packetfence administration guide-pt br-3.1.0
TRANSCRIPT
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
1/97
PacketFence – versão 3.1.0
Guia de Administração
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
2/97
Copyright © 2008-2011 Inverse inc. (http://inverse.ca)
É dada permisso para copiar! distri"#ir e/o# modi$car este doc#mento so" os termos da %&'ree oc#mentation *icense! +erso 1.2 o# ,#a,#er verso posterior p#"icada pea reeotare o#ndation sem e3es Invariantes! sem 4e5tos de Capa ronta! e sem 4e5tos de Capado +erso. 'ma c6pia da icena est7 inc#da na seo intit#ado 9%&' ree oc#mentation*icense.
+erso ;.1.0 < e=em"ro 2011
http://inverse.ca/http://inverse.ca/http://inverse.ca/
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
3/97
Sumário
Capítulo 1 Sobre este Guia ................................................................................................................... 6
>#tras ontes de inormao ......................................................................................?
Capítulo 2 Introdução ............................................................................................................................7
Caractersticas ........................................................................................................... @
Integrao de Aede ..................................................................................................10
Componentes .......................................................................................................... 11
Capítulo 3 Requisitos de Sistema ......................................................................................................12
#posi3es .............................................................................................................. 12
Ae,#isitos mnimos de hardare ............................................................................. 1;
Ae,#isitos do sistema operaciona ........................................................................... 1B
Capítulo 4 Instalação ........................................................................................................................... 1
Instaao do istema >peraciona .......................................................................... 1
onoad de sotare ............................................................................................ 1@Instaao de otare .............................................................................................1@
Capítulo Con!"uração ......................................................................................................................1#
Drimeiro Dasso .........................................................................................................18
Interace de Edministrao "aseada na Fe" ............................................................ 18
Er,#ivo de con$g#rao go"a (p.con) ................................................................. 1G
Con$g#rao do Epache ......................................................................................... 1G
H*in#5 .................................................................................................................. 20
E#tenticao (ar,#ivo simpes! *ED/E! AEI') .................................................20
e$nio dos dispositivos da Aede (sitches.con) .................................................. 21
Etri"#io da +*E& padro ..................................................................................... 2B
Con$g#rao da apicao Inine ............................................................................ 2B
Con$g#rao CD e ervidor & (netorJs.con) ...............................................2
Ecesso K Drod#o CD ....................................................................................... 2?
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
4/97
Aedes Aoteadas ....................................................................................................... 2G
Con$g#rao do reeAEI' ................................................................................. ;1
Iniciando os ervios DacJetence ........................................................................... ;
Er,#ivos de *og ...................................................................................................... ;
Capítulo 6 Con!"uração por e$emplo .............................................................................................. 37#posi3es .............................................................................................................. ;@
Interaces de Aede ................................................................................................... ;8
Con$g#rao de itch ...........................................................................................;G
sitches.con ......................................................................................................... B0
p.con ................................................................................................................... B1
netorJs.con .........................................................................................................B2
etahes da apicao Inine ................................................................................... B;
Capítulo 7 Componentes %p&ionais ................................................................................................. 44
Lo,#eando atividades maiciosas com vioa3es .................................................... BB
#"misso de +arred#ra (&ess#s) .............................................................................B8
>inJmaster ............................................................................................................ 0
ispositivos de Aede #t#ante ................................................................................ 1
%erMncia de Convidado ...........................................................................................;
ecarao de aNde (o) ..................................................................................... ?
Der$ Eppe de provisionamento sem $o .................................................................. 8
*imite de traps &OD .............................................................................................. G
Capítulo # 'el(ores )r*ti&as do Sistema opera&ional ...................................................................6+
Ipta"es .................................................................................................................. ?0
Aota3es de *og ...................................................................................................... ?0
Eta isponi"iidade ............................................................................................... ?1
Capítulo , %timi-ação de desempen(o ............................................................................................6,
>timi=a3es no OyP* .......................................................................................... ?G
>timi=a3es no Captive Dorta .................................................................................@;
Capítulo 1+ )er"untas req/entes .......................................................................................................74
Capítulo 11 Introdução t0&ni&a apli&ação de 5 .....................................................................7
Introd#o .............................................................................................................. @
Oais so"re &OD traps e isoamento de +*E& ........................................................ @@
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
5/97
Capítulo 12 Introdução t0&ni&a apli&ação Inline ............................................................................7,
Introd#o .............................................................................................................. @G
Con$g#rao de dispositivo .....................................................................................@G
Controe de Ecesso ..................................................................................................@G
*imita3es ............................................................................................................... @G
Capítulo 13 pndi&e erramentas de dministração ............................................................... #1
pcmd .................................................................................................................... 81
pcmdQvan ............................................................................................................ 82
Fe" Edmin %'I .................................................................................................... 8B
Capítulo 14 pndi&e 8 'anual de Con!"uração do reeR9I:S 2 ........................................ #
Capítulo 1 pndi&e C Con!"uração le"ada do reeR9I:S 1.$ ................. ................... .........##
Capítulo 16 In;ormaç
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
6/97
Capt#o 1
1 Sobre este Guia
Hste g#ia ir7 cond#=i-o atravRs da instaao e do dia a dia de administrao da so#oDacJetence.
Es instr#3es so "aseadas na verso ;.1.0 do DacJetence
E Ntima verso deste g#ia est7 disponve em http://.pacJetence.org/doc#mentation/
Outras fontes de informação
%#ia de Con$g#rao de ispositivos de Aede - itch! controadores e con$g#rao deEccess Doints.
%#ia do esenvovedor < Dersonai=ao do Captive Dorta! +*E& personai=ao de gerMncia einstr#3es para s#portar novo hardare.
Dara #ma ista de m#danas not7veis desde a Ntima verso ver o ar,#ivo NEWS.
Dara #ma ista de atera3es reacionadas com a compati"iidade e notas so"re a at#ai=ao
ver o ar,#ivo UPGRADE.Dara mais detahes e m#danas visveis no desenvovimento ver o ar,#ivo ChangeLog.
Hsses ar,#ivos esto inc#dos no pacote e tar"as de anamento
© 2008-2011 Inverse inc. o"re este %#ia ?
http://www.packetfence.org/documentation/http://www.packetfence.org/documentation/http://www.packetfence.org/documentation/
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
7/97
Capt#o 2
2 ntrodução
DacJetence R totamente s#portado! con$7ve! grat#ito e #m sistema >pen o#rce de Controede Ecesso K Aede (&EC). Imp#sionar #m conS#nto de caractersticas impressionantes!inc#indo #m Captive Dorta para registro e re-mediao! gerenciamento centrai=ado com $o esem-$o! s#porte 802.15! isoamento de dispositivos pro"em7ticos na camada 2! integraocom o I nort e do scanner de v#nera"iidade &ess#s DacJetence pode ser #sadoeetivamente para redes seg#ras - de pe,#ena a grandes redes heterogMneas.
!aracter"sticas
❏ ora de "anda (e5ec#o de +*E&)
DacJetence R competamente #ma operao ora de "anda ,#e permite a so#o! aescaa geogr7$ca e ser mais resistente Ks ahas.
❏ Hm Landa (Epicao Inine)
DacJetence pode tam"Rm ser con$g#rado para ser em "anda! especiamente ,#ando
o #s#7rio tem sitches no gerenci7veis o# pontos de acesso. DacJetence tam"Rmtra"aha tanto com K +*E& e apicao Inine ativada para a m75ima escaa"iidade eseg#rana ,#ando permite ao hardare mais antigos ainda serem hardares a seremseg#ra #tii=ando a apicao Inine.
❏ #porte a +o= so"re ID (+oID).
4am"Rm chamado de 4eeonia ID (ID4)! +oID R totamente s#portada (mesmo emam"ientes heterogMneos) para mNtipos ornecedores de sitch (Cisco! Hdge-Core! D!*inJys! &orte &etorJs e m#ito mais).
❏
802.1T802.1T sem $o e com $o R s#portado atravRs de #m m6d#o reeAEI'.
❏ Integrao Fireess
DacJetence integra pereitamente com redes sem $o atravRs de #m m6d#oreeAEI'. Isso permite ao #s#7rio proteger s#as redes sem $o e com $o da mesma
© 2008-2011 Inverse inc. Introd#o @
http://freeradius.org/http://freeradius.org/http://freeradius.org/http://freeradius.org/http://freeradius.org/http://freeradius.org/
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
8/97
Capt#o 2
orma #sando o "anco de dados de #s#7rio e #sando o mesmo no Captive Dorta!proporcionando #ma e5periMncia consistente. Oist#ra de ornecedores de pontos deacesso (ED) e controadores sem $o R s#portado.
❏ AegistroDacJetence s#porta #m mecanismo de registro opciona semehante as so#3es de
Captive Dorta. Eo contr7rio do ,#e so#3es captive porta! o DacJetence em"ra #s#7riospreviamente cadastrados e a#tomaticamente dar-hes acesso sem o#tra a#tenticao.Caro! isso R con$g#r7ve. 'ma Dotica de 'tii=ao aceit7ve pode ser especi$cada deta orma ,#e os #s#7rios no podem permitir o acesso K rede sem antes aceit7-o.
❏ eteco de atividades anorma de rede.
Etividades anorma de rede (vr#s de comp#tador! orms! spyare! tr7ego negadopor poticas esta"eecidas! etc.) podem ser detectadas #sando sensores nort ocais eremotos. ERm de deteco simpes! DacJetence poss#i s#a pr6pria camada de aerta e
mecanismo de represso em cada tipo de aerta. 'm conS#nto de a3es con$g#r7veis paracada vioao est7 disponve para administradores.
❏ +arred#ra de v#nera"iidade Dr6-Etiva
&ess#s varred#ras de v#nera"iidade podem ser e5ec#tadas no momento do registro!programado o# n#ma "ase ad-hoc. DacJetence correaciona a v#nera"iidade &ess#s Ide cada varred#ra na con$g#rao de vioao! retornando p7ginas e" de conteNdoespec$co so"re o ,#a a v#nera"iidade do host pode ter.
❏ Isoamento de dispositivos pro"em7ticos
DacJetence s#porta v7rias tRcnicas de isoamento! inc#indo isoamento de +*E&com s#porte +oID (mesmo em am"ientes heterogMneos) para mNtipos ornecedores desitches.
❏ Ae-mediao atravRs de #m Captive Dorta
'ma ve= preso! todo o tr7ego da rede R $nai=ado peo sistema DacJetence. Com"ase no estado at#a do n6 (no registrado! vioao! etc) o #s#7rio R redirecionado para a'A* apropriada. &o caso de #ma vioao! o #s#7rio ser7 apresentado com Ks instr#3espara a sit#ao em partic#ar dee/dea! red#=indo a interveno do servio de aS#da.
❏ *inha de comando e gerenciamento "aseado na Fe"
Interaces "aseada na Fe" e inha de comando para todas as tareas degerenciamento.
❏ Ecesso a +isitantes
© 2008-2011 Inverse inc. Introd#o 8
http://www.snort.org/http://www.nessus.org/nessus/http://www.snort.org/http://www.nessus.org/nessus/
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
9/97
Capt#o 2
DacJetence s#porta #ma +*E& especia para convidado ora da cai5a. Con$g#rar s#arede para ,#e a +*E& de convidado s6 vai para a Internet! a +*E& de registro e captiveporta so os componentes #sados para e5picar aos convidados como registrar para oacesso e como #nciona o se# acesso. Isso R geramente marcado pea organi=ao ,#eoerece o acesso. +7rios meios de registro de convidado so possveis. DacJetence
tam"Rm s#porta acesso de convidado por cria3es e importa3es.
DacJetence R desenvovido por #ma com#nidade de desenvovedores ocai=adosprincipamente na EmRrica do &orte. Oais inorma3es podem ser encontradas emhttp://.pacJetence.org
© 2008-2011 Inverse inc. Introd#o G
http://www.packetfence.org/http://www.packetfence.org/
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
10/97
Capt#o 2
nte#ração de $ede
E apicao da +*E& R demonstrado na $g#ra do diagrama acima. E apicao Inine deve serconsiderada como #ma rede simpes onde o DacJetence at#a como #m $rea / gateay.
