinir os parâmetros da máquina. Se a ligação Apagar for clicada, surge o formulário da Figura 3.4 para confirmar a acção. Figura 3.3: Gestão de Máquinas - Opções iPortalMais - 2010 Manual Referência- Versão 5.2 22 IPBrick.I Figura 3.4: Gestão de Máquinas - Lista 3.2.1 Operações em Massa A funcionalidade Exportar exportará todos os dados para um ficheiro .csv (Figura 3.5). A opção operações em Massa permite uma importação de um ficheiro .csv (Figura 3.6). Pode editar um ficheiro .csv numa aplicação de folha de cálculo, escolhendo o ; para dividir as colunas. Os campos são: Campos obrigatórios: • actionmachine: Opções disponı́veis: – I: Para inserir um computador na IPBrick; – U: Para actualizar a informação do computador na IPBrick; – D: Para apagar um computador na IPBrick; • machinetype: Opções disponı́veis: – 1: Para Estação de trabalho; – 3: Para Estação de trabalho + Softphone; – 14: Para Estação de trabalho Linux; – 15: Para Estação de trabalho Linux + Softphone; – 16: Para Impressora; – 2: Para Telefone IP; – 7: Para Terminal Linux; – 4: Para Terminal Windows. – Nome: Nome único do computador; – IP: IP do computador. O formato é xxx.xxx.xxx.xxx; Outros campos: • MAC: Endereço NIC MAC do computador. O formato é xx:xx:xx:xx:xx:xx; • Password: Password a usar se um telefone SIP for seleccionado. Exemplo: 123; • computernumber: Computador LDAP ID; Manual Referência- Versão 5.2 iPortalMais - 2010 3.2 Gestão de Máquinas 23 • groupnumber: Número do grupo de computadores se associado a um grupo; • rdpsrvaddress: IP do servidor remoto se for seleccionado um terminal; • rdpsrvdomain: Domı́nio do servidor remoto se for seleccionado um terminal Windows. • callerid; • voip_nat; • voip_disallow; • voip_allow; • voip_dtmfmode; • voip_subscribecontext; • voip_pickupgroup; • voip_callgroup; • voip_canreinvite; • voip_insecure; • voip_athuser; • voip_fromuser; • voip_fromdomain; • voip_mailbox; • voip_quality; • voip_call_limit; • phonedescription; • idphonetemplate; • printerdescription; • printerlocation; • printerport. Exemplo do conteúdo de um ficheiro .csv para a opção importar operações em massa: iPortalMais - 2010 Manual Referência- Versão 5.2 24 IPBrick.I action;computernumber;machinetype;name;groupnumber;ip;mac;password I;;1;wrk03;;172.29.1.52;00:E0:98:9B:45:06; I;;1;wrk04;;172.29.1.54;00:E0:98:9B:45:04; I;;3;softphone04;;172.29.1.57;00:E0:98:9B:45:54;1234 ! Atenção !: • O nome do computador tem de ser alfanumérico. As excepções são os caracteres _ e -; • O nome do computador não deve conter espaços ou marcas diacrı́ticas e pontuação nos caracteres. A sua extensão máxima são 15 carateres; • Não é permitido registo de máquinas com o mesmo nome ou cujo nome seja igual ao login de um utilizador registado; • Para o registo de uma máquina Windows, o nome terá de ser sempre em minúsculas e se necessário altere o nome do computador também para minúsculas. Figura 3.5: Gestão de Máquinas - Exportar Figura 3.6: Gestão de Máquinas - Operações em Massa Manual Referência- Versão 5.2 iPortalMais - 2010 3.3 Grupos de Utilizadores 3.3 25 Grupos de Utilizadores Um grupo é basicamente um conjunto de utilizadores, que geralmente é criado quando se deseja que estes possuam permissões comuns, para um conjunto de ficheiros. Nesta secção é efectuada a gestão de grupos de utilizadores na IPBrick. • Para criar um novo grupo: – Clicar em Inserir (Figura 3.7); – Escolher o nome do grupo. • Para adicionar ou remover utilizadores de um grupo: – Clicar no nome do grupo (Figura 3.8); – Na página gerada (Figura 3.9) escolher os utilizadores que devem ser adicionados ou removidos ao grupo em questão. Existem dois grupos pré-definidos que não podem ser apagados ou alterados: • Administradores • Geral Os utilizadores que pertencerem ao grupo Administradores, têm permissões de administração do domı́nio que a IPBrick serve. Podem ser adicionados ou removidos utilizadores deste grupo, excepção feita ao utilizador pré-definido Administrator. O grupo Geral é o grupo comum a todos os utilizadores criados na IPBrick. ! Atenção: • Ao inserir novos grupos, o nome do grupo pode ser em letra maiúscula e/ou minúscula; • O nome do grupo pode conter espaços mas deve restringir-se a caracteres alfanuméricos, não devendo ter caracteres acentuados nem ultrapassar os 32 caracteres; • Tendo sido criado o utilizador, não pode haver nenhum grupo com o seu nome, incluindo domı́nios. Figura 3.7: Grupos de Utilizadores - Inserir iPortalMais - 2010 Manual Referência- Versão 5.2 26 IPBrick.I Figura 3.8: Grupos de Utilizadores - Listagem Figura 3.9: Grupos de Utilizadores - Definição de Utilizadores 3.4 Gestão de Utilizadores Nesta secção é possı́vel registar novos utilizadores, alterar informação de utilizadores existentes e apagar utilizadores. Ao criar um utilizador, a IPBrick cria imediatamente uma conta de correio electrónico, uma área de trabalho individual (espaço em disco do utilizador no servidor) e um netlogon para o utilizador se autenticar no domı́nio. Depois de instalada, a IPBrick cria por omissão um utilizador e dois grupos. O utilizador criado tem o login Administrador e os grupos são Administradores e Geral. O utilizador de login Administrator tem uma área de trabalho criada na Área de Trabalho 1. Este utilizador tem caracterı́sticas especiais, pois pertence ao grupo Administradores e é responsável pela gestão de algumas funcionalidades no sistema, pelo que nunca poderá ser removido. O registo de um utilizador é composto pelos seguintes campos: • Nome: Nome do utilizador; • Login: Identificação do utilizador a ser usado perante qualquer processo de autenticação na IPBrick ; • Servidor: Servidor onde será criada a conta do utilizador. A conta do utilizador corresponde a um espaço fı́sico em disco, no servidor destinado a armazenar os diversos conteúdos do utilizador, incluindo a caixa de correio electrónico, o perfil do utilizador em ambiente Windows e documentos do utilizador. Caso existam servidores slaves estes também serão listados; Manual Referência- Versão 5.2 iPortalMais - 2010 3.4 Gestão de Utilizadores 27 • Área de Trabalho: Partição fı́sica do disco do servidor seleccionado, onde será criada a conta. Deve-se optar por distribuir equitativamente os utilizadores de forma a optimizar o aproveitamento do espaço disponı́vel; • Password: Definição da palavra-passe; • Confirme Password: Confirmação da palavra-passe; • Quota: Valor para limitar o espaço em disco que a conta do utilizador poderá ocupar no sistema. A unidade do valor introduzido é KiloBytes. Caso não seja indicado qualquer valor, o utilizador não terá qualquer limitação de espaço ocupado; Em Opç~ oes Extra podemos definir outros parâmetros LDAP para os utilizadores, como: • Número do Funcionário; • Número do Departamento; • Número da Divisão; • Extensão do telefone; • Tipo de funcionário; • Categoria de negócio. Um exemplo está patente na Figura 3.10 and Figura 3.11 Figura 3.10: Gestão Utilizadores - Inserir ! Atenção: • Ao inserir utilizadores não devem ser utilizados caracteres acentuados na definição do Nome, Login e Mail; iPortalMais - 2010 Manual Referência- Versão 5.2 28 IPBrick.I Figura 3.11: Gestão Utilizadores - Parâmetros Extra LDAP • No campo Nome é possı́vel a utilização de espaços, parêntesis, pontos, letras maiúsculas e/ou minúsculas; • O campo Login não pode conter espaços e deve ser evitado o uso de caracteres maiúsculos; • Cada login deve ser único e não pode existir um login idêntico ao nome de qualquer máquina registada na IPBrick. Para modificar informação relativa a um dado utilizador, é necessário fazer um clique sobre o nome desse utilizador (Figura 3.12). Figura 3.12: Gestão de Utilizadores - Listagem No formulário para alterar os dados de um utilizador (Figura 3.14), os campos apresentados são os mesmos que foram definidos aquando da criação da conta Manual Referência- Versão 5.2 iPortalMais - 2010 3.4 Gestão de Utilizadores 29 desse utilizador. A única excepção é o uidNumber, que é o número de identificação do utilizador na IPBrick. A Password não é listada. Todos os campos definidos aquando da criação da conta são editáveis, excepto os seguintes: login, servidor, área de trabalho e uidNumber. Para apagar o registo de um utilizador da IPBrick : • Clicar no nome do utilizador; • Na página gerada, além de serem mostradas as propriedades do utilizador, é possı́vel apagar o seu registo. ⇒ Nota: Ao apagar o registo de um utilizador, os conteúdos associados a esse utilizador (ficheiros pessoais, perfil, mensagens de correio electrónico) não são eliminados. Estes conteúdos são movidos para uma partilha administrativa denominada BackupX (onde X representa o número da área de trabalho em que esse utilizador foi registado, 1 ou 2). O acesso a esta partilha é permitido apenas aos utilizadores do grupo Administradores a partir de qualquer estação windows. Para tal, deve executar: • Pressionar as teclas [Win]+[R] em simultâneo; • Escrever \\ipbrick\backup1 (para aceder à área correspondente à Área de Trabalho 1) e pressionar o botão ”OK”. As pastas e ficheiros que forem apagados nestas partilhas administrativas, são eliminados definitivamente da IPBrick. Figura 3.13: Gestão de Utilizadores - Operações 3.4.1 Operações em Massa A funcionalidade Exportar exportará todos os dados para um ficheiro .csv. A opção operações em massa permite a importação de um ficheiro .csv. Pode editar um ficheiro .csv numa aplicação de folha de cálculo. Campos obrigatórios: • actionuser: Opções disponı́veis: iPortalMais - 2010 Manual Referência- Versão 5.2 30 IPBrick.I Figura 3.14: Gestão de Utilizadores - Alterar – I: Para inserir um utilizador na IPBrick; – U: Para actualizar a informação do utilizador na IPBrick; – D: Para apagar um utilizador na IPBrick; – N: Não efectuar qualquer acção neste utilizador • usernumber: ID do utilizador LDAP. Começa em 10000 no administrador, assim, o valor pode ser incrementado em 1 para cada utilizador LDAP; • Login: Login do utilizador; • Nome: Nome do utilizador. É necessário ”se utilizar mais do que uma palavra; • correio electrónico: Correio electrónico do utilizador; • accountquota: Quota para a conta do utilizador. O 0 é ilimitado; • idworkarea: Número da workarea do utilizador; • password: Inserir a password do utilizador. Mais tarde, o utilizador pode alterá-la no site myipbrick. Note que este campo não está presente quando exportamos um ficheiro .csv, assim deve criá-lo; Outros campos: • groupnumber: Grupo LDAP ID do utilizador; • idserver: IP servidor slave aonde criar a conta. O 0 é para o local; • randompassword: Usada para gerar a password aleatória para os utilizadores; • sipurl: Url SIP do utilizador, representando o telefone perto do utilizador; • mailaccountstatus: 1 para activo, 2 para inactivo; • mailquota: Quota máxima da conta do correio electrónico em MBytes; • mailmaxsize: Tamanho máximo da mensagem recebida em MBytes; Manual Referência- Versão 5.2 iPortalMais - 2010 3.5 Gestão XML-RPC 31 • mailforward: É o correio encaminhado para o utilizador; • mailoutoreply: É a mensagem automática de resposta. É necessário utilizar ”; • homedrive: Representa a unidade da rede da conta. A predefinida é Z; • roamingprofile: 1 para um perfil de roaming, 2 para um perfil local. • employeenumber: Campo que representa o número do funcionário; • departmentnumber: Número do departamento a que pertence o funcionário; • roomnumber: Número da sala do funcionário; • pager: Número do pager do utilizador; • employeetype: A categoria do funcionário; • businesscategory: Categoria de negócio do funcionário. Exemplo de um conteúdo de ficheiro .csv para a opção importação de operações em massa: actionuser;usernumber;login;name;email;accountquota;idworkarea;password I;10001;jdomingues;"Joao Domingues";[email protected];0;;2;123456 I;10002;jsmith;"John Smith";[email protected];0;;1;123456 3.5 Gestão XML-RPC É possı́vel gerir os utilizadores LDAP da IPBrick usando o XML-RPC. Assim, usando um cliente e chamando o url: https://IPBRICK_IP/xmlrpc/server.php Pode enviar mensagens .xml especı́ficas para: • Adicionar utilizadores; • Modificar utilizadores; • Apagar utilizadores. 3.5.1 Adicionar mensagem de utilizador <?xml version="1.0" encoding="UTF-8"?> <methodCall> <methodName>adduser</methodName> <params> <param> <value><string>login</string></value> iPortalMais - 2010 Manual Referência- Versão 5.2 32 IPBrick.I </param> <param> <value><string>md5_password</string></value> </param> <param> <value><string>login:userlogin</string></value> </param> <param> <value><string>name:username</string></value> </param> <param> <value><string>email:[email protected]</string></value> </param> <param> <value><string>password:12345</string></value> </param> <param> <value><string>mailalias:[email protected];[email protected] </string></value> </param> </params> </methodCall> 3.5.2 Modificar a mensagem do utilizador <?xml version="1.0" encoding="UTF-8"?> <methodCall> <methodName>modifyuser</methodName> <params> <param> <value><string>login</string></value> </param> <param> <value><string>md5_password</string></value> </param> <param> <value><string>login:userlogin</string></value> </param> <param> <value><string>name:username</string></value> </param> <param> <value><string>email:[email protected]</string></value> </param> <param> <value><string>password:12345</string></value> Manual Referência- Versão 5.2 iPortalMais - 2010 3.6 Servidor de Domı́nio 33 </param> <param> <value><string>mailalias:[email protected];[email protected] </string></value> </param> </params> </methodCall> 3.5.3 Apagar a mensagem do utilizador <?xml version="1.0" encoding="UTF-8"?> <methodCall> <methodName>deluser</methodName> <params> <param> <value><string>login</string></value> </param> <param> <value><string>md5_password</string></value> </param> <param> <value><string>login:userlogin</string></value> </param> </params> </methodCall> Nota: Os dois primeiros parâmetros devem ser substituı́dos com as credenciais do interface web da IPBrick. 3.6 Servidor de Domı́nio A IPBrick como servidor de Intranet, tem como função fazer a gestão de todos os recursos de uma rede pertencentes a um determinado domı́nio, assim como disponibilizar serviços de suporte de rede importantes como DNS e DHCP. Um aspecto importante do servidor de domı́nio ou PDC1 é o facto de ele agir com o servidor de autenticação, onde todos os utilizadores têm um par username/password definido na base de dados LDAP da IPBrick. Sempre que for necessário uma autenticação numa estação de trabalho, o PDC é consultado. 3.6.1 Configuração Nesta secção é definido o nome do domı́nio que a IPBrick poderá servir assim como os seus campos (Figura 3.15): • Login do Domı́nio: 1 Primary Domain Controller iPortalMais - 2010 Manual Referência- Versão 5.2 34 IPBrick.I – SIM: A IPBrick será um Controlador de Domı́nio Primário no domı́nio escolhido; ~O: A IPBrick não funcionará como um servidor de domı́nio. – NA – Unidade de rede da conta predefinida: Será a unidade em que a conta dos utilizadores será organizada no lado das estações de trabalho. A predefinida é Z; – Tipo predefinido de perfil: O perfil é uma estação de trabalho Windows é um grupo de pastas que estão normalmente guardadas em C:\Documents e Settings\user_login; – Ambulante: Neste caso, quando o utilizador faz o logout na estação de trabalho, todas as pastas do perfil são sincronizadas para a conta pessoal do utilizador na IPBrick, situada em \\ipbrick\user_login\.profiles. Quando ele faz novamente o login na mesma estação de trabalho ou numa diferente, o perfil será sincronizado novamente na estação de trabalho; – Local: O perfil nunca será sincronizado na IPBrick. ⇒ Note: A informação nesta página só é válida para o ambiente MS Windows. O campo Nome do Domı́nio IPBrick está relacionado com o Grupo de trabalho ou Nome do Domı́nio no ambiente MS Windows. Figura 3.15: Servidor de Domı́nio - Definições 3.6.2 Gestão de Utilizadores É possı́vel especificar para cada utilizador: • Unidade de rede da conta: Z (por omissão); • Tipo de perfil: Roaming ou local; Clicando nessa opção, é apresentada a lista do utilizador. Escolhendo um utilizador especı́fico conforme a Figura 3.16, podemos configurar as definições do servidor do domı́nio para ele. Manual Referência- Versão 5.2 iPortalMais - 2010 3.7 Áreas de Trabalho 35 Figura 3.16: Servidor de Domı́nio - Gestão de Utilizadores 3.7 Áreas de Trabalho Uma área de trabalho corresponde a uma partição fı́sica do disco designada por /home1 ou /home2. Sempre que é criado um novo utilizador, o sistema cria também a respectiva conta pessoal que corresponde a uma estrutura de pastas de suporte à conta do utilizador. 1. Contas pessoais: Onde se encontram as mensagens de correio electrónico, os ficheiros e o perfil do utilizador no ambiente MS Windows; 2. Partilhas de grupo: Destinadas a armazenar ficheiros pertencentes a grupos de utilizadores; 3. Partilhas administrativas: Destinadas a armazenar contas de utilizadores e partilhas de grupo eliminadas. Estas áreas apenas estão acessı́veis para os Administradores. A IPBrick contém por omissão duas Áreas de Trabalho: Área de Trabalho 1 e Área de Trabalho 2. Ao fazer um clique sobre Áreas de Trabalho é apresentada uma listagem de todos os utilizadores e partilhas de grupo organizada por Área de Trabalho, com a informação do espaço ocupado no sistema de ficheiros, por cada item (Figura 3.17). 3.7.1 Áreas de Trabalho Individuais Ao seleccionar Áreas de Trabalho Individuais a IPBrick apresenta uma listagem composta pelas áreas de trabalho existentes e a taxa de ocupação de cada uma delas (Figura 3.18). Estas áreas de trabalho correspondem ao espaço em disco onde estão armazenados os dados dos utilizadores registados em Gest~ ao de Utilizadores. Em Configuraç~ oes podemos activar ou desactivar a pasta da reciclagem para todos os utilizadores. Ao efectuar um clique sobre uma Área de Trabalho, p.e. sobre Área de Trabalho 1, é apresentada uma listagem de todos os utilizadores inseridos nessa área e o espaço ocupado por cada um deles. A área de cada utilizador (Figura 3.19), A área de cada utilizador é criada no momento em que se regista o utilizador na IPBrick, em IPBrick.I -> Gest~ ao de Utilizadores. In individual workareas we also have the list of FTP accounts created in FTP menu at IPBrick.C. iPortalMais - 2010 Manual Referência- Versão 5.2 36 IPBrick.I Figura 3.17: Áreas de Trabalho - Resumo Figura 3.18: Áreas de Trabalho - Listagem ! Attention !: Se o espaço disponı́vel nas Áreas de Trabalho atingir os 100%, os utilizadores ficam impossibilitados de guardar dados na IPBrick. Além disso, as mensagens de correio electrónico não serão entregues aos utilizadores, ficando em fila de espera até que seja libertado algum espaço nas Áreas de Trabalho. É aconselhável manter a taxa de ocupação de cada Área de Trabalho com um valor inferior a 95%. ! Attention !: Activar a função de reciclagem não é recomendado quando existir pouco espaço em disco. 3.7.2 Áreas de Trabalho de Grupo As áreas de trabalho de grupo são partilhas de rede (network share). É possı́vel criar partilhas de rede em qualquer Área de Trabalho. Após criar uma partilha de rede é necessário definir as permissões de acesso para os utilizadores registados na IPBrick. Ao inserir uma Área de Trabalho de Grupo é necessário preencher os campos: • Nome: Nome da pasta a partilhar. Evitar a utilização de espaços, caracteres acentuados e pontuação; • Descriç~ ao: Informação sobre o tipo de utilização que se pretende para esta partilha; Manual Referência- Versão 5.2 iPortalMais - 2010 3.7 Áreas de Trabalho 37 Figura 3.19: Áreas de Trabalho - Resumo Áreas Individuais • Administrador: O email do administrador da Share (Este campo é de preenchimento opcional); • Visı́vel: Se Sim irá aparecer na lista do servidor. Se N~ ao a share estará oculta; • Reciclagem: Permite optar pelo uso ou não, de uma reciclagem; • Nome da pasta de reciclagem: Caso a opção anterior seja afirmativa, neste campo é possı́vel definir a pasta que será utilizada como reciclagem. Figura 3.20: Áreas de Trabalho - Lista Dois exemplos podem ser vistos na (Figura 3.21) e (Figura 3.22). iPortalMais - 2010 Manual Referência- Versão 5.2 38 IPBrick.I Figura 3.21: Áreas de Trabalho - Grupo - Inserção com Reciclagem Figura 3.22: Áreas de Trabalho - Grupo - Inserção com Reciclagem Mapeamento com NFS O servidor IPBrick, por omissão, está configurado para bloquear ligações de clientes NFS que não sejam de outros de servidores IPBrick (MASTER, SLAVE ou CLIENTE). A nova share poderá ser acedida via máquina windows machine (Vizinhança de Rede, \\server\share) mas também pode ser acedida por NFS (para ser usada/mapeada por Máquinas Linux). Note: O Windows 7 já inclui um cliente NFS. De forma a permitir que outros clientes Linux possam operar da mesma forma, ao usar NFS, é necessário seguir estes procedimentos: No Servidor: 1. Registar a estação de trabalho Linux em IPBrick.I -> Gest~ ao de Máquinas como Linux Workstation Manual Referência- Versão 5.2 iPortalMais - 2010 3.7 Áreas de Trabalho 39 2. Configurar as shares (normalmente em home1 ou home2) Na Estação de Trabalho: 1. Mapear a pasta /home1/_shares (e/ou /home2/_shares) na estrutura local , p.e.: /nfsshares/h1 (e/ou /nfsshares/h2) Note: Isto pode ser feito via o ficheiro fstab local inserindo os seguintes comandos: su - root mkdir /nfsshares mkdir /nfsshares/h1 /nfsshares/h2 vi /etc/fstab (...) /nfsshares/h1 SERVER_IP:/home1/_shares /nfsshares/h2 SERVER_IP:/home2/_shares nfs nfs defaults defaults 0 0 2 2 2. Após autenticação, na estação de trabalho (cliente LDAP), os utilizadores podem aceder às partilhas navegando através das pastas /nfsshares. Permissões de Acesso Depois de criar uma área de trabalho de grupo, é necessário atribuir permissões aos utilizadores para que possam aceder à partilha de rede. Isto pode ser feito ao clicar no nome da partilha como está patente na Figura 3.23. Existem três tipos diferentes de permissões: • Nenhum: Sem acesso à partilha. Não é possı́vel aos utilizadores abrirem a pasta partilhada a partir de uma estação de trabalho; • Só Leitura: Os utilizadores podem abrir a pasta partilhada e os ficheiros que ela contém. No entanto, não é possı́vel realizarem alterações a esses ficheiros; • Leitura+Escrita: Os utilizadores podem abrir a pasta partilhada, aceder aos ficheiros que existam na partilha, alterá-los e guardar essas alterações. As permissões são atribuidas a utilizadores individuais ou a grupos de utilizadores (Figura 3.24). Os grupos de utilizadores são definidos em ipbi Gest~ ao de Grupos. Por exemplo, para criar uma pasta partilhada para os utilizadores de um departamento comercial, o procedimento será o seguinte: ao de Grupos e • Criar uma área denominada ”Dept Financeiro”, em Gest~ adicionar os utilizadores desse departamento ao grupo; • Em Áreas de Trabalho > Grupo criar uma área de grupo ”Financeiro”; iPortalMais - 2010 Manual Referência- Versão 5.2 40 IPBrick.I • Atribuir permissões de leitura e escrita ao grupo ”Dept Financeiro”. Os restantes grupos ficam com permissões de leitura ou sem acesso. ⇒ Note: Ao definir permissões para grupos de utilizadores, qualquer alteração no grupo Geral provoca alterações para todos os restantes grupos existentes. Isto acontece porque o grupo Geral engloba todos os utilizadores inseridos na IPBrick. Figura 3.23: Áreas de Trabalho - Grupo - Gestão Figura 3.24: Áreas de Trabalho - Grupo - Acesso Utilizadores ⇒ Note: Ao apagar uma determinada partilha, esta deixa de estar disponı́vel para os utilizadores. Todos os ficheiros contidos nessa partilha são movidos para uma partilha administrativa denominada BackupX (onde X representa o número da área de trabalho em que essa partilha foi criada, 1 ou 2) existente na mesma área de trabalho. Essa pasta administrativa só pode ser acedida por utilizadores que pertençam ao grupo Administradores da IPBrick. Esta partilha pode ser acedida a partir de uma estação windows. Para isso executar: • Pressionar as teclas [Win]+[R] em simultâneo; • Escrever \\ipbrick\backup1 (para aceder à área correspondente à Área de Trabalho 1) e pressionar o botão ”OK”. As pastas e ficheiros apagados nestas partilhas administrativas são eliminados definitivamente da IPBrick. Manual Referência- Versão 5.2 iPortalMais - 2010 3.7 Áreas de Trabalho 3.7.3 41 Kaspersky O Kaspersky Anti-Vı́rus para Samba Server (servidor de ficheiros) já está previamente instalado na IPBrick. Após inserir uma licença válida (Figura 3.25), o Kaspersky Anti-Vı́rus para Samba Server (servidor de ficheiros) fica activo e é disponibilizada uma interface com as seguintes ligações: • Actualizar: Após a licença expirar é necessário fazer a renovação através da inserção de um novo ficheiro da licença; • Apagar: Remove a licença; • Configurar: Permite uma configuração geral do anti-vı́rus; • Áreas de trabalho: Comportamento do anti-vı́rus nas áreas de trabalho; • Estatı́sticas: Interface com estatı́sticas especı́ficas sobre o anti-vı́rus para Servidor de ficheiros. Figura 3.25: Áreas de Trabalho - Licença Kaspersky Configurar Definições gerais: • Notifica a partir do endereço: Remetente que fará as notificações; • Notifica para o endereço: Endereço de email que receberá as notificações. Definições dos objectos: • Máscara de exclus~ ao de directórios: Directórios que não vão ser analisados; • Máscara de exclus~ ao de ficheiros: Ficheiros que não vão ser analisados; • Ficheiros compactados: Se escolhido, este tipo de ficheiro é analisado; • Arquivos: Se escolhido, este tipo de ficheiro é analisado; iPortalMais - 2010 Manual Referência- Versão 5.2 42 IPBrick.I • Arquivos de auto extracç~ ao: Se escolhido, este tipo de ficheiro é analisado; • Base de dados de mails: Se escolhido, este tipo de ficheiro é analisado; • Mail em formato texto: Se escolhido, este tipo de ficheiro é analisado. Definições das pesquisas: • Curar: Se activo, os vı́rus detectados são automaticamente removidos; • Usar detecç~ ao heurı́stica: Se activo, podem ser detectados vı́rus através da análise de código com caracterı́sticas e comportamentos semelhantes a um vı́rus; • Usar o modo IChecker: Caso o ficheiro não tenha sido alterado desde a última vez que foi analisado, não é feita nova análise. Definições das acções: Define o que deve ser feito pelo Anti-Vı́rus para ficheiros infectados, suspeitos ou com avisos • Remove: Remove o ficheiro; • Inalterado: Mantém o ficheiro inalterado; • Move: Move o ficheiro. Definições das notificações: Define o que deve ser feito pelo antivı́rus a nı́vel de notificação para ficheiros infectados, suspeitos ou com avisos. • Notifica o utilizador por winpopup: Notificação usando o comando net send do Windows; • Notifica o utilizador por email; • Notifica o administrador por email. Para modificar as configurações, efectuar um clique em Alterar.Pode ver o interface de configuração na Figura 3.26 e Figura 3.27. Áreas de trabalho Por pré-definição é efectuada uma verificação aos ficheiros das áreas de trabalho ao abrir e ao fechar. Para cada partilha criada é possı́vel definir se será ou não protegida pelo anti-vı́rus, e se será realizada uma verificação ao abrir e/ou fechar os ficheiros por parte dos utilizadores como pode ver na Figura 3.28.. Manual Referência- Versão 5.2 iPortalMais - 2010 3.8 Correio Electrónico 43 Figura 3.26: Áreas de trabalho - Kaspersky - Configuração 1/2 Estatı́sticas Nesta interface são apresentadas inúmeras estatı́sticas: • Estatı́sticas de Vı́rus no perı́odo temporal: Opções para visualização do gráfico presente em Estatı́sticas de Vı́rus: – Inı́cio: Data para inı́cio das estatı́sticas; – Vista: Pode ser por horas, dias, meses ou anos; – Repetiç~ ao: Escala do eixo horizontal do gráfico; – Agrupar: Permite fazer o agrupamento de dados, conforme o tipo de vista escolhido. • Estatı́sticas de Vı́rus: A visualização pode ser filtrada por: Ficheiros infectados, protegidos, corrompidos, ficheiros onde a desinfecção falhou e erros; • Lista de Vı́rus: Listagem dos vı́rus que pode ser organizada por Nome do vı́rus/Número de ocorrências (Figura 3.30). 3.8 Correio Electrónico O correio electrónico é sem dúvida o serviço de rede mais utilizado na Internet, ganhando cada vez mais espaço à comunicação via correio convencional ou FAX. iPortalMais - 2010 Manual Referência- Versão 5.2 44 IPBrick.I Figura 3.27: Áreas de trabalho - Kaspersky - Configure 2/2 Figura 3.28: Áreas de Trabalho - Kaspersky O protocolo responsável pelo envio de mensagens electrónicas é o SMTP (Simple Mail Transfer Protocol) correndo na porta 25 TCP. Basicamente permite o envio para um ou vários destinatários sendo implementado pelos chamados MTA’s (Mail Transfer Agents). O MTA usado pela IPBrick é o Qmail2 . O SMTP apenas permite o envio de mensagens, sendo necessário aos utilizadores o uso de um cliente de email que suporte os protocolos que têm como objectivo descarregar as mensagens dos servidores - POP3/IMAP. A secção Correio Electrónico na IPBrick é composta por: • Configurar; • Gestão de Filas; 2 http://cr.yp.to/qmail.html Manual Referência- Versão 5.2 iPortalMais - 2010 3.8 Correio Electrónico 45 Figura 3.29: Áreas de Trabalho - Kaspersky - Estatı́sticas 1/2 • Gestão de Utilizadores; • Listas de Distribuição; • Kaspersky Anti-Vı́rus; • Kaspersky Anti-SPAM. 3.8.1 Configurar Um dos conceitos importantes a ter em conta na configuração do servidor de email é o open relay. Um servidor a agir em open relay processa mensagens entre endereços remetentes e destinatários que estão fora do domı́nio do servidor, podendo mesmo nem sequer existir. Como é óbvio, a IPBrick não actua como open relay, encaminhando apenas emails vindos da Internet para domı́nios que estejam explicitamente indicados. Na Configuraç~ ao do correio electrónico existem quatro conceitos muito simples e fulcrais que convém referir: 1. Domı́nios que a máquina serve: Endereços de correio electrónico cujo destino é o próprio servidor IPBrick, ou seja, que as contas associadas às mensagens existem localmente. As mensagens na fila de espera para processamento, caso se destinem a um destes domı́nios, não são enviadas para outro iPortalMais - 2010 Manual Referência- Versão 5.2 46 IPBrick.I Figura 3.30: Áreas de Trabalho - Kaspersky - Estatı́sticas 2/2 servidor para entrega. Os domı́nios que a máquina serve, devem também estar correctamente configurados no servidor de DNS de cada domı́nio, ou seja, os ”Servidores de Correio Electrónico”destes domı́nios devem apontar para a máquina; 2. Domı́nios que a máquina encaminha mail(relay): A IPBrick encaminha todas as mensagens cujos domı́nios existem nesta lista e que o servidor aceitará na sua fila de espera. Mensagens com outros destinos que não os domı́nios aqui indicados não serão aceites pelo servidor; 3. Redes que a máquina encaminha mail: A IPBrick aceita fazer relay para qualquer domı́nio desde que a mensagem de correio electrónico seja enviada a partir da sua rede interna correspondente. No caso de existirem diferentes redes IP internas é necessário adicionar essas redes a esta lista, para que todas as máquinas existentes nessas redes possam enviar as mensagens de correio electrónico para outros domı́nios usando a IPBrick como servidor de relay; 4. Rotas de SMTP: As rotas de SMTP são configuradas quando se pretende que as mensagens sigam um determinado caminho (servidor) para encontrarem o seu destino. Normalmente, é colocada uma rota de SMTP por pré-definição (indicando a Rota de SMTP e deixando o Domı́nio em branco), quando o servidor não está devidamente registado na DNS da internet com o seu nome e IP, esta rota deve ser o servidor responsável pelo encaminhamento das mensagens de correio electrónico da empresa ou o servidor de SMTP do ISP usado pela empresa para acesso à internet. Esta configuração é necessária porque certos servidores de mail fazem verificações adicionais para verificar a autenticidade do servidor remetente. Quando não conseguem resolver o nome do servidor para o endereço IP que lhe corresponde no momento, a mensagem pode ser descartada ou devolvida como suspeita de SPAM. No Manual Referência- Versão 5.2 iPortalMais - 2010 3.8 Correio Electrónico 47 caso de não utilizar qualquer rota de SMTP, o servidor tenta despachar sozinho as mensagens da sua fila directamente na internet recorrendo aos registos de DNS para encontrar os destinatários. Cada opção de configuração do Correio Electrónico contém uma ligação para Inserir novas entradas (Figura 3.31). Figura 3.31: Correio Electrónico - Configurar Os domı́nios para entrega local (Domı́nios que a IPBrick serve) e para relay (Domı́nios que a IPBrick encaminha) podem ser editados e/ou apagados à excepção daquele que corresponde ao nome completo da máquina nos domı́nios locais e também em conjunto com o domı́nio local no relay. ⇒ Nota: Para colocar a IPBrick a efectuar relay das mensagens de correio electrónico para outro servidor onde estão alojadas as contas, o domı́nio base da empresa deve ser retirado dos domı́nios que a IPBrick serve, uma vez que este é colocado por defeito. A IPBrick, por omissão, apenas aceita encaminhar as mensagens de correio electrónico provenientes da sua rede privada. No caso de existirem diferentes redes IP internas, também deverão ser adicionadas para possibilitar o envio de mensagens a partir delas. Existem duas formas distintas de definir as rotas de SMTP: 1. Nome FQDN3 do servidor de rota. P.e.: smtp.exchange.telepac.pt; 2. Endereço IP do servidor de rota. P.e.: 195.22.133.45. Exemplo de duas configurações, uma com IP para um domı́nio especı́fico e outra para o mesmo domı́nio com FQDN: 3 Fully Quallified Domain Name - nome completo de uma máquina que pode ser resolvido por uma DNS no seu endereço IP iPortalMais - 2010 Manual Referência- Versão 5.2 48 IPBrick.I Ex.1 Domı́nio : abzas.miz Rota de SMTP : 195.22.133.45 Ex.2 Domı́nio : abzas.miz Rota de SMTP : smtp.exchange.telepac.pt Uma configuração importante, trata-se de quando a máquina se encontra a fazer relay das mensagens de correio electrónico. Nesta situação, sempre que adicionar uma rota de SMTP por defeito (sem indicar dominio), deve-se sempre adicionar outra rota de SMTP para encaminhar as mensagens para o servidor de correio interno. Um exemplo desta configuração é apresentada a seguir, onde a IPBrick está a fazer relay para um servidor de correio electrónico interno contas e tem definida uma rota de SMTP por defeito para smtp.isp.pt: Domı́nio: domain.com Rota de SMTP: contas.domain.com Domı́nio: Rota de SMTP: smtp.isp.pt • SPF (Sender Policy Framework): está desactivado por predefinição. Se estiver activo, em cada mensagem que entra, a pessoa que envia será questionada sobre a autenticidade da mensagem. A rejeição da mensagem dependerá da resposta da pessoa que envia e do nı́vel de protecção aqui definido. Estes são os nı́veis de protecção: • Protecção standard: As mensagens de correio electrónico serão rejeitadas se a resposta for Falhou; • Protecção média: As mensagens de correio electrónico serão rejeitadas se a resposta for Falhou ou SoftFail; • Protecção elevada: As mensagens de correio electrónico serão rejeitadas se a resposta for Falhou, SoftFail ou Neutro; 3.8.2 Definições É disponibilizada uma ligação Definiç~ oes (ver Figura 3.32 e Figura 3.33) que permite definir parâmetros relacionados com o servidor de correio electrónico: • Tamanho máximo de uma mensagem: Valor pré-definido: Ilimitado; • Tempo máximo que o servidor retém uma mensagem: Valor pré-definido: 604800 segundos (7 dias); • Numero máximo de conex~ oes SMTP simult^ aneas: Valor pré-definido: 20; • Timeout de entrada de uma mensagem: Valor pré-definido: 1200 segundos (20 minutos); Manual Referência- Versão 5.2 iPortalMais - 2010 3.8 Correio Electrónico 49 • Timeout de saı́da de uma mensagem: Valor pré-definido: 1200 segundos (20 minutos); • Rejeitar emails de domı́nios inválidos: Valor pré-definido: Sim; • Rejeitar emails de servidores inválidos: Valor pré-definido: Não. • Mensagem de aviso de aproximaç~ ao do limite da quota:: Por omissão o valor é Quota Warning!; • SPF (Sender Policy Framework): Está desactivado por pré-configuração. Se for activo para cada email recebido, o remetente será questionado sobre a autenticidade do mesmo. A rejeição do email dependerá da resposta do remetente e do nı́vel de protecção definido aqui. Os mecanismos, qualificadores e modificadores SPF podem ser encontrados no sı́tio SPF (http: //www.openspf.org/SPF_Record_Syntax). Estes são os nı́veis de protecção definidos no servidor de email da IPBrick: – Protecção Standard: Os emails serão rejeitados se a resposta for Fail; – Protecção Média: Os emails serão rejeitados se a resposta for Fail or SoftFail; – Protecção Alta: Os emails serão rejeitados se a resposta for Fail, SoftFail ou Neutral; • Lista-negra (RBL): Active ou desactive a RBL (Realtime blacklist) ou a verificação DNSBL. Esta verificação é feita a todos os emails recebidos da Internet e antes da actuação do filtro KAV. Os seguintes listas são as que estão pré-configuradas na IPBrick: – http://www.spamhaus.org/SBL – http://0spam.fusionzero.com – http://www.uceprotect.net/en – http://www.spamsources.fabel.dk/ Nesta interface, é ainda possivel definir permissões de envio e recepção de mensagens: • Destinatários internos válidos: Contém a lista de endereços de correio electrónico que são válidos, ou seja, apenas as mensagens destinadas a esses endereços é que serão aceites no servidor (Figura 3.34); • Remetentes inválidos: Contém a lista de endereços de correio electrónico que não estão autorizados a enviar mensagens (Figura 3.35). iPortalMais - 2010 Manual Referência- Versão 5.2 50 IPBrick.I Figura 3.32: E-Mail - Definições 1/2 3.8.3 Gestão de Filas A gestão de filas (Figura 3.36) permite a gestão e visualização das mensagens que se encontram na fila do servidor de correio electrónico para serem entregues ao destinatário, seja este local ou remoto. É possı́vel consultar o número de mensagens em fila para destinatários locais e remotos, assim como o número total. Na listagem das mensagens existentes na fila são apresentados os campos: • ID: Identificador único da mensagem adicionado pela IPBrick ; • Data: Data de envio da mensagem; • De: Remetente da mensagem; • Para: Destinatário da mensagem; • Assunto: Assunto da mensagem; • Tamanho: Tamanho da mensagem apresentado em Kbytes. Existe a possibilidade de apagar várias mensagens em simultâneo, seleccionando as checkboxes respectivas e clicando no botão Apagar Mensagens. É pedida a confirmação para a eliminação das mensagens seleccionadas. ! Atenção: As mensagens apagadas da fila serão definitivamente eliminadas! Um email pode ficar em fila por um perı́odo pré-configurado Manual Referência- Versão 5.2 iPortalMais - 2010 3.8 Correio Electrónico 51 Figura 3.33: E-Mail - Definições 2/2 de 7 dias. Quando uma mensagem na fila é apagada o serviço qmail é reiniciado. Ao seleccionar uma mensagem é visualizada a source completa da mesma. Esta operação é feita em tempo real, não sendo necessário fazer Actualizar Configuraç~ oes. 3.8.4 Gestão de Utilizadores Nesta opção torna-se possı́vel efectuar uma gestão centralizada da conta de correio electrónico para cada utilizador do sistema podendo configurar-se: • Estado: A conta de e-mail do utilizador pode estar activo ou inactivo; • Mail de Sistema: • Mail padr~ ao: O endereço pré-configurado do utilizador. Não é obrigatório ser igual ao Mail de Sistema login@domain; • Endereços alternativos; • Activar quota de mail; • Tamanho máximo de uma mensagem: Tamanho máximo de uma mensagem recebida; iPortalMais - 2010 Manual Referência- Versão 5.2 52 IPBrick.I Figura 3.34: E-Mail - Definições - Destinatários Internos Válidos Figura 3.35: E-Mail - Definições - Remetentes Inválidos • Encaminhamento; • Resposta automática. Um exemplo de configuração está visı́vel na Figura 3.38. Endereços Alternativos Os endereços alternativos (Figura 3.38) são uma forma de por um lado, ter logins práticos e fáceis de gerir, e por outro, ter a comodidade de usar endereços de correio electrónico mais personalizados. Desta forma, o utilizador pode ter um endereço de correio electrónico com o qual se identifique melhor. Todas as mensagens com destino a qualquer um dos endereços alternativos definidos para um utilizador, são entregues na caixa de correio respectiva. Ex: nome : Armindo Quintas login : aquintas email : [email protected] Manual Referência- Versão 5.2 iPortalMais - 2010 3.8 Correio Electrónico 53 Figura 3.36: Correio Electrónico - Gestão de filas Figura 3.37: Correio Electrónico - Gestão de Utilizadores Endereços Alternativos: [email protected] [email protected] [email protected] [email protected] Para Inserir um novo endereço de correio: • Seleccionar a conta (utilizador); • No campo Endereços Alternativos:, definir o(s) endereço(s) alternativo(s) de correio electrónico. Sempre que pretendido, é possı́vel aceder à lista de endereços (ordenada por utilizador da IPBrick, com os seus endereços de correio electrónico agrupados) iPortalMais - 2010 Manual Referência- Versão 5.2 54 IPBrick.I Figura 3.38: Correio Electrónico - Endereços Alternativos, Encaminhamento e respostas automáticas e alterar determinado endereço para uma outra designação, ou para um outro utilizador4 . Encaminhar Correio O encaminhamento de correio electrónico permite que as mensagens entregues numa determinada caixa de correio, possam ser também encaminhadas para outras caixas, as quais podem ser internas ou externas. Para Inserir um novo encaminhamento (Figura 3.38): • Seleccionar a conta (utilizador); • No campo Encaminhar Para: definir o(s) endereço(s) destino. Mensagem de Resposta Automática Uma Resposta Automática é uma mensagem de correio electrónico enviada automaticamente pela IPBrick em resposta a outra mensagem. Quando uma nova mensagem chega à conta de um destinatário que tem uma Resposta Automática configurada, a IPBrick envia uma mensagem para o remetente da mesma, com um conteúdo personalizável pelo utilizador. Para Inserir uma nova Resposta Automática (Figura 3.38): 4 Obviamente, aquando da mudança de um endereço alternativo de um utilizador para outro, este outro apenas recebe as novas mensagens, enquanto que as antigas continuarão na conta do antigo titular. Manual Referência- Versão 5.2 iPortalMais - 2010 3.8 Correio Electrónico 55 • Seleccionar a conta (utilizador); • Na text area do campo Mensagem de resposta automática, introduzir a mensagem de texto pretendida. 3.8.5 Listas de Distribuição Uma mailing list torna possı́vel o envio de emails numa filosofia de 1 para N. Para adicionar uma lista de distribuição: • Clicar em Inserir; • Digitar no campo Mail o endereço pretendido (Figura 3.39); • Clicar em Inserir. Após uma lista de distribuição ter sido adicionada (Figura 3.40), configurar a mesma: • Na Lista de Utilizadores Internos definem-se os membros de entre os Utilizadores IPBrick, que farão parte da lista de distribuição; • Na Lista de Utilizadores Externos (Figura 3.41), são definidos os endereços de email externos à rede (Internet); Em ambos os casos basta clicar em Alterar para adicionar os membros da lista. Figura 3.39: Correio Electrónico - Lista de Distribuição - Inserir 3.8.6 Estatı́sticas Assim como o proxy e o serviço webrvice the Advanced Web Statistics is used for mail service too. Gerando importantes estatı́sticas que irão auxiliar o administrador, tais como: • Estatı́sticas de Tempo: Email enviado por mês, semana, dias e até horas; • Estatı́sticas de envio: Por domı́nio top level, hosts, email recebido e enviado; • Outra informação como erros SMTP; iPortalMais - 2010 Manual Referência- Versão 5.2 56 IPBrick.I Figura 3.40: Correio Electrónico - Lista de Distribuição - Utilizadores 3.8.7 Anti-Vı́rus Kaspersky Na secção de Correio Electrónico, o anti-vı́rus já está pré-instalado. Apenas é necessário adquirir uma licença para activar a sua interface de gestão. Após a inserção da licença, a interface apresenta as seguintes ligações (Figura 3.42): • Actualizar: Após a licença expirar, é necessário fazer a renovação, através da aplicação de um novo ficheiro de licença; • Apagar: Remove a licença; • Configurar: Permite uma configuração geral das notificações; • Gest~ ao de grupos: Permite personalizar a configuração e filtragem do Kaspersky Anti-Vı́rus; • Estatı́sticas: Interface com estatı́sticas especı́ficas sobre utilização do antivı́rus. Configurações Gerais Clicar em Alterar para configurar os endereços de email das notificações (Figura 3.43). Manual Referência- Versão 5.2 iPortalMais - 2010 3.8 Correio Electrónico 57 Figura 3.41: Correio Electrónico - Lista de Distribuição - Utilizadores Externos Figura 3.42: Correio Electrónico - Anti-vı́rus Definições gerais: • Notifica a partir do endereço: Remetente que fará as notificações; • Notifica para o endereço: Endereço de email que receberá as notificações. Limites: • N~ ao enviar notificaç~ oes para: Endereço que não poderá receber as notificações (será o remetente das notificações). Gestão de grupos Existe já um grupo criado denominado default. Clicando no grupo podem-se ver as definições gerais pré-definidas. Clicando em Alterar é possı́vel personalizar as seguintes opções (Figura 3.44): • Activo: Estado do Kaspersky Anti-Vı́rus; iPortalMais - 2010 Manual Referência- Versão 5.2 58 IPBrick.I Figura 3.43: Correio Electrónico - Anti-Virus Kasp. - Configurações Gerais • Endereço do administrador de grupo: Email do administrador do grupo; • Directório de quarentena: Directório onde serão armazenados os ficheiros em estado de quarentena; • Máscara do remetente: Faz sentido adicionar caso seja criado um novo grupo; • Máscara do receptor: Faz sentido adicionar caso seja criado um novo grupo; Figura 3.44: Anti-vı́rus - Gestão de Grupos As regras de notificação para qualquer tipo de objecto podem ser alteradas no menu Regras notificaç~ ao, sendo visı́veis na Figura 3.45. No menu Filtro (Figura 3.46), é possı́vel estabelecer regras de filtragem/excepções por nome de ficheiros ou por mime-type. Estatı́sticas Nesta interface são apresentadas inúmeras estatı́sticas: • Estatı́sticas de Vı́rus no perı́odo temporal: Opções para visualização do gráfico presente em Estatı́sticas de Vı́rus: – Inı́cio: Data para inı́cio das estatı́sticas; Manual Referência- Versão 5.2 iPortalMais - 2010 3.8 Correio Electrónico 59 Figura 3.45: Anti-vı́rus - Regras Notificação Figura 3.46: Anti-vı́rus - Filtro – Vista: Pode ser por horas, dias, meses ou anos; – Repetiç~ ao: Escala do eixo horizontal do gráfico; – Agrupar: Permite fazer o agrupamento de dados, conforme o tipo de vista escolhido; • Estatı́sticas de Vı́rus: A visualização pode ser filtrada por: Ficheiros limpos, protegidos ou infectados; • Lista de Vı́rus: Listagem dos vı́rus que pode ser organizada por Nome do vı́rus/Número de ocorrências; • Lista de remetentes de correio: Apresenta estatı́sticas sobre ficheiros por endereços remetente; • Lista de destinatários de correio: Apresenta estatı́sticas sobre ficheiros por endereços de destinatários da IPBrick. Um exemplo pode ser visto na Figura 3.47 e Figura 3.48. ClamAV O ClamAV5 , está incluı́do na IPBrick. Por omissão, o serviço está inactivo (Figura 3.49), para o activar basta clicar em Modificar e escolher Sim em 5 http://www.clamav.net iPortalMais - 2010 Manual Referência- Versão 5.2 60 IPBrick.I Figura 3.47: Correio Electrónico - Anti-Vı́rus Kasp. - Estatı́sticas 1/2 Activar configuraç~ ao. Quando activado, o ClamAV filtrará todo o correio que entra através do seu motor. Quando o ClamAV detecta um vı́rus, pode ocorrer uma destas possibilidades, e pode configurar o que fazer (Figura 3.50): • Rejeitar a mensagem de Correio Electrónico: A mensagem é rejeitada e não entrará na fila do correio. O remetente receberá uma notificação; • Marcar a mensagem de Correio Electrónico como vı́rus: A mensagem é marcada e entrará normalmente na fila do correio; • Marcar e Redireccionar a mensagem de Correio Electrónico: A mensagem é marcada e redireccionada para um endereço de correio electrónico; • Apagar a mensagem de Correio Electrónico: A mensagem é apagada, não entrará na fila de correio e não é enviada notificação. Nota: O ClamAV actualizará automaticamente a sua base de dados de forma transparente para o utilizador. 3.8.8 Anti-Spam Kaspersky Tal como o Kaspersky Anti-Vı́rus, o Anti-Spam vem também pré-instalado, sendo necessário a aplicação de uma licença de modo a ficar activo. Após activação, são apresentadas as seguintes opções: Manual Referência- Versão 5.2 iPortalMais - 2010 3.8 Correio Electrónico 61 Figura 3.48: Correio Electrónico - Anti-Vı́rus Kasp. - Estatı́sticas 2/2 Figura 3.49: Correio Electrónico - Anti-Vı́rus - ClamAV - Menu Principal • Actualizar: Após a licença expirar é necessário fazer a renovação através da aplicação de um novo ficheiro da licença; • Apagar: Remove a licença; • Configurar: Permite uma configuração geral abrindo a interface especı́fica do Anti-Spam; • Estatı́sticas: Interface com estatı́sticas especı́ficas sobre utilização do AntiSpam. Os aspectos de configuração mais importantes do Anti-Spam passam por: • Adicionar todos os domı́nios de email da empresa a filtrar pelo Anti-Spam (Figura 3.51); iPortalMais - 2010 Manual Referência- Versão 5.2 62 IPBrick.I Figura 3.50: Correio Electrónico - Anti-Vı́rus - ClamAV - Definições • Definir o nı́vel de detecção do Kaspersky Anti-Spam. Por pré-definição está no nı́vel Standard. Se a taxa de recepção de Spam for alta, o nı́vel de detecção deve ser aumentado para Maximum (Figura 3.53); • Redireccionar todos os emails classificados pelo Kaspersky Anti-Spam para uma conta de email (Na Figura 3.52: [email protected]). Desta forma, o administrador da rede pode analisar todos os emails classificados como Spam, e no caso de existir algum email incorrectamente classificado (falso positivo), o administrador pode re-encaminhar esse email para o destinatário. Idealmente a conta aqui configurada deverá ser uma conta local do próprio servidor de comunicações (Exemplo: [email protected]). Desta forma todo o Spam será filtrado e retido no servidor de comunicações, não passando sequer para o servidor de mail interno; • No caso de existirem Whitelists e Blacklists de emails e endereços IP’s, estas devem também ser adicionadas (menu da Figura 3.51). Figura 3.51: Anti-Spam - Domı́nios Protegidos Manual Referência- Versão 5.2 iPortalMais - 2010 3.8 Correio Electrónico 63 Figura 3.52: Anti-Spam - Acções Figura 3.53: Anti-Spam - Regras iPortalMais - 2010 Manual Referência- Versão 5.2 64 IPBrick.I Estatı́sticas Nesta interface são apresentadas inúmeras estatı́sticas: • Estatı́sticas de Spam no perı́odo temporal: Opções para visualização do gráfico presente em Estatı́sticas de Spam: – Inı́cio: Data para inı́cio das estatı́sticas; – Vista: Pode ser por horas, dias, meses ou anos; – Repetiç~ ao: Escala do eixo horizontal do gráfico; – Agrupar: Permite fazer o agrupamento de dados, conforme o tipo de vista escolhido; • Estatı́sticas de Spam: A visualização pode ser filtrada por: Ficheiros limpos, Spam, prováveis e listas negras; • Lista de destinatários de correio: Apresenta estatı́sticas por endereços de destinatários da IPBrick. Está presente um exemplo na Figura 3.54. Figura 3.54: Anti-Spam - Estatı́sticas SpamAssassin O SpamAssassin6 está incluı́do na IPBrick. Por pré-configuração, o serviço está inactivo (Figura 3.55), para o activar basta clicar em Modificar e escolher Sim em Activar configuraç~ ao. Nota: O SpamAssassin actualizará automaticamente a sua base de dados de forma transparente para o utilizador. As Opç~ oes Gerais (Figura 3.56) são: 6 http://spamassassin.apache.org Manual Referência- Versão 5.2 iPortalMais - 2010 3.8 Correio Electrónico 65 • Classificaç~ ao Exigida: Para cada mensagem recebida, o filtro SpamAssassin aplicará regras para saber se se trata de spam ou não. O valor final será uma classificação. Neste campo vamos definir a classificação geral exigida. O valor predefinido é 10, assim só as mensagens de correio que correspondam a >= 10 serão consideradas SPAM; • Acç~ ao quando é detectado SPAM: – Rejeitar E-Mail: A mensagem é rejeitada e não entrará na fila do correio. O remetente receberá uma notificação; – Marcar E-Mail como SPAM: A mensagem é marcada e entrará normalmente na fila do correio; – Marcar e Redireccionar E-Mail: A mensagem é marcada e redireccionada para o endereço de correio electrónico [email protected] (Figura 3.57); • Apagar E-Mail: A mensagem é apagada, não entrará na fila de correio e não é enviada notificação. • Estrutura do Corpo da Mensagem: Activo só para as marcas. A mensagem original pode ser mantida ou podemos escolher enviar a mensagem original em anexo, como .txt ou .eml. Se for em anexo, é possı́vel definir uma descrição especı́fica na Descriç~ ao no Corpo da Mensagem. Após configurar as Opç~ oes Gerais, não são obrigatórias mais alterações. As seguintes definições, com respeito a regras de pontuação especı́ficas, são totalmente opcionais. Para inserir uma regra de pontuação, temos de premir Inserir. Estão disponı́veis as opções seguintes: • Nome da Regra: Nome que identificará a regra; • Campo de E-Mail: Campo do Correio Electrónico especı́fico a filtrar. Opções: – From; – Subject; – Body; • Filtro: Tipo de filtro e palavra ou expressão a filtrar. Opções: – Contém esta palavra/frase: Filtra o campo escolhido que contém a palavra /frase definida; iPortalMais - 2010 Manual Referência- Versão 5.2 66 IPBrick.I – Contém exactamente esta palavra/frase: Filtra o campo escolhido que corresponde exactamente à palavra /frase definida; • Pontuaç~ ao: Número de classificação a atribuir à regra. Imaginemos que a Classificação Exigida está predefinida (10). Uma regra por exemplo definida com a classificação -1 será um resultado de passagem. Uma regra definida com a classificação 20 será considerada SPAM. É apresentado um exemplo na Figura 3.58. No menu de topo, são apresentadas as opções Whitelist e Blacklist. Na Whitelist podemos definir domı́nios e correios electrónicos autorizados (exemplo na Figura 3.59). O correio proveniente destas origens tem uma classificação de -100. Na Blacklist podemos definir domı́nios e correios electrónicos proibidos O correio proveniente destas origens tem uma classificação de 100. Figura 3.55: Correio Electrónico - AntiSpam - SpamAssassin - Menu Principal Figura 3.56: Correio Electrónico - AntiSpam - SpamAssassin - Opções Gerais Rejeitar 3.9 Servidor de Impressão Nesta secção é disponibilizada a interface de gestão das impressoras que se pretendem disponibilizar na rede. Ao definir uma impressora são pedidos vários parâmetros: 1. Nome da impressora (Ex.: HP2200); 2. Descriç~ ao sobre a impressora (Este campo é opcional). (Ex.: Impressora de rede HP 2200); Manual Referência- Versão 5.2 iPortalMais - 2010 3.9 Servidor de Impressão 67 Figura 3.57: Correio Electrónico - AntiSpam - SpamAssassin - Opções Gerais Marcar Figura 3.58: Correio Electrónico - AntiSpam - SpamAssassin - Regras Criadas 3. Localizaç~ ao da impressora na empresa. (Este campo é opcional - Ex.: Sala 1); 4. Interface usada pela impressora para comunicar. São disponibilizadas quatro opções: • porta paralela; • porta série; • porta usb; • impressora de rede. 5. Dispositivo que a impressora usa. Está directamente relacionado com a interface. (Esta opção só está disponivel para as interfaces porta paralela, porta série e porta usb) (Ex.: Interface -> Porta Paralela, Dispositivo -> Porta Paralela 1); 6. No caso de Impressoras de Rede, é necessário inserir os seguintes campos: iPortalMais - 2010 Manual Referência- Versão 5.2 68 IPBrick.I Figura 3.59: Correio Electrónico - AntiSpam - SpamAssassin - Whitelist • Endereço de uma impressora de rede (Esta opção está só disponı́vel para impressoras de rede) (Ex.: 192.168.1.1); • Porto que a impressora de rede usa (Este campo não é obrigatório. Ex: no caso de uma impressora HP será o porto 9100). Figura 3.60: Inserir uma impressora de rede Após inserir uma impressora e para finalizar a sua configuração, é necessário que os controladores correspondentes sejam disponibilizados pela IPBrick para as estações cliente. Para tal, é necessário proceder à transferência dos controladores respectivos da impressora para o servidor: 1. Iniciar Sessão numa estação windows com um utilizador do grupo de Administradores (a estação de trabalho terá de estar já registada no Domı́nio da IPBrick ); Manual Referência- Versão 5.2 iPortalMais - 2010 3.9 Servidor de Impressão 69 2. Pressionar as teclas [Win]+[R] e na janela apresentada escrever \\ipbrick; 3. Seleccionar Impressoras e Faxes Verificar que a impressora adicionada na interface WEB da IPBrick é apresentada; 4. Clicar com o botão direito do rato dentro da janela de Printers and Faxes e seleccionar a opção Propriedades do Servidor; 5. Na janela apresentada, seleccionar a opção Controladores; 6. Escolher Adicionar, definir o fabricante e o modelo da impressora e fazer Seguinte; 7. Seleccionar a versão do windows à qual os drivers terão de corresponder; 8. Fazer Fechar. Neste ponto os drivers da impressora são transferidos para a IPBrick ; 9. Na partilha Impressoras e Faxes da IPBrick, clicar com a tecla direita do rato na impressora e seleccionar Propriedades da impressora. Surgindo a janela indicada na Figura3.61, seleccionar N~ ao. 10. Responder N~ ao. Entrar em Avançadas, seleccionar o controlador que foi adicionado e fazer Aplicar. Figura 3.61: Controlador da impressora Para configurar a impressora no cliente, é necessário: • Pressionar as teclas [Win]+[R] em simultâneo; • Escrever \\ipbrick na janela gerada; • Clicar com o botão direito na impressora a adicionar e escolher Ligar. A partir deste momento é possı́vel verificar nas Impressoras e Faxes do cliente, que a impressora já se encontra disponı́vel. iPortalMais - 2010 Manual Referência- Versão 5.2 70 IPBrick.I 3.10 Servidor de Backup O Backup consiste em copiar dados de um dispositivo para outro com o objectivo de preservar os dados em caso de problemas futuros. Habitualmente, esta cópia é feita a partir do disco rı́gido para fitas, DVD ou outros discos. Hoje em dia, o papel está a ser cada vez mais substituı́do por ficheiros digitais, mostrando às empresas a importância de ter um sistema de backup de confiança. 3.10.1 Remoto Esta opção possibilita a configuração de backups agendados num dispositivo NAS1 ou num servidor rsync. O rsync é uma poderosa ferramenta de backup incluı́da na IPBrick, que faz cópias adicionais de ficheiros/directórios para outro servidor rsync. Para adicionar uma tarefa de backup tem que clicar em Insert (Figura 3.62). Surgirão os seguintes campos: Definições do backup: • Nome do backup: Designação a atribuir ao backup • E-mail para notificação: Destino das mensagens de notificação dos backups • Trabalho a realizar: Existem duas opções: – Copiar: Serão copiadas todas as áreas de trabalho para o dispositivo de backup(/home1, /home2, /home3...); – Restaurar: Serão restauradas todas as áreas de trabalho a partir do dispositivo de backup; – Periodicidade: O backup será sempre diário; – Hora de inı́cio: Hora a que a cópia se iniciará; Figura 3.62: Inserção de tarefas de backups Definições dos dados do destino: Manual Referência- Versão 5.2 iPortalMais - 2010 3.10 Servidor de Backup 71 • Localização dos dados: A única opção é remoto .É sempre feito para uma máquina remota. • Dispositivo de Backup: NAS (SMB): O dispositivo de backup é um NAS2 com uma partilha SMB criada. O método de backup é feito usando a tar de utilidade de arquivo. Opções disponı́veis: – Endereço IP: Endereço IP do dispositivo de backup – Login: Utilizador que tem acesso a partilha – Password – Nome da partilha: Nome da partilha criada na NAS • Dispositivo de Backup: Servidor rsync: • NAS (NFS): O dispositivo de backup é o NAS3 com uma partilha NFS criada. O método de backup é feito usando a rsync utilidade de backup adicional. Opções disponı́veis: – Endereço IP: Endereço IP do servidor de rsync – Nome da partilha: Nome da partilha criada no NAS. – Servidor rsync: O dispositivo de backup é um computador que trabalha com um servidor rsync. Pode ver o exemplo de uma configuração do servidor rsync na secção seguinte; Após se definir um backup e clicando no nome do Backup terá acesso a estas opções (Figura 3.63): • Voltar: voltar para a lista de backups; • Alterar: Modificar a tarefa de backup corrente; • Apagar: apagar a tarefa de backip corrente; • Calendarizaçao: Podera defenir a calendarização da tarefa de backup. Estas são as opções que aparecerão quando clicar em Insert: – Periodicidade: Diária, semanal ou mensal; – Descriçao: descrição da calendarizaçao; – Dia do mês/Dia da Semana ou Hora. Depende da escolha da periocidade. iPortalMais - 2010 Manual Referência- Versão 5.2 72 IPBrick.I Figura 3.63: Lista de tarefas de backups Configuração do servidor rsync Se o dispositivo de backup for outra IPBrick, o servidor deve estar preparado para actuar como um servidor rsync. Em primeiro lugar, vamos supor que o computador IPBrick do cliente tem estas configurações: • IP: 192.168.69.199; • FQDN: ipbrick.domain.com; No servidor rsync da IPBrick temos de: 1. Criar uma Workarea (partilha) de grupo usando a Workarea 1, com o FQDN como nome da partilha: ipbrick.domain.com; 2. Ligar por SSH ao servidor IPBrick e escrever o comando seguinte de forma a pôr o rsync sempre a trabalhar quando o servidor reinicia: update-rc.d rsync defaults 2 3. Criar o ficheiro de configuração para o rsync, escrevendo: nano /etc/rsyncd.conf 4. Preenchê-lol com o seguinte conteúdo: uid = root gid = root use chroot = yes [ipbrick.domain.com] path = /home1/_shares/ipbrick.domain.com hosts allow = 192.168.69.199 read only = false write only = false 5. Guardar o ficheiro e sair do editor nano; 6. Iniciar o rsync usando este comando: /etc/init.d/rsync start Nota: Também está incluı́da na IPBrick uma solução completa de backup de rede, podendo este ser feito por tape ou por disco. Link:http://www.bacula.org Manual Referência- Versão 5.2 iPortalMais - 2010 3.11 Servidor de Terminais 3.11 73 Servidor de Terminais O servidor de terminais da IPBrick permite o carregamento de um sistema operativo via rede para terminais sem disco (os thin clients). Um thin client é um terminal de computador que só concede ao utilizador uma interface gráfica (GUI). O sistema operativo é carregado, através da rede e providenciado aos terminais, que terão disponı́veis, por exemplo, um browser ou a consola de login de um servidor Windows. ⇒ Nota: A IPBrick tem de estar, obrigatoriamente, a funcionar como servidor de DHCP na rede (e este tem de ser o único servidor de DHCP). O cliente do servidor de terminais recebe da IPBrick a informação necessária para efectuar o arranque a partir da rede. 3.11.1 Configuração Na interface web da IPBrick, é necessário em primeiro lugar activar o Servidor de Terminais. Para isso é necessário ir até IPBrick.I > Servidor de Terminais. Para activar é necessário carregar na ligação Alterar e escolher Sim. Após a activação, é possı́vel configurar o servidor de terminais, sendo necessário configurar os seguintes campos: • Display [2 to 5: – Server Remote Desktop: A ligação é efectuada pelos terminais para a IPBrick, sendo a IPBrick responsável pela ligação ao servidor Windows: ∗ Servidor: Endereço IP do servidor para ligação por remote desktop; ∗ Domı́nio: Indicar qual o domı́nio Windows do servidor que vai receber a ligação (ex: iportal2003). – Terminal Remote Desktop: Neste caso a ligação é efectuada directamente pelo terminal ao servidor: ∗ Servidor: Endereço IP do servidor para ligação por remote desktop; ∗ Domı́nio: Indicar qual o domı́nio Windows do servidor que vai receber a ligação (ex: iportal2003). – Mozilla-Firefox: Abre uma sessão do browser Firefox; – Telnet Session: ∗ Servidor: Endereço IP do servidor de telnet. É possı́vel também a ligação a outro serviço indicando uma porta especı́fica. Sintaxe: endereço ip:porta; • Modelo do teclado: Conforme o número de teclas existentes no mesmo. Existem as seguintes opções: – pc101; – pc102; – pc103; iPortalMais - 2010 Manual Referência- Versão 5.2 74 IPBrick.I – pc104; – pc105. • Linguagem do teclado: – de: alemão; – es: espanhol; – fr: francês; – pt: português; – us: inglês. • Protocolo do rato: Tipo de protocolo usado pelo rato na estação cliente; • Dispositivo do rato: Dispositivo do sistema a usar (/dev/...); • Resoluç~ ao do rato: Modo de resolução em que o rato opera; • Bot~ oes do rato: Número de botões do rato; • Servidor X (ambiente gráfico): Comandos especı́ficos para correr o ambiente gráfico. Por defeito está modo auto; • Tipo de impressora [0...1]: Tipo de impressora a usar; pode escolher • Dispositivo da impressora [0...1]: Dispositivo especı́fico para a impressora (/dev/...); • Dispositivo local [0...2]: Outros dispositivos a usar (/dev/...); • Modo [0...2]: Resoluções de imagem possı́veis de utilizar. – 1768x1024; – 1024x768; – 800x600; – 640x480; • Módulo 01/02: Torna possı́vel carregar dois módulos do Kernel. Pode ver um primeiro exemplo de configuração na Figura 3.64 e Figura 3.65 Sistemas de arranque e operativos Se usar thin clients, após a primeira configuração de terminal aqui, a IPBrick necessitará um sistema de arranque LTSP e um sistema Operativo. O sistema de arranque (kernel) será carregado para a memória dos thin clients. Sistemas de Arranque Para carregar sistemas de arranque (Kernel) clique no link kernel (Figura 3.66) Os seguintes campos serão visualizados. Configuração do sistema de arranque: Manual Referência- Versão 5.2 iPortalMais - 2010 3.11 Servidor de Terminais 75 Figura 3.64: Servidor de Terminais - Configuração Geral - 1/2 • Descriç~ ao: Descrição do Kernel a apresentar; • Boot loader: É seleccionado posteriormente; • Kernel: Clicando em Arquivo deve-se seleccionar a versão do Kernel ltsp7 a correr. O ficheiro pode ser descarregado na secção Downloads da página web da IPBrick. No próximo passo terá de escolher o boot loader. Se os terminais thin clients suportarem arranque por PXE, escolha o seguinte boot loader /pxelinux.0 (Figura 3.67). Sistemas Operativos Para carregar o Sistema Operativo (Figura 3.68), é necessário clicar em SO, sendo apresentadas as seguintes opções: • Descriç~ ao: Descrição do Kernel a apresentar; • Sistema operativo: Clicando em Arquivo deve-se seleccionar o sistema operativo a instalar. Os ficheiros de Kernel e Sistema Operativo podem ser encontrados na nossa eshop: 7 http://LTSP.org iPortalMais - 2010 Manual Referência- Versão 5.2 76 IPBrick.I Figura 3.65: Servidor de Terminais - Configuração Geral - 2/2 http://eshop.ipbrick.com/eshop/ Em: Downloads -> Software -> Software IPBrick Related -> IPBrick 5.x (5.2, 5.1, 5.0.1, 5.0) Nota: Terá de estar registado na nossa eshop para que a secção de Download esteja disponı́vel. Para a IPBrick 5.x necessitará de fazer o download dos seguintes ficheiros: ipbrick5-ltps5-kernel_1.0.tgz Figura 3.66: Servidor de Terminais - Configuração do Sistema de Arranque Manual Referência- Versão 5.2 iPortalMais - 2010 3.11 Servidor de Terminais 77 Figura 3.67: Servidor de Terminais - Configuração do Boot Loader ipbrick5-ltps5-OS_1.0.tgz Para versões mais antigas da IPBrick necessitará dos ficheiros root.tgz (OS) e 2.6.9-ltsp-3.tgz (Boot system). Um exemplo completo de configuração para iniciar o sistema operativo a partir de um thinclient PXE Figura 3.69. Figura 3.68: Servidor de Terminais - Sistema Operativo Máquinas Se os terminais estão registados na IPBrick (IPBrick.I - Gestão de Máquinas), é possı́vel personalizar as configurações para cada um deles (Figura 3.70), seleccionando se vão ou não, ser usadas as opções por omissão definidas inicialmente no menu de configuração topo. Após carregado(s) o(s) sistema(s) de arranque e sistema(s) operativo(s), devese clicar em Voltar e em SO dos Terminais escolher o Kernel e Sistema Operativo a utilizar. 3.11.2 Configuração dos clientes Para que os clientes usufruam do Servidor de Terminais o arranque deve ser efectuado a partir da rede. No caso de um Book PC, a máquina deve ser iniciada e o acesso à BIOS é realizado através das teclas Shift + F10. A configuração deve ser a seguinte (é possı́vel alterar os valores através das teclas direccionais (<- e ->)): Network Boot Protocol : PXE Boot Order : Int 19h iPortalMais - 2010 Manual Referência- Versão 5.2 78 IPBrick.I Figura 3.69: Servidor de Terminais - Configuração para boot PXE Figura 3.70: Servidor de Terminais - Máquinas Show Config Message : Enable Show Message Time : 3 Seconds Após esta configuração ter sido inserida, aparecerá uma janela laranja com a seguinte mensagem: Always boot network first, the local devices. time calculator Após efectuar as alterações é necessário confirmá-las através da tecla F4. Desta forma é garantido que a máquina cliente efectuará o arranque a partir da rede. Após reiniciar a máquina cliente, esta efectuará o arranque pela rede através da IPBrick. Manual Referência- Versão 5.2 iPortalMais - 2010 3.11 Servidor de Terminais 79 ⇒ Nota: Se após o arranque aparecer o ecrã de login de uma interface gráfica de linux, é necessário efectuar um restart ao servidor X através da combinação de teclas [CTRL] + [ALT] + [BACKSPACE]. Se mesmo após este restart continuar a aparecer a mesma janela, é possı́vel efectuar a validação com o utilizador ltsp e a password ltsp. Para cada cliente, podem estar activos vários ecrãs (conforme foi definido na IPBrick no campo Número de Displays). A navegação entre ecrãs é realizada através da combinação de teclas [CTRL] + [ALT] + [F1], para o ecrã 1, [CTRL] + [ALT] + [F2] para o ecrã 2 e assim sucessivamente. iPortalMais - 2010 Manual Referência- Versão 5.2 80 Manual Referência- Versão 5.2 IPBrick.I iPortalMais - 2010 Capı́tulo 4 IPBrick.C Este capı́tulo descreve os menus da IPBrick.C utilizados para gerir os principais serviços de comunicações de interligação de uma empresa à Internet. O menu da IPBrick.C, tal como o menu da IPBrick.I, é um menu de configuração funcional. O Administrador da IPBrick diz o que pretende e o software efectua as configurações de acordo com as indicações fornecidas e mantém a consistência das mesmas. Este capı́tulo inclui as seguintes secções principais: • Firewall; • Proxy; • VPN; • Correio Electrónico; • Servidor Web; • Webmail; • VoIP; • IM. 4.1 Firewall ⇒ Nota: A alteração de qualquer regra da firewall implica que esta seja reactivada. Mesmo que a firewall tenha sido expressamente parada em serviços, a alteração de uma das suas regras implica reiniciar o funcionamento da firewall. iPortalMais - 2010 Manual Referência- Versão 5.2 82 IPBrick.C 4.1.1 Serviços Disponı́veis A firewall da IPBrick é controlada por um interface intuitivo que permite, com base numa lista de regras e outros critérios, negar o acesso não autorizado e permitir as comunicações autorizadas. Tráfego para ou a partir dos serviços mais comuns acedidos via Internet, que estão listados a seguir, é supervisionado pela firewall e configurado de uma forma simples, ou seja, activando ou desactivando o serviço. Para mudanças mais profundas por favor aceda ao menu Configuraç~ oes Avançadas. Esses serviços são: • Servidor Web; • Servidor Correio Electrónico; • SSH; • FTP. Na listagem (Firewall > Serviços Disponı́veis (Figura 4.1)), é indicado o estado do serviço - S está (Activo) ou se pelo contrário a firewall está configurada para bloquear as portas desses serviços (Inactivo). Tome em consideração que, o facto de definir aqui um determinado serviço como Activo não inicia o serviço em si, nem o pára (se seleccionar Inactivo). A alteração aplicada aquando de Aplicar Configuraç~ oes, só surte efeito no serviço da firewall (que em primeiro lugar é parado, reconfigurado e depois reinicializado). Resumindo, aqui apenas é possı́vel configurar a firewall para abrir ou fechar a porta da internet para determinado serviço (se o serviço está a funcionar ou não, é outra configuração para além desta secção). Figura 4.1: Firewall - Serviços Disponı́veis Manual Referência- Versão 5.2 iPortalMais - 2010 4.2 Proxy 4.1.2 83 Bloquear Serviços Como a situação mencionada anteriormente, a opção bloquear serviços só Activa (desbloqueado) ou Desactiva (bloqueado) o funcionamento normal dos serviços MSN, ICQ e mIRC, assim os utilizadores da LAN podem ou não ter acesso Internet a esses serviços (Figura 4.2). Para o MSN Messenger é possı́vel fazer excepções em alguns IP ou sub-redes especı́ficos. No exemplo da Figura 4.3 o computador 192.168.1.150 e os computadores de 192.168.1.96 a 192.168.1.110 terão acesso ao MSN. Figura 4.2: Firewall - Bloquear Serviços Figura 4.3: Firewall - Excepções (MSN) 4.2 Proxy O serviço de proxy actua como um intermediário para pedidos de clientes que procuram recursos noutros servidores. Um cliente liga-se ao proxy, pede um ficheiro, uma página web ou um qualquer outro recurso, a proxy actua permitindo uma melhor gestão da rede, no que diz respeito a acessos web por parte dos utilizadores de uma rede, pois além de possibilitar a cache dos ficheiros relativos aos sites acedidos, melhorando deste modo a gestão da largura de banda, permite também personalizar o acesso à web, por exemplo, quem pode aceder à web, a que horas e que tipo de páginas podem ser visitadas. O software para implementar o serviço de proxy na IPBrick é denominado de squid, correndo na porta 3128. A secção subdivide-se em três partes, a saber: iPortalMais - 2010 Manual Referência- Versão 5.2 84 IPBrick.C • Configuraç~ ao; • Estatı́sticas; • Kaspersky Proxy. 4.2.1 Configuração A configuração primária do proxy aqui apresentada (Figura 4.4) ditará o normal funcionamento dos browsers de Internet. Devido a isto, é muito importante definir cada tipo de proxy: Figura 4.4: Proxy - Configuração 1. Proxy Padr~ ao: Não é obrigatório usar o proxy para aceder à internet (web). Apenas os browsers configurados para tal, usarão o proxy da IPBrick porta 3128. Os utilizadores sem qualquer configuração adicional no browser, continuarão a aceder à internet sem qualquer problema. Os acessos web são registados por máquina (endereço IP) para fins estatı́sticos. 2. Proxy Transparente: Todo o acesso à internet (web) é realizado através do proxy. É obrigatório que a firewall esteja activa. Os utilizadores poderão configurar os seus browsers para usarem o proxy indicado, como também poderão continuar a aceder sem configurarem qualquer proxy no seu browser. Aqui a firewall faz o desvio do tráfego web para o proxy. Os acessos web são registados por máquina (endereço IP) para fins estatı́sticos. 