© 2008-2011 Inverse inc. Introd#o 10
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
11/97
Capt#o 2
!om%onentes
© 2008-2011 Inverse inc. Introd#o 11
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
12/97
Capt#o ;
3 $e&uisitos de Sistema
Su%osiç'es
DacJetence re#tii=a m#itos componentes em #ma inraestr#t#ra. Essim! e5ige o seg#inte:
❏ ervidor de Lanco de ados (OyP*)
❏ ervidor Fe" (Epache)
ependendo da con$g#rao! o #s#7rio pode ter de instaar componentes adicionais como:
❏ ervidor CD (IC CD)
❏ ervidor & (LI&)
❏ ervidor AEI' (reeAEI')
❏ &I (nort)
&este g#ia! partimos do princpio de ,#e todos os componentes esto em e5ec#o no mesmoservidor (e5.! Ulocalhost o# U127.0.0.1) ,#e o DacJetence ser7 instaado.
'ma "oa compreenso da,#ees componentes e %&'/*in#5 R necess7ria para instaar oDacJetence. e o #s#7rio atar ag#ns desses componentes necess7rios! por avor! cons#te adoc#mentao apropriada e prossiga com a instaao destes re,#isitos antes de contin#ar comeste g#ia.
E ta"ea! a seg#ir! ornece recomenda3es para os componentes necess7rios! S#nto comnNmeros de verso:
ervidor OyP* OyP* B.1 o# .1
ervidor Fe" Epache 2.2ervidor CD CD ;
ervidor & LI& G
ervidor AEI' reeAEI' 2
nort nort 2.8 o# 2.G
+ers3es mais recentes dos sotares mencionados acima tam"Rm podem ser #sadas.
© 2008-2011 Inverse inc. Ae,#isitos de istema 12
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
13/97
Capt#o ;
$e&uisitos m"nimos de (ard)are
E ta"ea! a seg#ir! ornece recomenda3es para o ervidor e esJtops:
ervidor ◾ Inte o# EO CD' ; %=◾ 20B8 OL de AEO◾ 20 %L de espao em disco (AEI 1 recomendado)◾ 1 Daca de rede
■ V 1 para ata disponi"iidade■ V 1 para deteco de intr#so
© 2008-2011 Inverse inc. Ae,#isitos de istema 1;
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
14/97
Capt#o ;
$e&uisitos do sistema o%eraciona*
DacJetence s#porta os seg#intes sistemas operacionais nas ar,#itet#ras i;8? o# 58?Q?B:❏ Aed at Hnterprise *in#5 .5/?.5 erver
❏ Comm#nity H&4erprise >perating ystem (Cent>) .5/?.5
Certi$,#e-se de ,#e o #s#7rio pode instaar pacotes adicionais a partir de s#a distri"#iopadro. Dor e5empo! se o #s#7rio estiver #sando o Aed at Hnterprise *in#5! o #s#7rio tem deser inscrito no Aed at &etorJ antes de contin#ar com a instaao do sotare DacJetence.
>#tras distri"#i3es! tais como! e"ian! edora e %entoo! so conhecidas para tra"ahar! maseste doc#mento no ir7 co"ri-as.
Serviços de nicia*i+ação
DacJetence c#ida do #ncionamento e operao dos seg#intes servios:
❏ ervidor Fe" (httpd)
❏ ervidor CD (dhcpd)
❏ ervidor & (named)
❏ ervidor reeAEI' (radi#sd)
❏ nort &etorJ I (snort)
❏ irea (ipta"es)
Certi$,#e-se de ,#e todos os o#tros servios so a#tomaticamente iniciados peo se# sistemaoperaciona
© 2008-2011 Inverse inc. Ae,#isitos de istema 1B
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
15/97
Capt#o B
, nsta*ação
Hsta seo ir7 g#i7-o atravRs da instaao do DacJetence S#ntamente com s#as dependMncias.
nsta*ação do Sistema O%eraciona*
Instaar s#a distri"#io com a instaao mnima e nenh#m pacote adiciona. Hnto:
❏ Etive o irea
❏ esative o H*in#5
Certi$,#e-se de ,#e se# sistema est7 at#ai=ado e se# "anco de dados est7 at#ai=ado:
yum u!ate
$-/ . !entOS .
Eg#mas dependMncias do DacJetence esto disponveis atravRs do reposit6rio Aepoorge(http://repoorge.org/ ) ento o #s#7rio precisa con$g#rar o W'O para #s7-o.
Hm seg#ida! instae a Ntima verso do pacote ADOorge para s#a ar,#itet#ra(http://pJgs.repoorge.org/rpmorge-reease/ ): Dor e5empo (i;8?):
"get htt#$$%gs.&eo'o&ge.o&g$&m'o&ge(&elease$&m'o&ge(&elease(0.).2(
2.el).&'.*+,-.&m&m (* &m'o&ge(&elease(0.).2(2.el).&'.*+,-.&m
esa"iitar o reposit6rio por padro. &o ar,#ivo /etc/y#m.repos.d/rpmorge.repo! atere so" a
seo rpmorge para 0:
enale! / 0
Hnto instae o reposit6rio HDH* (http://edoraproSect.org/iJi/HDH*/EP). a=er assim!simpesmente peg#e o Ntimo rpm HDH* (verso .B no momento deste anamento)! e instae-
© 2008-2011 Inverse inc. Instaao 1
http://repoforge.org/http://repoforge.org/http://repoforge.org/http://pkgs.repoforge.org/rpmforge-release/http://pkgs.repoforge.org/rpmforge-release/http://pkgs.repoforge.org/rpmforge-release/http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el5.rf.i386.rpmhttp://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el5.rf.i386.rpmhttp://fedoraproject.org/wiki/EPEL/FAQhttp://fedoraproject.org/wiki/EPEL/FAQhttp://repoforge.org/http://pkgs.repoforge.org/rpmforge-release/http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el5.rf.i386.rpmhttp://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el5.rf.i386.rpmhttp://fedoraproject.org/wiki/EPEL/FAQ
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
16/97
Capt#o B
o :
"get htt#$$!o"nloa!.'e!o&a&oect.o&g$u$eel$)$*+,-$eel(&elease()(
.noa&ch.&m
&m (* eel(&elease()(.noa&ch.&m
$-/ . !entOS .
Eg#mas dependMncias do DacJetence esto disponveis atravRs do reposit6rio Aepoorge(http://repoorge.org/ ) ento o #s#7rio precisa con$g#rar o W'O para #s7-o.
Hm seg#ida! instae a Ntima verso do pacote ADOorge para s#a ar,#itet#ra(http://pJgs.repoorge.org/rpmorge-reease/ ): Dor e5empo (58?Q?B):
"get htt#$$%gs.&eo'o&ge.o&g$&m'o&ge(&elease$&m'o&ge(&elease(0.).2(2.el-.&'.,-3-.&m
&m (* &m'o&ge(&elease(0.).2(2.el-.&'.,-3-.&m
esa"iitar este reposit6rio por padro. &o ar,#ivo /etc/y#m.repos.d/rpmorge.repo! atere so" aseo rpmorge para 0:
enale! / 0
Hnto instae o reposit6rio HDH* (http://edoraproSect.org/iJi/HDH*/EP). a=er assim!simpesmente peg#e o Ntimo rpm HDH* (verso ?. no momento deste anamento)! e instae-
o :
"get htt#$$!o"nloa!.'e!o&a&oect.o&g$u$eel$-$*+,-$eel(&elease(-().noa&ch.&m
&m (* eel(&elease(-().noa&ch.&m
$-/ .
's#7rios Aedat Hnterprise *in#5 necessitam de #m passo adiciona na con$g#rao. e o#s#7rio no estiver #sando o %erenciamento de Essinat#ra A& da Aedat! o #s#7rio precisa
ha"iitar o o cana opciona e5ec#tando o seg#inte como root:
&hn(channel ((a!! 4channel/&hel(5uname (m5(se&6e&(ot*onal(-
Aedat parece no ornecer #m pacote e&l(Net(elnet. DacJetence precisa dee por isso!n6s vamos instaa-o do reposit6rio &m'o&ge(et&as agora:
© 2008-2011 Inverse inc. Instaao 1?
http://download.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpmhttp://download.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpmhttp://repoforge.org/http://repoforge.org/http://repoforge.org/http://pkgs.repoforge.org/rpmforge-release/http://pkgs.repoforge.org/rpmforge-release/http://pkgs.repoforge.org/rpmforge-release/http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.x86_64.rpmhttp://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.x86_64.rpmhttp://fedoraproject.org/wiki/EPEL/FAQhttp://fedoraproject.org/wiki/EPEL/FAQhttp://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-5.noarch.rpmhttp://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-5.noarch.rpmhttp://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-5.noarch.rpmhttp://download.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpmhttp://download.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpmhttp://repoforge.org/http://pkgs.repoforge.org/rpmforge-release/http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.x86_64.rpmhttp://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.x86_64.rpmhttp://fedoraproject.org/wiki/EPEL/FAQhttp://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-5.noarch.rpmhttp://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-5.noarch.rpmhttp://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-5.noarch.rpm
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
17/97
Capt#o B
yum *nstall e&l(Net(elnet ((enale&eo/&m'o&ge(et&as
© 2008-2011 Inverse inc. Instaao 1@
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
18/97
Capt#o B
4o)n*oad de soft)are
Comeando com 1.8.! DacJetence! agora R ornecido como #m reposit6rio ADO para AH* /Cent> em ve= de #m ar,#ivo ADO Nnico.
Hste reposit6rio contRm todas as dependMncias necess7rias para instaar o DacJetence. Istoproporciona inNmeras vantagens:
❏ Instaao m#ito 7ci
❏ 4#do R empacotado como ADO (sem pro"emas CDE&)
❏ Et#ai=ao 7ci
nsta*ação de Soft)are
Dara #sar o reposit6rio! "asta criar #m ar,#ivo chamado$etc$yum.&eos.!$Pac%et8ence.&eo com o seg#inte conteNdo:
XDacJetenceYnameZDacJetence Aepository"ase#rZhtt#$$*n6e&se.ca$!o"nloa!s$Pac%et8ence$R9EL:&elease6e&$:asea&chgpgchecJZ0ena"edZ0
'ma ve= de$nido o reposit6rio! o #s#7rio pode instaar o DacJetence com todas asdependMncias necess7rias aos servios (&! servidor de "anco de dados! servidor CD!servidor AEI') #sando:
yum g&ou*nstall ((enale&eo/Pac%et8ence;&m'o&ge Pac%et'ence(comlete
>#! se preerir! para instaar somente o nNceo do DacJetence sem todos os servios e5ternos!o #s#7rio pode #sar:
yum *nstall ((enale&eo/Pac%et8ence;&m'o&ge ac%et'ence
'ma ve= instaado! e5ec#te o instaador e siga as instr#3es:
$us&$local$'$*nstalle&.l
'ma ve= competado! o DacJetence ser7 totamente instaado em se# servidor. Egora o #s#7rio
© 2008-2011 Inverse inc. Instaao 18
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
19/97
Capt#o B
est7 pronto para con$g#r7-o.
© 2008-2011 Inverse inc. Instaao 1G
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
20/97
Capt#o
!on5#uração
&esta seo! o #s#7rio aprender7 como con$g#rar o DacJetence. DacJetence #sar7 OyP*!Epache! IC CD! IC &! ipta"es e reeAEI' Como mencionado anteriormente!ass#mimos ,#e todos os componentes so e5ec#tados no mesmo servidor em ,#e oDacJetence est7 sendo instaado.
Primeiro Passo
E$m de comear corretamente a con$g#rao do DacJetence! recomendamos e5ec#tar oscript de con$g#rao ocai=ado em$us&$local$'$con'*gu&ato&.l. Hste script ir7 g#i7-oatravRs do processo de criao de #m ar,#ivo de con$g#rao de tra"aho do DacJetence ,#eseSa ade,#ado Ks s#as necessidades.
> script ir7 dar-he caminhos dierentes para a con$g#rao. ependendo do ,#e o #s#7rio,#er acanar! responda Ks perg#ntas ,#e he R apresentado. > script vai pedir mais ag#masinorma3es so"re s#a inraestr#t#ra de rede! como os servidores & e os servidores deendereos CD! etc.
4enha em mente ,#e a con$g#rao res#tante do DacJetence ser7 ocai=ado em$us&$local$'$con'$'.con' e $us&$local$'$con'$net"o&%s.con' e ee sempre podeser aS#stado man#amente depois.
nterface de 6dministração baseada na 7eb
DacJetence ornece #ma interace de administrao "aseada na e" para 7ci con$g#rao egerenciamento operaciona. E$m de acessar a interace! o #s#7rio precisa criar #ma contaadministrador e #ma de servios e".
> #s#7rio precisa criptograar a nova senha no ar,#ivo a!m*n.con' com o htass"!:
htass"! (! $us&$local$'$con'$a!m*n.con' a!m*n
Hm seg#ida! digite a nova senha d#as ve=es.
Hm seg#ida! novamente para e"service:
htass"! (! $us&$local$'$con'$a!m*n.con' "ese&6*ce
© 2008-2011 Inverse inc. Con$g#rao 20
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
21/97
Capt#o
Hm seg#ida! digite a nova senha d#as ve=es. 'se #ma senha orte. > #s#7rio n#nca ter7 ,#eentrar mais de #ma ve=.
'ma ve= ,#e o DacJetence R iniciado! a interace de administrao est7 disponve em: https://[hostname\ : 1BB; /
6r&uivo de con5#uração #*oba* 8%f.conf9
> ar,#ivo $us&$local$'$con'$'.con' contRm a con$g#rao gera do DacJetence. Dore5empo! este R o #gar onde inormamos ,#e o DacJetence tra"ahar7 no modo de isoamento+*E&.
4odos os par]metros padr3es e s#as descri3es so arma=enadas em$us&$local$'$con'$'.con'.!e'aults.
E $m de s#"stit#ir #m par]metro padro! de$na-o e aS#ste-o em '.con'.
$us&$local$'$con'$!ocumentat*on.con' contRm a ista competa de todos os par]metrosdisponveis.
4odos estes par]metros tam"Rm so acessveis atravRs da interace Fe" de Edministrao so" ag#ia Con$g#rao.
!a%tive Porta*
Dar]metros importantes a con$g#rar a respeito do captive porta so os seg#intes:
&e!*&ectu&l em =t&a*ng>
Dara ag#ns navegadores! R preerve redirecionar o #s#7rio para #ma 'A* espec$ca em ve=da 'A* ,#e o #s#7rio originamente pretendia visitar. Dara estes navegadores! a 'A* de$nidaem &e!*&ectU&l ser7 a Nnica na ,#a o #s#7rio ser7 redirecionado. &avegadores aetados soireo5 ; e ireo5 B.
net"o&%3!etect*on3* em =cat*6e3o&tal>
Hste ID R #sado como o servidor e" ,#e hospeda o common$net"o&%(access(!etect*on.g*' ,#e R #sado para detectar se o acesso K rede oi ativada. &o pode ser #mnome de domnio! #ma ve= ,#e R #sado em registro o# ,#arentena no ,#a o & R reSeitado.É recomendado ,#e o #s#7rio permita ,#e se#s #s#7rios cheg#em ao se# servidor DacJetencee coo,#e o ID da s#a *E& no DacJetence. Dor padro! nos aremos o e" site desteDacJetence chegar como #ma so#o mais 7ci e mais acessve.
!on5#uração do 6%ac(e
E con$g#rao do DacJetence para o Epache est7 ocai=ado em$us&$local$'$con'$htt!.con'.
Ep6s a instaao do DacJetence! #m ar,#ivo de con$g#rao padro R criado! ,#e Rade,#ado para a maioria das con$g#ra3es. * R ativado por padro para proteger o acesso.
e o #s#7rio #so# o script instaer.p! o #s#7rio deve ter certi$cados * a#to-assinados em
© 2008-2011 Inverse inc. Con$g#rao 21
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
22/97
Capt#o
$us&$local$'$con'$ssl (erver.Jey e server.crt). Hstes certi$cados podem ser s#"stit#dos a,#a,#er momento peo se# terceiro o# certi$cado c#ringa e5istente sem pro"emas. Dor avor!note ,#e o C& (Common &ame) deve ser o mesmo ,#e o de$nido no ar,#ivo de con$g#raodo DacJetence (p.con).
S/inu
Oesmo ,#e essa caracterstica pode ser pretendida por ag#mas organi=a3es! o DacJetenceno ser7 e5ec#tado corretamente se o H*in#5 est7 de$nido para enorced. +ocM precisar7desativ7-o e5picitamente no ar,#ivo em $etc$sel*nu$con'*g.
6utenticação 8ar&uivo sim%*es: /46P64:
$64;S9
DacJetence pode a#tenticar os #s#7rios ,#e registram os dispositivos atravRs do porta captive#sando #m ar,#ivo simpes! #m servidor *ED (o# Ective irectory) o# #m servidor AEI'.
6r&uivo sim%*es
Dor padro! o DacJetence oha para $us&$local$'$con'$use&.con' para encontrar os#s#7rios a#tori=ados a registrar dispositivos. e o #s#7rio ,#iser #sar #m ar,#ivo dierente! edite$us&$local$'$con'$authent*cat*on$local.m e atere o seg#inte par]metro:
my :ass"!8*le / ?$us&$local$'$con'$use&.con'?@
> #s#7rio precisa criptograar a senha de cada #s#7rio com htpassd assim:
htass"! (! $us&$local$'$con'$use&.con' ne"use&
/46P 6ctive 4irector< 8649
Hdite $us&$local$'$con'$authent*cat*on$l!a.m e aa as atera3es necess7rias paraos seg#intes par]metros :
my :LDAPUse&ase / Bou/Peole;!c/!oma*n;!c/o&gB@
my :LDAPUse&ey / Bu*!B@
my :LDAPUse&Scoe / BoneB@
my :LDAP*n!DN / Bcn/l!ause&;!c/!oma*n;!c/o&gB@
© 2008-2011 Inverse inc. Con$g#rao 22
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
23/97
Capt#o
my :LDAP*n!Pass"o&! / Bass"o&!B@
my :LDAPSe&6e& / B127.0.0.1B@
$64;S
Hdite $us&$local$'$con'$authent*cat*on$&a!*us.m e aa as atera3es necess7riaspara os seg#intes par]metros:
my :Ra!*usSe&6e& / ?localhost?@
my :Ra!*usSec&et / ?test*ng12+?@
Se*ecionando um =>todo de 6utenticação
Dara con$g#rar a a#tenticao de$na o =&eg*st&at*on>.auth em option$us&$local$'$con'$'.con':
auth/local;l!a;&a!*us
e mais de #m mRtodo so especi$cados! D ir7 e5i"ir #ma ista s#spensa para permitir aos#s#7rios seecionar o mRtodo de a#tenticao preerido.
> nome do mRtodo de a#tenticao e5i"ido no drop-don R controado pea vari7ve :nameno m6d#o de a#tenticao (ocai=ado em con'$authent*cat*on$). inta-se ivre paramodi$car os nomes K medida das necessidades da s#a organi=ao.
=>todo de 6utenticação Padrão
ORtodo de a#tenticao seecionado como o padro no porta captive no drop-don. EpenasNti se o #s#7rio tiver mais de #m mRtodo de a#tenticao (em registration.a#th).
4e5nição dos dis%ositivos da $ede 8s)itc(es.conf9
Hsta seo se apica apenas para a apicao da +*E&. 's#7rios paneSando a=er somente aapicao Inine pode p#ar esta seo.
DacJetence precisa sa"er ,#e sitches! access points o# controadores ,#e gerencia! se# tipo e
con $g#rao. 4odas essas inorma3es so arma=enadas em$us&$local$'$con'$s"*tches.con'. > #s#7rio pode modi$car a con$g#rao diretamenteno ar,#ivo s"*tches.con' o# o #s#7rio pode a=M-o no paine de Edministrao Fe" emCon$g#ration -\ itches.
Hstes ar,#ivos contRm #ma seo padro! inc#indo:
❏ *ista de +*E&s gerenciado peo DacJetence
© 2008-2011 Inverse inc. Con$g#rao 2;
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
24/97
Capt#o
❏ Dadro &OD de com#nidades de eit#ra/gravao para os sitches
❏ Oodo de tra"aho padro (veSa a nota so"re o modo de tra"aho a"ai5o)
e a seo sitch para cada sitch (gerenciado peo DacJetence)! inc#indo:
❏ itch ID
❏ itch ornecedor/tipo
❏ Dortas de sitch #pinJ (troncos e portas no gerenciadas)
❏ por sitch rede$nio de vans (se necess7rio)
=odos de traba*(o
H5istem trMs dierentes modos de tra"aho:
❏ 4estes: psetvan escreve nos ar,#ivos de og o ,#e aria normamente! mas no a=nada.
❏ Aegistro: psetvan a#tomaticamente registra todos os endereos OEC visto nas portasdo sitch. Como em modo de teste! nenh#ma aterao +*E& oi reai=ada.
❏ Drod#o: psetvan envia o &OD para escrever a m#dana de +*E& nas portas dositch.
S?=P v1: v2c e v3
DacJetence #sa &OD para com#nicar com a maioria dos sitches. Iniciando com 1.8! oDacJetence agora s#porta &OD v;. +ocM pode #sar &OD v; para com#nicao em am"as asdire3es: do sitch para o DacJetence e do DacJetence para o sitch.
De PacketFence para um switch
Hditar o ar,#ivo de con$g#rao sitch ($us&$local$'$con'$s"*tches.con') e de$nir osseg#intes par]metros:
SNPe&s*on / +
SNPUse&NameRea! / &ea!Use&
SNPAuthP&otocolRea! / D)
SNPAuthPass"o&!Rea! / auth"!&ea!
SNPP&*6P&otocolRea! / AES
SNPP&*6Pass"o&!Rea! / &*6"!&ea!
SNPUse&NameW&*te / "&*teUse&
SNPAuthP&otocolW&*te / D)
SNPAuthPass"o&!W&*te / auth"!"&*te
SNPP&*6P&otocolW&*te / AES
© 2008-2011 Inverse inc. Con$g#rao 2B
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
25/97
Capt#o
SNPP&*6Pass"o&!W&*te / &*6"!"&*te
De um switch para o PacketFenceHditar o ar,#ivo de con$g#rao sitch ($us&$local$'$con'$s"*tches.con') e de$nir osseg#intes par]metros:
SNPe&s*on&a / +
SNPUse&Name&a / &ea!Use&
SNPAuthP&otocol&a / D)
SNPAuthPass"o&!&a / auth"!&ea!
SNPP&*6P&otocol&a / AES
SNPP&*6Pass"o&!&a / &*6"!&ea!
Confguração do Switch
E,#i est7 #m e5empo de con$g#rao do sitch de orma a permitir &OD v; em am"as asdire3es em #m itch Cisco.
snm(se&6e& eng*neFD local AA)ED1+,1DA+2,D1,ACD1
snm(se&6e& g&ou &ea!G&ou 6+ &*6
snm(se&6e& g&ou "&*teG&ou 6+ &*6 &ea! 61!e'ault "&*te 61!e'ault
snm(se&6e& use& &ea!Use& &ea!G&ou 6+ auth m!) auth"!&ea! &*6 aes 12,
&*6"!&ea!
snm(se&6e& use& "&*teUse& "&*teG&ou 6+ auth m!) auth"!"&*te &*6 aes12, &*6"!"&*te
snm(se&6e& enale t&as o&t(secu&*ty
snm(se&6e& enale t&as o&t(secu&*ty t&a(&ate 1
snm(se&6e& host 12.1-,.0.)0 6e&s*on + &*6 &ea!Use& o&t(secu&*ty
nterface de *in(a de comando@ Ae*net e SS-
DacJeence precisa! Ks ve=es! esta"eecer #ma sesso de inha de comando interativa com #msitch. Isto pode ser eito #sando 4enet. Iniciando com 1.8! agora o #s#7rio pode #sar . E$m de a=M-o! edite o ar,#ivo de con $g#rao sitch($us&$local$'$con'$s"*tches.con') e de$nir os seg#intes par]metros:
cl*&anso&t / SS9 Hou elnetIcl*Use& / a!m*n
© 2008-2011 Inverse inc. Con$g#rao 2
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
26/97
Capt#o
cl*P"! / a!m*n3"!
cl*EnaleP"! /
4am"Rm pode ser eito atravRs da interace de administrao Fe" em Con$g#ration -\itches.
nterface de Serviços 7eb
DacJeence! Ks ve=es! precisa esta"eecer #m di7ogo com capacidades de servios da Fe" de#m sitch. E $m de a=M-o! edite o ar,#ivo de con$g#rao sitch($us&$local$'$con'$s"*tches.con') e de$nir os seg#intes par]metros:
"s&anso&t / htt Hou httsI
"sUse& / a!m*n"sP"! / a!m*n3"!