3. Proxy com Autenticaç~ ao: O acesso à internet (web) só é possı́vel usando o proxy. Os utilizadores têm que configurar o seu browser para usar o proxy indicado, caso contrário não terão acesso à web. Uma vez configurados os browsers, os utilizadores sempre que os abram e tentem aceder à web, será pedida uma autenticação válida. A autenticação dos utilizadores é validada pelo login e password definidos na criação dos mesmos. É obrigatório que a firewall esteja em execução. Todos os acessos web serão registados por utilizador para fins estatı́sticos. (NOTA: Terá de seleccionar esta opção se quiser criar permissões de acesso usando utilizadores e grupos LDAP. Configurações Ligação para interface de definição de Regras do proxy. Nesta interface (Figura 4.5) encontrará as seguintes opções: Manual Referência- Versão 5.2 iPortalMais - 2010 4.2 Proxy 85 • Lista de grupos de origem: Permite definir um grupo de origem com acesso à proxy. Após a criação desse grupo, os acessos podem ser definidos por: Grupos de máquinas, Máquinas, SubRedes IP, Máquinas IP e Gamas IP. Por defeito a IPBrick tem criado o grupo LAN onde está definida a respectiva SubRede IP; • Lista de grupos de destino: Permite definir grupos de destino (servidores Web). Para cada grupo de destino criado é possı́vel definir Domı́nios, Extensões ou Palavras no URL. Por defeito a IPBrick tem criado o grupo com o nome INVALID; • Listas Negras: Apresenta o conjunto de listas negras obtidas a partir do que foi configurado em Outras Configuraç~ oes; • Lista de espaços de tempo: Permite definir especificamente espaços temporais baseados em horas e dias da semana; • Listas de acesso: Neste local é possı́vel definir autorizações de acesso a partir dos grupos de origem e destino criados assim como listas negras e espaços temporais definidos. Para o grupo LAN é definido, por exemplo, que todos os destinos são acessı́veis, excepto o grupo de destino INVALID e a lista negra porn, num perı́odo de tempo indefinido (sempre). Figura 4.5: Proxy - Regras 1/2 iPortalMais - 2010 Manual Referência- Versão 5.2 86 IPBrick.C Figura 4.6: Proxy - Regras 2/2 Lista Grupos de origem Para alterar as configurações para o grupo LAN basta clicar sobre o nome. É possı́vel também inserir um novo grupo de origem clicando na ligação Inserir. Definições: • Grupos de máquinas: Permite associar a este grupo um grupo de máquinas existente; • Máquinas: Lista as máquinas registadas na IPBrick e permite associá-las directamente ao grupo de origem; • SubRedes IP: Permite associar subredes, definindo aı́ o IP da rede e a respectiva máscara; • Máquinas IP: Permite associar máquinas ao grupo por IP; • Gamas IP: É possı́vel definir uma gama de IP’s com acesso à proxy. Por omissão, o proxy tem grupo de origem chamado LAN onde apena a subrede IP é utilizada (Figura 4.7). Se escolher o Proxy com Autenticaç~ ao é possı́vel filtrar o acesso web não só por máquinas IP mas também usando o LDAP. Na Figura 4.8 poderá ver um exemplo de um grupo de origem representado apenas por um grupo LDAP. Manual Referência- Versão 5.2 iPortalMais - 2010 4.2 Proxy 87 Figura 4.7: Proxy - Grupos de origem Figura 4.8: Proxy - Grupos de Origem - Filtro LDAP Grupos de destino Os grupos de destino (Figura 4.9) definem-se como um grupo de conteúdo web (domı́nios, extensões de ficheiros, etc.) que serão definidos como conteúdo bloqueado ou permitido. Estes destinos são configuráveis por: • Domı́nios: É possı́vel filtrar o acesso por FQDN1 , por domı́nio ou por TLD2 . Para isso é necessário adicionar um registo por linha. De seguida estão alguns exemplos de várias restrições possı́veis. Exemplo por FQDN: www.sapo.pt 1 2 Fully Qualified Domain Name Top Level Domains iPortalMais - 2010 Manual Referência- Versão 5.2 88 IPBrick.C www.marca.es Exemplo por domı́nio: sapo.pt marca.es Exemplo por TLD: pt es • Extensões: Para não permitir o download de certos tipos de ficheiros através de paginas web, é necessário negar o acesso a algumas extensões de ficheiros. O exemplo seguinte mostra que o download de três extensões de ficheiros não vai ser possı́vel. Exemplo de restriç~ ao de extens~ oes: mp3 mov mpg • Palavras no URL: Neste campo é possı́vel negar o acesso a páginas que contenham determinadas palavras depois do domı́nio (depois do /). De seguida é apresentado um exemplo para duas palavras. Exemplo de restriç~ ao de palavras no URL: video anedotas Os seguintes sites iriam ser bloqueados: http://www.mtv.com/music/video/ http://en.wikipedia.org/wiki/Video http://technorati.com/tag/anedotas http://www.anedotas.pt Lista de espaços de tempo Nesta opção é possı́vel especificar espaços temporais a serem usados posteriormente nas Listas de Acesso. Esses espaços podem corresponder a dias da semana ou horas. Listas de acesso Existe já uma lista de acesso pré-configurada na IPBrick onde é especificado o seguinte: As tentativas de acesso a sites, feitas a partir do grupo de origem LAN, com destino a sites não incluı́dos no grupo de destino INVALID e também não incluı́dos na lista negra porn, durante um perı́odo não definido (as 24 horas), são aceites. Como não existem mais linhas criadas, tudo o resto será bloqueado Manual Referência- Versão 5.2 iPortalMais - 2010 4.2 Proxy 89 Figura 4.9: Proxy - Grupos de destino (Figura 4.10). As listas de acesso estão estruturadas do seguinte modo: • Origem: Identificação do grupo de origem ao qual se pretende aplicar a regra (p.e.: Um grupo de utilizadores ou uma lista de máquinas por IP); • Destino: Identificação dos grupos de destino a aplicar a regra (p.e.: Nome de um grupo de sites, domı́nios, extensões de ficheiros e palavras num URL); – Grupos criados: Para os grupos de destino criados, é possı́vel criar os seguintes tipos de regras: ∗ SÓ EM: O acesso é permitido exclusivamente aos conteúdos incluı́dos num dado grupo de destino, acesso a qualquer outro contúdo web é negado; ∗ N~ AO INCLUÍDOS EM: O acesso é negado ao grupo de destino designado; ∗ PERMITIDOS EM: Esta opção é utilizada em casos especiais, por exemplo, poderá autorizar uma excepção a uma palavra que conste da lista negra, mas que poderá encontrar num site ou noutro conteúdo apropriado, (p.e.: O site www.testdomain.com está numa Lista negra chamada ”gambling”, esta lista está activa. Apesar disso, poderá criar uma excepção a essa lista negra ao criar um grupo de destino designado, por exemplo, de ”BLBYPASS”e digite em Domı́nios o URL, www.testdomain.com; – Listas negras: Permite seleccionar quais as listas negras que serão activadas. Por exemplo: Caso a lista negra porn esteja seleccionada, todos os sites que não constem nela, estarão acessı́veis. • Perı́odo: Aqui é possı́vel seleccionar qual o perı́odo de tempo (já inserido) em que a regra estará activa; iPortalMais - 2010 Manual Referência- Versão 5.2 90 IPBrick.C • Polı́tica: Não configurável, o valor por omissão é sempre aceitar. A ideia é negar tudo que não estiver explı́cito nas listas de acesso. As listas de acesso devem estar ordenadas por regras no sentido, do mais geral para o mais restrito. Desta forma as regras mais generalizadas devem ficar no topo e as mais especı́ficas em baixo (a mesma filosofia da firewall). Caso existam várias listas de acesso, é possı́vel ordená-las correctamente clicando na ligação Ordenar. Figura 4.10: Proxy - Listas de acessos Proxy Remoto Esta opção permite indicar uma lista de servidores proxy remotos. Esses servidores serão os responsáveis por aceder à web uma vez que geralmente possuem uma cache enorme. Se assim for, o acesso à web torna-se mais rápido (Figura 4.11). • Lista de servidores de proxy remotos: Permite definir e ordenar a lista de proxys remotos; • N~ ao usar o proxy remoto nos seguintes sites: Se não se pretender utilizar o proxy remoto em determinados sites, estes devem ser aqui indicados. Figura 4.11: Proxy - Proxy Remoto Manual Referência- Versão 5.2 iPortalMais - 2010 4.2 Proxy 91 Outras Configurações Redireccionar página em caso de acesso negado Se o acesso a algum site é bloqueado, o utilizador pode ser automaticamente redireccionado para o website configurado em Endereço URL; Listas Negras Neste contexto, Listas Negras definem-se como listagens de sites, organizados por várias categorias consideradas impróprias. Estão presentes as seguintes opções (Figura ??): • Url para Actualizaç~ ao: O URL que providencia, por omissão, um ficheiro base de lista negra que é automaticamente extraı́do pela IPBrick. Cada categoria terá uma lista de sites que será automaticamente actualizada, mas é possı́vel fazer uma actualização clicando em Actualizar. O serviço proxy pode usar outras bases de lista negra, algumas com outras categorias. Poderá encontrar listas negras no seguinte URL: http://www.squidguard.org/blacklists.html ; • MD5SUM do ficheiro actual: Hash MD5 do ficheiro, caso tenha sido calculada. Deste modo a integridade do ficheiro é verificada; • Categorias disponı́veis: Listagem das categorias existentes na compilação (normalmente consideradas inadequadas para uso na LAN). São elas: – ads: Listagem de sites da área de anúncios publicitários; – aggressive: Listagem de sites com conteúdo violento; – audio-video: Listagem de sites com conteúdo de música e video; – drugs: Listagem de sites com conteúdo sobre drogas; – gambling: Listagem de sites de jogo online; – hacking: Listagem de sites sobre hacking; – mail: Listagem de sites com serviços de webmail gratuito; – phishing: Listagem de sites sobre phishing; – porn: Listagem de sites com conteúdo pornográfico; – proxy: Listagem de sites que disponibilizam serviço de proxy anónimo; – warez: Listagem de sites com conteúdo de software pirata; Gestão de acessos a conteúdos Permite definir o número de processos de filtragem em simultâneo dependendo do desempenho da máquina assim como da carga actual do CPU. Por omissão são cinco. Opções da cache do Proxy • Cache activa: Activa ou não, o serviço de cache do Proxy. Caso a cache esteja activa, todas as páginas acedidas pelos grupos de origem são armazenadas no servidor. Exemplo: caso a página www.google.pt esteja em cache, o browser apenas irá aceder à IPBrick e não ao servidor web do google, garantindo assim uma melhor gestão da largura de banda. iPortalMais - 2010 Manual Referência- Versão 5.2 92 IPBrick.C • Tamanho da cache: Tamanho máximo da cache. Caso o limite seja atingido, os ficheiros de cache mais antigos serão descartados. Ligações permitidas Esta lista apresenta todos os portos aceites pelo proxy. Assim, todo o tráfego proveniente dos computadores LAN com destino aos portos na Internet aqui listados corresponderão aos ACL definidos por proxy. É possı́vel configurar que portos sã aceites ou não pelo proxy com a opção Remover e Adicionar. Ignorar regras para os seguintes destinos Nesta secção do documento podemos definir whitelists para qualquer destino, incluindo domı́nios e redes. Desta forma, para esses destinos nenhum ACL do proxy será correspondido. Todas as configurações poderão ser vistas na Figura 4.12 e Figura 4.13. Figura 4.12: Proxy - Outras configurações 1/2 4.2.2 Estatı́sticas O software usado para geração de estatı́sticas é o Advanced Web Statistics que disponibiliza uma série de informações importantes para o administrador da rede, tais como, estatı́sticas pormenorizadas de cache, de acessos, etc. (Figura 4.14). É possı́vel visualizar vários tipos de estatı́sticas: • Estatı́sticas globais: Estatı́sticas globais da rede; • Estatı́sticas por máquina: É apresentada uma lista de máquinas da LAN, sendo necessário seleccionar a máquina pretendida. O objectivo é a apresentação de estatı́sticas individuais por máquina. Manual Referência- Versão 5.2 iPortalMais - 2010 4.2 Proxy 93 Figura 4.13: Proxy - Outras configurações 1/2 • Estatı́sticas por utilizador: Caso a configuração do proxy seja com autenticação, é aqui apresentada uma listagem de utilizadores, sendo necessário seleccionar o utilizador. O objectivo é a apresentação de estatı́sticas individuais por utilizador. Figura 4.14: Proxy - Estatı́sticas 4.2.3 Kaspersky Proxy Nesta secção é possı́vel activar a licença do Kaspersky para o proxy. Deste modo todos os acessos à web efectuados a partir do browser são filtrados pelo Anti-Vı́rus a correr no proxy mantendo desde logo uma protecção eficaz contra Trojans, Spyware, Dialers etc. Após a inserção da licença, a interface apresenta as seguintes ligações (Figura 4.15): iPortalMais - 2010 Manual Referência- Versão 5.2 94 IPBrick.C • Actualizar: Após a licença expirar, é necessário renova-la através da aplicação de um novo ficheiro de licença; • Apagar: Remove a licença; • Configurar: Permite uma configuração geral das notificações; • Estatı́sticas: Interface com estatı́sticas especı́ficas sobre o Anti-Vı́rus para Proxy. Figura 4.15: Proxy - Kaspersky - Licença Configurar Definições gerais: • Notifica a partir do endereço: Remetente que fará as notificações; • Notifica para o endereço: Endereço de email que receberá as notificações; Definições dos objectos: • Objectos a analizar: – Ficheiros comprimidos; – Arquivos; – Bases de Dados de Correio Electrónico; – Formato de email simples. Definições das pesquisas: • Curar: Se activa, os vı́rus detectados serão automaticamente removidos; • Usar detecç~ ao heurı́stica: Se activa, poderão ser detectados vı́rus através da análise de código, com caracterı́sticas e comportamentos semelhantes a um vı́rus. Para modificar as configurações (Figura 4.16) é necessário clicar em Alterar. Manual Referência- Versão 5.2 iPortalMais - 2010 4.3 VPN 95 Figura 4.16: Proxy - Kaspersky - Definições Gerais Estatı́sticas Nesta interface são apresentadas enúmeras estatı́sticas: • Estatı́sticas de Vı́rus no perı́odo temporal: Opções para visualização do gráfico presente em Estatı́sticas de Vı́rus: – Inı́cio: Data para inı́cio das estatı́sticas; – Vista: Pode ser por horas, dias, meses ou anos; – Repetiç~ ao: Escala do eixo horizontal do gráfico; – Agrupar: Permite fazer o agrupamento de dados, conforme o tipo de vista escolhido; • Estatı́sticas de Vı́rus: A visualização pode ser filtrada por: Ficheiros infectados e protegidos; • Lista de Vı́rus: Listagem dos vı́rus que pode ser organizada por Nome do vı́rus/Número de ocorrências; 4.3 VPN As VPN3 têm como função permitir o acesso remoto a partir do exterior (Internet por ex.) a recursos de rede de uma determinada rede. 4.3.1 PPTP Uma VPN do tipo PPTP4 , funciona através do estabelecimento de uma sessão PPP com o destinatário através do protocolo de ”tunneling”GRE. Uma outra conexão de rede é necessária para iniciar e fazer a gestão da sessão PPP, correndo na porta 1723 TCP. Na IPBrick apenas é necessário indicar quais os utilizadores 3 4 Virtual Private Networks Point-to-Point Tunneling Protocol iPortalMais - 2010 Manual Referência- Versão 5.2 96 IPBrick.C Figura 4.17: Proxy - Kaspersky - Estatı́sticas com acesso a ligações VPN-PPTP, assim como a gama de endereços que irá ser usada pelos clientes. Configurações Figura 4.18: VPN - PPTP - Utilizadores Neste menu existe uma ligação de Configuraç~ oes, a qual permite aceder a um formulário, onde é possı́vel definir a gama de endereços IP a atribuir para as ligações VPN PPTP sendo necessário então reservar a gama aqui definida para esse efeito. Se algum cliente remoto se ligar via VPN, receberá um IP dentro dessa gama e para todos os efeitos, será como se estivesse directamente ligado à LAN. A lista de utilizadores do lado esquerdo (Figura 4.18) corresponde aos utilizadores seleccionados para a VPN enquanto que do lado direito se encontram os utilizadores reconhecidos na IPBrick. Manual Referência- Versão 5.2 iPortalMais - 2010 4.3 VPN 97 Log de Acessos A opção log de acessos permite a visualização de todos os acessos PPTP. É possı́vel filtrar por: • IP; • Utilizador; • Observações: Na pop-down list terá disponı́vel as seguintes opções: – Conectado; – Desconectado; – Password Errada; – Utilizador Ilegal; – Bloqueado; – Timeout. • Data; Opções disponı́veis: • Limpar filtros: Para limpar todos os filtros escolhidos; • Exportar PDF: Após correr a query será visualizada esta opção que permite exportar toda a informação para um ficheiro .pdf; • Voltar atrás: Voltar atrás ao menu de topo; 4.3.2 SSL Uma VPN-SSL utiliza o protocolo de encriptação SSL5 para garantir privacidade e integridade de dados entre as duas partes, uma vez que o protocolo permite autenticação e encriptação de dados. O SSL baseia-se no protocolo TCP e utiliza o conceito de criptografia de chave pública (introduzido por Diffie-Hellman nos anos 70). Esse conceito especifica que cada uma das partes possui uma Chave Privada e uma Chave Pública que pode ser distribuı́da por quem pretende estabelecer comunicação encriptada. Os dados encriptados através da Chave Pública apenas podem ser decifrados pela Chave Privada correspondente. Da mesma forma, dados encriptados pela Chave Privada apenas podem ser decifrados utilizando a Chave Pública correspondente. Se a ligação SSL for clicada, é exibida a listagem dos servidores de VPN SSL. Para configurar cada um deles, é necessário clicar no servidor pretendido. (Figura 4.19) 5 Secure Sockets Layer iPortalMais - 2010 Manual Referência- Versão 5.2 98 IPBrick.C Figura 4.19: VPN - SSL Definições Nesta secção é possı́vel configurar as definições de rede da VPN-SSL. • Nome/IP: Endereço IP externo do servidor SSL (IP público); • Porto: Porta a utilizar pelo servidor VPN SSL • Protocolo: Protocolo usado para comunicação • Rede VPN: Rede especı́fica para comunicação entre as partes, sendo usada para atribuição de IP aos clientes • Domı́nio: Domı́nio DNS que vai ser passado aos clientes VPN • Servidores DNS: Endereço do servidor DNS a passar aos clientes VPN; • Servidores Netbios: Endereço do servidor WINS a passar aos clientes VPN; • Rotas para os clientes: Aqui definem-se as redes que o cliente tem que encaminhar pelo túnel. NOTA: Se quiser usar a VPN SSL e usar o mesmo cliente de email com as configurações internas do servidor de correio electrónico, irá ter de adicionar a rede VPN às definições das redes de Relay na secção Correio Electrónico -> Definiç~ ao de redes para encaminhamento; Certificados Após a configuração das Definições torna-se necessário gerar os certificados digitais SSL. Um certificado digital contém as seguintes informações: • Identificação da entidade titular; • Chave Pública da entidade titular; • Número de série do Certificado; Manual Referência- Versão 5.2 iPortalMais - 2010 4.3 VPN 99 • Data de validade do Certificado; • Identificação da Autoridade Certificadora (emissora do Certificado); • Assinatura digital da Autoridade Certificadora. Será gerado um Certificado Digital para o servidor e um para cada um dos clientes que utilizará a ligação VPN SSL. Ao clicar em Inserir será gerado primeiramente o do servidor, sendo necessário preencher os seguintes dados: • Código do Paı́s • Paı́s • Cidade • Empresa • Nome: Nome do certificado • Email: Email do responsável técnico Os próximos certificados a gerar serão já para os clientes, sendo necessário preencher os seguintes campos (Figura 4.20): • Nome: Designação do Certificado. Normalmente o nome da pessoa/entidade que irá ligar-se; • E-Mail: Endereço de email do cliente; • Password: A password (PSK) com o mı́nimo de seis caracteres; • Polı́ticas de Acesso Associadas: O certificado de cliente especı́fico pode ser associado a uma polı́tica, de forma a podermos controlar a que máquinas da LAN o cliente terá acesso. Se nenhum, ele terá acesso a todas a rotas de rede definidas. De seguida é necessário fazer o download do certificado e enviá-lo ao cliente que irá estabelecer uma ligação VPN. O ficheiro .zip contém: • Chave pública do Servidor: ca-server-domain.crt; • Chave Privada do Cliente: certificate_name.key; • Chave Pública do Cliente: certificate_name.crt; • Configuração VPN: certificate_name.ovpn; iPortalMais - 2010 Manual Referência- Versão 5.2 100 IPBrick.C Figura 4.20: VPN SSL - Configuração do Certificado de Cliente Cliente Do lado do cliente é necessário a instalação de software especı́fico para criação de uma ligação VPN SSL - OpenVPN6 . De seguida deve-se extrair o ficheiro relativo ao certificado para uma nova pasta na directoria C:\Program Files\OpenVPN\config. Para iniciar a ligação VPN, é necessário fazer um clique com o botão direito sobre o icone OpenVPN na barra de tarefas, escolher a ligação pretendida e clicar em Connect. A opção Apagar Tudo, só deve ser usada para reiniciar todo o processo. Menu Estado Nesta interface é possı́vel ver os túneis activos e respectivos tráfegos, utilizadores e IP. Depois de ter configurado este serviço é preciso activá-lo na secção Configuraç~ oes Avançadas Sistema Serviços. No Anexo C, ponto 9.1 está descrito o procedimento para configurar o cliente VPN. Polı́ticas de Acesso No menu principal da SSL é possı́vel criar dois tipos de polı́ticas de acesso (Figura 4.21): • Polı́ticas de Permissão: Fazer a associação de um certificado a uma polı́tica de permissão dará acessso apenas aos destinos configurados; 6 Software: openvpn.net — Windows GUI: openvpn.se Manual Referência- Versão 5.2 iPortalMais - 2010 4.3 VPN 101 • Polı́ticas de Restrição: Fazer a associação de um certificado a uma polı́tica de restrição dará acessso a todos excepto aos destinos configurados; Depois de clicar em Inserir e escolher o nome, ao clicar nele abrirá uma nova janela onde será possı́vel escolher os destinos (Figura 4.22). As opções de destinos incluem: • Grupos de Máquinas; • Máquinas; • Sub Redes IP; • Máquinas IP; • Gamas IP. Figura 4.21: VPN SSL - Lista de Polı́ticas de Acesso Log de Acessos O log de acessos permite a visualização de todos os acessos VPN-SSL. É possı́vel filtrar por: • IP; • Utilizador; • Observações: – Conectado; – Terminado/Timeout; – Bloqueado. • Data; Opções disponı́veis: iPortalMais - 2010 Manual Referência- Versão 5.2 102 IPBrick.C Figura 4.22: VPN SSL - Configuração de Polı́ticas de Acesso • Limpar Filtro: Irá reverter a query ao estado inicial, apagando os filtros que estavam activos; • Exportar PDF: Após correr a query o link de exportação do resultado da busca para formato .pdf será visı́vel; • Voltar: Regressar ao menu anterior; 4.3.3 IPSec A tecnologia IPSec (IP security) é uma suite de protocolos que garante confidencialidade, integridade e autenticidade na transmissão de dados em redes IP. Ao contrário do protocolo SSL que opera ao nı́vel da camada de transporte, o IPSec opera ao nı́vel da camada de rede garantindo desde logo uma encriptação de dados a esse nı́vel. Ao contrário de uma VPN através de PPTP ou SSL onde a ligação é efectuada entre uma determinada máquina e uma rede, a VPN IPSec permite que duas redes distintas estejam comunicáveis permanentemente e de forma transparente. Isto porque existirá um túnel IPSec configurado entre duas IPBricks ou entre uma IPBrick e um router sendo totalmente trasparente para os utilizadores das duas redes essa configuração. Manual Referência- Versão 5.2 iPortalMais - 2010 4.3 VPN 103 Exemplo: A rede 192.168.2.0 pertence à sede da Empresa X situada no Porto, sendo a rede 192.168.4.0 da sua filial presente no Japão. Sendo necessário que obviamente ambas estejam ligadas à Internet, torna-se possı́vel através de um túnel VPN IPSec configurado que as máquinas das duas redes estão contactáveis. Em resumo as duas redes internas podem comportar-se como que fossem uma só. Para configurar uma ligação VPN entre duas redes, é necessário a configuração adequada do tunel IPSec na IPBrick origem e na de destino. O menu principal exibe a listagem dos túneis configurados. Para inserir um novo túnel IPSec clique em Inserir. Nesta página é possı́vel configurar a ligação IPSec (Figura 4.23). Para isso são necessários os seguintes dados: • Definiç~ oes gerais: – Name: Nome da VPN IPSec; – Descriç~ ao: Descrição da ligação IPSec; – Estado: Estado da VPN IPSec - activo ou inactivo; • Definiç~ oes da Rede Local: – IP Local: Endereço público da IPBrick (eth1); – Rede Local: O endereço da rede local e a respectiva máscara de rede; – Gateway Local: O endereço da interface interna do router da rede local (por omissão este campo deve ficar vazio!); – Identificador Local: Caso não exista IP fixo, será o endereço dinâmico de DNS (por omissão este campo deve ficar vazio!); – IP do servidor na rede local: Endereço da interface interna da IPBrick. • Definiç~ oes da Rede Remota – IP Remoto: Endereço público da rede remota. – Rede Remota: O endereço da rede remota e a respectiva máscara de rede; – Gateway Remota: O endereço da interface interna do router da rede remota (por omissão este campo deve ficar vazio!); – Identificador Remoto: Caso não exista IP fixo no outro extremo, será o endereço dinâmico de DNS (por omissão este campo deve ficar fazio!). • Gest~ ao de Chaves – Password: Uma Pre-Shared Key é uma chave partilhada que o serviço VPN espera como primeira credencial. Para que o servidor VPN permita que o processo de autenticação continue, é necessário passar a PSK correcta; iPortalMais - 2010 Manual Referência- Versão 5.2 104 IPBrick.C – Tipo: O IPSec fornece dois modos de operação especificados neste campo, que são Túnel (onde todo o pacote IP original é encriptado) e Transporte (os dados (payload ) são encriptados, mas o cabeçalho IP original não é alterado); – Autenticaç~ ao: O IPSec permite adicionar dois cabeçalhos extra ao pacote IP - AH e ESP. O AH (Authentication Header) garante integridade e autenticidade não garantindo confidencialidade. O ESP garante integridade, autenticidade e confidencialidade dos dados; – PFS7 : Permite indicar se o PFS é ou não usado; – Arranque: Só permite automático. Figura 4.23: VPN - Configuração IPSec 1/2 Configuração do Router No caso de um VPN IPSec não entre duas IPBrick mas entre uma IPBrick e um router, no lado do router é importante conhecer todos os parâmetros usados pela IPBrick que são transparentes para o interface web. Aqui estão os mais importantes: • Protocolo para negociação de chaves: IDE; 7 Perfect Forward Secrecy Manual Referência- Versão 5.2 iPortalMais - 2010 4.3 VPN 105 Figura 4.24: VPN - Configuração IPSec 2/2 • Modo de negociação: Normal; • Algoritmo de encriptação na fase 1: 3DES; • Algoritmo de autenticação na fase 1: MD5; • Algoritmo de encriptação na fase 2: 3DES; • Algoritmo de autenticação na fase 2: SHA1; • Key Group : DH2 ⇒ Nota: Antes de configurar uma ligação VPN , PPTP, IPSec or SSL, terá de saber qual é o sistema de endereçamento usado pela rede local onde o cliente se liga e qual é o sistema de endereçamento da rede de destino. Se ambos os sistemas forem idênticos a ligação VPN não será possı́vel. 4.3.4 GRE O protocolo GRE8 foi desenvolvido pela Cisco para condensar uma variedade de protocolos de camada de rede dentro de um túnel IP especı́fico. Assim, a ideia 8 Generic Routing Encapsulation iPortalMais - 2010 Manual Referência- Versão 5.2 106 IPBrick.C principal foi criar um link entre as rotas Cisco, de forma a que duas redes possam ficar interligadas (sede da empresa e filiais, por exemplo). Hoje em dia, o protocolo GRE é suportado pelo Linux, assim com o GRE activo na IPBrick, é possı́vel criar túneis entre IPBricks ou entre IPBricks e routers Cisco. Para estabelecer um novo túnel GRE clicar em Inserir. As seguintes opções estão disponı́veis: • Configurações gerais: – Nome: Nome do túnel GRE; – Descriç~ ao: Descrição da ligação GRE; – Estado: Estado GRE - activar ou desactivar. • Definiç~ oes da Rede Local: – IP local: Endereço de interface externo da IPBrick (eth1); – IP do servidor na rede local: Endereço de interface interno da IPBrick (eth0). • Definiç~ oes da rede remota: – IP Remoto: Endereço de IP remoto. Normalmente, um público porque o túnel está a ser estabelecido pela Internet; – Rede remota: Endereço de rede remoto e máscara; Um exemplo de configuração é exibido na Figura 4.25 Figura 4.25: VPN - Configuração GRE NOTA: Ao configurar um túnel GRE entre uma IPBrick e um router Cisco, o IP do Servidor na rede local pode ter de ser o endereço IP local de uma rede de Manual Referência- Versão 5.2 iPortalMais - 2010 4.4 Correio Electrónico 107 túnel GRE, ex.: túnel GRE com rede especı́fica 10.0.0.0/24. A IPBrick terá o IP 10.0.0.1 e a Cisco IP 10.0.0.2. 4.4 Correio Electrónico A secção Correio Electrónico repete-se tanto nos menus IPBrick.I e IPBrick.C Ṅa IPBrick.I estão presentes os serviços orientados para a Intranet, sendo eles a Configuração Base, Gestão de Filas, Gestão de Utilizadores, Listas de Distribuição e Kaspersky Anti-Vı́rus e Anti-Spam. No caso do Correio Electrónico na IPBrick.C acrescem dois serviços especı́ficos: • Relay Avançado • Buscar correio no ISP; • Cópia de Correio. 4.4.1 Relay Avançado A opção relay avançado possibilita o envio de mensagens de correio electrónico com base em recipientes não inexistentes e também enviar todo o correio electrónico que chega a um domı́nio. Esta última caracterı́stica também é conhecida por catchall (Figura 4.26). Definições do relay: • Correio electrónico/Domı́nio – Correio electrónico: Inserir um recipiente inválido que não tem nenhuma conta LDAP criada e o domı́nio interno; – Domı́nio: Escolher para cada domı́nio que deseja fazer relay de todas as mensagens; • Relay para: Correio electrónico de destino. Pode ser interno ou externo; Figura 4.26: E-Mail - Relay Avançado iPortalMais - 2010 Manual Referência- Versão 5.2 108 4.4.2 IPBrick.C Buscar correio no ISP Quando numa organização as mensagens não são entregues num servidor interno, só estando disponı́veis via POP9 ou IMAP10 , a IPBrick pode ser configurada de forma a descarregar periodicamente essas mensagens do ISP11 para um servidor local. Uma vez no servidor local, serão associadas às respectivas contas previamente configuradas. Assim, mesmo que só exista um servidor de correio interno é possı́vel configurá-lo para automatizar e centralizar todos as mensagens de correio electrónico (da internet e internos) da organização. Esta funcionalidade que normalmente é apelidada de fetchmail é então útil no caso do registo MX do domı́nio de uma organização apontar para outro servidor que não a IPBrick. Figura 4.27: Buscar Correio no ISP Clique em Inserir (Figura 4.27) para configurar servidores externos aos quais seja pretendido ligar para descarregar mail e entregá-lo no servidor local. Os campos a preencher são os seguintes: • Servidor: Identificação do servidor. Pode ser o FQDN ou o endereço IP; • Protocolo: Protocolo usado pelo servidor - POP3 ou IMAP; • Domı́nios remotos: Domı́nios que o servidor recebe email. Normalmente usado nas contas de email de volume. Para aceder às definições de um servidor, clicar no seu nome (Figura 4.27): • Alterar: Para alterar os dados da conta; • Apagar: Apaga a conta seleccionada; • Voltar: Volta à listagem dos servidores de mail. Para aceder ao interface de gestão das Caixas de Correio a transferir clicar em Inserir e preencher os seguintes campos (Figura 4.29): 1. Tipo de caixa: Seleccionar se a caixa de correio é individual ou se corresponde a uma caixa de volume, isto é, não está associada a nenhum utilizador; 2. Login: Username usado para aceder à caixa de correio remota; 9 PostOffice Protocol - é um protocolo usado para aceder a caixas de correio e transferir mensagens. 10 Internet Message Access Protocol. 11 Internet Service Provider Manual Referência- Versão 5.2 iPortalMais - 2010 4.4 Correio Electrónico 109 Figura 4.28: Buscar Correio no ISP - Gestão de Servidores 3. Password: Necessária para validar o login; 4. Confirmaç~ ao password: Confirmar a password anterior; 5. Email no servidor local: Conta de correio local onde serão entregues os mails descarregados; 6. Remover ’Delivered-To’: Este campo deve estar activo caso o endereço de email no ISP seja igual ao endereço de email no servidor local; Figura 4.29: Buscar Correio no ISP - Inserção de Contas 4.4.3 Cópia de Correio Esta funcionalidade (Figura 4.30) tem como objectivo guardar todas as mensagens de correio electrónico que entram e saem da rede, em duas contas especı́ficas: sentmail e receivedmail. ⇒ Nota: É necessário cuidado com a manutenção destas Cópia de Correio, especialmente em localizações de muito tráfego de mail. É muito importante manter sobre vigilância a evolução da ocupação do espaço em disco, do servidor, sob pena destas caixas de correio encherem rapidamente até à totalidade da partição. Quando a atingem poderam causar problemas não só interferindo com serviços a correr no servidor iPortalMais - 2010 Manual Referência- Versão 5.2 110 IPBrick.C Figura 4.30: Cópia de correio como também os responsáveis por estas caixas de correio que num certo ponto perderão séries de emails pois não foi possı́vel fazer nenhuma cópia dos mesmos. Quando activa este serviço (Sim) os emails são copiados para a conta correspondente, ou seja: 1. Enviadas: SIM: Todas as mensagens que passem por este servidor de SMTP cujo remetente seja alguém do(s) domı́nio(s) do servidor, serão copiadas para a conta local Enviadas; 2. Recebidas: SIM: Todas as mensagens que passem por este servidor de SMTP cujo remetente não seja do(s) domı́nio(s) do servidor, serão copiadas para a conta local Recebidas. Quando é activada a opção (Sim), o sistema passa a mostrar o campo Apagar automaticamente as cópias: que permite definir se as cópias de emails existentes no servidor serão ou não automaticamente apagadas. Permite também especificar no campo Apagar cópias com mais de: quantos dias as cópias de emails são guardadas no servidor até serem eliminadas. 4.5 SMS A IPBrick proporciona agora a funcionalidade SMS12 para enviar SMS ao usar uma conta especı́fica no Ficom ou Vipvoz. A ideia é enviar um ou vários SMS usando um cliente de correio electrónico e uma FQDN especial criada para isso. Assim, o método pode chamar-se Mail2SMS. 4.5.1 Configurar No interface web aceda a textttIPBrick .GT -¿ SMS Em Modificar, ao premir Sim activará a configuração do serviço. Nas definições do Mail2SMS devemos definir o domı́nio especı́fico a usar para enviar SMS. Normalmente, é usado este FQDN: sms.domain.com, substituindo o domain.com com o domı́nio da IPBrick actual (Figura ??). 12 Short Message Service (Serviço de Mensagens Curtas) Manual Referência- Versão 5.2 iPortalMais - 2010 4.5 SMS 111 Em IPBrick .GT -> SMS -> Utilizadores SMS, poderá controlar o acesso do utilizador ao serviço Mail2SMS. Clique em Alterar, Uma lista com todos os utilizadores IPBrick irá ser visualizada (Figura 4.31). Poderá então verificar a quais deles irá conceder acesso a esta funcionalidade. Figura 4.31: Utilizadores SMS 4.5.2 Gestão de Rotas Clicando em Inserir irá criar uma nova rota: • Operador: Estão presentes três opções: – Ficom: O SMS será enviado usando o método XML-RPC. Contactar a iPortalMais para criar uma conta; – GSM gateway: The SMS will be sent using the telnet protocol; – VipVoz: O SMS será enviado para uma conta de correio VipVoz que usa o SSL. Contactar a iPortalMais para criar uma conta; Dependendo da opção seleccionada os seguintes campos serão visualizados: • Nome da rota: Um nome só para identificação da rota; • Correio electrónico para notificação da recepção: É a conta de correio que receberá as notificações com o resultado do envio (só para VipVoz); • Endereço IP da Gateway: O endereço IP da gateway GSM (Only for GSM Gateway) (Figura ??); • Cartão SIM: Seleccione qual o cartão sim a utilizar (apenas para a Gateway GSM); iPortalMais - 2010 Manual Referência- Versão 5.2 112 IPBrick.C • Utilizador (VipVoz e Ficom): Nome do utilizador da conta já criada (no modo GSM Gateway, insira por favor o nome do utilizador do interface web); • Password (VipVoz e Ficom): Password da conta já criada (no modo GSM Gateway, insira por favor a password do interface web); Depois da rota criada, temos de clicar no nome da rota para definir um prefixo de forma a usar essa rota especı́fica. O prefixo escolhido fará mais tarde parte do número e corresponderá só a essa rota (Figura 4.32). Figura 4.32: SMS - Gestão de Rotas 4.5.3 Estatı́sticas Exibir as estatı́sticas sobre os SMS enviados e a enviar. SMS Enviados Para os SMS enviados estes são os campos disponı́veis: • Id; • Data de Envio; • Remetente; • Destinatário; • Ordem; • Tentativas; • Rota; • Operador; • Estado; • Ficheiro. Manual Referência- Versão 5.2 iPortalMais - 2010 4.5 SMS 113 SMS a Enviar Para os SMSs a enviar, ou seja pendentes, os seguintes campos serão apresentados: • Id; • Remetente; • Destinatário; • Ordem; • Tentativas; • Rota; • Operador; • Estado. 4.5.4 Enviar um SMS Com tudo configurado na IPBrick, podemos enviar um SMS usando um cliente de correio ou webmail usando a sintaxe: <prefix + number>@<mail2sms domain> Exemplo: Estamos a usar o domı́nio sms.domain.com e a conta VipVoz activada com o prefixo 00. Para enviar um SMS para o telemóvel português 94 66 66 666 a dizer: ’Olá, festa às 23:00 - Bar XYZ’. Para: [email protected]\\ Assunto: Festa Corpo: Olá, festa às 23:00 - Bar XYZ\\ Note que pode criar uma mailing list na IPBrick e inserir todos os números de telemóvel que desejar. Exemplo: Criar uma mailing list chamada [email protected] e inserir na lista Utilizadores Externos alguns números de telemóvel de clientes: [email protected] [email protected] [email protected] ... Assim, do lado do cliente só precisa de enviar uma mensagem de correio electrónico para [email protected], com o texto que desejar. iPortalMais - 2010 Manual Referência- Versão 5.2 114 IPBrick.C Ficheiro CSV Outro método para enviar SMS é anexar um ficheiro CSV criado num programa de folha de cálculo com o número de colunas e mensagens dividido por ;. Exemplo: número;mensagem 003519191919191; Olá Jo~ ao 003519696969696; Feliz Natal Miguel 003519191919191; Reuni~ ao às 15:00. 00339696969696; Bonjour David. 00344233333333; Feliz navidad Juan. Para a enviar, só tem de criar uma nova mensagem de correio electrónico tendo como destino a conta de correio especı́fica smslist@<mail2sms domain>. Exemplo: Para: [email protected] Assunto: Lista CSV SMS Corpo: Anexo: sms_list.csv Se no ficheiro CSV a coluna de Mensagem estiver vazia, o texto de SMS considerado será o corpo da mensagem de correio electrónico (se existir). 4.6 Servidor Web Um servidor web, através dos protocolo HTTP13 e/ou HTTPS, é responsável por responder a pedidos de utilizadores, relativos às páginas web nele alojadas, sendo que cada servidor pode alojar vários sites. No caso da IPBrick o servidor web é o Apache14 . Os domı́nios web registados na IPBrick são visualizados após clicar em Servidor Web. Por omissão, a IPBrick hospeda os seguintes sites: • calendar.domain.com: Agenda LDAP Intranet. Uma ferramenta sempre útil, o calendário pode ser usado para guardar eventos e partilhá-los com outros. Ao clicar no calendário em MyIPBrick, o utilizador será redireccionado para este site; • callmanager.domain.com: Aplicação callmanager em flash para VoIP; • callstatistics.domain.com: Site especı́fico com estatı́sticas detalhadas de chamadas VoIP. É o mesmo menu presente em IPBrick.GT - VoIP - Monitoring Call Statistics, mas com a possibilidade de dar acesso aos utilizadores LDAP; 13 14 HyperText Transfer Protocol Mais informações em http://www.apache.org Manual Referência- Versão 5.2 iPortalMais - 2010 4.6 Servidor Web 115 • contacts.domain.com: Gestão dos contactos LDAP Intranet; • ipbrick.domain.com: interface de gestão web da IPBrick; • jwchat.domain.com: Um cliente Jabber (XMPP) com base na web para os utilizadores LDAP da IPBrick; • myipbrick.domain.com: Site para a configuração dos utilizadores LDAP e definições de correio electrónico; • pgsqladmin.domain.com: Gestão web da base de dados PostgreSQL; • ucoip.domain.com: UCoIP (Unified Communications over IP) site para os utilizadores LDAP (descrito a seguir). • webmail.domain.com: Cliente de webmail Horde; • webphone.domain.com: É um exemplo de webphone IAX. A ideia é ver o código fonte da página e inclui-lo num website real. Este webphone pode ser configurado para chamar directamente qualquer número que desejar ou para corresponder a algum acesso directo para uma funcionalidade VoIP (sequência, grupos, IVR, etc.). Para especificar isso, a variável chamada url deve ser alterada. 