&ota: a partir do DacJetence 1.G.1 po#cos sitches re,#erem con$g#rao de ervios Fe"! a$m de tra"ahar. 4am"Rm pode ser eito atravRs da interace de administrao Fe" emCon$g#ration -\ itches.
$adius Secret
Oecanismo de a#tenticao para ag#ns! tais como! 802.1T o# a#tenticao OEC! o servidorAEI' precisa ter o dispositivo de rede em s#a ista de cientes E partir do DacJetence ;.0!,#e agora #sa #m servidor de "anco de dados para arma=enar as inorma3es do cienteAEI'. E $m de a=M-o! edite o ar,#ivo de con$g#rao sitch($us&$local$'$con'$s"*tches.con') e de$nir os seg#intes par]metros:
&a!*usSec&et/ sec&etPassPh&ase
4am"Rm! iniciando com DacJetence ;.1! o segredo AEI' R necess7rio para o nosso s#portede E#tenticao in]mica AEI' (O#dana de a#tenticao o# descone5o) como de$nidoem AC;@?.
6tribuição da B/6? %adrão
Hsta seo se apica apenas para a apicao da +*E&. 's#7rios paneSando a=er somente aapicao Inine pode p#ar esta seo.
E tRcnica padro de atri"#io de +*E& #sados em DacJetence R #ma por sitch. > padrocorreto de +*E& para dado OEC R o no&mallan vari7ve do sitch onde o OEC est7 igadoo# a =!e'ault>no&mallan se o sitch no especi$car #m no&mallan.
Isto permite ,#e o #s#7rio aa 7ci segmentao de +*E& por constr#o.
e precisar de mais ^e5i"iidade (por I! por categoria de n6! etc) dar #ma ohada no 9e#preciso de mais ^e5ve atri"#io de +*E&9 no item Aec#rsos avanados.
© 2008-2011 Inverse inc. Con$g#rao 2?
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
27/97
Capt#o
!on5#uração da a%*icação n*ine
Hsta seo se apica apenas para a apicao Inine. 's#7rios paneSando a=er somente a
apicao de +*E& pode p#ar esta seo.
Introd#=ido em DacJetence ;.0! a apicao Iniine R #m mRtodo m#ito conveniente dereai=ar controe de acesso em hardare de rede mais antigo ,#e no R capa= de a=erapicao de +*E& o# ,#e no R compatve com DacJetence. Hsta tRcnica R a"ordada emdetahes na seo UIntrod#o tRcnica K apicao Inine.
'm par]metro importante da con$g#rao a ter em mente R ,#e ,#ando con$g#rando #maapicao Inine acanados peos #s#7rios deve ser a at#a prod#o do servidor &. E seoseg#inte mostra ao #s#7rio como con$g#rar apropriada Inine e R 7 ,#e o #s#7rio deve sereerir a prod#o apropriada do &.
'ma ve= ,#e somos incapa=es de prever se o #s#7rio ter7 controe so"re o se# & o# no! atRcnica de redirecionamento padro se "aseia no endereo ID em ve= de &. Isso signi$ca
,#e o se# certi$cado * ir7 gerar #m erro ,#ando apresentado ao #s#7rio (o se# domnio nocorresponde ao endereo ID do porta). Dor ca#sa disso! n6s removemos s#porte 44Do"rigat6rio a partir do porta captive Inine no modo de redirecionamento de ID. Inei=mente!tivemos de a=er isso para tornar o modo Inine o mais simpes possve. Hssa imitao pode serremovida em #ma verso #t#ra.
Dara remover essa imitao! se o #s#7rio tem controe so"re o se# &! adicione #ma entradacorrespondente hostname.!oma*n para o ID na interace de Inine do DacJetence. Hm seg#ida!de$na o par]metro *nl*ne.o&tal3&e!*&ect para !ns. esta orma! o redirecionamentoser7 "aseado em * e o #s#7rio no ter7 erros de certi$cado! se se# certi$cado C& est7correspondendo penamente com o DacJetence hostname totamente ,#ai$cado.
Hm res#mo:❏ o&tal3&e!*&ect/* < padro! nenh#m 44D! nenh#ma necessidade de modi$car o&
❏ o&tal3&e!*&ect/!ns < precisa ser at#ai=ado o se# &! o porta estar7 em 44D
!on5#uração 4-!P e Servidor 4?S8net)orks.conf9
DacJetence gera a#tomaticamente o CD e os ar,#ivos de con$g#rao do & paraAegistro e isoamento de +*E&s. Isto R eito ao e5ec#tar o script con$g#rador (veSa a eo%era de Con$g#rao).
> registo e Isoamento da inormao de redes esto acessveis atravRs da %'I em
© 2008-2011 Inverse inc. Con$g#rao 2@
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
28/97
Capt#o
Edministration -\ &etorJs:
❏ netorJ: s#"-rede
❏ netmasJ: O7scara de rede
❏ gateay: endereo ID DacJetence nesta rede
❏ ne5tQhop: #sado somente com redes roteadas o endereo ID do roteador na rede(Isto R #sado para criar rotas est7ticas para as redes roteadas). +eSa a eo deAedes Aoteadas )
❏ domain-name: nome &
❏ dns: DacJetence endereo ID nesta rede
❏ dhcpQstart: iniciando endereos ID do escopo CD
❏ dhcpQend: terminando endereos ID do escopo CD
❏ dhcpQdea#tQeaseQtime: tempo padro de concesso do CD
❏ dhcpQma5QeaseQtime: tempo m75imo de concesso do CD
❏ type: van-registration o# van-isoation o# inine
❏ named: DacJetence R o & para essa rede_ (Hna"ed/isa"ed) con$g#r7-o paraha"iitadas menos no tipo Inine onde deve ser desativado
❏ dhcpd: DacJetence R o servidor CD para essa rede_ (Hna"ed/isa"ed) de$ni-o para ena"ed
Eo iniciar o DacJetence gera os ar,#ivos de con$g#rao do CD atravRs da eit#ra dasinorma3es ornecidas em net"o&%s.con':
> ar,#ivo de con$g#rao do CD R gerado para 6a&$con'$!hc!.con' #sandocon'$!hc!.con' como #m modeo.
>s ar,#ivos de con$g#rao de & so gerados desta orma:
❏ 6a&$con'$name!.con' gerados a partir de con'$name!.con'❏ 6a&$name!$name!(&eg*st&at*on.ca gerados a partir de con'$name!(
&eg*st&at*on.ca
❏ 6a&$name!$name!(*solat*on.ca gerados a partir de con'$name!(*solat*on.ca
esde o DacJetence ;.0! os ar,#ivos de =ona & so preenchidas a#tomaticamente.impesmente asseg#rar ,#e as inorma3es esto nos ar,#ivos de con$g#rao gerados
© 2008-2011 Inverse inc. Con$g#rao 28
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
29/97
Capt#o
(6a&$con'$name!$name!(&eg*st&at*on.ca e 6a&$con'$name!$name!(*solat*on.ca)
6cesso C Produção 4-!P
E $m de reai=ar todas as s#as #n3es de controe de acesso! o DacJetence precisa ser capa=de mapear endereos OEC em endereos ID.
Dara todas as redes/+*E&s na ,#a o #s#7rio deseSa o DacJetence tenha a capacidade de isoar#m n6 o# ter inorma3es so"re ID dos n6s! o #s#7rio vai precisar e5ec#tar uma das tRcnicasa"ai5o.
&ote tam"Rm ,#e esta no precisa ser eito para o registro! isoamento de +*E&s e interacesInine! desde ,#e o DacJetence at#a como o servidor de CD nestas redes.
6Dudantes P 8recomendado9
e o #s#7rio S7 estiver #sando aS#dantes ID para a s#a prod#o em CD! em s#a prod#o de+*E&s esta apro5imao R a mais simpes e a Nnica ,#e tra"aha mehor.
Edicione o endereo ID do gerente DacJetence como o Ntimo * hele&(a!!&ess nadecarao. &este ponto! o DacJetence rece"er7 #ma c6pia de todos os pedidos CD paraessa +*E& e registrar7 o ID ,#e oi distri"#do para o n6 #sando #m '!hcl*stene& daemon.
Certi$,#e-se de ,#e nenh#m servidor CD est7 e5ec#tando na interace na ,#a o #s#7rioest7 enviando os pedidos! seno o DacJetence pode tentar responder Ks soicita3es de CD!o ,#e seria #ma coisa r#im.
Obter uma cE%ia do tráfe#o 4-!P>"ter #ma c6pia de todos os tr7egos CD para #ma interace sica dedicada no servidorDacJetence e e5ec#tar '!hcl*stene& nessa interace. Hnvover7 con$g#rar o sitch parae5ec#tar ade,#adamente espehamento de porta (e5tenso de rede aJa) e adicionando emDacJetence a decarao de interace ade,#ada ao nve do sistema operaciona e em'.con'.
$etc$syscon'*g$net"o&%(sc&*ts$*'c'g(eth1:
DEFCE/eth2JNJJ/yes
JJPRJJ/none
Edicionar ao '.con': (> ID no so importantes esto 7 somente assim ,#e o DacJetence vaicomear)
=*nte&'ace eth2>
© 2008-2011 Inverse inc. Con$g#rao 2G
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
30/97
Capt#o
mas%/2)).2)).2)).0
tye/!hc(l*stene&gate"ay/12.1-,.1.)*/12.1-,.1.1
Aeiniciar o DacJetence e o #s#7rio deve estar "om para contin#ar.
nterface em cada B/6?
Dor,#e o tr7ego do CD R tr7ego de di#so! #ma aternativa para redes pe,#enas! compo#cas +*E&s oca! R coocar #ma interace de +*E& para cada +*E& no servidorDacJetence e ter #ma '!hcl*stene& interace de +*E& ,#e esc#te.
&o ado da rede! o #s#7rio precisa ter certe=a de ,#e a +*E& reamente acana todo ocaminho de se# ciente para s#a inraestr#t#ra CD para o servidor DacJetence.
&o ado DacJetence! primeiro o #s#7rio precisa de #m sistema operaciona de interace +*E&!como a"ai5o. Erma=enadas em $etc$syscon'*g$net"o&%(sc&*ts$*'c'g(eth0.1010:
K Engenha&*a LANDEFCE/eth0.1010
JNJJ/yesJJPRJJ/stat*c
FPADDR/10.0.101.NEAS/2)).2)).2)).0
LAN/yes
Hnto o #s#7rio precisa especi$car em '.con' ,#e o #s#7rio est7 interessado nessa +*E&!decarando o tipo para !hc(l*stene&.
=*nte&'ace eth0.1010>mas%/2)).2)).2)).0
tye/!hc(l*stene&gate"ay/10.0.101.1
*/10.0.101.
Aepita o procedimento acima para toda a prod#o +*E&s! em seg#ida reinicie o DacJetence.
-ost de %rodução 4-!P em PacketFence
É #ma opo. Lasta modi$car con'$!hc!.con' de modo ,#e hospede a s#a prod#o CDcorretamente e certi$,#e-se ,#e #m '!hcl*stene& e5ec#ta na mesma interace na ,#a aprod#o de CD R e5ec#tada. Hntretanto! note ,#e isto NÃO R recomendado. +eSa oem"rete para o por,#e.
© 2008-2011 Inverse inc. Con$g#rao ;0
http://www.packetfence.org/bugs/view.php?id=1050http://www.packetfence.org/bugs/view.php?id=1050http://www.packetfence.org/bugs/view.php?id=1050http://www.packetfence.org/bugs/view.php?id=1050
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
31/97
Capt#o
$edes $oteadas
e o se# isoamento e redes de registo no so ocamente acessveis (na camada 2) so"re arede! mas roteada para o servidor DacJetence! o #s#7rio ter7 de dei5ar o servidor DacJetencesa"er disso. DacJetence pode atR mesmo ornecer CD e & nestas redes roteadas eornecer #ma con$g#rao de interace 7ci de #sar.
Dara dhcpd! certi$,#e-se ,#e os pedidos dos cientes CD esto corretamente encaminhados(ES#dantes ID nos roteadores remoto) para o servidor DacJetence. Certi$,#e-se ,#e o #s#7rioseg#i# as instr#3es no ervidor de Con$g#rao CD e & (netorJs.con) para s#a redeocamente acessve.
Hnto o #s#7rio precisa ornecer a inormao encaminhada das redes para o DacJetence. >#s#7rio pode a=M-o atravRs do %'I em Edministration -\ &etorJs (o# emcon'$net"o&%s.con').
e considerarmos a ar,#itet#ra de rede i#strado no es,#ema acima! con'$net"o&%s.con'ser7 parecido com este:
=12.1-,.2.0>netmas%/2)).2)).2)).0
gate"ay/12.1-,.2.1net3ho/!oma*n(name/&eg*st&at*on.eamle.com
© 2008-2011 Inverse inc. Con$g#rao ;1
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
32/97
Capt#o
!ns/12.1-,.2.1
!hc3sta&t/12.1-,.2.10!hc3en!/12.1-,.2.200!hc3!e'ault3lease3t*me/+00
!hc3ma3lease3t*me/-00
tye/6lan(&eg*st&at*onname!/enale!!hc!/enale!
=12.1-,.+.0>
netmas%/2)).2)).2)).0gate"ay/12.1-,.+.1net3ho/
!oma*n(name/*solat*on.eamle.com!ns/12.1-,.+.1
!hc3sta&t/12.1-,.+.10!hc3en!/12.1-,.+.200
!hc3!e'ault3lease3t*me/+00!hc3ma3lease3t*me/-00tye/6lan(*solat*on
name!/enale!!hc!/enale!
=12.1-,.20.0>
netmas%/2)).2)).2)).0gate"ay/12.1-,.20.2)net3ho/12.1-,.2.2)
!oma*n(name/&eg*st&at*on.eamle.com!ns/12.1-,.2.1
!hc3sta&t/12.1-,.20.10!hc3en!/12.1-,.20.200
!hc3!e'ault3lease3t*me/+00!hc3ma3lease3t*me/-00tye/6lan(&eg*st&at*on
name!/enale!!hc!/enale!
=12.1-,.+0.0>
netmas%/2)).2)).2)).0gate"ay/12.1-,.+0.2)net3ho/12.1-,.+.2)
!oma*n(name/*solat*on.eamle.com!ns/12.1-,.+.1
!hc3sta&t/12.1-,.+0.10!hc3en!/12.1-,.+0.200
!hc3!e'ault3lease3t*me/+00!hc3ma3lease3t*me/-00tye/6lan(*solat*on
name!/enale!
© 2008-2011 Inverse inc. Con$g#rao ;2
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
33/97
Capt#o
!hc!/enale!
!on5#uração do Free$64;S
Hsta seo apresenta as etapas de con$g#rao do reeAEI'. Hm ag#mas ocasi3es! #mservidor AEI' R o"rigat6ria! a $m de dar acesso K rede. Dor e5empo! o #so do FDE2-Hnterprise (Fireess 802.1T)! a#tenticao OEC e 802.1T com $os! todos re,#erem #mservidor AEI' para a#tenticar os #s#7rios e os dispositivos! e ento orar a +*E&apropriada para o e,#ipamento de rede. &6s recomendamos ortemente ,#e o #s#7rio instaeo reeAEI' mesmo se o #s#7rio no pretenda #tii=ar o rec#rso agora.
Instae os seg#intes pacotes:
❏ pacJetence-reeradi#s2
/etc/raddb/clients.con
E partir do DacJetence ;.0! este passo R desnecess7rio. Como o #s#7rio vi# anteriormenteneste g#ia! n6s agora estamos #sando o atri"#to &a!*usSec&et no ar,#ivo de con$g#rao dositch.
Dara vers3es anteriores ao DacJetence ;.0! o #s#7rio ainda vai #sar ar,#ivo simpes do cienteAEI'. #"stit#ir [...\ com vaores Nteis a o #s#7rio. > #s#7rio precisa de #ma entrada deciente por dispositivo de rede.
cl*ent use'ul3!e6*ce3nameM
*a!!& / net"o&%3!e6*ce3*3a!!&essM
sec&et / &a!*us sec&etMO
/etc/raddb/packetence.pm
Certi$,#e-se de de$nir os par]metros de con$g#rao necess7rios em cima do ar,#ivo. e$naa senha para a conta criada anteriormente so" a seo Interace de Edministrao "aseada naFe".
K 8&eeRADFUS a&a comun*caQes com o Pac%et8ence Hcon'*gu&aQes !ose&6*!o& SJAPI
WS3USER /M ?"ese&6*ce?;WS3PASS /M ?ass"o&!?;
/etc/raddb/sl.con
Certi$,#e-se de de$nir as credencias ade,#adas para acessar o "anco de dados doDacJetence.
© 2008-2011 Inverse inc. Con$g#rao ;;
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
34/97
Capt#o
K Fn'o !e Coneo#
se&6e& / BlocalhostB
o&t / ++0-
log*n / B'B
ass"o&! / B'B
!pção "# $utenticação no $cti%e Director& '$D(
#"stit#ir $etc$&a!!$mo!ules$mscha com a seg#inte con$g#rao:
mscha use3me / yes
&eu*&e3enc&yt*on / yes &eu*&e3st&ong / yes
"*th3nt!oma*n3hac% / yes ntlm3auth / B$us&$*n$ntlm3auth ((&euest(nt(%ey ((use&name/TTSt&*e!(Use&(NameO#(Tmscha#Use&(Name#(NoneOO ((challenge/T
mscha#Challenge#(00O 4nt(&esonse/Tmscha#N(Resonse#(00OBO
Samba / Kerberos / Winbind
Instae EOLE. > #s#7rio pode #sar as ontes o# #sar o pacote para o se# >. Dara Cent>! o#s#7rio pode #sar:
"get 't#$$'t.se&net.!e$u$sama$+.)$centos$)$,-3-$sama+(+.).-(+.el).,-3-.&m
"get 't#$$'t.se&net.!e$u$sama$+.)$centos$)$,-3-$sama+(cl*ent(
+.).-(+.el).,-3-.&m
"get 't#$$'t.se&net.!e$u$sama$+.)$centos$)$,-3-$sama+(ut*ls(+.).-(+.el).,-3-.&m
"get 't#$$'t.se&net.!e$u$sama$+.)$centos$)$,-3-$sama+("*n*n!(
+.).-(+.el).,-3-.&m
"get 't#$$'t.se&net.!e$u$sama$+.)$centos$)$,-3-$l*"cl*ent0(+.).-(+.el).,-3-.&m
yum *nstall .$sama.&m ((noggchec%
Nota: Se o usuário tiver PCs Windows 7 na sua rede, o usuário precisa usar a versão !"!# ousuperior do S$%&$)
P#ando eito com a instaao do sam"a! o #s#7rio precisa modi$car $etc$%&).con'. E,#iest7 #m e5empo para o domnio >OEI&.&H4:
© 2008-2011 Inverse inc. Con$g#rao ;B
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
35/97
Capt#o
=logg*ng>
!e'ault / 8FLE#$6a&$log$%&)l*s.log
%!c / 8FLE#$6a&$log$%&)%!c.log
a!m*n3se&6e& / 8FLE#$6a&$log$%a!m*n!.log
=l*!e'aults>
!e'ault3&ealm / DJAFN.NE
!ns3loo%u3&ealm / 'alse
!ns3loo%u3%!c / 'alse
t*c%et3l*'et*me / 2h
'o&"a&!ale / yes
=&ealms>
DJAFN.NE /
%!c / a!se&6e&.!oma*n.net#,, a!m*n3se&6e& / a!se&6e&.!oma*n.net#7
!e'ault3!oma*n / !oma*n.net
O
=!oma*n3&ealm>
.!oma*n.net / DJAFN.NE
!oma*n.net / DJAFN.NE
=a!e'aults>
am /
!eug / 'alse
t*c%et3l*'et*me / +-000
&ene"3l*'et*me / +-000
'o&"a&!ale / t&ue
%&3con6e&t / 'alse
O
Hm seg#ida! editar /etc/sam"a/sm".con. &ovamente! a,#i est7 #m e5empo para nosso>OEI&.&H4
=gloal>"o&%g&ou / DJAFN
se&6e& st&*ng / '3se&6e&3name*nte&'aces / 12.1-,.1.2$2
secu&*ty / ADSass! ac%en! / t!sam
&ealm / DJAFN.NEenc&yt ass"o&!s / yes
© 2008-2011 Inverse inc. Con$g#rao ;
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
36/97
Capt#o
"*n*n! use !e'ault !oma*n / yes
cl*ent NL62 auth / yes&e'e&&e! maste& / noloa! &*nte&s / no
cus ot*ons / &a"
*!ma u*! / 10000()000*!ma g*! / 10000()000log le6el / 1 "*n*n!#) auth#+
Hmitir #m Jinit e Jist a $m de o"ter e veri$car o toJen `er"eros:
%*n*t a!m*n*st&ato&
%l*st
epois disso! o #s#7rio precisa iniciar o sam"a! e S#nta-se a m7,#ina ao domnio
se&6*ce sm sta&t
ch%con'*g ((le6el +) sm on
net a!s o*n (U a!m*n*st&ato&
inamente! inicie o in"ind! e teste a con$g#rao #sando ntmQa#th
se&6*ce "*n*n! sta&t
ch%con'*g ((le6el +) "*n*n! on
chg& &a!*us! $6a&$l*$sama$"*n*n!!3&*6*lege!$ntlm3auth 4use&name myDoma*nUse&
!pção )# $utenticação *ocal
Edicionar entradas do se# #s#7rio no $na do ar,#ivo $etc$&a!!$use&s com o seg#inteormato:
use&name Clea&tet(Pass"o&! #/ Bass"o&!B
!pção +# $utenticação diante a !pen*D$P
Pa&a se& cont&*uV!o...
© 2008-2011 Inverse inc. Con$g#rao ;?
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
37/97
Capt#o
Aestes
4este a s#a con$g#rao com radtest #sando o seg#inte comando e tenha certe=a de o"ter #maresposta Eccess-Eccept:
K &a!test !! Ac!12+ localhost 12 test*ng12+
Sen!*ng Access(Reuest o' *! 7 to 127.0.0.1 o&t 1,12
Use&(Name / B!!B
Use&(Pass"o&! / BAc!12+B
NAS(FP(A!!&ess / 2)).2)).2)).2))
NAS(Po&t / 12
&a!3&ec6# Access(Accet ac%et '&om host 127.0.0.1#1,12; *!/7; length/20
4e%urar
Drimeiro! veri$,#e o sysog! este R no ,#a os ogs do m6d#o DacJetence esto. Oensagenssysog so arma=enadas geramente em $6a&$log$messages.
e isso no aS#dar! e5ec#te o reeAEI' no modo de dep#rao. Dara a=M-o! inici7-o#sando o seg#inte comando:
K &a!*us! (
niciando os Serviços PacketFence
'ma ve= ,#e o DacJetence est7 totamente instaado e con$g#rado! inicie os servios #sandoo seg#inte comando:
se&6*ce ac%et'ence sta&t
> #s#7rio pode veri$car #sando o comando ch%con'*g ,#e o servio DacJetence R iniciadoa#tomaticamente no momento do "oot.