4.6.1 Criar um novo site Ao clicar em Inserir é possı́vel criar um novo site. Um novo formulário é exibido (Figura 4.33) com os seguintes campos: 1. Endereço URL: É o FQDN15 do novo site que será hospedado no servidor. É possivel usar também SSL. Exemplo: www.domain.com; 2. Endereços URL Alternativos: Nomes alternativos para o endereço URL que foi previamente configurado. Este campo não é obrigatório; 3. E-mail do administrador do site: E-Mail do utilizador que é responsável pela gestão do site; 4. Utilizador FTP: O login de um novo utilizador que irá aceder à pasta do site via FTP. Este login deve ser único, não poderá ser idêntico ao de nenhum outro utilizador IPBrick LDAP. A manutenção será feita através deste protocolo. 5. Password: Password of the FTP user. 6. Confirme Password: Repita a Password. 7. Pasta de localizaç~ ao do site: Pasta a ser criada automaticamente no sistema de ficheiros do servidor em /home1/_sites/. Normalmente é usado o nome do site; 15 Fully Qualified Domain Name iPortalMais - 2010 Manual Referência- Versão 5.2 116 IPBrick.C Figura 4.33: Servidor Web - Adicionar sites 8. Disponı́vel na internet: Se escolher Sim estamos a dizer que o virtualhost será criado a partir deste site para o IP externo da IPBrick - se este é o caso o site criado estará disponı́vel na internet; 9. Modo Segurança: Se o site se basear em php, nega o acesso dos ficheiros fora da pasta do site, assim também interferirá com as variáveis globais. É por isso que o modo predefinido está Desactivado; 10. Acesso autorizado só pelos directórios: Por defeito, o php tem acesso à localização da pasta do site e ao /tmp, mas é possı́vel adicionar mais localizações; 11. Codificaç~ ao dos caracteres: É a codificação que o Apache usará para o website dependendo da linguagem utilizada; 12. Manter sempre o URL introduzido: Permite manter sempre o URL pedido; Se o site criado está disponı́vel através da internet, será necessário criar um registo DNS no servidor externo DNS a apontar para o IP público de rede (A or CNAME). Se a IPBrick tem um IP público em eth1, irá apontar directamente a esse IP enão ao do router. 4.6.2 Gestão Quando o site é criado, se clicar nele conforme vemos na Figura 4.34, tem muitas opções apresentadas: Manual Referência- Versão 5.2 iPortalMais - 2010 4.6 Servidor Web 117 • Voltar atrás: Permite-lhe voltar atrás ao menu webserver principal; • Alias; • Redireccionar; • Proxy Inverso; • Modificar: Permite modificar os campos do site; • Apagar: Apagar o site do servidor web. Após clicar em Aplicar Configurações, o site deixa de estar disponı́vel online. Os ficheiros do site não são eliminados, mas movidos para os sites partilhados bk1. Esta partilha é a localização do ficheiro dos sites apagados. Quando a IPBrick apagar estes sites, apenas os serviços afectados são reconfigurados e os conteúdos removidos para uma partilha acessı́vel só aos Administradores LDAP. É como nas contas de utilizadores e partilhas de grupo; Figura 4.34: Servidor Web - Caracterı́sticas Endereço Alternativo Endereço Alternativo também conhecido por Alias ou Host Header é uma forma simples de aceder a determinados conteúdos que estão fisicamente deslocados do directório principal do site. De seguida, apresentamos dois exemplos: No exemplo da Figura 4.35 criamos um Endereço Alternativo web para a pasta /home1/_sites/www/site/img. Assim, ir a www.domain.com/es/img ou a www.domain.com/img será a mesma coisa. No exemplo da Figura 4.36 example temos um subsite chamado www.domain.com/forum presente no sistema de ficheiros em: /home1/_sites/www/site/forum Pode gerir cada endereço alternativo se clicar nele (Figura 4.37). iPortalMais - 2010 Manual Referência- Versão 5.2 118 IPBrick.C Figura 4.35: Servidor Web - Endereço Alternativo 1 Figura 4.36: Servidor Web - Endereço Alternativo 2 Redireccionar O redireccionar permite-lhe ser redireccionado para um novo URL quando digitar um primeiro URL no browser. Alguns exemplos: • No exemplo da Figura 4.38, quando alguém tenta aceder a www.domain.com/index.htm (o ficheiro index.htm não existe), será automaticamente redireccionado para www.domain.com /index.htm; • No exemplo da Figura 4.39, quando alguém tenta aceder a www.domain.com/index.html, será automaticamente redireccionado para www.domain.com/web/index.htm. Figura 4.37: Servidor Web - Lista Endereços Alternativos Manual Referência- Versão 5.2 iPortalMais - 2010 4.6 Servidor Web 119 Note que no campo fonte só pode inserir /index.html ou www.domain.com/index.html, é a mesma coisa. Figura 4.38: Servidor Web - Redireccionamento - Exemplo 1 Figura 4.39: Servidor Web - Redireccionamento - Exemplo 2 Pode gerir cada redireccionamento se clicar nele (Figura 4.40). Proxy Inverso O proxy inverso é usado em frente ao webserver e tem como objectivo principal de redireccionar todas as ligações endereçadas aos vários servidores web para serem roteadas através do servidor de proxy. Um proxy inverso tem a função de despachar o tráfico de rede recebido para vários servidores sendo totalmente ’transparente’ para o utilizador final (ele não saberá que o proxy está a ser usado). • O primeiro exemplo representa esta situação: Quando alguém entra no URL http://estore.domainx.com será transferido para um site interno a funcionar noutro servidor. Assim, o primeiro passo é a criação de um site (Figura 4.41), e depois disso a definição do proxy inverso (Figura 4.42); • No segundo exemplo a ideia é alguém na Internet que quer aceder a um site em funcionamento numa máquina interna (http://192.168.1.4:85/cgi/site). Para fazer isto só precisamos de adicionar uma nova definição de proxy inverso no domı́nio base (Figura 4.43 e Figura 4.44); iPortalMais - 2010 Manual Referência- Versão 5.2 120 IPBrick.C Figura 4.40: Servidor Web - Lista Redireccionamentos Estatı́stica Cada site na IPBrick usa as Estatı́sticas Web Avançadas para exibir diversas estatı́sticas sobre os acessos ao site, o mesmo software usado para as estatı́sticas proxy. Para aceder às estatı́sticas, basta ir a IPBrick.C -> Servidor Web, clicar no site desejado e depois ir a estatı́sticas. Poderá obter mais informações no lado esquerdo do ecrã (Figura 4.45). 4.7 Webmail O WebMail instalado na IPBrick pode ser configurado para lidar com outros servidores de correio electrónico que não a própria IPBrick em que está instalado. Para tal basta indicar nesta secção quais os servidores de IMAP16 e de SMTP17 a utilizar (Figura 4.46). Para mudar os servidores clique em Alterar. Os servidores podem ser identificados pelo seu FQDN18 ou o seu endereço IP. Se temos uma IPBrick Intranet (ou outro servidor de email) e uma IPBrick de comunicações, precisará de apontar o IMAP e o SMTP ao endereço do servidor de email interno. Para usar o webmail IPBrick na Internet precisdará de seguir os seguintes passos: • Dar entrada de um registo A ou CNAME chamado de webmail no servidor público de DNS do domı́nio da organização, apontando para o IP público da IPBrick; • Se a IPBrick não tiver IP público na eth1, configure a regra DNAT no router para a porta 443 e para o IP eth1 da IPBrick. 16 Internet Message Access Protocol - aceder à caixa de correio electrónico Simple Mail Transfer Protocol - enviar correio electrónico 18 Fully Qualified Domain Name 17 Manual Referência- Versão 5.2 iPortalMais - 2010 4.8 Servidor FTP 121 Figura 4.41: Servidor Web - Proxy Inverso - Exemplo 1 - Criação site vazio 4.8 Servidor FTP No Servidor FTP é possı́vel gerir contas FTP simples. As contas podem ser associadas aos utilizadores do sistema Unix simples ou aos websites da IPBrick. Ao clicar em Inserir, serão apresentados estes campos (Figura 4.47): • Login: login da conta FTP; • Password: Password da conta FTP; • Confirme Password: • Localizaç~ ao da conta: É possı́vel escolher uma área de trabalho FTP individual ou associar a conta a um virtualhost; Figura 4.42: Servidor Web - Proxy Inverso - Exemplo 1 - Adicionar iPortalMais - 2010 Manual Referência- Versão 5.2 122 IPBrick.C Figura 4.43: Servidor Web - Proxy Inverso - Exemplo 2 - Adicionar Figura 4.44: Servidor Web - Proxy Inverso - Exemplo 2 - Lista • Criar pasta da conta: Criar uma nova pasta da conta em /home1/_ftp ou /home2/_ftp se a área de trabalho escolhida for 2; • Permiss~ oes de acesso: Podem ser autorizações só de leitura ou autorizações ler e escrever. 4.8.1 Log de Acessos A opção de Log de Acessos permite a visualização de todos os acessos FTP. É possı́vel filtrá-los por: • IP; • Utilizador; • Observações: – Conectado; – Desconectado; – Password Errada; – Utilizador Ilegal; – Timeout/Bloqueado. • Data; Manual Referência- Versão 5.2 iPortalMais - 2010 4.9 VoIP 123 Figura 4.45: Web Server - Statistics Opções disponı́veis: • Limpar Filtro: Irá limpar os filtros escolhidos; • Exportar PDF: Exporta toda a informação para um ficheiro .pdf; • Voltar: Regressar ao menu anterior; 4.9 VoIP Esta secção constitui o interface de gestão do serviço VoIP19 disponı́vel na IPBrick. A tecnologia VoIP (Voice Over IP) permite o estabelecimento de chamadas 19 Voice over IP - Serviço de telefonia sobre IP Figura 4.46: WebMail - Servidores iPortalMais - 2010 Manual Referência- Versão 5.2 124 IPBrick.C Figura 4.47: Servidor FTP - Definições de Conta telefónicas através de uma rede IP tornando possı́vel por exemplo efectuar chamadas telefónicas através da Internet. As principais vantagens da utilização de VoIP passam por: Redução de despesas devido ao facto das tarifas não seguirem o mesmo modelo da telefonia convencional; melhor qualidade de serviço uma vez que a comutação por pacotes ao contrário da comutação de circuitos, faz um melhor aproveitamento dos recursos de rede existentes. O conceito de Telefonia IP por vezes confunde-se com VoIP mas não são exactamente a mesma coisa. Telefonia IP utiliza o serviço VoIP e define-se como o conjunto de serviços e aplicações que permitem a redução dos custos telefónicos das empresas. Sinalização O serviço VoIP necessita de usar um protocolo para sinalização de chamadas. O protocolo de sinalização usado pela IPBrick é o SIP mas existem outros como o H.323, MGCP, Jingle, IAX, H.248/MEGACO etc. O SIP20 permite estabelecer chamadas e conferências via IP, podendo essas chamadas não só incluir áudio mas também vı́deo, imagens etc. Deste modo o protocolo SIP é responsável por todo o processo de estabelecimento de chamadas entre utilizadores de forma totalmente independente do tipo de conteúdos da chamada em si. A IPBbrick.GT age como um autêntico PBX IP tendo capacidade para encaminhamento de chamadas para/de uma PBX tradicional, Internet, LAN e PSTN. Toda esta gestão é efectuada por um software de nome Asterisk. O Asterisk é compatı́vel com vários protocolos de sinalização, entre os quais o SIP. De seguida são apresentadas as funcionalidades VoIP acessı́veis pela interface web. 20 Session Initiation Protocol Manual Referência- Versão 5.2 iPortalMais - 2010 4.9 VoIP 4.9.1 125 Gestão do telefone Este menu (Figura 4.48) permite-lhe obter a lista de clientes registados VoIP da IPBrick (telefones IP, estações de trabalho + softphone) que foram registados a partir da IPBrick.I -> Gest~ ao de Máquinas e para gerir algumas configurações. Ao clicar num nome de telefone é possı́vel modificar os seguintes campos: • Telefone: Nome do utilizador do telefone; • Password: Password do telefone que pode ser alterada; • Endereços de telefone alternativos: Nesse campo, podemos ter endereços alternativos para o telefone. Um endereço alternativo é outro nome (ou número) para chegar ao telefone. Esta funcionalidade é muito útil quando há telefones nos quais só pode marcar números. É uma boa polı́tica registar telefones por nomes e depois disso definir um endereço alternativo numérico (Figura 4.49) • Identificaç~ ao da pessoa que telefona: Se deseja mascarar a identificação da pessoa que telefona, inserir o número completo; • Local do telefone: – Local: É o predefinido, para um telefone LAN; – Remoto: Para um telefone remoto que está ligado atrás de um NAT. Normalmente esta opção é usada quando a ideia é registar o telefone a partir da Internet, usando o IP público da rede IPBrick. • Provisionamento automático: A opção provisionamento automático permite a configuração automática de hardphones SIP, assim só temos de escolher o modelo de telefone. Para trabalhar, é obrigatório inserir o endereço MAC ao registar o telefone em Gestão de Máquinas. • Descriç~ ao: Este campo deve ter uma descrição sobre o telefone; Figura 4.48: VoIP - Gestão de Telefones Note que também é possı́vel registar telefones em: iPortalMais - 2010 Manual Referência- Versão 5.2 126 IPBrick.C Figura 4.49: VoIP - Adicionar endereços alternativos Configuraç~ oes Avançadas -> Telefonia -> Telefones Registados Esta opção é apenas válida se não for necessário atribuir um endereço IP ao registo DNS, DHCP e LDAP. Assim, é possı́vel adicionar um telefone simplesmente preenchendo os os campos respectivoas ao nome e à password de acesso. 4.9.2 Gestão de Utilizadores Esta opção proporciona uma gestão centralizada VoIP para cada utilizador LDAP. Configurações VoIP do utilizador O ecrã principal apresenta a lista de utilizadores com endereço SIP e endereço de telefone associado, se existente (Figura 4.50). Ao clicar num nome de utilizador (Figura 4.51), podemos gerir: • Endereço SIP: É o correio electrónico predefinido do utilizador e não pode ser alterado aqui; • Endereços alternativos: É possı́vel definir diversos endereços SIP para um utilizador. As pessoas podem telefonar a um utilizador usando o endereço SIP predefinido ou as alternativas; • PIN do utilizador: Define o PIN do utilizador e deve ser numérico. Este PIN pode ser usado para diversas funções: Bloqueio de telefone, classes de acesso, voicemail e chamadas em espera. O utilizador não pode alterar o PIN; Manual Referência- Versão 5.2 iPortalMais - 2010 4.9 VoIP 127 • Password: Define uma password e deve ser numérica. A password pode ser usada para bloqueio do telefone, classes de acesso, voicemail e chamadas em espera. Um utilizador também pode alterar a password no site myipbrick; • Validaç~ ao do acesso do utilizador: Para autenticação só pode ser usado o PIN ou o PIN e a password. Quando o processo de autenticação se inicia para alguma funcionalidade, o utilizador ouvirá uma mensagem Asterisk para introduzir a identificação do Utilizador (PIN) e outra para introduzir a Password. • Endereço de telefone: Este campo é importante. Aqui podemos associar utilizadores a um telefone especı́fico interno ou externo. Assim, quando alguém na LAN ou Internet faz uma chamada para o endereço SIP do utilizador, tocará o telefone que está aqui definido. Claro que este funcionará se a zona DNS interna/pública estiver configurada correctamente. Um utilizador pode alterar um endereço de telefone no site myipbrick. – Interno: O utilizador será associado a um telefone SIP interno registado na IPBrick; – Externo: O utilizador será associado a outro telefone. Pode ser uma conta SIP externa, um número PSTN, uma extensão PBX, um numero de telemóvel, etc. Quando alguém na Internet ou no site UCoIP do utilizador faz uma chamada, se a IPBrick tiver rotas para fazer a chamada, chamará o número externo aqui especificado. Figura 4.50: VoIP - Gestão de Utilizadores Classe de Acesso do Utilizador • Classe de Acesso: Um utilizador pode fazer parte de uma classe de acesso, não só de telefones. Uma classe de acesso de utilizador deve ser menos restrita do que uma classe de acesso de telefone; iPortalMais - 2010 Manual Referência- Versão 5.2 128 IPBrick.C Figura 4.51: VoIP - Gestão Utilizadores - Configurações VoIP de Utilizador • Modo desbloquear: O modo desbloquear por defeito é feito usando sempre o PIN ou o PIN e a password e o número que se quer marcar. O segundo modo usa a autenticação só na primeira vez (Figura 4.52); Ex.: Para um utilizador com o PIN 111 e a password 1234 que precisa de efectuar uma chamada para o 003512255443322: 111#003512255443322 ou 111#1234#003512255443322 Chamadas em espera Se estiverem configuradas algumas chamadas em espera, um utilizador pode ser associado como um agente (Figura 4.52). O modo de espera pode ser: • Música em espera: O telefone fará imediatamente parte da chamada em espera. O utilizador ouvirá música até a chamada ser recebida; • Callback: Só se o agente receber uma chamada da chamada em espera é que o telefone toca; 4.9.3 Funções Esta secção permite configurar todas as funcionalidades PBX do IP inseridas nos serviços de entrada e de saı́da. Entrada Grupos de Chamadas Neste interface (Figura 4.53) é possı́vel definir grupos de resposta, ou seja, um grupo de telefones que tocarão simultaneamente quando o acesso ao grupo é feito. Para definir um grupo é necessário preencher: Manual Referência- Versão 5.2 iPortalMais - 2010 4.9 VoIP 129 Figura 4.52: VoIP - Gestão de Utilizadores - Classes de Acesso e Filas de Espera • Nome: Nome para o grupo; • Caller ID: Possibilidade de utilizar uma identidade especı́fica para este serviço; • Acesso directo: Lista de números/endereços que contactarão este serviço. Temos três opções e é possı́vel utilizar muitos acessos directos; – DID: Se a IPBrick possui uma placa de telefonia ISDN, o DID (Direct Inward Dial) será o número PSTN directo que contactará este serviço; – ANA: Se a IPBrick possui uma placa de telefonia analógica, será o número PSTN directo a contactar este serviço; – SIP: É o endereço SIP especı́fico que contactará este serviço; • Membros do Grupo – Internos: Os telefones SIP internos que pertencem ao grupo; – Externos: Telefones externos (SIP, número PSTN, etc.) que pertencem ao grupo. Sequência de atendimento Nesta secção é possı́vel definir uma sequência de atendimento, ou ver/ alterar/ remover as sequências já definidas. Para adicionar uma nova sequência é necessário clicar em Inserir, definir um nome para a sequência, seleccionar se o voicemail iPortalMais - 2010 Manual Referência- Versão 5.2 130 IPBrick.C Figura 4.53: VoIP - Grupos de Chamadas fica ou não activo e em Acesso directo adicionar os endereços DID/SIP/ANA dos telefones pelos quais a sequência será activada. Se for pretendido adicionar um Acesso directo para uma extensão definida na IPBrick, é possı́vel escolher SIP e no endereço seleccionar a extensão. Em Sequ^ encia é possı́vel adicionar os telefones que irão tocar pela ordem desejada e o tempo em que cada um toca até passar ao seguinte. Para definir uma seqência de atendimento é necessário preencher os seguintes campos (Figura 4.54): • Nome: Nome para a sequência de atendimento; • Caller ID: Possibilidade de utilizar uma identidade especı́fica para este serviço; • Voicemail activo: Activa o voicemail para a sequência; • Acesso Directo: Lista de números/endereços que contactarão este serviço. Temos três opções e é possı́vel utilizar muitos acessos directos; • Posiç~ oes da Sequ^ encia – Localizaç~ ao Interna: Telefones SIP Internos que pertencem à sequência; será o número PSTN directo que contactará este serviço; – Localizaç~ ao Externa: Telefones Externos (SIP, número PSTN, etc.) que pertencem à sequência; Manual Referência- Versão 5.2 iPortalMais - 2010 4.9 VoIP 131 – Timeout: Intervalo em segundos, por omissão 25. Figura 4.54: VoIP - Definições de Sequência Pode ver-se na Figura 4.55 uma lista de sequências de atendimento. Figura 4.55: VoIP - Lista de Sequências de atendimento Atendimento Interactivo Nesta secção (Figura 4.56) é possı́vel definir menus de atendimento interactivo. Para isso é necessário clicar em Inserir para adicionar um novo: • Nome: Escolher um nome para o IVR; • Acesso directo: Definir o(s) endereço(s) pelo qual este menu poderá ser acedido (adicionando os endereços DID/SIP/ANA desejados); – DID: Se a IPBrick tiver uma placa de telefonia ISDN, o PSTN DID (Direct Inward Dial) que irá chamar este serviço necessitará de ser inserido; iPortalMais - 2010 Manual Referência- Versão 5.2 132 IPBrick.C – ANA: Se a IPBrick tiver uma placa analógica de telefonia, será o número directo PSTN que irá chamar este serviço; – SIP: É o endereço SIP especı́fico que irá chamar este serviço; • Número de Atalhos: Escolher quantas opções tem o menu; • Que tipo de destino a dar (conforme a tecla que for premida): – Telefone: Para ligar para um telefone interno; – IVR: Para ir para um sub-menu de atendimento interactivo; – Confer^ encia: Para ligar-se a uma conferência; – Escalonador: Para ligar a um escalonador; – Grupo: Para que os telefones de um grupo toquem; – Sequ^ encia: Para activar uma sequência de atendimento; – Endereço SIP: Para chamar um telefone SIP; – DISA: Permite que alguém de fora da central consiga ligar como se estivesse ligado directamente à central; – Fila de espera: Para fazer a chamada entrar numa lista de espera. – Retorno de chamadas: Para efectuar a chamada da forma mais económica. Para mais informação consulte a secção de Retorno de chamadas deste documento. • Mensagem de atendimento: Permite seleccionar a mensagem de atendimento. Para isso clicar em Browse.... • Número de repetiç~ oes da mensagem: Number of times the attendance message is replayed; • Redireccionamento se n~ ao for marcada opç~ ao:: Opção SIM ou caso seja ~ NAO o DTMF irá redireccionar a chamada para: – Telefone: Para ligar a um telefone interno; – IVR: Para activar um sub-menu de atendimento interactivo; – Confer^ encia: Para ligar a uma Conferência; – Escalonador: Para ligar a um Escalonador; – Grupo: Para ligar a telefones de um grupo; – Sequ^ encia: To activate an answering sequence; – Endereço SIP: Para ligar a um telefone SIP; – DISA: Permite a alguém fora da central estabelecer uma ligação como se estivesse ligado directamente a ela; – Fila de Espera: To make the call enter a waiting line; Manual Referência- Versão 5.2 iPortalMais - 2010 4.9 VoIP 133 Figura 4.56: VoIP - Configuração de atendimento IVR – Retorno de Chamadas: To make the call in the most cost-efficient method. For more information check the Callback section of this document. Um IVR só pode ter uma mensagem de atendimento sem qualquer atalho ou acesso directo. Exemplo: Um mensagem a dizer que a empresa está fechada, de modo que o IVR possa ser usado na programação, por exemplo (Figura 4.57). Figura 4.57: VoIP - IVR Simples Conferência de chamadas Neste interface (Figura 4.58) é possı́vel criar conferências. Para criar uma simples conferência estática basta clicar Inserir: • Nome: Nome da conferência; • Identificador numérico: Identificador numérico para a conferência. É apenas um identificador interno para o servidor VoIP; iPortalMais - 2010 Manual Referência- Versão 5.2 134 IPBrick.C • PIN: Código que permitirá aos utilizadores ligarem-se à conferência; • PIN do Administrador: Código de conferência para o administrador; • Acesso Directo: Lista de números/endereços que contactarão este serviço. Temos três opções e é possı́vel utilizar muitos acessos directos: – DID: Se a IPBrick possui uma placa de telefonia ISDN, o DID (Direct Inward Dial) será o número PSTN directo que contactará este serviço; – ANA: Se a IPBrick possui uma placa de telefonia analógica, será o número PSTN directo a contactar este serviço; – SIP: É o endereço SIP especı́fico que contactará este serviço; Figura 4.58: VoIP - Inserção de conferência de chamadas Figura 4.59: VoIP - Lista de conferência de chamadas Também é possı́vel permitir a criação de conferências dinâmicas. Para isso, é preciso clicar em Confer^ encias Din^ amicas (Figura 4.59), modificar a opção Activar para Sim e inserir o(s) endereço(s) e/ou número(s) para os Acessos Directos (Figura 4.60). Nas conferências dinâmicas, quando alguém telefona para o acesso directo, é possı́vel entrar automaticamente numa conferência existente ou criar uma nova. Parqueamento de Chamadas Manual Referência- Versão 5.2 iPortalMais - 2010 4.9 VoIP 135 Figura 4.60: VoIP - Conferências dinâmicas de chamadas Aqui (Figura 4.61) é possı́vel activar ou desactivar a opção de chamadas em espera. Figura 4.61: VoIP - Parqueamento de chamadas Caso esta opção seja activada, é necessário definir uma extensão para colocar as chamadas em espera, assim como as extensões virtuais nas quais as chamadas vão ser colocadas (Figura 4.62). Para aceder a estas chamadas é necessário digitar no telefone # mais a extensão virtual da chamada. Figura 4.62: VoIP - Parqueamento de chamadas - Alterar Escalonamento Esta opção (Figura 4.63) permite definir o comportamento do PBX IP para todo o dia. Habitualmente, este é o serviço de entrada mais importante, porque a partir daqui podemos contactar todos os outros serviços configurados. É necessário clicar na opção Inserir (Figura 4.64) e configurar os primeiros parâmetros: • Nome: O nome do agendador de tarefas; iPortalMais - 2010 Manual Referência- Versão 5.2 136 IPBrick.C Figura 4.63: VoIP - Escalonamento • Acesso Directo: Lista de números/endereços que contactarão este serviço. Temos três opções e é possı́vel utilizar muitos acessos directos; – DID: Se a IPBrick possui uma placa de telefonia ISDN, o DID (Direct Inward Dial) será o número PSTN directo que contactará este serviço; – ANA: Se a IPBrick possui uma placa de telefonia analógica, será o número PSTN directo a contactar este serviço; – SIP: É o endereço SIP especı́fico que contactará este serviço; A seguir, é necessário adicionar regras para este agendador de tarefas. Para isso: • Clicar no nome do agendador de tarefas; • Clicar Inserir; • Escolher o tipo de acção a executar; • Escolher o perı́odo a executar. Explicação dos campos: • Tipo de destino: Onde a chamada será direccionada se a regra definida a seguir for similar. Opções: – Telefone: Para contactar um telefone interno; – IVR: Para ir para um sub-mmenu de resposta interactiva; – Conferência: Para ligar a uma conferência; – Agendador de Tarefas: Para ligar a um agendador de tarefas; – Grupo: Para telefonar aos telefones de um grupo; – Sequência: Para activar uma sequência de resposta; – Endereço SIP: Para contactar um telefone SIP; Manual Referência- Versão 5.2 iPortalMais - 2010 4.9 VoIP 137 – DISA: Permite a alguém fora da central ligar como se estivesse directamente ligado à central; – Chamada em espera: Para fazer a chamada entrar em espera; • Destino: Endereço de telefone ou nome do serviço especial para onde a chamada será direccionada; • Horas: Hora de inı́cio e de fim, do horário no qual a regra será válida (formato hh:mm em cada campo); • Dias da semana: Dias da semana em que a regra será válida. Se não for escolhida, usará todos os dias; • Dias do mês: Dias do mês em que a regra se verificará. Se não for escolhida, usará todos; • Meses: Meses em que a regra será válida. Se não for escolhido, usará todos os meses; Figura 4.64: VoIP - Inserir Regras NOTA: Se não seleccionar a hora ou os dias da semana/mês, hora ou meses, a regra será válida respectivamente para todo o dia. Uma regra como esta é chamada de regra por defeito; Na Figura 4.65 podemos ver o exemplo da implementação de um agendamento. Pode ver que a regra 4 é usada das 19:01 até às 08:59, porque é o tempo predefinido. Contactará um IVR simples com uma mensagem de voz que informa que não se encontra ninguém na empresa para atender o telefone. DISA O DISA21 (Figura 4.66) é um serviço que permite a alguém não directamente ligado à IPBrick ou à central PBX obter um sinal de chamada interna e efectuar chamadas como se estivesse directamente ligado à rede interna. O utilizador contacta o número de acesso ao DISA e deve digitar uma password seguida da tecla 21 Direct Inward System Access iPortalMais - 2010 Manual Referência- Versão 5.2 138 IPBrick.C Figura 4.65: VoIP - Escalonamento - Lista de Regras #. Se a password estiver correcta, o utilizador ouvirá um sinal a indicar que pode marcar o número. Também pode utilizar este serviço sem usar uma password se o desejar. Os campos necessários para configurar um serviço DISA são: • Nome: Nome para o DISA; • Accesso directo: Lista de números/endereços que contactarão este serviço. Temos três opções e é possı́vel utilizar muitos acessos directos; – DID: Se a IPBrick possui uma placa de telefonia ISDN, o DID (Direct Inward Dial) será o número PSTN directo que contactará este serviço; – ANA: Se a IPBrick possui uma placa de telefonia analógica, será o número PSTN directo a contactar este serviço; – SIP: É o endereço SIP especı́fico que contactará este serviço; • Autenticaç~ ao por PIN: Permite a introdução de uma password para permitir a marcação através do DISA; • Password: Password do PIN; • Confirme Password: Confirmação da Palavra passe; • Números chamadores autorizados: A lista dos identificadores das pessoas que telefonam e que podem aceder a este serviço. Inserir só um por linha. Callback A caracterı́stica Callback tem como objectivo principal poupar gastos nas chamadas internacionais. Permite às pessoas efectuar chamadas através do serviço de callback da IPBrick, a IPBrick bloqueará a chamada e voltará a ligar para o número que fez a chamada. A callback normalmente será feita usando uma conta SIP do operador VoIP, assim a baixo custo. Ao inserir uma callback, as opções disponı́veis são as seguintes: Manual Referência- Versão 5.2 iPortalMais - 2010 4.9 VoIP 139 Figura 4.66: VoIP - DISA - Inserir • Nome: Nome para a Callback; • Acesso Directo: Lista de números/endereços que contactarão este serviço. Temos três opções e é possı́vel utilizar muitos acessos directos; – DID: Se a IPBrick possui uma placa de telefonia ISDN, o PSTN DID (Direct Inward Dial) que contactará este serviço precisa de ser inserido; – ANA: Se a IPBrick possui uma placa de telefonia analógica, será o número PSTN directo a contactar este serviço; – SIP: É o endereço SIP especı́fico que contactará este serviço; • Tipo de Callback: 1. Callback para qualquer número: Não interessa o número que fez a chamada, a chamada será terminada, tocará um telefone interno definido e quando alguém atender o telefone, será feita automaticamente uma callback para o número de origem (Figura ??); 2. Callback para números autorizados. Bloqueio de números não autorizados: Para números de origem autorizada, a chamada será terminada, tocará um telefone interno definido e quando alguém atender o telefone, será feita automaticamente uma callback para o número de origem. Para números não autorizados, a chamada só será terminada (Figura ??); 3. Callback para números autorizados. Redireccionar números não autorizados: Para números de origem autorizada, a chamada será terminada, tocará um telefone interno definido e quando alguém atender o telefone, será feita automaticamente uma callback para o número de origem. Para números não autorizados, a chamada será redireccionada para um telefone interno (Figura ??). • Chamadas de Callback com origem em: É o telefone interno que tocará e contactará o número de origem; iPortalMais - 2010 Manual Referência- Versão 5.2 140 IPBrick.C • Redireccionar números não autorizados para: O telefone interno para onde as chamadas serão redireccionadas. Usado só para o tipo 3 de callback; • Intervalo de Callback: Pausa em segundos a partir do momento em que uma chamada é terminada e novamente contactado o número que telefonou, assim a pessoa que efectua a chamada tem tempo de desligar o telefone. A predefinição é de 5 segundos; • Identidade permitida da pessoa que telefona: Será a lista de números de origem autorizados. Usada para o tipo 2 e 3 de callback. Figura 4.67: VoIP - Retorno de Chamada a qualquer número Figura 4.68: VoIP - Retorno de Chamada a números autorizados ou hangup Chamadas em espera Aqui (Figura 4.70) é possı́vel definir as chamadas em espera. Ao contactar o telefone definido no Acesso directo a pessoa que o faz será colocada em espera se houver outra chamada. Poderá ser definida uma mensagem de atendimento a qual será ouvida quando a chamada estiver em espera. Poderá ser definida uma mensagem de atendimento que será ouvida quando a chamada for colocada em fila de espera. Também é possı́vel escolher mensagens predefinidas em: Seleccionar mensagens informativas da fila a qual poderá informar a pessoa que faz a chamada sobre a sua posição Manual Referência- Versão 5.2 iPortalMais - 2010 4.9 VoIP 141 Figura 4.69: VoIP - Retorno de Chamada a números autorizados ou redireccionar na fila de espera e o tempo entre essas mensagens. As definições visı́veis quando clicamos em Inserir são as seguintes: • Nome: Nome para a fila de espera; • Acesso Directo: Lista de números/endereços que contactarão este serviço. Temos três opções e é possı́vel utilizar muitos acessos directos; – DID: Se a IPBrick possui uma placa de telefonia ISDN, o PSTN DID (Direct Inward Dial) que contactará este serviço precisa de ser inserido; – ANA: Se a IPBrick possui uma placa de telefonia analógica, será o número PSTN directo a contactar este serviço; – SIP: É o endereço SIP especı́fico que contactará este serviço; • Queue weight: Queue’s priority. • Maximum number of queued calls: Maximum number defined of calls on hold. ’0’ defines an unlimited number; • Define maximum waiting time: It is possible to define the maximum waiting time. For that it is necessary to click option Yes, select the maximum time in seconds and the type of routing to do if the time is exceeded as well as the final destiny; • Phone attendance timeout: Period of time (seconds) at the end of which the caller shall be put on hold if the call is not answered, even if there is no one else on hold; • Welcome message file: Select the message to be presented when someone enters the waiting line; iPortalMais - 2010 Manual Referência- Versão 5.2 142 IPBrick.C • Select queue information message: Select some of these messages to inform about the position in the waiting line or the estimated waiting time. Messages: ”You are now first in line”, ”There are”, ”calls waiting”, ”The current estimated holdtime is”, ”minutes”, ”seconds”, ”Thank you for your patience”, ”less than”,”hold time”,”All phones busy / wait for next”; • Time interval between queue information messages: If some informative message is selected, is possible to select the time (seconds) between messages; • Attendance policy: How the waiting line answering telephones should answer the calls: – Ring all: All available telephones ring until one of them answers; – Random: One of the available telephones rings by chance; – Round Robin: Each telephone rings at the time; – Round Robin with memory: Each telephone rings at the time, but it remembers which was the last one to ring; – Least recently called phone: Will ring the telephone that rung a long time ago; – Phone with fewest completed calls: Will ring the telephone with less answered calls. • Play message when call is answered: If Yes a message will be played before the call is answered; Manual Referência- Versão 5.2 iPortalMais - 2010 4.9 VoIP 143 Figura 4.70: VoIP - Definição Filas de Espera Quando uma chamada em espera é introduzida, existem as seguintes opções no topo: Retroceder, Modificar, Apagar e Membros. Por isso, o passo seguinte é definir que telefones IP ou/e utilizadores LDAP serão associados à chamada em espera. Ao clicar em Membros, obterá uma lista de telefones e utilizadores, como mostra a Figura 4.71. iPortalMais - 2010 Manual Referência- Versão 5.2 144 IPBrick.C Figura 4.71: VoIP - Membros Fila de Espera Saı́da Classes de Acesso É possı́vel definir regras de acesso para os telefones existentes. Para isso é necessário clicar na ligação Inserir e preencher os seguintes campos (Figura ??): • Nome: O nome da classe de acesso; • Código de desbloqueio: Código para desactivar temporariamente uma classe de acesso; • Prefixos: Permite adicionar à lista de prefixos autorizados os prefixos que podem ser usados nos telefones sob as regras de acesso. Por omissão, todas as chamadas são bloqueadas excepto os prefixos Autorizados; • Números: Por omissão, em Polı́tica é possı́vel bloquear o tráfego para qualquer número ou deixar passar por defeito (Bloquear/Autorizar, respectivamente) e depois, se existirem algumas excepções, é possı́vel indicar um número de excepção por linha. Pode usar wildcards nas excepções; • Domı́nios: Da mesma forma que é possı́vel autorizar ou bloquear o acesso a certos números, também é possı́vel com o domı́nios VoIP na Internet. Para confirmar e criar a regra definida, clicar em Inserir. Agora é possı́vel adicionar os membros sob essa regra, clicando no nome da regra e depois em Membros (Figura 4.73)). Para apagar ou adicionar telefones SIP à classe de acesso basta clicar nos botões ou respectivamente. Marcação rápida A marcação rápida permite a associação entre um endereço interno e um telefone externo à empresa. Isto é, os utilizadores contactam um número interno (ou Manual Referência- Versão 5.2 iPortalMais - 2010 4.9 VoIP 145 Figura 4.72: VoIP - Classes de Acesso - Inserir Figura 4.73: VoIP - Classes de Acesso - Membros endereço) e este é associado a um telefone externo à empresa. Exemplo: Um endereço alternativo externo do telefone [email protected] é criado para o endereço de destino [email protected]. Desta forma, sempre que marcar internamente o 44, a chamada será redireccionada para [email protected] Ao escolher a Marcaç~ ao Rápida e ao clicar em Inserir