6r&uivos de /o#
E,#i esto os ar,#ivos de og mais importante do DacJetence:
❏$us&$local$'$logs$ac%et'ence.log < *og do &Nceo DacJetence
❏$us&$local$'$logs$access3log < Epache < *og de acesso Captive
© 2008-2011 Inverse inc. Con$g#rao ;@
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
38/97
Capt#o
❏$us&$local$'$logs$e&&o&3log < Epache < *og de erro Captive Dorta
❏$us&$local$'$logs$a!m*n3access3log < Epache < *og de Ecesso Fe" Edmin/ervios
❏$us&$local$'$logs$a!m*n3e&&o&3log < Epache < *og de erro Fe" Edmin/ervios
❏ $us&$local$'$logs$a!m*n3!eug3log < Epache < *og de ep#rao Fe"
Edministrativa
H5istem o#tros ar,#ivos de og em $us&$local$'$logs$ ,#e poderiam ser reevantesdependendo do pro"ema ,#e est7 ocorrendo. Certi$,#e-se de dar #ma ohada nees.
> ar,#ivo de con$g#rao de og R $us&$local$'$con'$log.con'. He contRm acon$g#rao para o ar,#ivo ac%et'ence.log (Log##LogPe&l) e o #s#7rio normamenteno precisa modi$c7-o.
Comeando com ;.0! o #s#7rio pode ver os ar,#ivos de ogs na Edministrao Fe" emEdministration \ *ogs.
© 2008-2011 Inverse inc. Con$g#rao ;8
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
39/97
Capt#o ?
!on5#uração %or eem%*o
E,#i est7 #m e5empo de con$g#rao de ponta a ponta do DacJetence no modo 9y"rid9(modo +*E& e modo Inine ao mesmo tempo).
Su%osiç'es
#rante todo este e5empo de con$g#rao! n6s #samos as seg#intes s#posi3es para nossainraestr#t#ra de rede::
❏ H5istem dois tipos dierentes de sitches gerenci7veis em nossa rede: Cisco Catayst2G00T* e Cisco Catayst 2G?0! e #m dispositivo no gerenci7ve.
❏ +*E& 1 R a +*E& 9reg#ar9
❏ +*E& 2 R a +*E& de registro (dispositivos no registrados sero coocados nessa+*E&)
❏ +*E& ; R a +*E& de isoamento (dispositivos isoados sero coocados nessa +*E&)
❏ +*E&s 2 e ; so medidos em toda a rede
❏ +*E& B R a +*E& de deteco OEC (+*E& va=ia)
❏ +*E& B deve ser de$nida em todos os sitches ,#e no s#portam seg#rana por porta(em nosso e5empo! o Catayst 2G00T* no s#porta seg#rana por porta com endereoOEC est7tico). &o h7 necessidade de cooc7-o na porta de tronco (tr#nJ).
❏ +*E& R a +*E& Inine (em Landa! para dispositivos no gerenci7veis)
❏ P#eremos isoar os comp#tadores #sando *imeire (sotare peer-to-peer)
❏ &6s #samos o nort como &I
❏ > tr7ego monitorado peo nort R atravessado na eth1
❏ > servidor CD no DacJetence ,#e vai c#idar da distri"#io de endereos ID em+*E&s 2! ; e
❏ > servidor de & no DacJetence ,#e vai c#idar de reso#o de domnio em+*E&s 2 e ;
❏ E con$g#rao da rede $ca assim:
+*E& I &ome +*E& #"-rede %ateay HndereoDacJetence
© 2008-2011 Inverse inc. Con$g#rao por e5empo ;G
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
40/97
Capt#o ?
1 &orma 1G2.1?8.1.0/2B 1G2.1?8.1.1 1G2.1?8.1.
2 Aegistro 1G2.1?8.2.0/2B 1G2.1?8.2.1 1G2.1?8.2.1
; Isoation 1G2.1?8.;.0/2B 1G2.1?8.;.1 1G2.1?8.;.1
B Oac etection
Inine 1G2.1?8..0/2B 1G2.1?8..1 1G2.1?8..1
100 +oice
nterfaces de $ede
E,#i esto os scripts &ICs de iniciai=ao em DacJetence:
❏ $etc$syscon'*g$net"o&%(sc&*ts$*'c'g(eth0
DEFCE/eth0
RJADCAS/12.1-,.1.2))FPADDR/12.1-,.1.)NEAS/2)).2)).2)).0
NEWJR/12.1-,.1.0JNJJ/yes
XPE/Ethe&net
❏ $etc$syscon'*g$net"o&%(sc&*ts$*'c'g(eth0.2
DEFCE/eth0.2
JNJJ/yesJJPRJJ/stat*c
FPADDR/12.1-,.2.1NEAS/2)).2)).2)).0LAN/yes
❏ $etc$syscon'*g$net"o&%(sc&*ts$*'c'g(eth0.+
DEFCE/eth0.+
JNJJ/yesJJPRJJ/stat*cFPADDR/12.1-,.+.1
NEAS/2)).2)).2)).0LAN/yes
© 2008-2011 Inverse inc. Con$g#rao por e5empo B0
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
41/97
Capt#o ?
❏ $etc$syscon'*g$net"o&%(sc&*ts$*'c'g(eth0.)
DEFCE/eth0.)JNJJ/yes
JJPRJJ/stat*cFPADDR/12.1-,.).1
NEAS/2)).2)).2)).0LAN/yes
❏ $etc$syscon'*g$net"o&%(sc&*ts$*'c'g(eth1. Hste &IC R #sada para o espeho dotr7ego monitorado peo nort.
DEFCE/eth1
JNJJ/yesJJPRJJ/none
$ece%tor de Ara%
DacJetence #sa snmptrapd como o receptor de trap. He arma=ena o nome da com#nidade#sada peo sitch para enviar traps no ar,#ivo de con$g#rao sitch($us&$local$'$con'$s"*tches.con'):
=!e'ault>
SNPCommun*ty&a / ul*c
!on5#uração de S)itc(
Hm nosso e5empo! vamos ha"iitar inJ'p/inJon em #m 2G00*T Cisco e eg#rana porporta em #m Cisco Catayst 2G?0. Dor avor! cons#te o %#ia de Con$g#rao de ispositivosde rede para a ista competa de sitches s#portados e instr#3es de con$g#rao.
*ink;%*ink4o)n =6! ?oti5cation
go"a set#p
snm(se&6e& enale t&as snm l*n%!o"n l*n%usnm(se&6e& enale t&as mac(not*'*cat*on
snm(se&6e& host 12.1-,.1.) t&a 6e&s*on 2c ul*c snm mac(not*'*cat*on
mac(a!!&ess(tale not*'*cat*on *nte&6al 0
© 2008-2011 Inverse inc. Con$g#rao por e5empo B1
http://www.packetfence.org/documentation/http://www.packetfence.org/documentation/http://www.packetfence.org/documentation/http://www.packetfence.org/documentation/
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
42/97
Capt#o ?
mac(a!!&ess(tale not*'*cat*on
mac(a!!&ess(tale ag*ng(t*me +-00
Hm cada interace
s"*tcho&t mo!e access
s"*tcho&t access 6lan snm t&a mac(not*'*cat*on a!!e!
Se#urança %or Porta
go"a set#p
snm(se&6e& enale t&as o&t(secu&*ty
snm(se&6e& enale t&as o&t(secu&*ty t&a(&ate 1snm(se&6e& host 12.1-,.1.) 6e&s*on 2c ul*c o&t(secu&*ty
Hm cada interace! o #s#7rio precisa iniciai=ar a seg#rana por porta! a#tori=ando #mendereo OEC aso com os seg#intes comandos
s"*tcho&t access 6lan
s"*tcho&t o&t(secu&*tys"*tcho&t o&t(secu&*ty ma*mum 2
s"*tcho&t o&t(secu&*ty ma*mum 1 6lan accesss"*tcho&t o&t(secu&*ty 6*olat*on &est&*ct
s"*tcho&t o&t(secu&*ty mac(a!!&ess 0200.0000.00
onde 55 representa o ndice da interace
&o se es,#ea de at#ai=ar o start#p-con$g.
s)itc(es.conf
+eSa e$nio de ispositivos de Aede para mais inorma3es so"re o conteNdo desse ar,#ivo.
E,#i esto os par]metros (e5ceto os padr3es) para o nosso e5empo
=!e'ault>
SNPCommun*tyRea! / ul*cSNPCommun*tyW&*te / &*6ateSNPommun*ty&a / ul*c
SNPe&s*on / 16lans / 1;2;+;;10
no&mallan / 1&eg*st&at*onlan / 2
© 2008-2011 Inverse inc. Con$g#rao por e5empo B2
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
43/97
Capt#o ?
*solat*onlan / +
macDetect*onlan / oFPEnale! / no
=12.1-,.1.100>tye / C*sco##Catalyst3200L
mo!e / &o!uct*onul*n% / 2
=12.1-,.1.101>
tye / C*sco##Catalyst32-0mo!e / &o!uct*onul*n% / 2)
no&mallan / 10&a!*usSec&et/useSt&onge&Sec&et
e vocM ,#er ter #m nome de com#nidade dierente para eit#ra/gravao para cada sitch!decare-o em cada seo sitch.
%f.conf
E,#i R o ar,#ivo $us&$local$'$con'$'.con' para nossa con$g#rao. Dara maisinorma3es so"re '.con' veSa a Con$g#rao go"a no ar,#ivo de seo (p.con).
=gene&al>!oma*n/you&!oma*n.o&g
KColoue seus se&6*!o&es ete&nos$Fn'&a !e DNS au*!nsse&6e&s/.2.2.2;.2.2.1
!hcse&6e&s/12.1-,.2.1;12.1-,.+.1;12.1-,.).1
=t&a*ng>&eg*st&at*on/enale!
!etect*on/enale!&ange/12.1-,.2.0$2;12.1-,.+.0$2;12.1-,.).0$2
=&eg*st&at*on>auth/l!a
=*nte&'ace eth0>
mas%/2)).2)).2)).0tye/management
gate"ay/12.1-,.1.1*/12.1-,.1.)
© 2008-2011 Inverse inc. Con$g#rao por e5empo B;
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
44/97
Capt#o ?
=*nte&'ace eth0.2>
mas%/2)).2)).2)).0tye/*nte&nalen'o&cement/6lan
gate"ay/12.1-,.2.1
*/12.1-,.2.1
=*nte&'ace eth0.+>
mas%/2)).2)).2)).0tye/*nte&nal
en'o&cement/6langate"ay/12.1-,.+.1*/12.1-,.+.1
=*nte&'ace eth0.)>
mas%/2)).2)).2)).0tye/*nte&nal
en'o&cement/*nl*negate"ay/12.1-,.).1*/12.1-,.).1
=*nte&'ace eth1>
mas%/2)).2)).2)).0tye/mon*to&
gate"ay/12.1-,.1.)*/12.1-,.1.1
net)orks.conf
E,#i R o ar,#ivo $us&$local$'$con'$net"o&%s.con' para nossa con$g#rao. Dara maisinorma3es so"re net"o&%s.con' veSa Con$g#rao CD e ervidor &.
=12.1-,.2.0>netmas%/2)).2)).2)).0gate"ay/12.1-,.2.1
net3ho/12.1-,.2.2)!oma*n(name/&eg*st&at*on.eamle.com
!ns/12.1-,.2.1!hc3sta&t/12.1-,.2.10
!hc3en!/12.1-,.2.200!hc3!e'ault3lease3t*me/+00!hc3ma3lease3t*me/-00
tye/6lan(&eg*st&at*onname!/enale!
© 2008-2011 Inverse inc. Con$g#rao por e5empo BB
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
45/97
Capt#o ?
!hc!/enale!
=12.1-,.+.0>netmas%/2)).2)).2)).0
gate"ay/12.1-,.+.1net3ho/12.1-,.+.2)
!oma*n(name/*solat*on.eamle.com!ns/12.1-,.+.1
!hc3sta&t/12.1-,.+.10!hc3en!/12.1-,.+.200
!hc3!e'ault3lease3t*me/+00!hc3ma3lease3t*me/-00tye/6lan(*solat*on
name!/enale!!hc!/enale!