temos dois campos (Figura 4.74): • Endereço de Telefone: Será o número ou endereço externo a contactar; • Marcaç~ ao Rápida: A extensão para a marcação rápida. Se a IPBrick tem rotas, é possı́vel inserir no campo marcação rápida extensões PBX preexistentes, GSM e números PSTN, etc. iPortalMais - 2010 Manual Referência- Versão 5.2 146 IPBrick.C Figura 4.74: VoIP - Marcação Rápida 4.9.4 Monitorização Telefones Online Os clientes VoIP que estão activos e prontos a efectuar e receber chamadas podem ser visualizadas aqui (Figura 4.75). Figura 4.75: VoIP - Telefones Online A informação disponibilizada para cada telefone é: • Telefone: Nome do telefone e do respectivo utilizador; • Localizaç~ ao Pedido Indica o endereço IP do telefone; • Porta: A porta onde o telefone está registado. Estatı́sticas de Chamadas Chamadas terminadas Estatı́sticas detalhadas sobre todas as chamadas terminadas. No menu principal temos: Estatı́sticas gerais relacionadas com os critérios filtro: • Número de chamadas: Número total de chamadas; • Tempo total da chamada; Manual Referência- Versão 5.2 iPortalMais - 2010 4.9 VoIP 147 • Tempo máximo da chamada; • Tempo médio da chamada; • Pacotes totais de RTP: Pacotes totais de RTP (voz/vı́deo); • Pacotes RTP perdidos: • Atraso médio: Atraso médio do pacote; • Atraso máximo: Atraso máximo do pacote; • Instabilidade22 ; média; • Instabilidade máxima. Ao clicar em Inserir é possı́vel filtrar o resultado da lista por campos especı́ficos: • IP de Origem; • Endereço de Origem; • Endereço de destino; • Rota usada: rotas SIP e rotas internas; • Resultado: ATENDIDA, NÃO ATENDIDA, OCUPADO, FALHADA; • Perı́odos de Tempo. A opção Exportar CSV exportará toda a lista para um ficheiro .csv. Na lista de chamadas temos estatı́sticas especı́ficas relativas aos critérios filtro (Figura 4.76): • #: Identificação de chamada; • IP de Origem: Endereço do telefone IP de Origem; • Endereço de Origem: Nome do telefone/número de origem; • Endereço do Destino: Número ou nome do telefone de destino; • Rota: Rota usada para fazer a chamada; • Fallback: Se era uma rota de fallback; • Resultado: Resultado da chamada (RESPONDIDO, SEM RESPOSTA, OCUPADO, FALHOU); • Inı́cio: Hora de inı́cio da chamada; 22 A medida de variabilidade ao longo do tempo da latência através da uma rede iPortalMais - 2010 Manual Referência- Versão 5.2 148 IPBrick.C • Hora do toque: Hora a que o telefone de destino tocou; • Duraç~ ao: Duração da chamada. Clicando num destes campos, ordenará as chamadas por esse campo. Figura 4.76: VoIP - Filtro Estatı́sticas . Chamadas actuais Neste menu temos estatı́sticas sobre as chamadas actuais, com estes campos: • Origem • Destino • Duração • Estado • Rota Gravação de Chamadas Na IPBrick é possı́vel seleccionar a gravação de todas as chamadas, colocando os registos arquivados na solução de Gestão de Documental e Sistema Workflow, iPortalDoc. Os utilizadores com mais privilégios podem ouvir as chamadas conforme elas acontecem. Ao possibilitar a configuração, aparecerão duas outras opções (Figura 4.77): • Formato do registo: MP3 ou WAV; • URL do iPortalDoc: Especificar o URL existente para o iPortalDoc. Se o iPortalDoc não estiver instalado, não será possı́vel usar esta caracterı́stica. Manual Referência- Versão 5.2 iPortalMais - 2010 4.9 VoIP 149 O próximo passo é definir que telefones SIP terão as chamadas a ser gravadas. Isto pode ser definido em: Configuraç~ oes Avançadas -> Telefonia -> Telefones Registados. Um novo campo chamado Gravação de Chamadas está agora presente com as seguintes opções (Figura 4.78): • Nenhuma: O telefone não terá as chamadas gravadas; • A entrar: Só as chamadas recebidas serão gravadas; • A sair: Só as chamadas efectuadas serão gravadas; • Todas: Todas as chamadas serão gravadas. Os utilizadores com mais privilégios do iPortalDoc podem agora ouvir as chamadas em workflow calls; Figura 4.77: VoIP - Definições de Gravação de Chamadas Figura 4.78: VoIP - Gravação de Chamadas - Configuração de Telefones Supervisão de Chamadas A supervisão de chamadas permite supervisionar alguns telefones IP especı́ficos. A ideia é dar alguma orientação à pessoa que está a atender um telefone que pertence aos telefones supervisionados. É uma funcionalidade que pode ser útil aos departamentos de apoio técnico. iPortalMais - 2010 Manual Referência- Versão 5.2 150 IPBrick.C O primeiro passo para usar a supervisão de chamada é a activação da função. É feita em: Configuraç~ oes Avançadas -> Telefonia -> Configuraç~ oes -> Supervis~ ao de Chamad (Figura 4.79). Quando activada, um grupo de supervisão deve ser criado clicando em Inserir. Estão presentes dois campos: • Nome: Uma descrição para o grupo de supervisão. Exemplo: apoio técnico; • Código de desbloqueio: Um código para a autenticação de membros. Exemplo: 444; Figura 4.79: VoIP - Grupo de Supervisão de Chamadas Clicando no nome do grupo de supervisão, é possı́vel definir agora: • Membros do Grupo de Supervis~ ao da Chamada: Para definir que telefones são capazes de ouvir/supervisionar chamadas (Figura 4.80); • Telefones supervisionados: Para definir que telefones serão supervisionados (Figura 4.81); Figura 4.80: VoIP - Call Supervision Group members Depois da configuração, podemos supervisionar uma chamada seguindo os passos seguintes: • Marcar o prefixo + telefone supervisionado a partir de um telefone que pertence ao grupo de supervisão; Manual Referência- Versão 5.2 iPortalMais - 2010 4.9 VoIP 151 Figura 4.81: VoIP - Supervisão de Chamadas Supervision - Telefones Supervisionados • Inserir o código de desbloqueio e premir # quando pedido; • Depois disso, ouvir-se-á um ’beep’ e a supervisão iniciar-se-á, assim a chamada será ouvida e só poderá falar com a pessoa que está no telefone supervisionado. A pessoa remota não consegue ouvir a supervisão. Gestor de chamadas O gestor de chamadas (Figura 4.82) é uma aplicação em Flash que permite visualizar: O estado de cada extensão, se está online e se está a fazer chamadas, estado das linhas e servidores SIP. Permite também terminar chamadas através deste interface quando autenticado. Figura 4.82: VoIP - Configuração do gestor de chamadas A configuração do gestor de chamadas (Figura 4.83) é feita a partir do interface web da IPBrick em IPBrick.C > Voip > Call Manager sendo necessário clicar na ligação Alterar. Por predefinição, são mostrados os estados de todos os telefones registados, portas de cada placa RDIS e analógica, estado das filas de espera, conferências e servidores SIP. Alguns destes campos podem não ser mostrados se os retirarmos em Show fields. Para definir a password de administração que permite terminar chamadas, é necessário alterar o valor do campo Administration password. Na página de configuração tem o link para o gestor de chamadas que poderá ser acedido a partir iPortalMais - 2010 Manual Referência- Versão 5.2 152 IPBrick.C Figura 4.83: VoIP - Gestor de chamadas da LAN. Poderá ser necessário definir o alias callmanager no servidor de DNS da rede. Se não for possı́vel visualizar todas as extensões, linhas e servidores no gestor de chamadas, é necessário mover o rato para o lado direito da página e os restantes ficarão visı́veis. É possı́vel desligar chamadas, sendo necessário clicar duas vezes em cima da extensão que a está a fazer ou receber e inserir a password que está definida na IPBrick. • Transferência de chamada: Drag and drop o telefone activo; • Terminar Chamada: Duplo clique num telefone; • Gerar Chamada: Drag and drop o telefone; No ecrã surgem todos os telefones, rotas, interfaces, etc que estão registados na IPBrick Ṅo entanto existem diferenças, se o telefone tiver um endereço IP visı́vel, significa que o mesmo está activo, caso contrário está desactivado. Se o telefone estiver representado a vermelho, significa que está a decorrer uma chamada e é indicado a duração da mesma. Manual Referência- Versão 5.2 iPortalMais - 2010 4.9 VoIP 4.9.5 153 Gestão de Rotas Para possibilitar que a IPBrick realize encaminhamento de chamadas entre as várias interfaces de rede, torna-se necessário a definição de rotas especı́ficas de acordo com a numeração telefónica. Como se pode verificar na Figura 4.84 existem estes tipos de rotas: • As Rotas Locais: Todos os interfaces locais disponı́veis na IPBrick por omissão; • Rotas de Saı́da para servidores SIP: Representa all the outbound routes, so it will be possible to make calls using SIP/IAX accounts; • Lista de Servidores SIP para Registo: Permite receber chamadas para números SIP associados a contas SIP; Figura 4.84: VoIP - Gestão de Rotas Rotas Locais As Rotas Locais (Figura 4.85) permitem configurar uma interligação entre a LAN, PSTN, o PBX ou a INTERNET. As opções possı́veis por pré-definição são: • PSTN -> LAN: Permite encaminhamento de chamadas do operador da rede telefónica para os telefones VoIP da rede local; • PBX -> LAN: Permite encaminhamento de chamadas entre os telefones ligados à central e os telefones VoIP da rede local; • LAN -> PBX: Permite encaminhamento de chamadas dos telefones VoIP na rede local para os telefones da central PBX; iPortalMais - 2010 Manual Referência- Versão 5.2 154 IPBrick.C • LAN -> PSTN: Permite encaminhamento de chamadas VoIP da rede local para a rede do operador telefónico; • INTERNET -> PBX: Permite aceitar chamadas VoIP vindas da Internet e encaminhá-las para a central; • INTERNET -> PSTN: Permite aceitar chamadas VoIP vindas da Internet e encaminhá-las para a rede do operador telefónico; • PBX -> PSTN: Permite encaminhamento de chamadas da central telefónica para a rede fixa. Se existirem outros interfaces configurados, poderão ser adicionados à lista de rotas, sendo para isso necessário clicar na ligação Rotas Locais Disponı́veis (Figura 4.85) e depois adicionar as rotas necessárias. Figura 4.85: VoIP - Rotas Locais A ligação Inserir no Menu Topo permite inserir uma das rotas referidas. Após inserir, cada tipo de rota possui uma ligação que a permite configurar. Ao aceder a esta interface é possı́vel escolher uma destas opções: • Voltar • Alterar: Para alterar o tipo de rota local; • Apagar: Remove esta rota local; • Inserir: Permite adicionar os prefixos que devem ser associados a esta rota. Ao indicar um prefixo, todas as chamadas cujos dı́gitos iniciais coincidam com este, são encaminhadas por esta rota. Ao escolher Opç~ oes Avançadas teremos as seguintes opções (Figura ??): – Prefixo: O prefixo numérico a utilizar para fazer as chamadas usando essa rota; – Incluir prefixo no endereço Se for pretendido manter o prefixo indicado quando a chamada for encaminhada, é necessário seleccionar Sim. Caso contrário, manter a opção N~ ao. Exemplo: Para permitir o Manual Referência- Versão 5.2 iPortalMais - 2010 4.9 VoIP 155 uso do número 6 para encaminhar a chamada para a rede PSTN Portuguesa, é necessário remover este prefixo de forma que o número se mantenha no formato correcto (o formato 2XXXXXXXX em vez de 62XXXXXXXX). – Prefixo Pós-routing é possı́vel indicar o prefixo a ser adicionado ao prefixo anterior, depois do número marcado no telefone. – Restriç~ ao de ID do Chamador: Irá restringir a rota apenas para os IDs listados; – Rotas Fallback é possı́vel definir encaminhamentos de recurso, caso a presente rota esteja com problemas. – Gerar toque local: irá gerar um toque local. Pode ser usado quando o toque não pode ser gerado telefone de destino; – Prioridade: Definir o nı́vel de prioridade do prefixo. Rotas de Saı́da Esta opção torna possı́vel configurar quais das chamadas serão direccionadas a um servidor SIP que ficará responsável por encaminha-las para o seu destino (Figura ??). Este reencaminhamento é efectuado através de prefixos que poderão ser inseridos clicando no nome da rota e depois no link Inserir por cima da tabela de prefixos. Para alterar ou remover uma rota basta clicar no seu nome e depois na ligação Alterar ou Apagar respectivamente. Para adicionar uma nova rota se saı́da clique em Inserir. As Opç~ oes Básicas são: • Tipo: Tipo do protocolo de sinalização a usar: Poderá ser SIP, SIP com TLS ou IAX; • Nome: Outbound server name; • Endereço do Servidor: Server IP/name address; • Autenticaç~ ao: Se for necessário fazer autenticação no servidor deverá escolher a opção User/Password e preencher os campos com o nome dos utilizadores e a respectiva password; • Porta Servidor: Porta do servidor a usar; • Suporte de Vı́deo: Se o servidor VoIP suporta vı́deo, pode activar esta opção; • Caller identifier: Outbound caller ID masking; • Registration realm: Realm is usually the SIP server FQDN but some SIP servers have different server address and registration realm; • Outbound proxy: Usually not used but is a server that passes the SIP messages between the SIP client and the SIP proxy server; iPortalMais - 2010 Manual Referência- Versão 5.2 156 IPBrick.C • Disponı́vel para a internet: Com esta opção seleccionada, a rota estará disponı́vel para telefones VoIP fora da LAN; • Sinalizaç~ ao simétrica: Permite definir se a sinalização é enviada e recebida pela mesma porta (porta 5060); • Activar pesquisa ENUM: Permitir que a IPBrick faça procura por ENUM.23 • Tipo de DTMF: O tipo de DTMF24 a utilizar. Opções: RFC2833 (default), Inband, Info e Auto; • Limite de Chamadas: Número de possı́veis chamadas em simultâneo usanda a rota, poderá ser útil para controlo de largura de banda. Com o valor 0 podemos desactivá-la; O proxy RTP é uma funcionalidade fornecida pela IPBrick e que permite intermediar todo o fluxo de pacotes RTP entre dois terminais VoIP (ou User agents na terminologia SIP). É utilizado para transposição de NAT, ou seja, quando algum terminal de VoIP está ”atrás”de um NAT. Os prefixos inseridos nesta rota estarão disponı́veis automaticamente para os telefones SIP e para os telefones ligados ao PBX. Se existirem interfaces adicionais e for pretendido utilizar uma rota SIP, é necessário adicionar a rota INTERFACE->INTERNET (por exemplo PBX1->INTERNET ou GSM->INTERNET), incluir nessa rota um prefixo igual ao da rota para o servidor SIP e incluir o prefixo (na opção Incluir prefixo escolher Sim). Lista de servidores SIP para registo Aqui é possı́vel visualizar a lista de endereços SIP25 já configurados (Figura 4.86). Ao Inserir um novo, a página gerada pede os seguintes dados: • Nome: Nome do servidor; • Endereço do servidor SIP: endereço IP ou nome do servidor SIP; Após os dados terem sido inseridos, é necessário clicar no botão Inserir para confirmar a inserção do endereço. O próximo passo é registar as contas no servidor SIP local. Ao clicar em Inserir temos a s seguintes opções: • Login: SIP account login. Normally it’s the nomadic SIP number; • Authentication user: Usually the same as the login; • Password: SIP account password; • Local: Telefone interno que irá receber as chamadas provenientes da Internet para esse número nómada. 23 Conjunto de protocolos que tem como objectivo a associação da numeração telefónica a um novo registo no DNS. Deste modo um número de telefone irá corresponder a um SIP address 24 Dual-tone multi-frequency 25 Session Initiation Protocol Manual Referência- Versão 5.2 iPortalMais - 2010 4.10 IM 157 Figura 4.86: VoIP - Servidor SIP para registo 4.9.6 Música em Espera Nesta secção (Figura 4.87) é possı́vel ver a lista de músicas que serão ouvidas caso a chamada esteja em espera. É também possı́vel adicionar mais ficheiros mp3 à lista clicando para isso na ligação Inserir e depois de procurar a localização do ficheiro de música (clicando no botão Browse...) escrever uma pequena descrição do mesmo no campo Nome. Para adicionar o mp3 depois de todos os campos preenchidos, clica-se no botão Inserir. Pode-se também remover ou modificar as músicas da lista carregando no nome da música e carregando em Alterar ou Apagar. Figura 4.87: VoIP - Música em Espera 4.10 IM O IM (Instant Messaging) é um serviço que permite a troca de mensagens de texto, entre outros serviços paralelos, quase em tempo-real. O servidor IM da IPBrick é o ejabberd, um servidor IM baseado no protocolo Jabber (XMPP). Com este servidor é possı́vel comunicar usando o protocolo Jabber e o protocolo MSN, com um controlo de acesso a quais os utilizadores MSN com que se pode comunicar, bloqueando, por defeito, o acesso a este protocolo por meio de clientes MSN, bem como por meio de ”Web Chat”. iPortalMais - 2010 Manual Referência- Versão 5.2 158 4.10.1 IPBrick.C Activação / Desactivação do servidor IM Activar Mensagens Instantâneas Alterar (Figura 4.88): • Não: O servidor ejabberd está parado e todas as comunicações para a rede MSN estão desbloqueadas para a LAN. • Sim: O servidor ejabberd está a correr. O acesso total à rede MSN de mensagens instantâneas está bloqueado. Os programas clientes de IM da rede MSN serão bloqueados (Figura 4.89) tal como os sites de ”chats”pelo rede MSN, como podemos ver em Firewall - (Figura 5.16); Quando o servidor de mensagens intantâneas está activo, as seguintes funcionalidades estarão disponı́veis: • Lista de utilizadores MSN autorizados do IPBrick Contacts: – Inserir: Clicando nas ”checkboxes”pode escolher os contactos MSN, do ”site”IPBrick Contacts, que serão contactáveis através do servidor de mensagens instantâneas – Apagar: Clicando nas ”checkboxes”pode escolher os contactos MSN, do ”site”IPBrick Contacts, que pretende que não sejam contactáveis através do servidor de mensagens instantâneas. • Lista de utilizadores MSN autorizados: – Alterar: Adicionar, um por linha, os contactos MSN que pretende que sejam contactáveis através do servidor de mensagens instantâneas. Todos os utilizadores conectados ao servidor poderão apenas comunicar com os contactos MSN autorizados. Para remover a autorização basta apagar o contacto da caixa de texto. Figura 4.88: Activação do servidor de mensagens instantâneas Manual Referência- Versão 5.2 iPortalMais - 2010 4.10 IM 159 Figura 4.89: Bloqueando aplicações MSN Figura 4.90: Sites Web Messenger bloqueando na firewall iPortalMais - 2010 Manual Referência- Versão 5.2 160 Manual Referência- Versão 5.2 IPBrick.C iPortalMais - 2010 Capı́tulo 5 Configurações Avançadas Os menus existentes neste capı́tulo permitem realizar configurações de vários serviços. A organização deste capı́tulo é a seguinte: • IPBrick; • Telefonia; • Rede; • Serviços de Suporte; • Configurações; • Recuperação de desastre. 5.1 5.1.1 IPBrick Definições Nesta secção é possı́vel definir algumas das configurações essenciais do servidor IPBrick. Definições do Domı́nio Este menu permite configurar o nome (hostname) e o domı́nio de DNS do servidor. O nome completo da máquina é designado por Fully Qualified Domain Name (FQDN) e é composto pelo nome seguido do domı́nio de DNS. Por exemplo, se o hostname for ipbrick e o dominio de DNS for empresa.pt o FQDN será ”ipbrick.empresa.pt”. Para alterar estas definições, é necessário clicar em Alterar. iPortalMais - 2010 Manual Referência- Versão 5.2 162 Configurações Avançadas Definições da rede Em Definiç~ oes da Rede, é possı́vel configurar as seguintes propriedades das interfaces de rede: • Interface: Nome da placa; • Tipo: Privada (para a eth0) ou pública para as outras; • Modo: O modo da placa pode ser estática ou no caso das públicas é possı́vel configura-las como dinâmicas, para assim actuar como cliente DHCP; • IP: Endereço de IP da placa com a correspondente máscara de rede; • Rede: Endereço de rede; • Broadcast: Network broadcast IP; • Agregar placas de rede: Se algumas placas adicionais estiverem disponı́veis, o bonding de ethernet pode ser configurado; • Endereço MAC: Endereço fı́sico da placa. O parâmetro Estado irá visualizar o estado fı́sico da ligação: • Verde: A ligação está OK; • Vermelho: A ligação está INACTIVA; A opção Alterar irá mudar estes parâmetros. A opção Inserir irá adicionar um novo endereço IP alternativo para o interface. Exemplo: eth0:1, eth0:2. No caso da IPBrick funcionar como um servidor de Intranet (IPBrick.I ) apenas é necessário configurar a interface privada. Neste caso, a interface pública pode ficar com as configurações por defeito e não deve ter um cabo de rede ligado. Se o servidor tem mais placas de rede (ETH2, ETH3...), elas são listadas como privadas mas nenhuma regra serão adicionadas automaticamente à firewall. Isto significa que todo o tráfico para essas novas placas será negado. Se a IPBrick funcionar como um servidor de Comunicações (IPBrick.C ) ou se acumular as funções de Intranet e de Comunicações (IPBrick.I + IPBrick.C ), é necessário configurar as duas interfaces de rede (nestas duas situações, o servidor onde foi instalada a IPBrick, deverá ter duas placas de rede). Para alterar as definições das interfaces de rede, é necessário clicar em ETH0 ou em ETH1. A opção agregação (bonding) de placas de rede pode proporcionar uma solução de failover (redundância), balançeamento de carga e aumento da velocidade de ligação. Para obter bons resultados em bonding, o switch onde as placas de rede são ligadas deve suportar o standard da ligação Dinâmica IEEE 802.3ad (Figura 5.2). Em termos de configuração deverão ser seguidos estes passos: Manual Referência- Versão 5.2 iPortalMais - 2010 5.1 IPBrick 163 • Ter um interface (ex.: eth2) presente mas ainda não configurado; • Clicar na placa a agregar (ex.: eth0) e escolher agregar placas de interface de rede; • Escolher os endereços MAC do NIC dos interfaces eth0 e eth2; • Clicar em Alterar, assim o eth0 será agregado com o eth2 e tornar-se-ão num só interface - eth0. Nota: A interface privada é a primeira placa de rede que a IPBrick detecta no servidor onde foi instalada. Se o servidor tiver uma segunda placa de rede, esta será configurada como interface pública. A firewall está já pré-configurada com regras especı́ficas para reconhecer a ETH0 como interface privada e a ETH1 como interface pública. Se o servidor tiver mais placas de rede (ETH2, ETH3...) elas vão ser consideradas sempre como privadas. Nota:Os endereços fı́sicos das placas de rede (MAC address) devem sempre ser associados a cada uma das interfaces de rede. Deste modo garante-se que se a máquina tiver que reiniciar nunca existirá uma troca dos interfaces nas placas de rede. Rota por defeito Este menu permite definir a gateway da IPBrick. Se a IPBrick funcionar como um servidor de Intranet (IPBrick.I ), o endereço a colocar neste campo é o endereço do equipamento que faz o acesso à Internet. Este equipamento poderá ser, por exemplo, uma IPBrick de Comunicações ou um router. O endereço IP da gateway terá de ser um endereço da mesma rede IP configurada na interface privada, a ETH0. Por exemplo, se a interface privada tiver o endereço IP 192.168.1.1, o endereço IP da gateway terá de ser 192.168.1.x. A interface a escolher para configurar a gateway é a ETH0. Se a IPBrick funcionar como um servidor de Comunicações (IPBrick.C ) ou se acumular as funções de Intranet e de Comunicações (IPBrick.I + IPBrick.C ), o endereço a colocar neste campo é o endereço interno do equipamento que faz o acesso à Internet, por exemplo, um router. Neste caso, o endereço IP da gateway terá de ser um endereço da mesma rede IP configurada na interface pública, a ETH1. A interface a escolher para configurar a gateway é a ETH1. Para alterar a definição da Gateway, é necessário clicar em Alterar. Pode ver um exemplo na Figura 5.1. 5.1.2 Informações Sistema Como pode ser visto na Figura 5.3, aqui são dadas informações cruciais sobre o sistema, tal como: Utilização da rede, informações do hardware, utilização da memória ou sistemas de arquivo montados. iPortalMais - 2010 Manual Referência- Versão 5.2 164 Configurações Avançadas Figura 5.1: Configurações Avançadas da IPBrick Figura 5.2: Configurações Avançadas - Bonding 5.1.3 Acesso WEB Esta secção permite fazer a gestão de acessos e licenças da IPBrick (Figura 5.5). Definições do Acesso • Login: admin • Password: 123456 O login admin e respectiva password dizem respeito, única e exclusivamente, à autenticação a utilizar para aceder à IPBrick pela interface web e ambos podem ser alterados. Para serem alterados é necessário clicar em Alterar. ⇒ Nota: Ao contrário do utilizador Administrator, este login administrador não tem uma área de trabalho criada na IPBrick. Definição do idioma A IPBrick está actualmente disponı́vel em 5 lı́nguas: Manual Referência- Versão 5.2 iPortalMais - 2010 5.1 IPBrick 165 Figura 5.3: Configurações Avançadas - Informação de Sistema - 1/2 • Português; • Inglês; • Espanhol; • Francês; • Alemão. Esta secção permite alterar o idioma da IPBrick. Para realizar essa alteração: • Clicar em Alterar; • Seleccionar o idioma pretendido; • Clicar em Aplicar Configuraç~ oes para que as alterações se tornem efectivas. Acesso WEB externo Para ser possı́vel aceder à interface de configuração da IPBrick através da Internet (Acesso Web Externo), é necessário clicar em Alterar e escolher SIM (Figura 5.5). Para que o acesso à interface web da IPBrick a partir da Internet seja mesmo uma realidade torna-se também indispensável fazer o seguinte: iPortalMais - 2010 Manual Referência- Versão 5.2 166 Configurações Avançadas Figura 5.4: Configurações Avançadas - Informação de Sistema - 2/2 • Activar o serviço HTTPS para a Internet, o que pode ser feito a partir do menu IPBrick.C -> Firewall -> Serviços Disponı́veis e no estado do serviço HTTPS colocar o estado como activo; • Caso a IPBrick esteja ligada à interface interna do router (sem IP público) é necessário no router fazer DNAT da porta usada pelo serviço HTTPS, nomeadamente a 443; Licença IPBrick Esta secção é sobre o processo de licenciamento IPBrick. Ao instalar a IPBrick, obterá uma licença experimental de 30 dias de utilização. Quando esta licença expirar, o servidor é reconfigurado automaticamente para as configurações base. A solução é instalar uma licença permanente. Para instalar uma licença permanente é necessário clicar na opção Descarregar a identificaç~ ao do servidor para criação de licença e enviar o file.dat para [email protected] pedindo a activação da licença. Precisa de especificar esta informação: • Nome da empresa; Manual Referência- Versão 5.2 iPortalMais - 2010 5.1 IPBrick 167 Figura 5.5: Configurações Avançadas - Acesso Web Figura 5.6: Idioma • Alguma informação sobre o tipo de servidor IPBrick (Intranet, Comunicação ou servidor VoIP); Depois de receber a resposta (com um ficheiro em anexo) do [email protected], é preciso seleccionar a opção Cancelar Licença Temporária na página criada, inserir o ficheiro recebido (será licence.dat), e a licença tornar-se-á permanente. 5.1.4 Autenticação A partir do momento em que um utilizador é criado na IPBrick, existirá um registo na base de dados do servidor de autenticação - LDAP1 . O LDAP é definido como um serviço de directório onde é guardada a informação relativa aos recursos informáticos da empresa e seus utilizadores. Sempre que um utilizador pretender autenticar-se num determinado serviço com o seu username e password, é feita uma consulta à base de dados LDAP da IPBrick para efectivamente validar ou não 1 Lightweight Directory Access Protocol iPortalMais - 2010 Manual Referência- Versão 5.2 168 Configurações Avançadas o acesso. Alterar A IPBrick permite vários modos de autenticação, estando por defeito configurada para todos os utilizadores se autenticarem na própria IPBrick (Figura 5.7). • Master IPBrick: Modo pré-definido. Todos os serviços no servidor utilizam o servidor LDAP para autenticação. • Secondary Master IPBrick: Usado apenas sob licença de Alta Disponibilidade. Por favor consulte o Anexo E deste documento para mais detalhes. • Slave IPBrick: O servidor LDAP será uma réplica sincronizada do servidor IPBrick Master indicado, sendo este modo usado num cenário com vários servidores. Os utilizadores podem autenticar-se neste servidor, uma vez que há uma sincronização temporizada da base de dados LDAP com o Master IPBrick, não havendo no entanto a possibilidade de adicionar utilizadores. Em redes com elevado número de utilizadores onde existem muitas autenticações, torna-se útil o uso de servidores de autenticação slave evitando assim um congestionamento no segmento de rede da IPBrick Master. Este cenário é igualmente de grande utilidade em redes geograficamente distribuı́das (Figura 5.8); • Cliente IPBrick: Os serviços autenticam remotamente no servidor LDAP IPBrick indicado. Neste caso não há qualquer cópia da base de dados localmente, sendo necessário especificar qual o servidor IPBrick Master/Slave. Normalmente este modo de autenticação é usado numa IPBrick.C no âmbito dos serviços VPN, PPTP e Proxy (Figura 5.9); • Cliente Netbios: Torna possı́vel à IPBrick fazer parte de um domı́nio gerido por um servidor pré Windows 200x a utilizar o protocolo NetBIOS. Numa rede deste género, os utilizadores continuam a autenticar-se normalmente na máquina Windows. • Membro de um domı́nio AD (Master IPBrick): A IPBrick neste caso é membro de um domı́nio gerido por um servidor Windows Active Directory. Os utilizadores da rede necessitam, como sempre, de se autenticarem no AD. • Membro de um domı́nio AD (Slave IPBrick): Neste caso a IPBrick Slave também vai ser membro do domı́nio AD, agindo como servidor IPBrick secundário. O uso de Slave’s IPBrick como membro do domı́no AD pode ser particularmente útil no caso de servidores de mail secundários, implicando sempre a existência de um outro servidor IPBrick configurado como membro do domı́nio AD - Master IPBrick. Manual Referência- Versão 5.2 iPortalMais - 2010 5.1 IPBrick 169 ! Atenção: Após alterar o modo de autenticação da IPBrick, ao Aplicar Configuraç~ oes, a IPBrick reiniciar-se-á automaticamente. NOTA: Numa IPBrick Slave/Cliente, o virtualhost do MyIPBrick será automaticamente configurado com o proxy inverso ao Master IPBrick. Figura 5.7: Configurações Avançadas - Modos de Autenticação Figura 5.8: Configurações Avançadas - Autenticação - IPBrick Slave Filesystem Distribuida Os utilizadores podem ser fisicamente distribuı́dos pelos servidores Master/Slave. Entretanto o sistema de informação centralizado - LDAP - tem a informação sobre a localização fisica de cada conta. Um serviço de NFS (Network File System) disponibiliza as contas dos utilizadores via rede. O serviço Automount combina a informação do LDAP com o NFS e disponibiliza automaticamente as contas dos utilizadores virtualmente em qualquer servidor Master/Slave. A IPBrick permite a integração com servidores de autenticação a correr sistemas operativos Windows, nomeadamente máquinas pré Windows 200x (autenticação NetBIOS) e máquinas pós Windows 200x (autenticação via Active Directory). Automount O LDAP é um serviço de directório onde é guardada a informação relevante de uma empresa: Utilizadores, recursos informáticos, contactos, etc. O serviço Automount combina a informação do LDAP com o NFS e disponibiliza automaticamente as contas dos utilizadores virtualmente em qualquer servidor Master/Slave. iPortalMais - 2010 Manual Referência- Versão 5.2 170 Configurações Avançadas Figura 5.9: Configurações Avançadas - Autenticação - Cliente IPBrick No modo de autenticação Netbios, o servidor de autenticação não tem por base um serviço LDAP. Nesta configuração a IPBrick usa o seu próprio servidor LDAP como membro auxiliar para os demais serviços. No modo de autenticação membro do domı́nio AD, o servidor de autenticação é uma implementação de LDAP. Todos os serviços da IPBrick são configurados para usarem este servidor LDAP. No entanto é necessário extender a estrutura deste servidor LDAP para suportar os requisitos do servidor IPBrick, nomeadamente as credenciais UNIX/Linux e a informação de automount. NOTE: Em www.eshop.ipbrick.com - Downloads Documentaç~ ao Documentaç~ ao diversa existe um documento sobre a integração da IPBrick como membro de um domı́nio AD, assim como os ficheiros neessários para este processo (Terá de estar registado na nossa eshop para que a secção de Downloads esteja disponı́vel). Servidores Nesta opção todos os servidores registados no Master LDAP são apresentados por IP, FQDN e Tipo de Autenticação (Figura 5.10). Figura 5.10: Configurações Avançadas - Autenticação - Lista de Servidores Manual Referência- Versão 5.2 iPortalMais - 2010 5.2 Rede 5.1.5 171 Update Todos os updates disponı́veis na secção de Downloads da nossa eshop podem ser instalados a partir daqui. Basta clicar em Inserir, a seguir em Browse para escolher o ficheiro (.deb) e termine clicando no botão Inserir. Figura 5.11: Update 5.2 Rede Nesta secção iremos focar a nossa atenção nos serviços relacionados com a estrutura da rede da instituição. Aqui é possı́vel definir as regras personalizadas da firewall, indicar rotas para outras redes internas (ou externas), definir regras e prioridades no serviço de QoS2 assim como configuração para encaminhamento de serviços na firewall. 5.2.1 Firewall Esta secção trata da gestão da firewall da IPBrick. Na secção de firewall da IPBrick.C já foram apresentadas algumas regras pré-definidas que não podem ser alteradas pelo utilizador mas podem ser desactivadas. Entretanto, outras regras são exigidas pela configuração de alguns serviços. Apenas na secção Ordenar poderão ser em parte geridas pelo utilizador. Ainda assim, a IPBrick oferece ao seu administrador, esta interface avançada de gestão de firewall, onde é possı́vel definir uma série de regras com um nı́vel de personalização bastante elevado (Figura 5.12). Irá ter ligações para: 1. Inserir: Inserir novas regras em modo avançado; 2. Apagar: Apagar regras já inseridas pelo administrador de rede; 3. Ordenar: Interface de ordenamento de todas as regras presentes na firewall (Figura 5.16). Esta opção é particularmente importante quando são criadas novas regras. Isto porque as primeiras regras que a firewall faz matching são as que vão ser utilizadas. Face a isto é importante as regras mais especı́ficas estarem posicionadas no topo e as mais geralizadas em baixo. 2 Quality of Service iPortalMais - 2010 Manual Referência- Versão 5.2 172 Configurações Avançadas Figura 5.12: Rede - Firewall A inserção de novas regras pode ser de três tipos, a saber: • Regra DNAT: Permite redireccionar o tráfego que chega a um determinado porto para um outro porto/máquina pertencente à rede interna. A regra aqui é só para tráfico TCP (exemplo na Figura 5.15); • Restriç~ ao de uma máquina IP: Permite negar o acesso a um porto de determinada máquina na rede (exemplo na Figura 5.14); • Configuraç~ ao geral: Aqui é possı́vel adicionar uma nova regra totalmente personalizada (exemplo na Figura 5.13). Os campos são os seguintes: – Regra: INPUT: S~ ao os dados recebidos pela firewall e destinados à interface que os recebe, independentemente da origem destes; OUTPUT: Dados enviados pela firewall; FORWARD: Permite a passagem de tráfego de uma interface para outra; PREROUTING: Utilizado para alterar os pacotes IP que est~ ao a chegar à máquina, antes da decis~ ao de routing; POSTROUTING: Utilizado para alterar os pacotes IP que est~ ao a sair da máquina, após a decis~ ao de routing; – Interface: Deve escolher a qual interface deseja aplicar a regra; – Protocolo: Protocolo(s) ao(s) qual(ais) deseja aplicar a regra; – Módulo: Mostra a listagem de módulos iptables disponı́veis para utilização; – Ip Origem: Endereço ip de origem do pacote; Manual Referência- Versão 5.2 iPortalMais - 2010 5.2 Rede 173 – Porto Origem: Porto de origem do pacote; – Ip Destino: Endereço ip de destino do pacote; – Porto Destino: Porto de destino do pacote; – : Campo de 16 bits presente no pacote IP original sendo usado para identificação especı́fica do tipo de pacote a filtrar. Exemplos: ! --syn --state INVALID --state ESTABLISHED,RELATED --icmp-type echo-request – Polı́tica: ACEITAR: Para aceitar um pacote e deixá-lo passar as regras da firewall; DESCARTAR: N~ ao aceita o pacote, e este é eliminado; MARK: Permite guardar uma marca no pacote. Estas marcas podem depois ser utilizadas para tomadas de decis~ ao ao nı́vel do encaminhamento dos pacotes; LOG: Guarda um log de todos os pacotes que satisfaçam a regra. ∗ No caso de uso da regra PREROUTING existem as seguintes polı́ticas extra: REDIRECCIONAR: Utilizado para fazer o redireccionamento do tráfego que chega a um porto para uma outro porto; DNAT: Permite redireccionar o tráfego que chega a um determinado porto para uma outra máquina e porto pertencente à rede interna ∗ No caso de uso da regra POSTROUTING existem as seguintes polı́ticas extra: MASQUERADE: Permite modificar a origem do tráfego gerado num determinado ip:porto para o IP do interface de saı́da desejado SNAT: Permite modificar a origem do tráfego gerado numa determinado ip:porto para um outro ip:porto TCPMSS: Permite mudar o campo MSS (segmento máximo dos pacotes) do cabeçalho TCP. Apenas pode ser utilizado para pacotes TCP SYN ou SYN/ACK uma vez que o MSS apenas é negociado no inı́cio das conexç~ oes. Listagem de todas as regras controladas pelo utilizador (Figura 5.12). Uma regra pode ser alternada entre o seu estado Activo e Inactivo. Para eliminar regras, é necessário clicar em Apagar, seleccionar a regra ou regras iPortalMais - 2010 Manual Referência- Versão 5.2 174 Configurações Avançadas Figura 5.13: Rede - Firewall - Inserir Figura 5.14: Rede - Firewall - Desactivar Regra de Acesso que se deseja remover e clicar no botão Apagar. As regras que estão definidas por defeito não podem ser eliminadas podendo, no entanto, ser desactivadas bastando para isso clicar no estado da regra e mudar a opção para Desactivar. 5.2.2 Gestão de Rotas Quando numa instituição existirem várias redes distribuı́das e separadas por vários routers, se for pretendido que a IPBrick esteja acessı́vel a todas elas, é imperativo indicar aqui o caminho (rota) para essas redes (Figura 5.17). Estão presentes os seguintes campos: • Rede destino: Rede a aceder; • Máscara: Máscara da rede destino; • Interface: Interface da IPBrick com conectividade para a rede destino; • Gateway: IP do router/PC que tem conectividade com a rede destino. Manual Referência- Versão 5.2 iPortalMais - 2010 5.2 Rede 175 Figura 5.15: Rede - Firewall - Regra DNAT 5.2.3 QOS O serviço de QoS3 (Figura 5.18) presente na IPBrick permite personalizar nı́veis de prioridade de tráfego, orientados para a interface externa, garantindo assim um certo nı́vel de qualidade de serviço para o utilizador final. É importante desde logo indicar o valor da largura de banda disponı́vel na ligação para a internet. A partir destes dados conseguem-se estabelecer regras de prioridade entre os vários tipos de tráfego numa rede. Por exemplo: Ao invés da ligação à internet estar completamente ocupada pelo serviço de email, porque não limitar a largura de banda atribuı́da áquele serviço e garantir um mı́nimo para o tráfego web. Listagem das Interfaces Públicas disponı́veis (normalmente será só ETH1) e o estado do serviço para cada placa de rede. Clicando no estado permite transitar entre activo e inactivo. Clicando na placa de rede permite aceder ao formulário de gestão deste serviço (Figura 5.18). Em Configuraç~ oes genéricas (Figura 5.19) é possı́vel definir qual a largura de banda máxima permitida para download e upload. Na secção Estrutura existem três classes de prioridade definidas, cada uma delas já com filtros pré-definidos. É possı́vel definir novos filtros para cada classe de prioridade, especificando os seguintes campos: • Tipos de filtro: Do tipo ACK (confirmação de recepção de pacotes) ou Geral; • ToS4 : – Minimiza o atraso; – Maximiza o débito; – Maximiza a fiabilidade; – Minimiza o custo; 3 4 Quality of Service Type of Service iPortalMais - 2010 Manual Referência- Versão 5.2 176 Configurações Avançadas Figura 5.16: Rede - Firewall - Ordem Figura 5.17: Rede - Gestão de Rotas – Serviço normal. • Protocolo: Tipo de protocolo a aplicar no filtro; • IP origem; • Porto origem; • IP Destino; • Porto destino. A Classe de Prioridade 1 tem sempre prioridade máxima, sendo o tráfego definido na Classe de Prioridade 3, o menos prioritário. Manual Referência- Versão 5.2 iPortalMais - 2010 5.2 Rede 177 Figura 5.18: Rede - Gestão QoS Figura 5.19: Rede - QOS - Configurações Gerais 5.2.4 Encaminhamento de serviços A IPBrick permite encaminhar o tráfego respeitante aos vários serviços de rede para diferentes interfaces de saı́da. Isto é, um servidor de comunicações pode estar a encaminhar o tráfego SMTP para um determinado router do ISP e o tráfego WEB para um outro. A definição das gateways é feita através dos seguintes campos: • Nome: Tipicamente é dado o nome do novo acesso à internet; • Endereço IP: IP interno do router responsável por esse acesso - Gateway; • Etiqueta na firewall: Atribuı́da automaticamente. Após definido um Destino, é necessário adicionar regras especı́ficas na firewall de modo a que o encaminhamento de serviços seja uma realidade. Serão apresentados exemplos de configuração de firewall para: • Usar o novo acesso para enviar e receber email; • Usar o novo acesso para tráfego; Exemplo para serviço de email Neste caso, o novo acesso à Internet (eth2) será usado exclusivamente para tráfego relativo ao serviço de email (apenas porta 25). As regras a inserir serão as seguintes: Regra para mascarar tráfego de saı́da pela interface eth2: • Tipo: Configuração geral; iPortalMais - 2010 Manual Referência- Versão 5.2 178 Configurações Avançadas Figura 5.20: Rede - Encaminhamento de Serviços • Regra: POSTROUTING; • Interface: eth2; • Protocolo: ALL; • Módulo: Não preencher; • Ip Origem: Não preencher; • Porto Origem: Não preencher; • Ip Destino: Não preencher; • Porto Destino: Não preencher; • Identificador: Não preencher; • Polı́tica: SNAT; • Valor: IP da eth2 da IPBrick; Regra para aceitar tráfego para a porta 25: • Tipo: Configuração geral; • Regra: INPUT; • Interface: eth2; • Protocolo: TCP; • Módulo: Não preencher; • Ip Origem: Não preencher; • Porto Origem: Não preencher; • Ip Destino: Não preencher; • Porto Destino: 25; Manual Referência- Versão 5.2 iPortalMais - 2010 5.2 Rede 179 • Identificador: Não preencher; • Polı́tica: ACCEPT Regra para permitir as respostas para a porta 25 dos servidores de email: • Tipo: Configuração geral; • Regra: INPUT; • Interface: eth2; • Protocolo: TCP; • Módulo: Não preencher; • Ip Origem: Não preencher; • Porto Origem: 25; • Ip Destino: Não preencher; • Porto Destino: Não preencher; • Identificador: ! –syn; • Polı́tica: ACCEPT Regra para encaminhar tráfego com destino à porta 25 na Internet para a interface eth2: • Tipo: Configuração geral; • Regra: OUTPUT; • Interface: eth1; • Protocolo: TCP; • Módulo: Não preencher; • Ip Origem: Não preencher; • Porto Origem: Não preencher; • Ip Destino: ! IP da eth1; • Porto Destino: 25; • Identificador: Não preencher; • Polı́tica: MARK; • Valor: 1 (etiqueta da firewall); iPortalMais - 2010 Manual Referência- Versão 5.2 180 Configurações Avançadas Regra para encaminhar tráfego com origem na porta 25 da IPBrick para a interface eth2: • Tipo: Configuração geral; • Regra: OUTPUT; • Interface: eth1; • Protocolo: TCP; • Módulo: Não preencher; • Ip Origem: IP da eth2; • Porto Origem: 25; • Ip Destino: ! eth1 da IPBrick; • Porto Destino: Não preencher; • Identificador: Não preencher; • Polı́tica: MARK; • Valor: 1 (etiqueta da firewall); Exemplo para acesso à web Neste caso, o novo acesso à Internet (eth2) da IPBrick será usado para que o tráfego da LAN com destino à web seja desviado por este novo acesso. 1. Regra para mascarar o tráfego de saı́da para a interface eth2; • Tipo: Configuração geral; • Regra: POSTROUTING; • Interface: eth2; • Protocolo: ALL; • Módulo: Não Preencher; • IP de Origem: Não Preencher; • Porto Origem: Não Preencher; • IP de Destino: Não Preencher; • Porto Destino: Não Preencher; • Identificador: Não Preencher; • Polı́tica: SNAT; • Valor: eth2 IP; Manual Referência- Versão 5.2 iPortalMais - 2010 5.2 Rede 181 2. Regra para permitir as respostas do porto 80 pelos servidores web: • Tipo: Configuração geral; • Regra: INPUT; • Interface: eth2; • Protocolo: TCP; • Módulo: Não Preencher; • IP de Origem: Não Preencher; • Porto Origem: 80; • IP de Destino: Não Preencher; • Porto Destino: Não Preencher; • Identificador: ! --syn; • Polı́tica: ACCEPT 3. Regra para permitir as respostas para o porto 443 pelos servidores web: • Tipo: Configuração geral; • Regra: INPUT; • Interface: eth2; • Protocolo: TCP; • Módulo: Não Preencher; • IP de Origem: Não Preencher; • Porto Origem: 443; • IP de Destino: Não Preencher; • Porto Destino: Não Preencher; • Identificador: ! --syn; • Polı́tica: ACCEPT 4. Regra para encaminhar o tráfego com origem na LAN e com destino ao porta 80 na Internet (Só quando o proxy não for usado!) • Tipo: Configuração geral; • Regra: PREROUTING; • Interface: eth0; • Protocolo: TCP; • Módulo: Não Preencher; • IP de Origem: IP da LAN; • Porto Origem: Não Preencher; iPortalMais - 2010 Manual Referência- Versão 5.2 182 Configurações Avançadas • IP de Destino: ! eth1 IP; • Porto Destino: 80; • Identificador: Não Preencher; • Polı́tica: MARK; • Valor: 1 (etiqueta firewall); 5. Regra para encaminhar tráfego com origem na LAN e destinado ao porto 443 na Internet (Só quando o proxy não for usado!) • Tipo: Configuração geral; • Regra: PREROUTING; • Interface: eth0; • Protocolo: TCP; • Módulo: Não Preencher; • IP de Origem: LAN network; • Porto Origem: Não Preencher; • IP de Destino: ! IP eth1; • Porto Destino: 443; • Identificador: Não Preencher; • Polı́tica: MARK; • Valor: 1 (etiqueta firewall); 6. Regra para encaminhar o tráfego com origem numa máquina ligada à LAN através de VPN PPTP e com destino ao porto 80 na Internet (Só quando o proxy não for usado!) • Tipo: Configuração geral; • Regra: PREROUTING; • Interface: ppp+; • Protocolo: TCP; • Módulo: Não Preencher; • IP de Origem: IP LAN; • Porto Origem: Não Preencher; • IP de Destino: ! IP eth1; • Porto Destino: 80; • Identificador: Não Preencher; • Polı́tica: MARK; • Valor: 1 (etiqueta firewall); Manual Referência- Versão 5.2 iPortalMais - 2010 5.2 Rede 183 7. Regra para encaminhar tráfego com origem numa máquina ligada à LAN através de VPN PPTP e com destino ao porto 443 na Internet (Só quando o proxy não for usado!) • Tipo: Configuração geral; • Regra: PREROUTING; • Interface: ppp+; • Protocolo: TCP; • Módulo: Não Preencher; • IP de Origem: LAN IP; • Porto Origem: Não Preencher; • IP de Destino: ! eth1 IP; • Porto Destino: 443; • Identificador: Não Preencher; • Polı́tica: MARK; • Valor: 1 (etiqueta firewall); 8. Regras para encaminhar tráfego de saı́da web http para a eth2: • Tipo: Configuração geral; • Regra: OUTPUT; • Interface: eth1; • Protocolo: TCP; • Módulo: Não Preencher; • IP de Origem: IP eth1; • Porto Origem: Não Preencher; • IP de Destino: ! IP eth1; • Porto Destino: 80; • Identificador: Não Preencher; • Polı́tica: MARK; • Valor: 1 (etiqueta firewall); 9. Regras para encaminhar tráfego de saı́da web https para a eth2: • Tipo: Configuração geral; • Regra: OUTPUT; • Interface: eth1; • Protocolo: TCP; • Módulo: Não Preencher; iPortalMais - 2010 Manual Referência- Versão 5.2 184 Configurações Avançadas • IP de Origem: IP eth1; • Porta de Origem: Não Preencher; • IP de Destino: ! IP eth1; • Porto Destino: 443; • Identificador: Não Preencher; • Polı́tica: MARK; • Valor: 1 (etiqueta firewall); NOTA: Para encaminhar outros serviços para o novo acesso de internet (porta local e remota), a idéia será a mesma. 5.3 5.3.1 Serviços de Suporte LDAP Figura 5.21: Serviços de Suporte - LDAP Nesta secção é apresentada uma listagem das máquinas registadas no serviço LDAP da IPBrick. Para inserir uma nova máquina no domı́nio LDAP da IPBrick é necessário clicar em Inserir. É possı́vel também Alterar ou Apagar entradas LDAP. A inserção de máquinas no LDAP a partir daqui é útil, quando existem redes IP distintas da interface interna da IPBrick, uma vez que não há a necessidade de indicação do IP. Operações em Massa para Máquinas A caracterı́stica Exportar exportará todos os dados para um ficheiro .csv. A opção Operações em massa permite a importação de um ficheiro .csv. Pode editar um ficheiro .csv numa aplicação de folha de cálculo, escolhendo o ; para dividir as colunas. Ao fazer uma exportação podemos ver todos estes campos: • acç~ ao: Opções disponı́veis: – I: Para inserir um registo de máquina no LDAP; – U: Para actualizar um registo de máquina no LDAP; – D: Para apagar um registo de máquina no LDAP; • uidnumber: Campo LDAP que identifica os recursos. Normalmente máquinas que começam com UID 50000. Manual Referência- Versão 5.2 iPortalMais - 2010 5.3 Serviços de Suporte 185 • nome: Nome da máquina; Exemplo do conteúdo de um ficheiro .csv para a opção importação de operações em massa: acç~ ao;uidnumber;nome N;50000;pc01 N;50001;pc02 I;50002;pc03 I;50003;pc04 I;50004;pc05 5.3.2 DNS O DNS5 é um serviço de resolução de nomes que permite a tradução de nomes domı́nios em endereços IP e vice-versa, sendo implementado na IPBrick pelo software Bind usando a porta 53 UDP/TCP. A maior parte das queries consiste num simples pedido UDP por parte do cliente, seguido de uma resposta UDP do servidor. Existem duas situações onde é utilizado o protocolo TCP: Quando os dados a enviar pelo servidor excedem 512 bytes ou aquando de transferência de zonas. Alguns sistemas operativos (HP-UX por ex:), adoptam mesmo implementações de DNS usando sempre TCP, aumentando desde logo a fiabilidade. O serviço comporta-se como uma base de dados com informação sobre os nós de uma rede IP, sendo essa informação organizada em domı́nios. A notação usada representa o FQDN6 : servidor.empresa.regiao Sendo ”servidor.regiao”designado como o domı́nio, ”empresa”o sub-domı́nio e ”regiao”o domı́nio de topo (Top Level Domain), que é administrado por uma entidade denominada ICANN7 . Um servidor de DNS gere uma base de dados sobre determinada parte do domı́nio, o que normalmente se designa por zona, existindo dois tipos de servidores: • master: Obtém os dados da zona que gere a partir da sua própria base de dados; • slave: Obtém os dados a partir do primary master, podendo existir um ou vários numa rede. Sempre que existem alterações na configuração das zonas servidas pelo master, este servidor é sempre notificado procedendo de seguida à actualização das bases de dados. Assim podemos ter servidores DNS masters, também chamados de primários, e servidores DNS slaves conhecidos também por secundários. Independentemente de numa zona serem master ou slave, um servidor pode ter vários fins: 5 Domain Name System Fully Qualified Domain Name 7 Internet Corporation For Assigned Names and Numbers 6 iPortalMais - 2010 Manual Referência- Versão 5.2 186 Configurações Avançadas • Servidor DNS interno: Um servidor DNS interno (master ou slave) serve domı́nios privados e resolve nomes em IPs também privados. Estes residem dentro da LAN e normalmente o serviço corre no mesmo servidor do PDC. Exemplo: pc01.domain.com -¿ 192.168.0.25. No contexto IPBrick, ele será um servidor IPBrick.I; • Servidor DNS público: Um servidor DNS (master ou slave) serve apenas domı́nios públicos e resolve nomes em IPs públicos que são bem conhecidos na Internet. Eles podem residir na DMZ da rede da organização, mas normalmente o servidor DNS público de um domı́nio é gerido pelo ISP ou outro firma host na Internet. Exemplo: www.ipbrick.com -¿ 80.251.163.69. No contexto IPBrick, uma IPBrick.C/KAV/GT pode ser o servidor público de um domı́nio. Não é uma boa polı́tica ter um servidor único a gerir o mesmo domı́nio com registos internos e públicos. O servidor de DNS permite também a resolução de nomes em modo inverso, isto é, a partir de um determinado endereço IP responder com o nome - FQDN. Este mecanismo permite então confirmar a autenticidade de um endereço IP, aspecto importante no caso do serviço de email. Domı́nios Esta é a principal secção de configuração do DNS. Aqui é possı́vel gerir os domı́nios servidos pela máquina e os seus respectivos registos de DNS, como: máquinas, endereços alternativos, registos MX etc. Por omissão, são apresentadas as seguintes zonas: • Zona de Resolução Directa: Este tipo de zonas têm o mapeamento nome -¿ endereço de IP e são os mais utilizados. Por omissão a IPBrick serve a zona de resolução directa domain.com; • Zona de Resolução Inversa: Este tipo de zonas podem mapear endereços IP -¿ nomes e são principalmente utilizados por servidores de email públicos para verificação de autenticidade. Por omissão a IPBrick serve a zona de resolução indirecta 192.168.69.0/24; Pode aceder à interface de gestão destas zonas ao clicar no seu nome. (Figura 5.25 and Figura 5.26) Ao clicar no link Inserir um novo domı́nio será servido pela IPBrick (Figura 5.22) Inserir uma nova Zona A ligação para Voltar permite-lhe regressar à listagem anterior e assim cancelar a inserção de uma nova zona. No formulário de registo de zonas de resolução directa e/ou inversa, os campos apresentados são: Manual Referência- Versão 5.2 iPortalMais - 2010 5.3 Serviços de Suporte 187 1. Domı́nio: Denominação do novo registo, ex.: empresa.pt; porto.empresa.pt; acme.inc; 2. Rede: O IP de rede associado no qual irá criar registos. É usado apenas para registos de nomes inversos (PTR8 ); 3. Tipo de zona: Permite criar uma zona primária ou secundária. Uma zona secundária é uma cópia duma zona primária definida noutro servidor de DNS; 4. Servidor: Nome da máquina onde este domı́nio será servido9 (ex.: ipbrick.domain.com). (Este campo só se aplica se a zona for do tipo primária); 5. Email do responsável: Na DNS este é o mail registado do responsável técnico deste domı́nio. (Este campo só se aplica se a zona for do tipo primária); 6. Tempo de refrescagem: Intervalo de tempo que um secundário deve usar para verificar se houve alterações no primário. (Este campo só se aplica se a zona for do tipo primária); 7. Tempo entre novas tentativas: Perı́odo de tempo que um secundário deve esperar para voltar a contactar o primário caso não o tenha conseguido na última tentativa de refrescagem. (Este campo só se aplica se a zona for do tipo primária); 8. Tempo de expiraç~ ao: Perı́odo de tempo desde a última tentativa de refrescagem efectuada com sucesso que um secundário deve considerar os dados da zona válidos. (Este campo só se aplica se a zona for do tipo primária); 9. Validade por defeito: Perı́odo de tempo que os outros servidores de DNS devem considerar os dados desta zona válidos. (Este campo só se aplica se a zona for do tipo primária); 10. Visı́vel em gest~ ao de maquinas: Se seleccionada, todas estas definições irão aparecer também na gestão de domı́nios. Se a idéia é criar uma sub-zona estes são os passos necessários (Exemplo: porto.companhiax.com): • Inserir uma nova zona no menu. EM tipo de domı́nio digite porto.companhiax.com; • Aceda à gestão de dominio da zona principal companhiax.com e no nome do servidor insira: Domı́nio: porto.companhiax.com Servidor: ipbrick.domain.com (n~ ao necessita de mudar este campo) • Vá à gestão do domı́nio da sub-zona e comece a populá-la com (máquinas, endereços alternativos, registo MX...) 8 Pointer SOA - Start of Authority - Este é o registo na DNS ao qual é associado o servidor aqui indicado. 9 iPortalMais - 2010 Manual Referência- Versão 5.2 188 Configurações Avançadas Figura 5.22: Serviços de Suporte - DNS - Zonas de resolução de nomes Gestão de Domı́nios Para gerir um domı́nio basta clicar no seu nome na lista de zonas. Assim, nesta secção controlará todos os registos DNS de uma zona seleccionada. No topo existe um link para Voltar para a lista e o link Domı́nio que nos guiará para as definições de zona. Existe também uma lista de todos os possı́veis registos de DNS a configurar, cada um com um botão de Insert. Agora, iremos apresentar todos os registos supondo que estariamos gerir a zona de resolução directa domain.com: • Máquinas: Este é chamado de registo A (address record). É utilizado para mapear hostnames em IP’s. Ex.: pc01 ipbrick slave01 192.168.69.96 192.168.69.1 192.168.69.2 Assim, pc01.domain.com irá resolver em 192.168.69.199. De forma a associar o domı́nio base domain.com a um IP necessitará de inserir um registo de máquina como este: domain.com. 192.168.69.1 • Endereços Alternativos (Aliases): Conhecido por registo CNAME (canonical name record). É um nome alternativo para um registo de máquina existente (esta opção está só disponı́vel para uma zona de resolução directa). Ex.: webmail im contacts voip mailsrv2 ipbrick ipbrick ipbrick ipbrick slave01 Manual Referência- Versão 5.2 iPortalMais - 2010 5.3 Serviços de Suporte 189 • Servidor de Nomes: É o registo NS (name server record). Aqui gerimos a lista de servidores DNS para a zona. Se a zona tem servidores master e slave, o master deverá ter a informação definida aqui. Ex.: domain.com domain.com ipbrick.domain.com slave01.domain.com Vamos supor que a mesma IPBrick serve outra zona denominada de easylinux.com, a sua configuração deve ser: easylinux.com easylinux.com ipbrick.domain.com slave01.domain.com • Servidores de Correio: Um registo crucial, o MX record (mail exchange record) permite-nos dizer qual ou quais os servidores serão os servidores de correio para o presente domı́nio. Poderá ter vários registos cada um com valores internos positivos diferentes. Os valores indicam qual o registo a utilizar primeiro. O de menor valor é sempre o primeiro a ser utilizado. Os nomes a serem introduzidos aqui devem ser sempre o de FQDN do servidor de email (esta opção só está disponı́vel para uma zona de resolução directa). Ex.: 10 ipbrick.domain.com 20 mailsrv2.domain.com • Servidores VoIP: É um registo SRV (service locator) para novos protocolos, incluindo VoIP (SIP). O valor a ser introduzido aqui é o FQDN do servidor VoIP (esta opção só está disponı́vel para uma zona de resolução directa). Ex.: voip.domain.com • Servidor IM: É também um registo SRV, desta feita para o protocolo Jabber e por omissão o endereço é im.domain.com. O endereço alternativo im está também já pré-configurado; Os registos SRV para VoIP e IM são muito fáceis de configurar se a IPBrick for o servidor DNS, porque só teremos de digitar o FQDN do servidor. Se as zonas privadas/públicas forem geridas por servidores DNS diferentes e quisermos usar esses serviços na IPBrick precisaremos de especificar realmente todos os registos SRV que estão a ser usados e apontá-los para a IPBrick. Exemplo para VoIP: _sips._tcp.domain.com. _sip._tcp.domain.com. _sip._udp.domain.com. iPortalMais - 2010 IN IN IN SRV SRV SRV 1 1 1 0 0 0 5061 5060 5060 voip.domain.com. voip.domain.com. voip.domain.com. Manual Referência- Versão 5.2 190 Configurações Avançadas Exemplo para IM: _jabber._tcp.domain.com. 86400 IN SRV 5 0 5269 voip.domain.com. _xmpp-server._tcp.domain.com. 86400 IN SRV 5 0 5269 voip.domain.com. _xmpp-client._tcp.domain.com. 86400 IN SRV 5 0 5222 voip.domain.com. • Registos válidos para enviar correio (SPF): Neste campo podemos usar o SPF para especificar que registos são válidos para enviar correio. Assim, esta configuração será a resposta do servidor de correio da IPBrick aos servidores de correio externos a usar a protecção SPF. A configuração pode ser feita em Opções Básicas (Figura 5.23): – Servidores de correio registados: Os registos MX de domı́nio podem ser válidos (passar), inválidos (falhar) ou indefinidos (não estão presentes no registo TXT) – Computadores registados: Os registos A de domı́nio podem ser válidos, inválidos ou indefinidos; – Domı́nios: Outros domı́nios válidos (correspondem ao endereço da pessoa que envia); – Redes: Redes válidas da pessoa que envia; Tudo o resto é invalidado (mechanism -all). Figura 5.23: Serviços de Suporte - DNS - Opções Básicas SPF Depois da configuração das Opç~ oes Básicas, ao ir a Opç~ oes Avançadas visualizará o registo TXT. Aı́ é possı́vel editar directamente o TXT, assim podem ser usados outros mecanismos especı́ficos SPF e qualificadores (Figura 5.24). Manual Referência- Versão 5.2 iPortalMais - 2010 5.3 Serviços de Suporte 191 Figura 5.24: Serviços de Suporte - DNS - Opções Avançadas Exemplo de registo TXT: domain.com. IN TXT "v=spf1 a mx -all" Nessa configuração, se alguém na Internet pede a autenticidade do correio, só será válido o correio enviado pelo domı́nio MX e A. Todo o resto será inválido. Figura 5.25: Serviços de Suporte - DNS - Gestão de zonas 1/2 Operações em lote para o registo de máquinas O link Exportar exportará todos os dados para um ficheiro .csv. A opção Operações em Lote permite a importação de um ficheiro .csv. Pode editar um ficheiro .csv numa aplicação de folha de cálculo, escolhendo o ; para dividir as colunas. Ao fazer uma exportação podemos ver todos estes campos: iPortalMais - 2010 Manual Referência- Versão 5.2 192 Configurações Avançadas Figura 5.26: Serviços de Suporte - DNS - Gestão de zonas 2/2 • acção: Opções disponı́veis: – I: Para inserir um registo de máquina no DNS; – U: Para actualizar um registo de máquina no DNS; – D: Para apagar um registo de máquina no DNS; • idzone: Identificador de zona; • zonename: Nome da zona; • iddnsina: Identificador do registo; • nome: Nome do registo; • ip: IP do registo; • addtorev: Opçao par adicionar o registo ou não para a zona inversa DNS. Valor 1 sim, 0 não. Exemplo de um conteúdo de ficheiro .cvs para a opção importação de operações em lote: action;idzone;zonename;iddnsina;name;ip;addtorev N;1;domain.com;1;ipbrick;172.29.1.154;1 N;1;domain.com;2;pc2;172.29.1.32;1 Manual Referência- Versão 5.2 iPortalMais - 2010 5.3 Serviços de Suporte 193 Figura 5.27: Serviços de Suporte - DNS - Zona de Resolução Inversa I;1;domain.com;3;pc3;172.29.1.33;1 I;1;domain.com;4;pc4;172.29.1.34;1 Nota: As zonas privadas de resolução inversa podem existir nos servidores DNS da LAN, mas as zonas públicas de resolução inversa são mantidas em .arpa10 . A configuração dessas zonas públicas é feita nos servidores DNS do ISP, para que todos os IPs públicos possam ser mapeados para o respectivo FQDN. Este registo é chamado de PTR e revestem-se de grande importância, pois o número de servidores de email que fazem a verificação dessa zona de resolução inversa está a aumentar. Exemplo: Mapear o IP 195.23.45.33 com o nome ipbrick.companhiax.com fará com que o ISP insira o seguinte registo: 33.45.23.195.in-addr.arpa. IN PTR 195.23.45.33 Forwarders Quando o servidor de DNS recebe um pedido para um domı́nio que não está a servir, nem o tem em cache, deve ir procurar resolver esse pedido junto de outros servidores de DNS na internet. Os forwarders deverão ser os mais próximos, normalmente os servidores DNS do ISP. Se o campo Forwarders ficar vazio o DNS irá funcionar porque o servidor utilizará a gateway da internet para fazer uma busca DNS. Se na mesma rede existirem uma IPBrick.I e uma IPBrick.C, a IPBrick.I deverá ter o endereço da eth0 da IPBrick.C no campo forwarder. Poderá ver a interface mais apropriada para registar os servidores DNS mais próximos na Figura 5.28. 10 Internet Address and Routing Parameter Area iPortalMais - 2010 Manual Referência- Versão 5.2 194 Configurações Avançadas Figura 5.28: DNS - Forwarders Resolução de Nomes Independentemente do serviço DNS estar em execução ou não neste servidor, é possı́vel configurar este servidor para resolver os pedidos DNS num outro servidor que não o próprio. Esta configuração aplica-se a todos os serviços do servidor (excluı́ndo obviamente o serviço DNS, que utilizará os seus forwarders para os pedidos que não conhece). Para que o servidor utilize a sua própria DNS o campo de resolução de nomes deve continuar inalterável. IP do localhost 11 , 127.0.0.1. (Figura 5.29) Note que se a IPBrick não está a resolver no seu próprio serviço DNS e se não existirem máquinas a usar a IPBrick como servidor DNS ou como forwarder, o serviço não está a ser usado. Nesse caso todas as zonas apresentadas no submenu DNS - Domı́nios poderão até ser apagadas; Figura 5.29: DNS - Resolução de Nomes 5.3.3 DHCP O serviço de DHCP12 pode ser definido como um protocolo de atribuição dinâmica de parâmetros de configuração de rede a estações de trabalho (porta 67 e 68 UDP), sendo uma evolução do protocolo BOOTP. Basicamente um cliente DHCP envia um pacote broadcast para a rede a pedir um endereço IP, obtendo resposta caso haja algum servidor DHCP activo na rede. O servidor não só lhe atribui um IP como também: Máscara de rede, rota por defeito, servidor DNS e servidor WINS. O DHCP permite dois modos de atribuição de endereços IP: • Manual ou reserva de endereço: Existe uma associação entre o endereço MAC 11 12 Servidor local. Dynamic Host Configuration Protocol Manual Referência- Versão 5.2 iPortalMais - 2010 5.3 Serviços de Suporte 195 da máquina cliente e o endereço IP a fornecer, ficando essa máquina sempre com o mesmo endereço IP; • Dinâmica: O cliente obtem um endereço de uma gama de endereços definida previamente pelo administrador da IPBrick, durante um perı́odo de tempo definido; NOTA: Existe um mecanismo que permite ter o servidor de DHCP numa rede IP distinta dos clientes, este mecanismo é conhecido por DHCP relay. O DHCP relay é assegurado por um agente instalado no(s) posto(s) presente(s) na(s) rede(s) remota(s), este agente recebe os pedidos dos clientes DHCP e reencaminha-nos para o servidor DHCP configurado. Sub-Redes Aqui é possı́vel definir as sub-redes a serem servidas e os parâmetros das configurações de rede a atribuir às máquinas. (Figura 5.30) Figura 5.30: Serviços de Suporte - DHCP - Sub-Redes No topo da página encontrará o link Inserir que lhe permitirá adicionar novas sub-redes, configurar os parâmetros de Redund^ ancia e para definir as Opç~ oes Gerais a atribuir por omissão. (ver Figura 5.31) Figura 5.31: DHCP - Opções Gerais No corpo da página encontrará a listagem das sub-redes inseridas. Cada linha é um link para formulário de configuração das opções de configuração para a respectiva sub-rede. (ver Figura 5.32) iPortalMais - 2010 Manual Referência- Versão 5.2 196 Configurações Avançadas Figura 5.32: DHCP - Definições de Sub-Redes O link Inserir permite-lhe a inserção de parâmetros de subredes a serem atribuidas a clientes: • Endereço de rede: Permite indicar o endereço da rede e a máscara da mesma; • Gama de endereços din^ amicos: Qual a gama de endereços reservada para atribuir aos clientes; • Máscara Clientes: Máscara de rede a atribuir aos clientes; • Endereço de broadcast: Endereço de broadcast a atribuir aos clientes; • Default lease time: Perı́odo de tempo, por omissão, durante o qual o empréstimo do endereço é válido; • Max lease time: Tempo máximo de validade de um endereço IP para as máquinas. Ultrapassado esse valor, o endereço IP é renovado; • Option Router: Endereço do router/servidor que servirá como rota por defeito (por omissão 192.168.69.199); • Servidores DNS: Listagem (um por linha) dos servidores DNS a utilizar pelos clientes (por omissão ipbrick.domain.com) ; • Servidores NetBios: Listagem (um por linha) dos servidores NetBios a utilizar pelos clientes (por omissão ipbrick.domain.com); • Servidor de TFTP: Defina o servidor TFTP a ser usado pelos clientes DHCP. Pode ser usado, por exemplo, para o auto provisionamento de telefones IP; • Domı́nio DNS: Nome do domı́nio indicado aos clientes (por omissão domain.com). Manual Referência- Versão 5.2 iPortalMais - 2010 5.3 Serviços de Suporte 197 Permite a inserção de parâmetros gerais DHCP, que serão atribuidos por omissão aos clientes: • Domı́nio base: Domı́nio onde o servidor DHCP está a operar; • Servidores DNS: Servidores DNS a usar pelo servidor DHCP; • Servidores NetBios: Servidores NetBios a usar pelo servidor DHCP; • Máscara clientes: Máscara a usar pelos clientes do serviço DHCP; • Default lease time: Perı́odo de tempo por defeito durante o qual o ’empréstimo’ do endereço é válido para os clientes; • Max lease time: Tempo máximo de validade de um endereço IP para as máquinas. Ultrapassado esse valor, o endereço IP é renovado. Caso se pretenda a Actualizaç~ ao Din^ amica do DNS, é necessário escolher Sim na caixa respectiva. Esta funcionalidade é usada para actualizar dinamicamente um IP de máquina no registo DNS (se essa máquina não for registada com o endereço MAC) Redundância É possı́vel para uma rede IP configurar dois servidores DHCP, agindo um como servidor principal (primário) e o outro como secundário - em funcionamento normal apenas o servidor primário responde aos pedidos, enquanto que o secundário sincroniza a sua BD com o primário, em caso de falha do primário o secundário assume o serviço do primário. A comunicação entre servidores é efectuada a partir de portas de rede que podem ser personalizadas. Uma das portas estará à escuta de ligações do servidor secundário e outra estará à espera de ligações do servidor principal. (ver Figura 5.33) Menu Topo Ligações para Voltar e para Inserir uma nova ligação. São apresentados os seguintes campos na inserção de redundância a falha: • Nome: Nome da ligação redundante; • Configuraç~ ao: É dito aqui se o servidor em causa será o DHCP primário ou secundário; • IP local: Endereço IP interno do servidor; • Porta local: Porta local onde corre o serviço; • IP remoto: Endereço IP remoto do servidor do outro extremo; • Porta remota: Porta remota onde corre o serviço no outro extremo; iPortalMais - 2010 Manual Referência- Versão 5.2 198 Configurações Avançadas • Tempo de resposta máximo: Tempo máximo que o servidor de DHCP pode esperar por uma mensagem do outro peer. Esgotado esse tempo, o servidor assume que o outro falha e assume-se como servidor DHCP da rede; • Max Unpacked Updates: Número máximo de pacotes de update (BNDUPD) não confirmados que o servidor pode receber do outro peer. Figura 5.33: Redundância Máquinas Aqui poderá visualizar a listagem das máquinas registadas com o seu endereço MAC no serviço DHCP. O registo destas máquinas é efectuado através de Gest~ ao de Máquinas (ver secção 3.2, página 20) ou directamente nesta secção. Figura 5.34: DHCP - Máquinas Operações em Massa para Máquinas A caracterı́stica Exportar exportará todos os dados para um ficheiro .csv. A opção Operações em lote permite a importação de um ficheiro .csv. Pode editar um ficheiro .csv numa aplicação de folha de cálculo, escolhendo o ; para dividir as colunas. Ao fazer uma exportação podemos ver todos estes campos: • acç~ ao: Opções disponı́veis: – I: Para inserir uma máquina no DHCP; – U: Para actualizar uma máquina no DHCP; – D: Para apagar uma máquina no DHCP; Manual Referência- Versão 5.2 iPortalMais - 2010 5.3 Serviços de Suporte 199 • iddhcpmachine: Identificador de máquina DHCP; • nome: Nome da máquina; • ip: Endereço IP da máquina; • mac: Endereço MAC NIC da máquina; Exemplo de um conteúdo de ficheiro .cvs para a opção importação de operações em massa: acç~ ao;iddhcpmachine;nome;ip;mac N;1;maq1;172.29.1.66;AA:55:43:4A:AA:A1 I;2;maq1;172.29.1.67;AA:55:43:4A:AA:A2 I;3;maq1;172.29.1.68;AA:55:43:4A:AA:A3 5.3.4 ENUM O serviço ENUM13 permite o mapeamento de números de telefone (norma E.164) em nomes associados a endereços IP , fazendo uso de uma arquitectura baseada no serviço DNS. Esses nomes podem ser de protocolos SIP, H.323, Email etc. De forma a consultar o DNS, o ENUM faz a inversão dos números telefónicos colocando-lhes o prefixo e164.arpa. que é a raiz da árvore. Esta árvore é delegada para todos os paı́ses do mundo tendo em conta os seus códigos E.164. Desta forma, a delegação Portuguesa será o 351 invertido - 1.5.3.e164.arpa. Na IPBrick podem ser definidas as zonas ENUM onde irá ser feita a pesquisa. Para isso é necessário clicar na ligação Inserir e inserir o domı́nio da zona ENUM. Em Ordenar é possı́vel definir quais são as zonas prioritárias onde irá ser efectuada a pesquisa de números. Na Figura 5.35 pode ser visualizada uma listagem de zonas ENUM. Uma vez definida a lista de zonas ENUM onde pesquisar números, o ENUM poderá ser utilizado em rotas VoIP. De seguida é exemplificado um caso concreto: 1. Em IPBrick.C - VoIP - Gest~ ao de rotas, existe uma Rota de Saı́da para Servidores Sip - VoIPBuster. Aı́ é necessário activar a opção Activar Pesquisa Enum nas Definições de Rota; 2. Um determinado utilizador da rede faz uma chamada via SIP/PBX para o número +351 253 59 31 12; 3. Automaticamente é efectuada uma pesquisa nas zonas ENUM especificadas no presente menu para 2.1.1.3.9.5.3.5.2.1.5.3.e164.arpa, de modo a tentar obter correspondência desse número num determinado endereço IP/nome; 4. Supondo que a pesquisa resulta no endereço SIP [email protected], é efectuada uma chamada SIP para o endereço [email protected]; 13 Telephone Number Mapping iPortalMais - 2010 Manual Referência- Versão 5.2 200 Configurações Avançadas Figura 5.35: Serviços de suporte - ENUM 5.4 5.4.1 Recuperação de desastre Configurações Todas as configurações realizadas na IPBrick através da interface web são guardadas numa base de dados Postgres, de forma que, qualquer alteração realizada só se torna efectiva no sistema após realizar um Aplicar Configuraç~ oes. A IPBrick permite uma gestão de configurações eficaz onde sempre que são efectuadas alterações no sistema pela interface web https://, uma nova configuração é gravada localmente podendo ser armazenada automaticamente numa pen USB ou enviada para um endereço de email configurável. No nome do ficheiro de configuração consta a data e a hora exacta quando foi criada essa configuração. Deste modo caso exista algum problema na máquina é possı́vel recuperar as configurações já feitas. Existe uma configuração denominada de default que não é mais que a configuração base da IPBrick quando é instalada Clicando em Definiç~ oes são apresentados os seguintes campos que podem ser alterados ao clicar Alterar: • Endereço de correio electrónico: Endereço de email onde serão entregues as configurações podendo ser interno ou externo à rede, por omissão (backup.ipbrick@iporta • Assunto da mensagem: Por omissão [email protected]; • Corpo da mensagem: Por omissão está vazio. ! Atenção: Após a instalação da IPBrick deve colocar sempre uma pen USB ligada ao servidor; Repôr Nesta secção é apresentada uma listagem de todas as cópias guardadas na pen USB. Para repôr uma configuração, apenas é necessário efectuar um clique sobre a configuração pretendida e confirmar essa opção. (Figura 5.36) ⇒ Nota: Ao repôr uma cópia das configurações todos os serviços serão reconfigurados. Após a configuração de todos os serviços, a Manual Referência- Versão 5.2 iPortalMais - 2010 5.4 Recuperação de desastre 201 Figura 5.36: Repôr Configurações IPBrick irá reiniciar automaticamente. Quando o tipo de autenticação é IPBrick Master a substituição de configurações é feita normalmente, (a configuração é substituida e o servidor vai para reboot) mas quando o tipo de autenticação for outro, que não IPBrick Master, o processo assume duas etapas: • Primeira etapa: A IPBrick irá detectar se existe ou não conectividade com o master na altura da substituição das configurações. Se existir, a configuração é substituida e o servidor vai para reboot, terminando o processo de substituição. Se assim não for, o processo de substituição entra na sua primeira fase, o servidor reinicia e de seguida entrará na segunda fase, explicada a seguir. • Segunda etapa: Se no processo de boot for encontrada conectividade o procedimento entra na sua fase final e o servidor vai para reboot. Se assim não for, o administrador recebe um aviso na interface web da IPBrick a relatar que as configurações não foram completamente restauradas, devido a falta de conectividade, e o administrador recebe o prompt para completar ou cancelar a substituição, clicando no botão correspondente. Download Esta secção permite descarregar (download ) para o computador local as cópias das configurações realizadas. (Figura 5.37). Figura 5.37: Recuperação de desastre - Descarregar Configurações Esta opção é útil para que se possam guardar numa outra localização as configurações da IPBrick. iPortalMais - 2010 Manual Referência- Versão 5.2 202 Configurações Avançadas Upload Nesta secção é possı́vel carregar para o servidor um ficheiro de configurações previamente descarregado. (Figura 5.38) Figura 5.38: Recuperação de desastre - Carregar Configurações remotas ! Atenção: Não é possı́vel utilizar cópias das configurações de versões diferentes da IPBrick. Os ficheiros de configuração não são compatı́veis entre as diferentes versões das IPBrick. 