=12.1-,.).0>
netmas%/2)).2)).2)).0gate"ay/12.1-,.).1net3ho/
!oma*n(name/*nl*ne.eamle.com!ns/.2.2.2;.2.2.1
!hc3sta&t/12.1-,.).10!hc3en!/12.1-,.).2)
!hc3!e'ault3lease3t*me/+00!hc3ma3lease3t*me/-00tye/*nl*ne
name!/!*sale!!hc!/enale!
4eta*(es da a%*icação n*ine
Dara ver o#tro par]metro importante opciona ,#e pode ser aterado para a=er a apicaoInine! veSa a seo Con$g#rao da apicao Inine.
E $m de ter o modo Inine #ncionando corretamente! o #s#7rio precisa ha"iitar oencaminhamento de ip em se#s servidores. Dara a=M-o permanentemente! ohar no$etc$sysctl.con'! e de$nir a seg#inte inha:
K Cont&ola o encam*nhamento !e acotes FP
net.*6.*3'o&"a&! / 1
ave o ar,#ivo! e emita #m sysctl ( para at#ai=ar a con$g#rao do >.
© 2008-2011 Inverse inc. Con$g#rao por e5empo B
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
46/97
Capt#o @
!om%onentes O%cionais
H*o&ueando atividades ma*iciosas com vio*aç'es
Es vioa3es de potica permitem de o #s#7rio restrinSa o acesso de sistema do ciente "aseadoem vioa3es de determinadas poticas. Dor e5empo! se o #s#7rio no permitir o tr7ego dotipo D2D na s#a rede! e o #s#7rio estiver e5ec#tando o sotare apropriado para detect7-o eprovocar #ma vioao de #m determinado ciente! o DacJetence dar7 a esse ciente #map7gina 9"o,#eada9 ,#e pode ser personai=ado para o se# deseSo.
E $m de ser capa= de "o,#ear atividades maiciosas! o #s#7rio precisa instaar e con$g#rar oI &>A4 para conversar com o DacJetence.
Snort
,nstalação
> procedimento de instaao R "astante simpes para o &>A4. Oantemos #ma verso detra"aho no reposit6rio do DacJetence. Dara insta7-o! "asta e5ec#tar o seg#inte comando:
yum *nstall sno&t
Confguração
> DacJetence ornece #m modeo "7sico no ,#a o #s#7rio precisa editar o ar,#ivo snort.con!dependendo da verso do nort. > ar,#ivo est7 ocai=ado em $us&$local$'$con'.Aaramente R necess7rio aterar ,#a,#er coisa nesse ar,#ivo para a=er o nort tra"ahar e
aertas de armadiha. &o edite o snort.con ocai=ado em $us&$local$'$6a&$con'! todasas modi$ca3es sero destr#das em cada re-iniciai=ao do DacJetence.
Bio*aç'es
E $m de a=er o DacJetence reagir aos aertas do nort! o #s#7rio precisa e5picitamente di=ero sotare para a=er isso. Caso contr7rio! os aertas sero descartados. Isso R m#ito simpes de
© 2008-2011 Inverse inc. Componentes >pcionais B?
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
47/97
Capt#o @
reai=ar. &a verdade! o #s#7rio precisa criar #ma vioao e adicionar o nort aerta I naseo de gatiho de #ma vioao.
+ioa3es da potica do DacJetence so controados #sando o ar,#ivo de con$g#rao$us&$local$'$con'$6*olat*ons.con'. > ormato de vioao R a seg#inte:
=12+>!esc/Desc&*o !e 6*olao&*o&*ty/,
u&l/$content$*n!e.hYtemlate/temlateM&e!*&ect3u&l/$&o*es$tools$st*nge&.ee
enale/Xt&*gge&/Detect##22000+2;Scan##11,0,
act*ons/ema*l;log;t&a6lan/*solat*onlan"h*tel*ste!3catego&*es/
❏ =12+>: I de vioao. P#a,#er inteiro! e5ceto 1200000-1200GG! o ,#a R e5igidoe reservado para as vioa3es da administrao.
❏ !esc: escrio da inha Nnica de vioao
❏ &*o&*ty: ai5a de 1-10! com 1 a mais ata prioridade e 10 a mais "ai5a. +ioa3esde maior prioridade sero endereadas! primeiro! se #m host tem mais de #ma.
❏ u&l: E 'A* 4O* do host ser7 redirecionado ao mesmo tempo em vioao. Hste Rgeramente #ma 'A* oca na orma $content$*n!e.hYtemlate/... onde ... R onome do modeo de correo para mostrar para o #s#7rio. 'A*s competos! comohtt#$$myo&tal.com$6*olat*on12+$ tam"Rm so s#portados se assth&ough /&oy R de$nido em =t&a*ng>. &esse caso! o Dorta Captive vai a=er pro5y reversopara a 'A* especi$cada. eve ser tomado grande c#idado ao #sar esse rec#rso! pois
,#a,#er rec#rso ora do caminho especi$cado no ir7 carregar.❏ &e!*&ect3u&l: > #s#7rio R redirecionado para esta 'A* depois de reativado se#acesso K rede na p7gina de re-mediao..
❏ enale: e ena"e est7 con$g#rado para &! esta vioao R desativada e vioa3esadicionais deste tipo no sero adicionados.
❏ t&*gge&: ORtodo para a=er reerMncia aos mRtodos de deteco e5ternos! tais como!etect (&>A4)! can (&ess#s)! > (CD deteco de impress3es digitais)! 'HAE%H&4(assinat#ra do navegador)! +H&>AOEC (casse de endereo OEC)! etc. 4rigger Rormatado com o seg#inte tipo::I. neste e5empo! 20000;2 R a I do snort e 11808 R onNmero de p#gin &ess#s. > I nort &b> precisa ser ig#a ao I de vioao.
❏ act*ons: Hsta R a ista de a3es ,#e ser7 e5ec#tada em #ma adio de vioao. Esa3es podem ser:
• log: 'ma mensagem de *og para o ar,#ivo especi$cado em =ale&t*ng>.log
• ema*l: H-mai o endereo especi$cado em =ale&t*ng>.ema*la!!&! #sando=ale&t*ng>.smtse&6e&. ONtipos emaiaddr podem ser separados por vrg#a.
• t&a: Isoar o host e cooc7-o em vioao. He a"re #ma vioao e dei5a a"erta.
© 2008-2011 Inverse inc. Componentes >pcionais B@
http://myportal.com/violation1234/http://myportal.com/violation1234/
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
48/97
Capt#o @
e a armadiha no est7 7! #ma vioao R a"erta e ento echadaa#tomaticamente
• "*nou: Hnviar #ma mensagem em Sanea pop#p. > #s#7rio precisa con$g#rar=ale&t*ng>."*nse&6e&! =ale&t*ng>.net*osname em pf.conf ,#ando se
#tii=a esta opo• ete&nal# e5ec#te #m comando e5terno! especi$cado em
=aths>.ete&nala*
❏ 6lan# +*E& de destino no ,#a o DacJetence deve coocar o ciente ,#ando #mavioao desse tipo R a"erta. > vaor de +*E& pode ser:
• *solat*onlan: Isoamento de +*E& como especi$cado em s"*tches.con'.Hste R o vaor recomendado para a maioria dos tipos de vioao.
• &eg*st&at*onlan: Aegistro de +*E& como especi$cado em s"*tches.con'.
• no&mallan: &orma +*E& como especi$cado em s"*tches.con'. &ota: Épreerve no prender e coocar em +*E& norma. Certi$,#e-se de entender o,#e o #s#7rio est7 a=endo.
❏ h*tel*ste!3catego&*es# &6s em #ma categoria istada em"h*tel*ste!3catego&*es no sero aetados por #ma vioao deste tipo. ormato R#ma ista separada por vrg#as de nomes de categoria.
4am"Rm esto inc#dos em violation.confR a seo dea#ts. E seo dea#ts de$nir7 #mvaor padro para cada vioao na con$g#rao. e #m vaor de con$g#rao no Respeci$cado no I espec$co! o padro ser7 #sado:
=!e'aults>&*o&*ty/
ma3enale/+act*ons/ema*l;log
auto3enale/Xenale/N
g&ace/120utton3tet/Enale Net"o&%
sno&t3&ules/local.&ules;lee!*ng(attac%3&esonse.&ules;lee!*ng(elo*t.&ules;lee!*ng(2.&ules;lee!*ng(scan.&ules;lee!*ng(6*&us.&ules
6lan/*solat*onlan
"h*tel*ste!3catego&*es/
❏ ma3enale: &Nmero de ve=es ,#e #m host ser7 capa= de tentar remediar antes deesserem "o,#eados e ter ,#e chamar o hep desJ. Isso R Nti para #s#7rios ,#e apenas9cicam9 em p7ginas de vioao.
❏ auto3enale: Hspeci$ca se #m host pode se a#to corrigir #ma vioao (ativar o"oto de rede) o# se ees no podem nem devem igar para o hep desJ.
© 2008-2011 Inverse inc. Componentes >pcionais B8
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
49/97
Capt#o @
❏ g&ace: &Nmero de min#tos antes da vioao poder reaparecer. Isso R Nti parapermitir os hosts #m tempo (no e5empo! 2 min#tos) para a=er o donoad de erramentaspara corrigir a s#a emisso! o# desigamento de s#a apicao peer-to-peer.
❏ utton3tet: 4e5to apresentado no orm#7rio vioao aos hosts.
❏ sno&t3&ules: > ar,#ivo de regras do nort R responsa"iidade dos administradores.Dor avor! atere isso para apontar para se# ar,#ivo(s) de regras de vioao. e vocM noespeci$car #m caminho competo! o padro R $us&$local$'$con'$sno&t. e o #s#7rioprecisa inc#ir mais de #m ar,#ivo! "asta separar cada nome com #ma vrg#a.
6*olat*ons.con' R carregado na iniciai=ao.
em%*o de Bio*ação
&o nosso e5empo! ,#eremos isoar as pessoas #sando o *imeire. E,#i! ass#mimos ,#e onort est7 instaado e con$g#rado para enviar aertas para o DacJetence. Egora precisamoscon$g#rar o isoamento no DacJetence.
a"iitar vioao *imeire em $us&$local$'$con'$6*olat*ons.con' e con$g#r7-a para
e5ec#tar #m script e5terno
=2001,0,>
!esc/P2P HL*me"*&eI&*o&*ty/,
u&l/$content$*n!e.hYtemlate/2act*ons/log;t&a
enale/Xma3enale/1t&*gge&/Detect##2001,0,
© 2008-2011 Inverse inc. Componentes >pcionais BG
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
50/97
Capt#o @
Submissão de Barredura 8?essus9
nsta*açãoDor avor! visite http://.ness#s.org/donoad/ para "ai5ar e instaar o pacote &ess#s para ose# sistema operaciona. > #s#7rio tam"Rm vai precisar se registrar para o omeeed (o# oDroessionaeed) a $m de o"ter os p#gins.
epois de instaado o &ess#s! siga a doc#mentao do &ess#s para a con$g#rao do servidor&ess#s! e criar #m #s#7rio para o DacJetence.