5.4.2 Aplicações Esta é uma funcionalidade muito útil na recuperação de sistema em caso de desastre. Quando é feita uma actualização da IPBrick da versão A para a versão B, se for detectada a instalação de uma versão anterior da IPBrick uma cópia será guardada da configuração das seguintes aplicações: • PostgreSQL: Todas as bases de dados Postgres, incluindo bases de dados de sites, serão guardadas; • Mail: Os emails que estavam em lista de espera serão guardados; • Kaspersky: Todas as estatı́sticas das aplicações Kaspersky serão guardadas; • VoIP: São guardadas todas as estatı́sticas VOIP; • IM: Os dados e as configurações de Instant Messaging serão guardados. Os ficheiros de todas estas aplicações serão, portanto, comprimidos e guardados num directório. Escolhendo a opção Applications - Restore será apresentada uma lista de todos os backups de dados das aplicações disponı́veis (Figura 5.39). Para restaurar o backup de dados das aplicações desejado, fazer click no ficheiro pretendido e seguidamente em Restore. Neste momento o backup seleccionado será restaurado para a nova versão da IPBrick (Figura 5.40. 5.5 Sistema Dentro do menu Sistema, podemos encontrar as opções indicadas nos pontos seguintes. Manual Referência- Versão 5.2 iPortalMais - 2010 5.5 Sistema 203 Figura 5.39: Recuperação de desastre - Aplicações - Listagem de backups dos dados Figura 5.40: Recuperação de desastre - Aplicações - Confirmação de restauro 5.5.1 Serviços Em Serviços (Figura 5.41) é apresentada uma listagem dos vários serviços disponibilizados pela IPBrick. A coluna Estado indica se o serviço está activo ou inactivo. Aqui é possı́vel reiniciar qualquer serviço sem ser preciso reiniciar a IPBrick. Para reiniciar qualquer serviço deve-se: • Alterar o seu estado de Activo para Inactivo; • Alterar o seu estado de Inactivo para Activo; A coluna Arranque define o modo de arranque de cada serviço quando o servidor é iniciado, seja após um reboot seja após um perı́odo em que o servidor esteve desligado. Se para um dado serviço o valor na coluna Arranque for Automático, o serviço é iniciado automaticamente com o arranque do servidor. Por outro lado, se o valor for Manual, este serviço não irá arrancar automaticamente quando a IPBrick for iniciada. Poderá, no entanto, ser iniciado manualmente neste menu, através de uma alteração no valor da coluna Estado, que terá de ser alterado de Inactivo para Activo. ⇒ Nota: Uma alteração no valor da coluna Arranque para qualquer serviço, não produz efeitos imediatos sobre o estado desse serviço. Este valor só define se o serviço irá ou não arrancar automaticamente no próximo arranque do servidor. Por outro lado, uma alteração no valor do coluna Estado tem efeitos imediatos. Ou seja, ao alterar o estado iPortalMais - 2010 Manual Referência- Versão 5.2 204 Configurações Avançadas Figura 5.41: Serviços de um serviço de Activo para Inactivo a IPBrick irá parar esse serviço (após um clique sobre Aplicar Configurações). 5.5.2 Gestor de Tarefas O Gestor de Tarefas apresenta uma listagem de todos os processos em execução na IPBrick. Esta informação contêm: • Identificador: O PID14 ; • Utilizador: O utilizador do sistema que iniciou o processo; • Inı́cio: A data do inı́cio do processo; • Memória: A percentagem de memória usada pelo processo; • Processador: A percentagem de CPU usada pelo processo; • Processo: O processo q está a correr. Nesta secção é possı́vel terminar um dado processo. Para isso, apenas é necessário fazer um clique no identificador desse processo.In this section it is possible to stop a certain process. Therefore you only have to click over the option Kill Task (Figura 5.42). ! Atenção: De uma forma geral, os processos em execução, não devem ser terminados desta forma. Terminar um processo nesta interface 14 Process Identifier Manual Referência- Versão 5.2 iPortalMais - 2010 5.5 Sistema 205 Figura 5.42: Sistema - Gestor de tarefas poderá causar instabilidade na IPBrick. Para terminar um serviço, utilizar o menu Serviços. 5.5.3 Data e Hora Neste menu (Figura 5.43) é possı́vel ver e alterar a data/hora do servidor assim como o fuso horário. Quando clica no link Alterar são apresentados os seguintes campos: • Sincronização: Se Manual a data/hora será gerida pelo próprio servidor. Se Automática a IPBrick utilizará o seridor NTP para remotamente fazer a sincronização data/hour. The default one is pool.ntp.org15 (Figura ??); • Data: Apenas activa Only active in manual mode; • Hora: Activa apenas em modo manual; • Fuso Horário: Escolha o fuso horário correcto. ! Atenção: Após a instalação da IPBrick deve desde logo alterar a data/hora e fuso horário do sistema. Quando alterar o fuso horário a IPBrick irá automaticamente para reboot! 15 Big virtual cluster of Network Time Protocol timeservers iPortalMais - 2010 Manual Referência- Versão 5.2 206 Configurações Avançadas Figura 5.43: Data e hora do sistema 5.5.4 Utilizadores do sistema Neste menu (Figura 5.44) são listados os utilizadores de Sistema (nome e respectivo login). Ao seleccionar um deles é possı́vel alterar a respectiva password desde que se conheça a password actual. • root: Super-utilizador da consola Linux; • operator: Operador da consola Linux; • Correio Recebido: Utilizador para a funcionalidade cópia de correio recebida. A idéia aqui é mapear uma conta IMAP a partir de cliente de email; • Correio enviado: Utilizador para a funcionalidade cópia de correio enviado. A idéia é mapear a conta IMAP a partir de um cliente de email; • kaspersky: Utilizador a receber as notificações Kaspersky Applications, por exemplo, A idéia é mapear uma conta IMAP a partir de um cliente de email; • spam: Utilizador a receber emails da Kaspersky Anti-Spam. Mais uma vez a idéia é mapear uma conta IMAP a partir de um cliente de email; • VoIPCDR: Utilizador para acesso FTP, Para receber as estatı́sticas completas do asterisk. A password para todos excepto root é L1opardo. ⇒ Nota: Não confundir Utilizadores de Sistema com Utilizadores LDAP. Um Utilizador de Sistema, não está registado no LDAP Figura 5.44: Utilizadores do Sistema Manual Referência- Versão 5.2 iPortalMais - 2010 5.5 Sistema 5.5.5 207 Monitorização Neste menu é possı́vel ver os logs da IPBrick. Os logs constituem uma fonte de informação importante sobre o funcionamento do sistema. A informação mais recente está disponı́vel em Log Actual. Caso existam outros registos de logs, dizem respeito a informação gerada pela IPBrick até à data neles indicada (Figura 5.46). Figura 5.45: Logs do Sistema 5.5.6 Monitorização Esta secção representa só as caracterı́sticas de monitorização. Opções principais: • Logs: Gestão da IPBrick e dos registos do sistema; • Acessos: Monitorização para alguns protocolos TCP; • Tráfego: Pode gerir todas as ligações TCP activas; • Alertas: Opções para alertas de partições do disco; Logs Os registos (logs) são uma ferramenta útil para a resolução de problemas. Neste menu podemos ver: • Logs IPBrick: Registos gerados pela IPBrick. Importantes para detectar qualquer problema na camada do interface da web. A informação mais recente está disponı́vel em Log Actual (Figura5.49). Caso existam outros registos, cada um deles fornece informação gerada pela IPBrick até a sua data de indicação (Figura5.48); • Logs Sistema: Podem gerir alguns registos do sistema (syslog, daemon.log,auth.log, mail.*). Figura5.46: – Estado: A predefinição está desactivada; – Servidor: Se activo, podemos dizer se os registos serão escritos localmente ou num computador remoto que suporta o syslog daemon (Figura5.47); iPortalMais - 2010 Manual Referência- Versão 5.2 208 Configurações Avançadas – Autorizar registos de servidores remotos: Se activo, autoriza os servidores a escrever registos do sistema na IPBrick; Figura 5.46: Sistema - Monitorização - Logs do Sistema Figura 5.47: Sistema - Monitorização - Logs do Sistema - Servidor Remoto Figura 5.48: Sistema - Monitorização - Lista de Logs da IPBrick Acessos Em Gestão, ao clicar no nome do serviço podemos activar a monitorização dos acessos para SSH, FTP, VPN PPTP e SSL. Por definição, o estado está desactivado (Figura5.50). Manual Referência- Versão 5.2 iPortalMais - 2010 5.5 Sistema 209 Figura 5.49: Sistema - Monitorização - Log Actual da IPBrick A opção Entradas permite a visualização de todos os acessos (Figura5.51). É possı́vel filtrar por: • IP; • Utilizador; • Notas: – Conectado; – Desconectado; – Password Errada; – Utilizador Ilegal; – Bloquado; – Timeout; – Timeout/Bloqueado; – Tentativa de acesso com utilizador root; – Desconectado/Timeout. • Data; iPortalMais - 2010 Manual Referência- Versão 5.2 210 Configurações Avançadas Outras opções disponı́veis: • Limpar filtros: Limpará todos os filtros escolhidos; • Exportar PDF: Exporta toda a informação para um ficheiro .pdf; Figura 5.50: Sistema - Monitorização- Acessos - Gestão Figura 5.51: Sistema - Monitorização - Acessos - Entradas Tráfego Aqui todas as ligações activas TCP estão listadas por campos: • IP de Origem: Computador remoto que tem uma ligação ao servidor; • Porto de Origem: Porto usada pelo computador fonte; • IP de destino: IP do servidor; • Porta de destino: Porta a que o computador fonte está ligado; • Estado: Por definição está ligado. Em Acç~ ao, escolher a opção Bloquear ligaç~ ao para terminar uma ligação especı́fica. Após bloquear uma ligação, é possı́vel desbloqueá-la carregando na opção Desbloquear ligação (Figura5.52). Manual Referência- Versão 5.2 iPortalMais - 2010 5.5 Sistema 211 Figura 5.52: Sistema - Monitorização - Tráfego Alertas Definir aqui se a definição dos alertas de partição cheia estará activa. Assim, se a partição atingir os 85%, será enviado uma mensagem de correio electrónico para o endereço de correio electrónico presente no endereço de Destino. Também é possı́vel alterar o notificador do endereço de origem (Figura5.53). Figura 5.53: Sistema - Monitorização - Alertas 5.5.7 SSH O menu SSH implementa uma ligação segura à shell da IPBrick. Como poderá ver na figurename 5.54 O SSH (Secure Shell) é semelhante à conhecida aplicação Telnet, mas mais segura devido ao protocolo usado. ⇒ Nota: Esta funcionalidade necessita que o Java Virtual Machine esteja instalado. Este software está disponı́vel at www.java.com. Antes de estabelecer a ligação, é necessário fazer uma autenticação. Os dados necessários são: • Nome de Utilizador: operator iPortalMais - 2010 Manual Referência- Versão 5.2 212 Configurações Avançadas Figura 5.54: SSH • Password: L1opardo 5.5.8 Reiniciar Esta opção permite reiniciar a IPBrick (Figura 5.55). Após confirmar a opção de reiniciar, é automaticamente terminada a ligação web ao servidor. Quando a IPBrick arrancar, é possı́vel estabelecer uma nova ligação https ao servidor. Figura 5.55: Reiniciar o Servidor 5.5.9 Desligar Esta opção permite encerrar a IPBrick (Figura 5.56), garantindo que todos os serviços são correctamente terminados. Sempre que seja necessário encerrar a IPBrick, deve-se recorrer a este menu. Não desligue o servidor directamente na fonte de alimentação. Manual Referência- Versão 5.2 iPortalMais - 2010 5.6 Telefonia 213 Figura 5.56: Desligar o Servidor 5.6 Telefonia Para ser possı́vel a interacção da IPBrick com os sistemas telefónicos, é necessário a instalação de hardware especı́fico. Esse hardware inclui placas PCI que podem ser analógicas, RDIS BRI ou RDIS PRI. As placas analógicas permitem a ligação a redes telefónicas a operar em modo analógico. No caso de redes telefónicas a operar em modo digital (RDIS) as placas podem ser do tipo BRI ou PRI. Um acesso BRI (Basic Rate Interface) possuı́ três canais: Dois de 64kbit/s (B) para voz/data e um de 16kbit/s (D) para controlo. O acesso PRI (Primary Rate Interface) corresponde na Europa a 30 canais B e um canal D, podendo ser também designado por circuito E1. 5.6.1 Cartas Após a sua configuração e instalação fı́sica na máquina é necessário efectuar a sua configuração na IPBrick. Para isto é necessário saber de que forma foi feita a configuração fı́sica da placa, isto é, a configuração de cada porta. Depois da instalação fı́sica do hardware, a configuração das placas é efectuada a partir da interface web da IPBrick através do menu: Configuraç~ oes Avançadas - Telefonia - Cartas Para inserir é necessário escolher a ligação Inserir, e seguidamente indicar (conforme é visı́vel na Figura 5.57): Menu de inserção de placas: • Tipo de placa: Pode ser analógica, RDIS BRI ou RDIS PRI; • Fabricante: Dependendo do tipo de placa, pode ser: – BRI ISDN: Compatı́vel com Beronet (HFC chipset); – PRI ISDN: Compatı́vel com Digium (predefinição), Open Vox, Sangoma; – Analógica: Compatı́vel com Digium (predefinição), Open Vox. • Número de portas: Número de portas que a placa possui; iPortalMais - 2010 Manual Referência- Versão 5.2 214 Configurações Avançadas • Configuraç~ ao de portas: Cada porta pode ser configurada para ligar aos interfaces pre-definidos: PBX ou PSTN. No caso de placas RDIS BRI existem ainda as seguintes configurações: Analógica: Ligaç~ ao Ligaç~ ao ISDN BRI: Ligaç~ ao Ligaç~ ao (PtMP = ISDN PRI: Ligaç~ ao Ligaç~ ao a a a a 1 a a PBX, assim o porto da carta actuará como fxs PSTN, assim o porto da carta actuará como fxo PBX, assim o porto da carta actuará como NT PtP ou NT PSTN, assim o porto da carta actuará como TE PtP ou TE a N possı́veis terminais. Contacte o operador PSTN) PBX, assim o porto da carta actuará como NET PSTN, assim o porto da carta actuará como CPE O estado de cada porto é apresentado conforme pode ver na Figura 5.58. Detalhes: • Verde: A camada 1 (fı́sica) e a camada 2 (sinalização) estão ACTIVOS. Assim, o porto está pronto; • Amarelo: A camada 1 está ACTIVA e a camada 2 está INACTIVA. Isto significa que há problemas de sincronização, provavelmente necessita de verificar as configurações tx ou rx (ISDN PRI) ou os jumpers da carta jumpers (ISDN BRI); • Vermelho: A camada 1 e a camada 2 estão INACTIVAS. Significando que existe um problema de ligação (problema no cabo ou ligação de cabo não existente) ou a porta está danificada. Note que para a PSTN BRI - modo PTMP, normalmente quando não existem chamadas activas, o estado de standby pode ser vermelho; • Vermelho a piscar: Problemas de hardware. Precisa de verificar a integridade da carta e os jumpers. É muito raro ocorrer este estado. Se nenhuma carta está presente ou se nenhuma for detectada a mensagem exibida será: NA. Para cada carta inserida existem 3 opções: Voltar, Modificar e Apagar (Figura 5.58). Se a porta estiver ligada à rede fixa (PSTN) é necessário configurar o setting como TE. Se a porta estiver ligada a uma central PBX é necessário configurar a porta como PBX e o setting como NT. Caso seja usada umas das portas RDIS para FAX (comportando-se normalmente como um PBX) é necessário configurar a porta como FAX (para aparecer esta opção é necessário configurar um interface FAX - menu que será abordado de seguida) e o setting como NT. No caso de existir um interface GSM configurado numa das portas, é necessário escolhe-lo da lista e configurar o setting como TE. No caso da configuração de uma ISDN PRI, é necessário indicar se a linha utiliza o protocolo R2 (protocolo utilizado no Brasil) Manual Referência- Versão 5.2 iPortalMais - 2010 5.6 Telefonia 215 Figura 5.57: Telefonia - Cartas - Inserir Figura 5.58: Telefonia - Definições de Carta e se o CRC4 está activo na linha. Após a configuração da placa, poderemos visualizar uma listagem com as placas configuradas, conforme é visı́vel na Figura 5.59. 5.6.2 Telefones Registados Os Telefones devem ser inseridos em IPBrick.I -> Machines Management assim, o principal objectivo desta opção é modificar slguns atributos especı́ficos SIP. Inserir um telefone aqui é também válido, se não existir a necessidade de atribuir um endereço IP especı́fico ao telefone e se não quisermos que o LDAP armazene informação sobre essa máquina. Poderá adicionar um telefone preenbchendo o campo relativo ao nome e à password de acesso do telefone. iPortalMais - 2010 Manual Referência- Versão 5.2 216 Configurações Avançadas Figura 5.59: Telefonia • Telefone: Insira o nome do telefone a registar; • Password: Insira a password de acesso do telefone; • Confirme Password: Reinsira a password; • Identificador de Origem: Se desejar mascarar o ID insira-o aqui; • Localizaç~ ao do Telefone – Local: Esta é a opção pré-configurada para um telefone LAN; – Remoto: Para um telefone remoto ligado atrás de uma NAT. Normalmente esta opção é usada quando se pretende registar o telefone via internet, usando, para tal, o IP Público da rede da IPBrick. • Aprivisionamento automático: Esta opção permite a configuração automática de hardphones SIP, desta forma, precisaremos apenas de escolher o modelo do telefone. Para que o aprovisionamento funcione ’obrigatório que insira o endereço MAC aquando do registo do telefone em Gestão de Máquinas. • Descriç~ ao: Este campo serve para atribuir uma descrição em texto ao telefone; Poderá ver um exemplo na Figura 5.60. 5.6.3 Configurações Neste menu é possivel ajustar várias as seguintes configurações para VoIP e integração PBX/PSTN integration: • Opções Gerais; • Opções RDIS PRI e analógico; • Opções RDIS BRI; • Lista de codecs activos; • Gestores Remotos de PBX IP; • Domı́nios VoIP alternativos. Manual Referência- Versão 5.2 iPortalMais - 2010 5.6 Telefonia 217 Figura 5.60: Telefonia - Registo simples de telefone Opções Gerais Encontrará os seguintes campos em Opç~ oes (Figura 5.61): • Router com DNAT Total?: Se a IPBrick está conectada a um router responsável pelo acesso ao exterior (em termos de VoIP) que permite a passagem de todo o tráfego, é necessário seleccionar SIM e indicar o endereço externo desse mesmo router no Endereço IP Público do Router; • IP do interface público da IPBrick utilizado pelo serviço VoIP: Endereço IP da interface pública da IPBrick responsável pelo serviço VoIP; • Apenas servidor VoIP de intranet?: Permite rotear o tráfego de rede apenas numa interface e não em duas, como é usual; • Retirar prefixo nacional por defeito (0): Remove o prefixo do paı́s normalmente utilizado; • Identificar origem da chamada (CID) no LDAP da IPBrick: Se activado, irá através da base de dados LDAP da IPBrick definida em Endereço IP IPBrick e Domı́nio DNS IPBrick. Se encontra o número chamador na base de dados, irá substituı́-lo pelo nome da entidade associada a esse número. • Atendimento imediato das chamadas com origem numa central telefónica: É recomendado ter esta opção conectada se utilza ligações a servidores SIP (ex: VoIPBuster, NetCall), de forma a evitar timeouts na central PBX central. Se, por exemplo, pretender definir taxas para as chamadas feitas a partir do PBX, esta opção deverá estar inactiva para evitar que o utilizador comece a pagar assim que marca o número. • Timeout de atendimento: Tempo (em seconds) durante o qual a chamada é enviada para o telefone de destino, antes de ser enviada ou roteada para outro telefone; iPortalMais - 2010 Manual Referência- Versão 5.2 218 Configurações Avançadas Figura 5.61: Telefonia - Configurações • Timeout de chamada: Tempo (em seconds) durante o qual se tenta estabelecer a ligação. Se este perı́odo de tempo expira, a tentativa será terminada; • Timeout de terminaç~ ao de chamadas sem som; • Timeout de terminaç~ ao de chamadas em espera sem som; • Activar suporte de video em SIP: Permite o suporte para video SIP. Os protocolos de sinalização não permitem apenas voz mas também vı́deo. • Transfer^ encia assistida: Se colocar SIM poderá definir uma sequência de activação chave para fazer a tranferência. Desta forma, poderá deixar de utilizar esta funcionalidade a partir do telefone SIP e começar a utilizá-la a partir do servidor VoIP; • Transfer^ encia n~ ao assistida: Se escolher SIM poderá definir uma sequência de activação chave para fazer uma transferência ’cega’. Desta forma, poderá deixar de utilizar esta funcionalidade a partir do telefone SIP e começar a utilizá-la a partir do servidor VoIP; • Pickup de chamadas: Se seleccionar SIM irá permitir-lhe o pickup da chamada. Se um telefone está a tocar e pretender-se que a chamada seja atendida num outro telefone, pode-se utilizar a sequência *8 (por pré-configuração) mais o número do telefone que irá atender a chamada. Exemplo: *8111, irá fazer o pickup a partir do telefone 111; Manual Referência- Versão 5.2 iPortalMais - 2010 5.6 Telefonia 219 • Pickup de chamadas no grupo: Com esta opção activa, se um qualquer telefone pertence a um Grupo de Chamadas é possı́vel fazer o pickup da chamada de um outro telefone usando para tal a sequência de activação (*7 por pré-configuração); • Pickup Global de chamadas: Se SIM permitirá o pickup global (*8 sequência pré-configurada). Se tivermos uma ou mais chamadas será sempre atendida a última chamada a chegar; • Cadeado no telefone: Possibilita bloquear um telefone interno, para impossibilitá-lo de fazer ou receber chamadas. Para o trancar precisa de inserir a sequência de activaçãoe e aguardar por uma mensagem. Depois de a receber, terá de inserir o PIN do utilizador ou o PIN e password definidos em IPBrick.GT -¿ Gest~ ao de Utilizadores. Para desbloquear o telefone o processo é o mesmo. Se a opção Permitir desbloqueio de telefone por qualquer utilizador válido estiver em NO só o utilizador que bloqueou o telefone ou a password de desbloqueio do administrador irá desbloquear o telefone; • N~ ao perturbe: Se esta opção estiver activa o telefone não irá receber chamadas. Por omissão use *73 para activar esta funcionalidade num telefone e *74 para desactivar; • Redireccionamento incondicional: Pode ser utilizado para reencaminhamento incondicionalCan be used to do unconditional call forwarning at a phone and por omissão utiliza a sequência *70. Exemplo: Chamadas para o telefone 201 serão encaminhadas incondicionalmente para o telefone 202. Assim, precisaremos de fazer *70202 no telefone 201. Para desactivar insira *70; • Redireccionamento quando ocupado: Pode ser utilizado para reencaminhamento de uma chamada qundo o telefone está ocupado. Por omissão está configurada a sequência *72. Exemplo: Se o telefone 201 está ocupado, as chamadas serão redireccionadas para o telefone 202. Desta forma, será preciso fazer *72202 no telefone 201. Para desactivar marque *72; • Redireccionamento quando n~ ao atendida: Can be used to forward a call when some phone do not answer and by default uses key sequence *71. Exemplo: Se o telefone 201 não está a atender, as chamadas serão encaminhadasa telefone 202. Assim, marque *71202 no telefone 201. Para desactivar marque *71; • Supervis~ ao de Chamadas: Se seleccionar SIMirá permitir a funcionalidade de supervisionamento de chamadas. A sequência pré-configurada é *9; • Voicemail: Permite voicemail geral para o serviço VoIP. Os ficheiros de voicemail serão enviados sempre por e-mail; • Prioritizaç~ ao de chamadas: Se activo será possı́vel definir nı́veis de prioridade pra cada prefixo de rota definido em Gestão de Rotas. O nı́vel é 1 (mais iPortalMais - 2010 Manual Referência- Versão 5.2 220 Configurações Avançadas elevado) a 10 (menos elevadot). Exemplo: Na rota LAN-PSTN todas as linhas BRI estão ocupadas. Se um prefixo de emergência (911) está definido como máxima prioridade, quando alguém liga 911 um chamada normal pode ser interrompida; • Activar estatı́sticas de chamadas avançadas: Se activado irá permitir novos campos de dados nas estatı́sticas de chamadas: Total de pacotes, codec, lag, pacotes perdidos, sinalização e jitter. Note que a carga no CPU/memory será acrescida; • Guardar estatı́sticas de chamadas em ficheiro csv (CDR): Todo o histórico de chamadas no formato pré-configurado asterisk será gravado para um ficheiro chamado Master.csv. Este ficheiro pode ser descarregado via FTP com o nome voipcdr e password L1opardo; • IP do servidor de sinalizaç~ ao diferente do servidor de media: Se o serviço de sinalização remoto corre num servidor, e o serviço de media remoto noutro, esta opção deve ser activada; Opções RDIS PRI e analógico Estes parâmetros são apenas para cartas RDIS PRI e analógicas, que serão ajustadas nos ficheiros de configuração dos drivers por elas utilizados - zaptel (Figura 5.62): • Sinalizaç~ ao do canal: Country tone zone. As frequências podem variar de paı́s para paı́s; • Cancelamento de eco Cancela o eco. Por omissão está configurado SIM; • Tipo de Número (ISDN TON): Opções de sinalização de nı́vel baixo: – Chamado (Calling Number): Por omissão está configurado Unknown (desconhecido), as outras opções são local, Privado, Nacional e Internacional; – Chamador (Caller Number): Por omissão está configurado Unknown (desconhecido), as outras opções são local, Privado, Nacional e Internacional; • Opç~ oes para sinalizaç~ ao R2: Se o protocolo de sinalização R2 é usado (antigo protocolo ISDN) pode definir aqui os parâmetros R2: – DNIS: Valor do serviço de identificação de número marcado (Dialed Number Identification Service); – ANI: Valor da identificação automática de número (Automatic Number Identification); – Zona/Paı́s Escolha a Zona/Paı́s; Manual Referência- Versão 5.2 iPortalMais - 2010 5.6 Telefonia 221 Figura 5.62: Telefonia - Opções de cartas analógicas e ISDN PRI Opções RDIS BRI Estes parâmetros são apenas para as cartas ISDN BRI, que serão ajustadas nos ficheiros de configuração dos drivers usados paraessas cartas - misdn (Figura 5.63): • Cancelamento de eco: O valor por omissão é Alto. Outras opções: Inactivo, Mı́nimo, Baixo e Máximo (requer mais recursos do CPU); • Sensibilidade à detecç~ ao de DTMF: Permite alterar a sensibilidade do DTMF de 50 para 400 (menos sensibilidade); • Captura imediata de dı́gitos: A captura imediata de dı́gitos altera a forma como os números enviados de uma central central PBX são lidos na IPBrick. Quanto esta opção está desactivada, a rotina de captura de dı́gitos é alterada para resolver problemas na leitura em algumas estações centrais, por exemplo, quando o número marcado é erradamente identificado na IPBrick (dı́gitos repetidos ou falta deles). Atenção: Esta opção, por pré-configuração está inactiva; • Timeout de recepç~ ao de dı́gitos do operador: • Jitter Buffer: Permite a alteração do Jitter Buffer16 ; • Timeout de marcaç~ ao entre dı́gitos: Tempo, em segundos, a partir da marcação do último número em que a IPBrick considere que a marcação está terminada; • Timeout de inactividade: Tempo, em segundos, contados a partir do momento que o receptor desliga e que a IPBrick irá cancelar o canal de comunicações; 16 Área de dados partilhados onde pacotes de voz podem ser reunidos, armazenados e enviados para o servidor VoIP em intervalos regulares iPortalMais - 2010 Manual Referência- Versão 5.2 222 Configurações Avançadas • Tipo de Numeraç~ ao (ISDN TON): Opções de sinalização de nı́vel baixo: – Número de saı́da (onumplan): A pré-configuração é Unknown (desconhecido). As outras opções são Nacional, Internacional e Assinante; – Identificador de chamador (dnumplan): A pré-configuração é Desconhecido. Outras opções são nacional, internacional e assinante; – CPN (cpnnumplan): A pré-configuração é Desconhecido. Outras opções são nacional, internacional e assinante. Figura 5.63: Telefonia - Opções ISDN BRI Lista de codecs activos Nesta tabela estão listados os codecs usados na IPBrick e a ordem de preferência pela qual são escolhidos nas comunicações. Para adicionar ou remover codecs à lista, clique em Modificar, seleccione o codec e clique no botão para adicionar () ou remover () (Figura 5.64). Da mesma forma, para alterar a ordem pela qual os codecs são utilizados, deverá seleccionar o codec e clicar nas setas do lado direito da lista, fazendo com que ele suba ou baixe na lista de prioridade. É possı́vel seleccionar os seguintes codecs, sabendo que a largura de banda usada para cada um é aproximadamente: • GSM: 13 Kbps; • iLBC: 15 Kbps; • Speex: Configurável 4-48 Kbps; • G.726: 32 Kbps; • LPC10: 2.5 Kbps (não recomendado); Manual Referência- Versão 5.2 iPortalMais - 2010 5.6 Telefonia 223 • G.711 ulaw: 64 Kbps; • G.711 alaw: 64 Kbps, usado na Europa; • G.729: 8 Kbps. Poderá ter de adquirir uma licença se desejar fazer chamadas com este codec. Se ele for activado um link de Activaç~ ao de licença irá aparecer e com uma chave válida uma licença G729 será gerada. Veja a Figura 5.65 e a Figura 5.66 como exemplos. É claro que quanto maior for a largura de banda requerida, menor será o número possı́vel de chamadas em simultâneo. Para cada um dos codecs seleccionados podemos incluir uma média de mais 15 Kbps de margem extra. Figura 5.64: Telefonia - Configurações - Codecs Figura 5.65: Telefonia - Configurações - Codecs com g729 Gestores Remotos de PBX IP Esta opção permite a outros programas ligar ao asterisk, normalmente programas a funcionar nos servidores LAN. Alguns exemplos: Plugin de correio para geração de chamadas, ferramentas de monitorização do asterisco externo, centro de chamadas para geração de chamadas, etc. iPortalMais - 2010 Manual Referência- Versão 5.2 224 Configurações Avançadas Figura 5.66: Telefonia - Configurações - licença g729 Por predefinição, a gestão remota do PBX IP está desactivada. Para activar, clicar em Modificar e depois Inserir gestor remoto do PBX IP (Figura 5.67). Opções de configuração: • Login: Login a usar; • Password; • Rede: Limite da rede ou IP especı́fico que obterá o acesso; • Máscara da rede; É mostrado um exemplo na Figura 5.68. Figura 5.67: Telefonia - Gestores remotos PBX IP Manual Referência- Versão 5.2 iPortalMais - 2010 5.6 Telefonia 225 Figura 5.68: Telefonia - Gestores remotos PBX IP - Configuração 5.6.4 Endereço Alternativo do domı́nio VoIP O servidor VoIP pode aceitar chamadas não só para o domı́nio principal mas também para outros diferentes. Para adicionar domı́nios, clicar em Modificar e inserir os domı́nios, um por linha. (Exemplo na Figura 5.69). Figura 5.69: Telephony - VoIP domain alias Funções para telefones Transferência de chamadas Para além de apoiar a transferência de chamadas feitas pelo equipamento do terminal, os telefones SIP, PBX ou os softphones, a IPBrick também efectua transferências em qualquer telefone, mesmo se não suportar transferência de origem. Os dois tipos de transferência permitidas pela IPBrick são: • Transfer^ encia assistida: Ao receber uma chamada, a pessoa que a recebe marca uma extensão, pergunta à pessoa nessa extensão se aceita a chamada iPortalMais - 2010 Manual Referência- Versão 5.2 226 Configurações Avançadas ou não, desliga e a chamada é transferida. Para executar uma transferência assistida durante a chamada, é preciso marcar * (por definição) e o nome da extensão ou endereço alternativo. Exemplo: Para transferir uma chamada para um telefone registado como ipbrick1 que tem como endereço alternativo a extensão 480, marcar *480 durante a conversa. • Transfer^ encia n~ ao assistida: Ao receber uma chamada, a pessoa que a recebe marca uma extensão e a chamada é imediatamente transferida para essa extensão. Para executar uma transferência não assistida durante uma chamada, marcar # (por definição) e o nome da extensão ou endereço alternativo. Exemplo: Transferência não assistida para o telefone supramencionado: #480. Para cancelar uma transferência, basta marcar novamente o número que marcou para a transferir. Exemplo: quer transferir a chamada para a extensão 481 mas marcou *482. Para recapturar a chamada, deve marcar novamente *482 e depois pode transferi-la para o número correcto, marcando *481. Captura de chamadas Para atender uma chamada que toca noutra extensão, marcar *8 seguido do nome com o qual o telefone está registado o nome do grupo de telefones a tocar. 5.6.5 Interfaces As interfaces representam trunks num mundo não-IP. É possı́vel criar mais interfaces do que os pré-configurados (PBX e PSTN). Exemplos: GSM ISDN ou inteface FAX. Poderá criá-los em: Configuraç~ oes Avançadas -> Telefonia -> Interfaces Menu para inserir interfaces (Figura 5.70): • Nome do Interface: Quando criado, o interface surgirá com o nome escolhido em Rotas Locais e configuração do porto de Placas de Telefonia; • Tipo de Interface: Representa o trunk associado: – PSTN BRI: Representa o lado PSTN que usa uma ligação BRI ISDN; – PBX BRI: Representa o lado PBX que usa uma ligação BRI ISDN; – PSTN PRI: Representa o lado PSTN que usa uma ligação ISDN PRI/E1; – PBX PRI: Representa o lado PBX que usa uma ligação ISDN PRI/E1; – PSTN ANALÓGICO: Representa o lado PSTN que usa uma ligação ANALÓGICA; – PBX ANALÓGICO: Representa o lado PBX que usa uma ligação ANALÓGICA; – OCS: Representa o Servidor de Comunicações do Microsoft Office. Esse interface só será usado para Rotas Locais (Figura 5.71). ∗ FQDN: o FQDN do OCS; Manual Referência- Versão 5.2 iPortalMais - 2010 5.6 Telefonia 227 ∗ IP do Servidor de Mediaç~ ao: Endereço do IP do Servidor de Mediação; • SIP Peering: A opção Open Peer determina que qualquer chamada a receber proveniente da Internet pode utilizar este interface. A opção Closed Peer determina que só os pares definidos em SIP Peers podem usar o interface (esta é a melhor opção ligar ao PSTN ou GSM). Assim, o pares são IP públicos autorizados a usar determinado interface, por ex. um par pode ser outra IPBrick. Podem ser introduzidos em: Configuraç~ oes Avançadas -> Telefonia -> SIP Peers| • Ganho de recepç~ ao: Ganho de recepção em dB. Pode ser útil para o aumentar se estamos a falar sobre o interface PSTN e do lado da IPBrick ouvimos com o volume baixo; • Ganho de transmiss~ ao: Ganho de transmissão em dB. Pode ser útil para o aumentar se estamos a falar sobre o interface PSTN e do lado PSTN ouvem com o volume baixo; Esta operação é necessária se quiser ligar um FAX à porta de uma carta, a uma gateway GSM ou outra interface adicional. Se existir uma gateway GSM, poderá adicioná-la aqui (como nome de interface). Escolha o tipo de carta (analógica, PRI ou BRI) em Tipo de Interface e a opção Closed Peer em SIP Peering. Figura 5.70: Telefonia - Inserção de interfaces 5.6.6 SIP peers Aqui poderá adicionar endereços IP para permitir a gateways remotos a utilização de interfaces definidos como pares fechados na IPBrick. Por exemplo, tem duas IPBricks ligadas uma a outra via Internet e uma está ligada ao PSTN, se quiser que a IPBrick remota se ligue à interface PSTN, necessitará de adicionar o seu IP a esta lista, clicando em Modificar. Poderá ver um examplo na Figura 5.72. iPortalMais - 2010 Manual Referência- Versão 5.2 228 Configurações Avançadas Figura 5.71: Telefonia - interface OCS Figura 5.72: Telefonia - SIP peers 5.6.7 IAX peers Ao clicar em Inserir definimos os servidores IAX que estão autorizados a reencaminhar as chamadas utilizando a IPBrick. A mesma irá aceitar rotas de entrada de outros servidores que serão especificados nessa lista. Pode ver um exemplo em Figura 5.73. 5.6.8 Aprovisionamento automático Aqui é apresentada a lista completa de modelos de aprovisionamento automático. A lista mostra o nome do modelo, a marca e o modelo do telefone e a versão especı́fica de firmware (Figura 5.74). Podemos gerir modelos existentes clicando no nome do modelo ou clicando em Inserir no menu principal para criar um modelo novo. Os campos são: Manual Referência- Versão 5.2 iPortalMais - 2010 5.6 Telefonia 229 Figura 5.73: Telefonia - IAX peers • Nome: Nome para o modelo. Normalmente é a marca e modelo completo do telefone; • Marca: Marca do telefone. Disponı́vel: Aastra, Atcom, Grandstream, Snom e Thomson; • Modelo: Mostra os modelos suportados; • Vers~ ao Firmware: Firmware suportado para o modelo escolhido; • Ficheiros de Configuraç~ ao: Aqui a ideia é inserir o ficheiro de configuração desejado. É possı́vel ter diversas configurações de aprovisionamento automático para o mesmo modelo de telefone. Assim, podemos alterar só algumas parâmetros de configuração como o tom de toque, a informação do logótipo do LCD, os codecs, etc. Um exemplo de uma nova inserção de um modelo está presente na Figura Figura 5.76. A figurename 5.77 mostra uma lista nova com alguns modelos personalizados. Figura 5.74: Aprovisionamento automático - Lista de Templates Passos necessários para usar o aprovisionamento automático: iPortalMais - 2010 Manual Referência- Versão 5.2 230 Configurações Avançadas • Se necessário, ajustar o modelo a alguma configuração especı́fica; • Registar um telefone na IPBrick; • Ir a Configuraç~ oes Avançadas -> Telefonia -> Telefones Registados e associar o modelo desejado a um telefone (Figura 5.75); • Ir ao servidor DHCP e activar a opção 66 (servidor TFTP) indicando o IP para IPBrick; • Preparar o telefone SIP e ligá-lo à rede (ler a próxima secção) Figura 5.75: Aprovisionamento automático - Telefone com um template especı́fico O servidor LAN DHCP deve ter a opção 66 activa e a indicar o IP para IPBrick. Essa opção representa o servidor TFTP que será sempre a IPBrick onde o provisioning automático estiver configurado, porque todos os telefones suportados terão a configuração guardada na IPBrick usando o IP do servidor TFTP passado pelo DHCP. Se a IPBrick é o servidor DHCP, a opção servidor TFTP em Configuraç~ oes Avançadas -> Serviços de apoio -> DHCP -> Sub-redes deve indicar o IP da IPBrick. Também é importante verificar se o firmware do telefone é o mesmo listado na lista modelos de provisioning automático. Figura 5.76: Aprovisionamento Automático - Inserir uma nova configuração para um telefone Manual Referência- Versão 5.2 iPortalMais - 2010 5.6 Telefonia 231 Figura 5.77: Aprovisionamento Automático - Lista completa de templates 5.6.9 Telefones suportados A informação sobre aprovisionamento automático em todos os modelos suportados: Atcom 530, Astra 6755i, Thomson ST2030, Grandstream GXP2000, Grandstream GXP2020, Grandstream GXP1200, Grandstream GXP2010, Grandstream GXP280, Grandstream BT200 e Grandstream BT201 Atcom 530 Porque os parâmetros de aprovisionamento automático não podem ser passados pelo DHCP, neste telefone temos de efectuar uma configuração inicial no interface web do telefone ATCOM. Os passos completos são: • Se não é um telefone novo, repor as configurações predefinidas; • Ir até ao interface web do telefone usando o IP definido passado pelo DHCP; • Ir até ao menu Actualizar -> Aprovisionamento Automático e configurar: Endereço do Servidor: IP da IPBrick Nome do utilizador: Password: Configurar nome de ficheiro: MAC_ADDRESS.cfg Configurar Chave de Encriptaç~ ao: Tipo de Protocolo: TFTP Actualizar Tempo de Intervalo: 1 hora Actualizar Modo: depois de reiniciar • Guardar configuração e reiniciar; iPortalMais - 2010 Manual Referência- Versão 5.2 232 5.6.10 Configurações Avançadas Outros telefones suportados Ligar o telefone à LAN. Basta verificar se o DHCP está activo. Se forem novos, o DHCP está activo por definição, se for um telefone usado é preciso alterar o modo da rede de estática para DHCP ou repor as configurações predefinidas. Manual Referência- Versão 5.2 iPortalMais - 2010 Capı́tulo 6 Aplicar Configurações A opção Aplicar Configuraç~ oes é crucial na IPBrick. Todas as configurações feitas na IPBrick através do interface web são guardadas numa base de dados Postgres. Desta forma, nas alterações a configuração só será efectiva no sistema após clicar em Aplicar Configuraç~ oes. A maior parte das alterações não fazem reiniciar o servidor da IPBrick, assim, surgirá um ecrã como o da Figura 6.2. A IPBrick só precisa de reiniciar nestes casos: • Configuração dos interfaces da rede; • Configuração do nome do domı́nio e do servidor; • Alterações no modo de autenticação (LDAP). Surgirá um ecrã como o da Figura 6.1. É importante informar que a IPBrick reiniciar-se-á, assim a administração tem a opção de aplicar as configurações nesse momento ou em horário não laboral. Como podemos ver, só temos de alterar este tipo de configurações para colocar o servidor em funcionamento na rede do cliente. A partir do momento em que a IPBrick está a funcionar, é raro reiniciar porque não precisamos de alterar mais as definições de rede, nome do domı́nio/servidor e modo LDAP. Ao aplicar as configurações, são apresentadas duas opções extra: • Descrição: Sempre que aplicamos as configurações, podemos fazer uma descrição do que fizemos; • Cancelar todas as alterações: Ao escolher essa opção, em vez de Aplicar, irá reverter todas as configurações feitas. Assim, a IPBrick ficará com as configurações feitas da última vez que alguém aplicou configurações, ex.: o último ficheiro de configuração que aparece em Configurações Avançadas -> Recuperaç~ ao de Desastre -> Configuraç~ oes. iPortalMais - 2010 Manual Referência- Versão 5.2 234 Aplicar Configurações Figura 6.1: Aplicar Configurações e Reiniciar Figura 6.2: Aplicar Configurações Manual Referência- Versão 5.2 iPortalMais - 2010 Capı́tulo 7 Anexo A Colocação no Domı́nio 7.1 Colocação de uma máquina num domı́nio Esta secção tem como objectivo descrever o procedimento para: • Configuração de uma estação de trabalho com DHCP • Colocação de uma estação de trabalho num domı́nio Esta descrição de procedimentos assenta nos seguintes pressupostos: • o servidor que controla o domı́nio é uma IPBrick.I ; • o domı́nio de DNS é o empresa.pt; • o domı́nio é o EMPRESA. Para colocar uma estação de trabalho num domı́nio é necessário efectuar previamente os seguintes passos: 1. Saber o endereço MAC da placa de rede da máquina; 2. Escolher um ”nome”para a máquina; 3. Ter um endereço IP para atribuir à máquina; 4. Criar uma entrada na IPBrick.I para a máquina; 5. Actualizar a IPBrick.I. iPortalMais - 2010 Manual Referência- Versão 5.2 236 7.1.1 Anexo A - Colocação no Domı́nio Estação de Trabalho Windows XP Profissional ⇒ Nota: Antes de iniciar o processo de colocação de uma máquina num domı́nio, é necessário conhecer um username/password de um utilizador que seja administrador da máquina XP antes de iniciar o processo de migração. O primeiro passo consiste em colocar a máquina configurada com DHCP. Para isso, executar: 1. Pressionar [windows] 2. Escolher Os meus locais na rede 3. Escolher Ver as ligações de rede 4. Clicar com o botão direito do rato no ı́con Ligação de área local e escolher Propriedades. 5. Na janela que aparecer, escolher, TCP/IP e clicar em Propriedades. 6. Na janela que aparecer, escolher Obter o endereço IP automaticamente e escolher Obter o endereço dos servidores de DNS automaticamente. 7. Fechar as janelas das propriedades de rede. O próximo passo é confirmar que o endereço IP que a máquina obteve é o mesmo que se introduziu na IPBrick.I. Para isso, executar: 1. Pressionar as teclas [windows]+[R] 2. cmd [ENTER] 3. ipconfig /all 4. Na informação que surgiu na janela, verificar o campo Endereço IP Caso o endereço IP não seja o mesmo que se introduziu na IPBrick, deverá ser libertado e renovado através dos comandos: 1. Pressionar as teclas [windows]+[R] 2. cmd [ENTER] 3. ipconfig /release 4. ipconfig /renew 5. ipconfig /all Manual Referência- Versão 5.2 iPortalMais - 2010 7.1 Colocação de uma máquina num domı́nio 237 Quando a máquina já estiver com o endereço IP pretendido, já é possı́vel colocar a máquina no domı́nio EMPRESA: 1. Pressionar as teclas [windows]+[pause] para abrir as ”Propriedades do Sistema”; 2. Escolher ”Nome do computador”, clicar em ”Alterar...”e dar um nome ao computador (este nome tem de ser criado previamente na IPBrick.I ); 3. Clicar no botao mais... e adicionar o dominio dns da maquina: empresa.pt. Não deixar seleccionada a opção Alterar o sufixo dns primário quando for alterada a associação ao domı́nio; 4. Em Domı́nio, colocar EMPRESA. Será pedida a password de administrator do domı́nio EMPRESAou do administrador da máquina. 5. Clicar OK e sair das Propriedades do Sistema. 6. Reiniciar a máquina. Quando esta arrancar, já deverá ser possı́vel fazer login no domı́nio EMPRESA. ⇒ Nota: A estação de trabalho não tem forçosamente de estar com DHCP. Pode estar configurada com um endereço IP fixo. Se for esse o caso, ao registar a máquina na IPBrick não é necessário preencher o campo Mac Address. iPortalMais - 2010 Manual Referência- Versão 5.2 238 Manual Referência- Versão 5.2 Anexo A - Colocação no Domı́nio iPortalMais - 2010 Capı́tulo 8 Anexo B Configuração de uma ligação VPN 8.1 Configuração de uma ligação VPN (PPTP) Para criar uma ligação VPN (PPTP) numa estação de trabalho Windows XP Profissional proceder da seguinte forma: 1. Pressionar [windows] 2. Escolher Painel Controlo 3. Clicar duas vezes sobre Ligações de Rede 4. Na janela Ligações de Rede, escolher Criar uma nova ligaç~ ao 5. Surge o Wizard para criação de uma nova ligação. Escolher ”Ligar à rede no meu local de trabalho”(refere na descrição VPN), ”Ligação de Rede Privada Virtual”. Depois escolher um nome para a ligação que irá ser criada, por exemplo, ”Ligação à Empresa”. De seguida, é necessário indicar o endereço IP ou o nome completo pelo qual a IPBrick é conhecida na Internet. Por último, escolher quem poderá utilizar a ligação VPN. A ligação VPN está configurada. Para estabelecer a VPN, basta introduzir o Nome de um utilizador e respectiva Palavra Passe que esteja registado na IPBrick que está a funcionar como servidor VPN - PPTP. iPortalMais - 2010 Manual Referência- Versão 5.2 240 Anexo B - Configuração de uma ligação VPN Manual Referência- Versão 5.2 iPortalMais - 2010 Capı́tulo 9 Anexo C Configuração de uma ligação VPN SSL (OpenVPN) 9.1 Configuração de uma ligação VPN SSL Para criar uma ligação VPN SSL numa estação de trabalho Windows XP Profissional é necessário instalar o cliente OpenSSL de nome OpenVPN. Ele pode ser obtido em openvpn.se: • Em Download clicar em Stable; • Fazer Download do Installation Package; A instalação deste pacote deve ser realizada sem alterar as configurações por defeito. Este software fica instalado na directoria c:\Program Files\OpenVPN. O certificado gerado pela IPBrick (ficheiro .zip) deve ser descompactado para uma nova pasta em c:\Program Files\OpenVPN\config. Para iniciar a ligação VPN, fazer um clique com o botão direito sobre o icone OpenVPN na barra de tarefas, e clicar em Connect. Inserir a password utilizada para criar o certificado na IPBrick e a VPN será estabelecida. 9.1.1 Dois ou mais certificados SSL Quando se pretende colocar mais do que um certificado na mesma estação de trabalho (criar ligações VPN para locais distintos) é necessário criar uma nova pasta em c:\Program Files\OpenVPN\config e descompactar para lá o ficheiro correspondente ao certificado. Para iniciar a ligação VPN, fazer um clique com o botão direito sobre o icone OpenVPN na barra de tarefas, escolher qual a ligação pretendida e clicar em Connect. iPortalMais - 2010 Manual Referência- Versão 5.2 242 Anexo C - Configuração de uma ligação VPN SSL (OpenVPN) 9.1.2 Configuração de uma Ligação SSL para o MS Windows 2000 / XP e superior 1. Em http://openvpn.net/index.php/open-source/downloads.html efectuar download da última versão disponı́vel (ficheiro de Instalação do Windows); 2. Instalar o openvpn; 3. Extrair o ficheiro zip para a pasta de configuração do OpenVPN.. Exemplo: C:\Programas\OpenVPN\config; 4. Na barra de iniciação rápida do Windows Vista, clicar no ı́cone OpenVPN e ligar; 5. Se utilizar o Windows Vista ou 7, correr o ficheiro openvpn-gui.exe como Administrador NOTA: Se não estiver a funcionar, precisa de modificar o ficheiro *.ovpn presente em C:\Programas\OpenVPN\config, adicionando as seguintes linhas no fim do ficheiro: route-method exe route-delay 2 Manual Referência- Versão 5.2 iPortalMais - 2010 Capı́tulo 10 Anexo D Serviço de Backup - Arkeia A IPBrick inclui um serviço de backups bastante completo denominado Arkeia. Ao seleccionar este menu e após clicar no botão Abrir é aberta uma janela de sessão por VNC. Para conseguir efectuar a ligação, é necessário possuir o JRE1 instalado. A autenticação nesta sessão é efectuada com a palavra-passe actual do administrador da IPBrick. Após a validação, é disponibilizada a interface de gestão do Arkeia. Para iniciar a configuração do software Arkeia é necessário submeter a sua validação pré-definida: login: root password: <sem_password> Depois de ter sido efectuada com sucesso a ligação ao servidor, são mostrados os menus disponı́veis (Figura 10.1): • Backup: Para definir, configurar e lançar o backup do Arkeia, incluindo os savepacks; • Restoration: Para definir, configurar e lançar a função de restore do Arkeia; • Hardware: Para definir e configurar o hardware (drives, tapes, libraries) ligado ao servidor; • Running jobs: Permite visualizar os processos em execução; • Administration: Funções para configurar o Arkeia; • Logs: Permite visualizar os logs gerados pelo Arkeia. Os menus do Arkeia são de fácil utilização. Quando um menu é acedido, aparecem novos sub-menus com novas opções e assim sucessivamente. Sempre 1 Java Runtime Environment, que pode ser encontrado em http://sun.java.com/. iPortalMais - 2010 Manual Referência- Versão 5.2 244 Anexo D - Servidor de Backup: Arkeia Figura 10.1: Arkeia - Menu Principal que se entra num menu, é acrescentado numa barra superior o seu ı́cone. Para retroceder nestes menus, basta clicar no ı́cone correspondente. Para administração dos processos que estão em execução no Arkeia, é necessário seleccionar o menu Running Jobs (Figura 10.2). No menu de ”jobs”, seleccionar a linha respeitante ao pedido que terá maior prioridade para execução do backup. Manual Referência- Versão 5.2 iPortalMais - 2010 245 Figura 10.2: Arkeia - Running Jobs Figura 10.3: Arkeia - Confirmação dos Backups Dentro deste menu, podem ser visualizados os processos de salvaguarda de ficheiros. Estes processos, podem estar em dois estados possı́veis, eles são: • O processo está pendente à espera de confirmação, isto é, terá de pressionar o botão ”OK”. O utilizador é alertado para efectuar a substituição de ”tape”; iPortalMais - 2010 Manual Referência- Versão 5.2 246 Anexo D - Servidor de Backup: Arkeia • Os ”jobs”estão a aguardar a conclusão dos restantes processos. De uma forma geral, se a administração dos backups for processada normalmente, isto é, se existir intervenção diária do administrador de backup, apenas existirá um processo por dia em execução. No caso de existir uma falha de energia, todos estes processos são eliminados. 10.0.1 Administração Avançada • Adicionar Utilizadores (Administration Users (Figura 10.4)) Figura 10.4: Arkeia - Adicionar Utilizadores O Arkeia envia mensagens de correio electrónico a reportar várias ocorrências, como a necessidade de introduzir tapes, como correu um processo de backup, etc. É aconselhável criar um utilizador que receba as mensagens de correio electrónico (cuja role seja do tipo Administrator ) para verificar se o procedimento está a ser correctamente executado. 1. Introduzir: (a) Nome; (b) Role; (c) Endereço de correio. • SavePacks (Backup SavePacks) Um savepack é uma caracterı́stica essencial da tecnologia Arkeia. Um savepack é um conjunto de caminhos e ficheiros que são incluı́dos no backup. Manual Referência- Versão 5.2 iPortalMais - 2010 247 1. Criar um SavePack (normalmente chamado “Dados”); 2. Adicionar directórios a incluir no backup (nome do SavePack Trees) Browse – /boot – /etc – /homeX (onde 1 ≤ X ≤ numero de homes) – /opt/ipbox/backupDB – /var/lib/ldap – /var/lib/mysql – /var/lib/postgres – /var/lib/postgres2 – /var/lib/samba – sysinfo Figura 10.5: Arkeia - Directórios a Gravar • Configurar os backups (Backup Periodic) 1. Criar um novo Periodic Backup 2. Criar 3 nı́veis: (a) Level 1 - Arquivo (b) Level 2 - Semanal iPortalMais - 2010 Manual Referência- Versão 5.2 248 Anexo D - Servidor de Backup: Arkeia Figura 10.6: Arkeia - Nı́veis (c) Level 3 - Diário • Para cada um escolher: Level 1 SavePack DrivePack Pool Arquivo Tipo Total Backup Validade 2 years Level 2 Level 3 Semanal Total Backup 8 weeks Diária Incremental 4 weeks Os tipos de backup possı́veis são: – Archive: Guarda os dados do savepack e mantém-nos indefinidamente (Requer licença adicional); – Total: Guarda todos os dados do savepack e mantém-nos durante o tempo definido em Valid For ; – Differencial: Guarda somente os ficheiros que foram alterados desde o último backup de tipo Total ; – Incremental: Este é o tipo de backup mais complexo. É criada uma lista com os ficheiros alterados desde o último backup (quer seja do tipo Total ou Incremental ) e efectua o backup dos ficheiros constantes nessa lista. Manual Referência- Versão 5.2 iPortalMais - 2010 Capı́tulo 11 Anexo E Alta Disponibilidade 11.1 Introdução Os utilizadores querem que os seus sistemas estejam sempre preparados. O downtime (isto é, os perı́odos de tempo em que o seu sistema está indisponı́vel) afecta os seus utilizadores, clientes, vendas, ganhos, produtividade, e quase todos os outros aspectos do seu negócio. A Alta Disponibilidade (HA) é um protocolo de design de sistema que garante uma continuidade operacional durante um determinado perı́odo de tempo e é agora possı́vel na IPBrick, usando um serviço chamado Heartbeat. A ideia principal é ter uma solução de cluster com duas ou mais IPBrick que proporciona: • Disponibilidade: • Confiança; • Facilidade de manutenção. Nota: A Disponibilidade Elevada só está disponı́vel para os serviços de relay VoIP e Correio electrónico. 11.1.1 Vantagens A vantagem em agregar servidores para a HA é vista quando um nó do grupo falha, outro nó pode retomar a tarefa do nó que falhou, e os utilizadores não sentem a interrupção. As vantagens em agregar servidores para a escalabilidade inclui uma performance aumentada da aplicação e um maior número de utilizadores que podem ser apoiados. Pode imaginar um grupo de servidores como um só recurso de computação. Com a redundância total de diversos servidores que farão o sistema funcionar se outros servidores falharem, o grupo pode ajudar a atingir um maior iPortalMais - 2010 Manual Referência- Versão 5.2 250 Anexo E - Alta Disponibilidade uptime (isto é, perı́odos de tempo quando o seu sistema está disponı́vel). A agregação pode ser implementada a nı́veis diferentes, • Hardware • Sistemas Operativos • Gestão de sistemas e aplicações. • Mediador Quanto mais camadas tiver, mais capacidade de confiança, escalabilidade e gestão tem o grupo. 11.2 Requisitos HA Os requisitos mı́nimos para executar um serviço HA na IPBrick são: • Pelo menos duas IPBrick (podem ser mais, tudo depende dos pedidos, necessidades e expectativas do cliente) • Todas as IPBrick têm de estar instaladas com a mesma versão do software da IPBrick; • Duas placas de rede por servidor. Pode ver na Figura 11.1 um diagrama de um serviço HA da IPBrick. 11.3 Configuração HA Para estabelecer uma solução de alta disponibilidade com duas IPBrick necessita: • Instalar a actualização HA a partir de Configuraç~ oes Avançadas -> IPBrick -> Actualizaç~ ao; • Escolher um servidor master secundário. Nessa IPBrick, o tipo de autenticação deve ser alterado em Configuraç~ oes Avançadas -> IPBrick -> Autenticaç~ ao para Master Secundário IPBrick; • Em master principal (Master da IPBrick), ir para Configuraç~ oes Avançadas -> IPBrick -> Autenticaç~ ao colocar Sim em Disponibilidade Elevada e escolher os membros HA; • Existem dois tipos diferentes de configuração de Alta Disponibilidade: – Activo / Passivo: É uma solução textitfailover e só um endereço IP virtual será usado. Configuração: No master principal inserir um IP virtual para o HA. Para fazer isso, ir a Configuraç~ oes Avançadas, clicar em Inserir e escolher Interface Privado HA; Manual Referência- Versão 5.2 iPortalMais - 2010 11.3 Configuração HA 251 Figura 11.1: HA Diagram – Activo / Activo: É uma solução de balanço de carga e dois endereços IP virtuais serão usados, um em cada servidor. Configuração: • No master principal inserir um IP virtual para HA. Para fazer isso, ir a Configuraç~ oes Avançadas, clicar em interface, Inserir e escolher Interface Privado HA; • No master secundário, inserir um IP virtual para HA. Para fazer isso, ir a Configurações Avançadas, clicar em interface, Inserir e escolher Interface Privado HA;; • Em ambos os servidores em Configuraç~ oes Avançadas -> Sistema - Serviços activar o serviço Heartbeat e estabelecer HA nos serviços desejados; • Em ambos os servidores inserir uma regra de Firewall de configurações gerais em: Configuraç~ oes Avançadas -> Rede -> Firewall iPortalMais - 2010 Manual Referência- Versão 5.2 252 Anexo E - Alta Disponibilidade – Regra: INPUT; – Interface: lo; – Protocolo: ICMP; – Polı́tica: ACEITAR; • Em ambos os servidores Aplicar Configurações. Os servidores reiniciar-se-ão; Nota: Os serviços (VoIP/Correio Electrónico) devem ter exactamente a mesma configuração em ambos os servidores. É precisa uma licença adicional para usar a alta disponibilidade. Manual Referência- Versão 5.2 iPortalMais - 2010 Capı́tulo 12 Anexo E UCoIP Todas as comunicações da empresa - Voz, Correio, Mensagens Instantâneas e Web - são geridas de forma integrada, isto é, unificadas através de um endereço simples individual ou de grupo. Para atingir este objectivo, a IPBrick usa só os serviços de comunicação da Internet (SIP, SMTP/IMAP, XMPP e HTTP) integrados com os serviços de apoio DNS e LDAP. O site genérico é o ucoip.domain.com mas a ideia é ter um site para cada utilizador LDAP. Estão incluı́das as opções seguintes: • Um webphone IAX para ligação directa ao url SIP do utilizador; • Uma ligação url SIP para telefonar ao utilizador usando um softphone previamente instalado na estação de trabalho; • Um cliente Jabber com base na web (XMPP) para conversar directamente com o utilizador; • Um link SMTP para enviar uma mensagem de correio electrónico usando um cliente de correio electrónico na estação de trabalho; As we can see, for SIP/SMTP/XMPP the user will be reached using the single address [email protected]. Now we present all the necessary steps to configure a UCoIP site for a specific LDAP user with username jsmith, with IPBrick FQDN being ipbrick.domain.com: • O utilizador jsmith deve ir para https://myipbrick.domain.com e definir um telefone (dependendo das rotas IPBrick.GT pode ser um número SIP/PSTN/GSM) no campo Endereço SIP. Exemplos: [email protected], 00351221121112, 00351963322212; • Activar o serviço IM em IPBrick.C - IM; • Ir para IPBrick.C -> Servidor Web, clicar em ucoip.domain.com e definir o endereço alternativo jsmith.domain.com; iPortalMais - 2010 Manual Referência- Versão 5.2 254 Anexo F - UCoIP • No servidor privado/público DNS adicionar um registo com o nome jsmith, apontando para esse servidor IPBrick (Figura 12.2) Figura 12.1: Web Server - UCoIP site O design do site UCoIP é simples, mas pode ser melhorado. É possı́vel usar uma conta especı́fica FTP para gestão do site: • username: ucoip • password: 123456 Agora apresentamos todos os passos necessários para configurar um UCoIP para um utilizador especı́fico LDAP com nome de utilizador jsmith, com FQDN IPBrick sendo ipbrick.domain.com: O design do site UCoIP é simples mas pode ser melhorado. É possı́vel usar a conta FTP predefinida do site para a gestão do site: • nome do utilizador: ucoip • password: uco1pp4ss Manual Referência- Versão 5.2 iPortalMais - 2010 255 Figura 12.2: Web Server - UCoIP site O webphone integrado por definição telefona para o endereço SIP do utilizador, mas é possı́vel telefonar para todos os telefones/funcionalidades SIP internas, copiando o link do webphone e colando-o num novo separador do browser. Exemplos de definição variável do url: http://webphone.ipbrick.com/index2.php?user=jdomingues http://webphone.ipbrick.com/ http://webphone.ipbrick.com/index2.php?user=IVR2 12.0.1 Perfil do Utilizador Para incluir uma fotografia e perfil no site UCoIP do utilizador seguir estes passos: • Guardar uma fotografia com o formato login.extension. As extensões suportados são .png, .jpg, .gif, .bmp. Exemplo: jsmith.png; • Aceder ao servidor usando a conta FTP do site UCoIP e fazer o upload do ficheiro para a pasta fotografias; • Guardar um perfil usando o html, com o formato login.html. Exemplo: jsmith.html; iPortalMais - 2010 Manual Referência- Versão 5.2 256 Anexo F - UCoIP • Aceder ao servidor usando a conta FTP do site UCoIP e fazer o upload do ficheiro para a pasta descrições. Manual Referência- Versão 5.2 iPortalMais - 2010 Capı́tulo 13 Anexo G MyIPBrick O site MyIPBrick está disponı́vel no servidor IPBrick com o URL: https://myipbrick.domain.com (Figura 13.1). Figura 13.1: Web Server - MyIPBrick site - Login Este site só é usado pelos utilizadores LDAP, para assim poderemm alterar as configurações pessoais, verificar a área pessoal e ter acesso a outros websites internos (Figura 13.2). Configurações Pessoais Definições do utilizador: iPortalMais - 2010 Manual Referência- Versão 5.2 258 Anexo G - MyIPBrick Figura 13.2: Web Server - MyIPBrick site - Available options • Nome: Nome completo do utilizador. Pode ser alterado; • Login: Login do utilizador. Não é editável; • UidNumber: É a identificação do Utilizador usada pelo LDAP para identificar os utilizadores. Não é editável; • Quota: Quota geral do utilizador, se definida. Se não estiver definida, mostrará Ilimitada. Não é editável; • Password: Ao clicar em Modificar, no topo, a password LDAP do utilizador também pode ser alterada; Configurações VoIP: • Endereço de telefone: Telefone associado ao utilizador. Representa o número de telefone que o utilizador está a usar no momento. Podem ser usados diversos números de telefone: Endereços SIP internos (Ex.: 201, phone01), endereços SIP externos (Ex.: [email protected]), número PSTN (Ex.: 00351221121334), número GSM, etc. Não importa onde, o utilizador estará sempre disponı́vel, a pessoa que lhe quer telefonar só precisa de marcar [email protected] e o telefone seleccionado toca; Configurações do correio do utilizador: • Estado: Mostra se a conta de correio está activa ou não. Não é editável; • Correio: Endereço de correio do utilizador. Não é editável; Manual Referência- Versão 5.2 iPortalMais - 2010 259 • Endereço alternativo: Mostra a lista de endereços alternativos do utilizador. Não é editável; • Quota de correio: Quota de correio do utilizador, se definida. Se não estiver definida, mostrará Ilimitada. Não é editável; • Tamanho máximo da mensagem: Tamanho máximo da mensagem a receber, se definido. Se não estiver definida, mostrará Ilimitada. Não é editável; • Encaminhar Para: O utilizador pode definir outros endereços de correio electrónico. Assim, quando alguém envia uma mensagem de correio electrónico para [email protected], os endereços definidos aqui receberão também uma cópia; • Mensagem de resposta automática: Se for definida uma mensagem, a IPBrick responderá automaticamente com esta mensagem quando alguém enviar uma mensagem de correio electrónico para a conta do utilizador. Por defeito, não existe nenhuma mensagem prédefinida. Os campos não editáveis são só os definidos HeartBeat linux pelo interface web da IPBrick. A Figura Figura 13.3 mostra um exemplo de configuração. Figura 13.3: Web Server - MyIPBrick site - Change settings Área Pessoal A Área Pessoal é onde o utilizador pode gerir o seu directório de pastas e ficheiros (Figura 13.4). Se o utilizador quer aceder de forma remota à sua área iPortalMais - 2010 Manual Referência- Versão 5.2 260 Anexo G - MyIPBrick pessoal para obter um ficheiro ou aceder a uma pasta, não precisa de estabelecer uma ligação VPN ao servidor de Intranet da empresa, porque a sua área pessoal está disponı́vel em https://myipbrick.domain.com Estas são as opções na página do ı́ndex da área pessoal: • Pasta nova: Criar uma pasta nova. Clicar OK, inserir o nome da pasta e clicar OK novamente; • Ficheiro novo (upload): Fazer o upload de um ficheiro. Clicar OK, inserir o ficheiro que deseja e clicar OK novamente; • Apagar os itens seleccionados: Os itens seleccionados serão apagados quando clicar em OK; • Mudar o nome aos itens seleccionados: Os itens seleccionados serão renomeados. Clicar OK, mudar o nome aos itens e clicar OK novamente; • Descarregar esta pasta (zip): A pasta inteira será descarregada no formato .zip. Basta clicar OK para fazer o download; Operações da pasta: • Introduzir uma pasta: Basta clicar no nome da pasta; • Ir para a pasta anterior: Clicar OK no WindoHeartBeat linuxws Network (Up); • Seleccionar uma pasta: Clicar no lado esquerdo da pasta. Figura 13.4: Web Server - MyIPBrick site - Personal area Manual Referência- Versão 5.2 iPortalMais - 2010 Capı́tulo 14 Anexo H Contacts Todos sabemos que os seres humanos não coexistem sem comunicarem entre si. Mas o que é verdade no mundo natural também é verdade no mundo dos negócios. Uma empresa não pode existir sem se relacionar com outras, pelo que a gestão dos contactos deve ser encarada de forma responsável. É por isso que a IPBrick oferece uma forma de tratar as comunicações no mundo empresarial através de um interface web especial, dedicado ao tratamento da gestão dos contactos da sua empresa. 14.1 Começar O interface web pode ser acedido ao visitar este URL; http://contacts.domain.com/ NOTA: Por razões de segurança, existe um tempo limite de acesso de 30m. Ao expirar, a pessoa que está a aceder ao contacts sairá automaticamente da sessão por si iniciada. O interface web do Contacts da IPBrick será supervisionado por um administrador, ele terá liberdade total para criar e editar contactos que ache adequados e para gerir as autorizações de acesso criando perfis de utilizador. Após o procedimento de login (Figura 14.1), a página ı́ndex (Figura 14.2), apresenta uma lista alfabética de acesso rápido (o ’1’ é para aceder a Entidades cujo nome se inicia de forma numérica ou com um sı́mbolo) um filtro e um link Mostrar Tudo. O link Reconstruir Contactos tem o único objectivo de sincronizar dados entre a base de dados e o serviço LDAP. Logout, obviamente termina a sessão. Existem também dois botões na área central da página; iPortalMais - 2010 Manual Referência- Versão 5.2 262 Anexo H - Contacts Figura 14.1: Interface login do Contacts • Definiç~ oes • Tipos de Entidade Ao clicar em Definiç~ oes, aparecem as opções seguintes: • Gest~ ao de Entidades - Aqui é feita a criação e a edição de Entidades. Uma Entidade é qualquer empresa que está relacionada com o seu negócio. Será a pasta origem, por assim dizer, de um número indeterminado de contactos. Figura 14.2: Página ı́ndex de Contacts Manual Referência- Versão 5.2 iPortalMais - 2010 14.1 Começar 263 NOTA: Para criar uma Entidade, deve primeiro criar uma entrada Tipo de entidade na página Dados Auxiliares. Este procedimento é obrigatório. Não pode criar uma Entidade se não tem um tipo para a classificar. • Dados Auxiliares - Ao seleccionar esta opção na página ı́ndex, surge uma lista de atributos (Figura 14.3) que servirão para caracterizar qualquer Entidade. Figura 14.3: Página Dados Auxiliares Este passo é crucial, terá de criar pelo menos uma entrada em qualquer um destes atributos se deseja que eles estejam disponı́veis quando está a criar entidades. Para o fazer, basta clicar no seu nome e preencher o campo que aparece (Figura 14.4), para guardar clicar em Inserir. Figura 14.4: Página de criação de Tipos de Entidade – Tipos de Entidade - O atributo obrigatório, um tipo de Entidade (ex.: Fornecedores, Clientes, etc.). – Categorias - um tipo de Entidade abaixo do nı́vel (ex.: CeBite 2001). iPortalMais - 2010 Manual Referência- Versão 5.2 264 Anexo H - Contacts – Subcategorias - Ter em atenção que antes de criar uma subcategoria é necessário criar uma Categoria. – Paı́ses - Criar um Paı́s. – Estados - Criar um Estado. – Provı́ncias - Criar uma Provı́ncia. – Regiões - Criar uma Região. – Classificação das Actividades Económicas - Identifica Entidade pelo seu CAE, número e descrição. – Grupos Associados - Criar um Grupo Associado (ex.: Consultor, Imprensa, Revendedor, Utilizador, etc.). – Campo Adicional - Qualquer classificação extra que desejar adicionar. – Grupos de contactos - Cria um tag que identifica um grupo de contactos. • Gestão de Perfis: Este menu (Figura ??) gere as autorizações concedidas aos utilizadores, deixa-o editar ou criar novos perfis de utilizador. Por defeito, existem três perfis básicos não editáveis: Figura 14.5: Página de gestão de perfis – Admin - O Administrador tem controlo absoluto. Pode Ler, Criar/Editar e Apagar. – Editor - Só pode Ler e Criar/Editar. – Leitor - Só tem autorização para Ler. • Para criar um novo perfil de utilizador basta clicar em Inserir, surgirá esta página (Figura 14.6). – Inserir o nome do Perfil. – Verificar as autorizações que deseja conceder. – Clicar em Inserir para guardar o novo perfil. Manual Referência- Versão 5.2 iPortalMais - 2010 14.2 Criar uma Entidade 265 Figura 14.6: Página Inserir da Gestão de Perfil • Gestão de Utilizadores - Aqui pode seleccionar que utilizadores LDAP também podem ser utilizadores do Contacts (Figura 14.7), basta seleccionar o utilizador e clicar no botão seta na direcção da caixa Utilizadores de Contactos IPBrick. Também pode clicar no botão que aponta para os Utilizadores LDAP para impedir que um utilizador LDAP possa aceder ao interface web de gestão de Contactos da IPBrick. O link de associação de perfil situado abaixo do link Reconstruir Contactos serve como uma forma rápida para atribuir um determinado perfil de utilizador ao utilizador em questão. • Fechar Sessão - Se seleccionar esta opção, termina a sessão. 14.2 Criar uma Entidade Para criar uma Entidade deve primeiro criar pelo menos um Tipo de Entidade na página Dados Auxiliares. Este procedimento é obrigatório. Na página Gest~ ao de Entidades, clicar em Inserir e preencher os seguintes campos: • Nome da Entidade. • Número de Contribuinte. • Morada: A morada aqui adicionada estará disponı́vel na página de localizações. • Código Postal. iPortalMais - 2010 Manual Referência- Versão 5.2 266 Anexo H - Contacts Figura 14.7: Página Gestão de Utilizadores • Telefone: Se quiser adicionar vários números, separe-os por / • Telemóvel: Se quiser adicionar vários números, separe-os por / • Fax: Se quiser adicionar vários números, separe-os por / • Correio Electrónico. • Contacto MSN. • Web: O URL da página web da Entidade • Domı́nio da Empresa: O Domı́nio da Entidade (diversos domı́nios separados por ; ). • Data de nascimento: Escolher (/dia / mês / ano/). • NIB: Tipo de Número de Identificação Bancária da Entidade. • Paı́s: Para escolher um paı́s terá de criar uma entrada em Dados Auxiliares. • Estado: Para escolher um Estado terá de criar uma entrada em Dados Auxiliares. • Provı́ncia: Para escolher uma Provı́ncia terá de criar uma entrada em Dados Auxiliares. • Região: Para escolher uma Região terá de criar uma entrada em Dados Auxiliares. Manual Referência- Versão 5.2 iPortalMais - 2010 14.2 Criar uma Entidade 267 • CAE: Para escolher um CAE terá de criar uma entrada em Dados Auxiliares. • Grupo Associado: Para escolher um Grupo Associado terá de criar uma entrada em Dados Auxiliares. • EXTRA: Terá de criar uma entrada em Dados Auxiliares (Sob o Campo Adicional de nome). • Telefone IPBrick: Escolher o telefone da Entidade registada no servidor IPBrick. • Comentários: Adicionar qualquer comentário que deseje fazer. • Campo Extra: Criar um campo adicional. No final da página, estas caixas seguintes (Figura 14.8) mostram os Tipos, Categorias e Subcategorias da Entidade disponı́vel, que predefiniu nos Dados Auxiliares, eles servirão para categorizar a Entidade que está a criar. Figura 14.8: Caixas de Associação da Gestão de Entidades • Tipos de Entidade Disponı́veis - Esta caixa mostra os Tipos de Entidade disponı́veis que foram criados no Menu Dados Auxiliares. Terá de escolher o Tipo de Entidade que deseja, clicando nela, depois deve clicar na seta que aponta na direcção da caixa Tipos de Entidade. • Tipos de Entidade - Esta caixa mostra o Tipo de Entidade seleccionado da lista de tipos disponı́veis, também pode apagar um tipo seleccionando-o e clicando na seta que aponta para a caixa Tipos de Entidades Disponı́veis. iPortalMais - 2010 Manual Referência- Versão 5.2 268 Anexo H - Contacts • Categorias Disponı́veis - Esta caixa mostra as Categorias disponı́veis que foram criadas no Menu Dados Auxiliares, terá de escolher a categoria que deseja, clicando na seta que aponta na direcção da caixa Categorias. • Categorias - Esta caixa mostra a Categoria seleccionada da lista de categorias disponı́veis. Também pode apagar uma Categoria seleccionando-a e clicando na seta que aponta para a caixa Categorias Disponı́veis. • Categorias Disponı́veis - Esta caixa mostra as Subcategorias disponı́veis que foram criadas no Menu Dados Auxiliares, terá de escolher a subcategoria que deseja, clicando na seta que aponta na direcção da caixa subcategorias. • subcategorias - Esta caixa mostra a subcategoria seleccionada da lista de Subcategorias disponı́veis. Clicar em Inserir para guardar. Após criar uma Entidade, pode verificar se todos os dados inseridos estão correctos e, caso não o estejam, basta clicar em Modificar ou Apagar se quer apagar a entrada. 14.3 Criar um Contacto Agora que foi criada uma Entidade, pode adicionar-lhe contactos. Se voltar para a página Gest~ ao de Entidades (Figura 14.9), está agora visı́vel o nome da Entidade que acabou de criar. Figura 14.9: Página Gestão de Entidades com uma Entidade criada Se clicar no nome da Entidade, surgirá uma nova página (Figura 14.10). • Clicar no Link Contactos. • Clicar em Inserir Contacto. Manual Referência- Versão 5.2 iPortalMais - 2010 14.3 Criar um Contacto 269 Figura 14.10: Página detalhes da Entidade Preencher estes campos: • Nome da Entidade: (obviamente não editável). • Local: Escolher o local do contacto da lista de opções disponı́veis. • Contacto: Nome do contacto. • Número de Contribuinte. • Morada. • Código Postal. • Telefone: Se quiser adicionar vários números, separe-os por / • Telemóvel: Se quiser adicionar vários números, separe-os por / • Fax: Se quiser adicionar vários números, separe-os por / • Correio Electrónico. • Contacto MSN. • Web: A webpage pessoal do contacto • NIB: Tipo de Número de Identificação Bancária da Entidade. • Data de nascimento: Inserir a data de nascimento do contacto (/dia / mês / ano/). • Apresentação: Preencher com o que precisar para mostrar para que possa ser considerado. • Posto: A sua posição na hierarquia da empresa. • Paı́s: Para escolher um paı́s terá de criar uma entrada em Dados Auxiliares. iPortalMais - 2010 Manual Referência- Versão 5.2 270 Anexo H - Contacts • Estado: Para escolher um Estado terá de criar uma entrada em Dados Auxiliares. • Provı́ncia: Para escolher uma Provı́ncia terá de criar uma entrada em Dados Auxiliares. • Região: Para escolher uma Região terá de criar uma entrada em Dados Auxiliares. • Grupo: Para escolher um Grupo Associado terá de criar uma entrada em Dados Auxiliares. • Telefone IPBrick: Escolher o telefone IPBrick do contacto registado no servidor IPBrick. • Comentários: Adicionar qualquer comentário que deseje fazer. • Campo Extra: Criar um campo adicional. Para guardar, clicar em Inserir. Depois de criar um contacto pode verificar se todos os dados inseridos estão correctos. Caso não o estejam, clicar em Modificar ou Apagar se quiser apagar a entrada. Voltar à página gestão de Entidades clicando no link Gestão de Entidades situado no canto esquerdo. Clicar na Entidade desejada. Se quiser pode Modificar, Apagar ou adicionar Contactos à Entidade clicando simplesmente no link correspondente situado no canto superior esquerdo do ecrã. Manual Referência- Versão 5.2 iPortalMais - 2010
Documentos relacionados
Manual de Refere94 encia da IPBrick
Grupos de Utilizadores - Inserir . . . . . . . . . . . . . . . . . . . Grupos de Utilizadores - Listagem . . . . . . . . . . . . . . . . . . Grupos de Utilizadores - Definição de Utilizadores . ....
Leia mais