!on5#uração
Dara ,#e #ma dada varred#ra do &ess#s gere #ma vioao dentro do DacJetence! o #s#7rio
tem de con$g#rar d#as se3es:❏ '.con'
Ed#ste as con$g#ra3es na seo scan como o seg#inte:
=scan>
ssl/enale!
ass/use&Pass"o&!
use&/nessusUse&name
o&t/121
host/127.0.0.1
&eg*st&at*on/enale!
nessuscl*ent3'*le/as*c(ol*cy.nessus
nessuscl*ent3ol*cy/as*c(ol*cy
❏ 6*olat*ons.con'
> #s#7rio precisa criar #ma seo nova da vioao e tem ,#e especi$car
t&*gge&/Scan##6*olat*onF!M
&a ,#a 6*olat*onF! R a I do p#gin &ess#s para veri$car. epois de ter terminado acon$g#rao! o #s#7rio precisar7 recarregar o conteNdo da vioao reacionada no "anco dedados #sando:
'cm! &eloa! 6*olat*ons
NO'$: (io)a*+es serão disparadas se o p)uin Nessus - mais a)ta .ue uma vu)nerabi)idade debaia severidade
© 2008-2011 Inverse inc. Componentes >pcionais 0
http://www.nessus.org/download/http://www.nessus.org/download/http://www.nessus.org/download/http://www.nessus.org/download/
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
51/97
Capt#o @
nte#ração ?essus!*ient
&ovo desde a 1.8.; R a capacidade de #sar diretamente a inha de comando do ciente doness#s e ar,#ivos .ness#s. > ormato do ar,#ivo &ess#sCient est7 doc#mentado emhttp://.ness#s.org/doc#mentation/dotQness#sQ$eQormat.pd e podem ser acimente
gerados #sando o ciente &ess#s o$cia.
> #s#7rio ter7 de savar se# ar,#ivo .ness#s no diret6rio $us&$local$'$con'$nessus$ eespeci$car se# nome de ar,#ivo #sando a de$nio de con$g#raoscan.nessuscl*ent3'*le . > #s#7rio tam"Rm tem de especi$car o nome da diretiva #sandoa de$nio scan.nessuscl*ent3ol*cy . epois disso! vocM pode e5ec#tar s#a varred#ra#sando
'cm! sche!ule no" FPM
&>4E: e o #s#7rio ornecer credenciais no ar,#ivo .ness#s! o #s#7rio precisa ha"iitar a opoUtore passords as pain te5t no se# ciente &ess#s.
Barredura em re#istro
Dara e5ec#tar #ma veri$cao do sistema antes de dar acesso a #m host na rede vocM precisaha"iitar os par]metros scan.&eg*st&at*on em '.con'.
4am"Rm R recomendado aS#star scan.!u&at*on para re^etir o tempo gasto na veri$cao.'ma "arra de progresso com esta d#rao ser7 mostrado para o #s#7rio en,#anto ee est7esperando. Dor padro! vamos de$nir esta vari7ve para ?0s.
© 2008-2011 Inverse inc. Componentes >pcionais 1
http://www.nessus.org/documentation/dot_nessus_file_format.pdfhttp://www.nessus.org/documentation/dot_nessus_file_format.pdf
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
52/97
Capt#o @
Oinkmaster
>inJmaster R #m script per ,#e permite a possi"iidade de at#ai=ar as dierentes regras snortcom m#ita aciidade. É simpes de #sar e instaar. Hsta seo ir7 mostrar-he comoimpementar >inJmaster para tra"ahar com DacJetence e nort.
Dor avor! visite http://oinJmaster.so#rceorge.net/donoad.shtm a=er o donoad oinJmaster.'m e5empo de ar,#ivo de con$g#rao do oinJmaster R ornecido em$us&$local$'$a!!ons$sno&t$o*n%maste&.con'
!on5#uração
E,#i esto os passos para a=er o tra"aho de >inJmaster. +amos s#por ,#e o #s#7rio S7 "ai5o#o ar,#ivo mais recente oinJmaster:
❏ escompacte o >inJmaster recRm-transerido
❏ Copie os scripts per re,#erido em /#sr/oca/p/oinJmaster. +ocM precisa copiarcontri" e oinJmaster.p
❏ Copie o oinJmaster.con ornecido peo DacJetence (veSa a seo acima) em /#sr/oca/p/con
❏ Oodi$car a con$g#rao para atender as s#as pr6prias necessidades. Et#amente! oar,#ivo de con$g#rao est7 de$nido para "#scar o sangramento das regras.
6tua*i+ação de $e#rasE $m de o"ter at#ai=a3es peri6dicas para as regras nort para o DacJetence! n6ssimpesmente precisamos criar #ma entrada no cronta" com as inorma3es corretas. >e5empo a seg#ir demonstra #ma entrada no cronta" para "#scar as at#ai=a3es diariamente Ks2;:00 DO:
0 2; (cd /#sr/oca/p per oinJmaster/oinJmaster.p -C con/oinJmaster.con -ocon/snort/)
© 2008-2011 Inverse inc. Componentes >pcionais 2
http://oinkmaster.sourceforge.net/download.shtmlhttp://oinkmaster.sourceforge.net/download.shtmlhttp://oinkmaster.sourceforge.net/download.shtml
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
53/97
Capt#o @
4is%ositivos de $ede F*utuante
E partir da verso 1.G! o DacJetence agora s#porta dispositivos de rede #̂t#ante. 'mdispositivo de rede #̂t#ante R #m dispositivo para o ,#a o DacJetence tem #mcomportamento dierente em reao a #m dispositivo reg#ar. Hsta #ncionaidade oioriginamente adicionado para apoiar Dontos de Ecesso m6ve.
$ora o Pac0et1ence s2 suporta dispositivos de rede 3utuantes em switc4es Cisco con5uradocom porta de seuran*a!
Dara #m dispositivo reg#ar! o DacJetence cooca na +an correspondente a se# stat#s (Aegistro!P#arentena o# +an Aeg#ar) e a#tori=a-o na porta (port-sec#rity).
'm dispositivo de rede ^#t#ante R #m dispositivo ,#e o DacJetence no gerencia como #mdispositivo reg#ar.
P#ando #m dispositivo de rede ^#t#ante est7 igado! o DacJetence deve dei5ar/permitir ,#etodos os endereos OEC ,#e sero conectados a esse dispositivo (o# aparecer na porta) e! senecess7rio! con$g#re a porta como m#ti-van (tr#nJ) e de$nir D+I e marcar +*E&s na porta.
P#ando #m dispositivo de rede ^#t#ante R desconectado! o DacJetence deve re-con$g#rar aporta! como antes de ter sido igado.
E,#i est7 como #nciona:
❏ dispositivos de rede ^#t#ante devem ser identi$cadas #sando o endereo OEC.
❏ inJ#p/inJon armadihas no esto ha"iitados nos sitches! somente a porta de
seg#rana de armadihas so.
P#ando o DacJetence rece"e #ma trap na porta de seg#rana para #m dispositivode rede ^#t#ante! ee m#da a con$g#rao da porta de modo ,#e:
❏ ee desa"iita a seg#rana da porta
❏ ee de$ne o D+I
❏ event#amente de$ne a porta como m#ti-van (tr#nJ) e de$ne o rot#o das +ans
❏ permite armadihas inJon
P#ando o D rece"e #ma armadiha inJon em #ma porta no ,#a #m dispositivo de rede^#t#ante oi igado! ee m#da a con$g#rao da porta de modo ,#e:
❏ ee permite a seg#rana da porta
❏ ee desa"iita armadihas inJon
© 2008-2011 Inverse inc. Componentes >pcionais ;
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
54/97
Capt#o @
© 2008-2011 Inverse inc. Componentes >pcionais B
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
55/97
Capt#o @
denti5cação
Como mencionamos anteriormente! cada dispositivo de rede ^#t#ante tem ,#e ser identi$cado.7 d#as maneiras de a=M-o:
❏ editando con'$'loat*ng3net"o&%3!e6*ce.con'
❏ atravRs do %'I da Fe"! na g#ia Con$g#ration -\ oating &etorJ evice.
E,#i esto as con$g#ra3es ,#e esto disponveis:
❏ Hndereo OEC
❏ Hndereo ID (no caso de #m ID est7tico)
❏ tr#nJDort: yes/no. E porta deveria ser con$g#rada como #ma porta de m#ti-van_
❏ pvid: +an em ,#e o DacJetence deve coocar a porta
❏ tagged+an: ista separada por vrg#a de +*E&s. e a porta R #ma m#ti-van! estas
so as +ans ,#e tMm ,#e ser marcados na porta.
© 2008-2011 Inverse inc. Componentes >pcionais
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
56/97
Capt#o @
GerIncia de !onvidado
DacJetence s#porta a ha"iidade de gerenciar convidados! esta"eecendo datas K e5pirar eatri"#indo #ma categoria dierente! ,#e permitir7 #m acesso dierente para os rec#rsos da rede.
>s convidados podem se a#to-registrar #tii=ando #m c6digo de ativao enviado para o se#teeone m6ve o# ees podem #sar se# endereo de e-mai e rece"er o inJ de ativao paraativar se# acesso K rede.
Convidados tam"Rm podem ser criados #sando #ma interace e" separada. Hssa interacepermitir7 ,#e os administradores do DacJetence o# gerentes de convidados! criar contasindivid#ais! v7rias contas #sando o pre$5o (por e5empo: g#est1! g#est2! g#est;...) o# importardatos de #m ar,#ivo C+ para criar contas. 'ma d#rao de acesso e #ma data de chegadatam"Rm so personai=7veis.
;ti*i+ação
$uto-registro de Con%idado
E#to-registro R ha"iitado por padro. a= parte do porta captive e pode ser acessado na p7ginade registro cicando no inJ ign #p.
Pr-registro de Con%idado
Darte da interace de administrao e"! a interace de gerenciamento de convidados R ativadapor padro. É acessve atravRs de #ma interace pr6pria! ,#e pode #sar #m ar,#ivo de #s#7riosdierente para direitos de acesso.
© 2008-2011 Inverse inc. Componentes >pcionais ?
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
57/97
Capt#o @
htts#$$ADFN3FP#1+$guests$manage
!on5#uração
$uto-registro de Con%idado
É possve modi$car os vaores do rec#rso padro de a#to-registro de convidado editando /#sr/oca/p/con/p.con.
+aores padro esto ocai=ados em /#sr/oca/p/con/p.con.dea#ts e doc#mentao paratodos os aS#stes est7 disponve em /#sr/oca/p/con/doc#mentations.con.
=guests3sel'3&eg*st&at*on>
mo!es/sms;ema*l
catego&y/guestaccess3!u&at*on/7!
ema*l3act*6at*on3t*meout/10m
allo"3local!oma*n/enale!
Dara desativar o rec#rso de a#to-registro! modi$car a seg#inte inha em /#sr/oca/p/con/p.con.
=guests3sel'3&eg*st&at*on>
mo!es/
Note .ue o usuário precisará de um %'$ vá)ido con5urado no Pac0et1ence, pararetransmitir corretamente e6mai)s re)acionado ao m2du)o convidado! Se o usuário usar)oca)4ost como smtpserver, o usuário precisa ter certe8a de .ue um %'$ está insta)ado econ5urado no servidor!
Convidados a#to-registrados so adicionados na a"a persons da interace de administrao e"do DacJetence.
Pr-registro de Con%idado
É possve modi$car os vaores do rec#rso padro de prR-registro de convidado editando /#sr/oca/p/con/p.con.
+aores padro esto ocai=ados em /#sr/oca/p/con/p.con.dea#ts e doc#mentao paratodos os aS#stes est7 disponve em /#sr/oca/p/con/doc#mentations.con.
© 2008-2011 Inverse inc. Componentes >pcionais @
-
8/16/2019 PacketFence Administration Guide-pt BR-3.1.0
58/97
Capt#o @
=guests3&e3&eg*st&at*on>
access3!u&at*on3cho*ces/1h;+h;12h;1!;2!;+!;)!
!e'ault3access3!u&at*on/12h
catego&y/guest
Dara ativar o prR-registro de convidado para ogin atravRs do porta captive! modi$,#e aseg#inte inha em /#sr/oca/p/con/p.con.
=&eg*st&at*on>
auth/&e&eg*ste&e!3guests
Edministradores do DacJetence a#tomaticamente tem acesso K interace de gerMncia de
convidado. 4am"Rm R possve criar #s#7rios ,#e somente ter7 acesso a esta interace emseparado:
htass"! $us&$local$'$con'$guest(manage&s.con' ne"3use&nameM
> #s#7rio recRm-criado ser7 capa= de acessar a interace imediatamente.
Note .ue o usuário precisará de um %'$ vá)ido con5urado no Pac0et1ence, pararetransmitir corretamente e6mai)s re)acionado ao m2du)o convidado! Se o usuário usar)oca)4ost como smtpserver, o usuário precisa ter certe8a de .ue um