200.204.0.72

 200.204.0.73

 200.204.0.195

 200.204.0.196

3.2.2.     Configuração do Servidor RADIUS do ISP

O ISP deverá configurar somente os seus usuários Speedy Autenticado em seu RADIUS, com os seguintes parâmetros:

*Login = usuário@realm

**Password

***Atributo Class = profgenADSL1

*O realm será o que o ISP contratou com a Telefônica para poder fornecer o serviço Speedy Autenticado, por exemplo: realm = nome do ISP

**A senha será definida pelo ISP segundo a sua política atual

***Este atributo deverá ser encaminhado no momento da autenticação

Obs: A identificação do tipo de usuário é feita pelo atributo RADIUS "NAS-PORT-TYPE", que por padrão temos NAS-PORT-TYPE = "16'" (xDSL) para usuários ADSL, ou seja, a TEmpresas estará passando para os ISPs o valor "16" no atributo "NAS-PORT-TYPE para que o ISP saiba que este é um usuário Speedy.

3.3.  Especificação de um servidor radius

O servidor de autenticação pode ser qualquer um que se comunique através do protocolo radius e atenda as necessidades do ISP.

Os requisitos mínimos necessários para instalação de um servidor Radius são:

 

 

 

 

 

Como exemplo, a seguir temos a configuração de um simples servidor Radius, utilizando plataforma comum e softwares livres.

Conexão	-         Acesso IP Dedicado 256Kbps
Hardware	-         PENTIUN III 450MHz ou equivalente -         64MB de memória RAM -         6 GB de HD -         Placa Ethernet 10/100
Sistema Operacional	Conectiva LINUX 6 ou equivalente Onde encontrar: www.conectiva.com.br
Servidor radius	Cistron 1.6 ou equivalente Onde encontrar: www.freeradius.org
Capacidade	01 autenticação(*) por segundo

(*) apenas autenticação simples de usuário e senha com troca de parâmetros.

É de responsabilidade do ISP o redimensionamento do servidor para suportar a demanda de trafego assim como para os demais processos que poderão ser implantados (como tarifação completa, por exemplo).

Em Anexo segue um procedimento para auxilio na instalação do Radius Cistron e do Sistema Operacional Linux.

3.4.  Parâmetros do ISP a serem fornecidos à Telefônica Empresas para a configuração do serviço na Rede IP

·        Realm que o ISP utilizará no serviço;

·        Endereço IP do seu servidor RADIUS;

·        Port’s de Autenticação e Accounting.

Senha (shared secret) para comunicação entre os RADIUS da Rede IP e o RADIUS ISP

4.      CONSIDERAÇÕES

As informações deste documento poderão ser modificadas conforme definições da Telefônica.

ANEXO I-                   PROCEDIMENTO PARA INSTALAÇÃO E CONFIGURAÇÃO DO SISTEMA RADIUS FREE.

Para que o Free Radius possa ser instalado, é necessária a instalação do Sistema Operacional LINUX. Abaixo seguem informações para que essa instalação possa ser feita.

·        LINUX (Conectiva)

1) Preparar o servidor, inclusive com o modem do acesso IP dedicado corretamente instalado;

2a) Através de um micro com acesso à Internet, baixar as imagens (arquivos .iso) dos CD's de instalação do LINUX ("http://www.conectiva.com.br/cpub/pt/downloads/index.php");

3a) Com as imagens (.iso), criar os CD's de instalação do LINUX com um gravador de CD;

4a) Seguir a instalação a partir do primeiro CD (com boot a partir do CD);

2b) Através de um micro com acesso à Internet, baixar todos os arquivos (estruturados por CD) de instalação em um HD

("http://www.conectiva.com.br/cpub/pt/downloads/index.php")

3b) Executar o aplicativo "dosutil\rawrite.exe" (com o aquivo

"imagens\boot.img"), do primeiro CD, para criar um diskette de boot do LINUX

4b) Seguir a instalação a partir do diskette criad

5) Através do linuxconf, configurar os seguintes parâmetros de rede:

-         Endereço IP do servidor e sua máscara (linuxconf => Ambiente de rede => Nome da máquina e dispositivos IP de rede => Nome da máquina e Adaptador 1).

-         Servidores DNS (linuxconf => Ambiente de rede => DNS – especificação do servidor de nomes).

Caso o acesso IP dedicado possua o serviço de DHCP, ativar o DHCP client no LINUX e os parâmetros serão obtidos automaticamente (todas essas informações devem ser obtidas junto ao provedor do acesso IP dedicado).

=> Maiores informações, consultar:

" http://www.conectiva.com.br/cpub/pt/incConectiva/suporte/pr/instalacao.html "

Uma vez que o LINUX já estiver instalado e devidamente conectado a rede, realizar a instalação do Servidor RADIUS.

·        RADIUS (Cistron 1.6)

1)     Iniciar o LINUX com o usuário root para instalação do Cistron.

2)     No LINUX, baixar o arquivo ftp://ftp.freeradius.org/pub/radius/radiusd-cistron-1.6.6.tar.gz

a.       [root]# ftp ftp.freeradius.org¿

b.      Usuário: anonymous¿

c.      Senha: ¿

d.      ftp> cd pub/radius/¿

e.      ftp> get radiusd-cistron-1.6.6.tar.gz¿

f.        ftp> quit¿

 

3)     Executar os seguintes passos (comandos) para a instalação:

[root]# cd /root¿ (ir para o diretório onde foi feito o download do arquivo radiusd-cistron-1.6.6.tar.gz)

[root]# tar zxvf radiusd-cistron-1.6.6.tar.gz¿ (desconpactar arquivos e diretórios)

[root]# cd radiusd-cistron-1.6.6.tar.gz/src¿ (mudar de diretório)

[src]# make¿ (compilar arquivos)

[src]# make install¿ (instalar arquivos e diretórios)

 

4)     Editar o arquivo /etc/raddb/clients conforme a tabela abaixo (o parâmetro Shared Secret é definido pelo ISP):

5)     Editar o arquivo /etc/raddb/naslist conforme a tabela abaixo:

6)     Editar o arquivo /etc/raddb/users conforme a tabela a seguir. Inserir todos os usuário e senhas conforme os exemplos (entre parênteses).

Obs: Os parâmetros aqui configurados são os básicos para o funcionamento da autenticação, porém poderão ser incluídos outros parâmetros de acordo com as necessidades dos serviços.

O arquivo /etc/raddb/users deve ser editado e mantido pelo ISP. No exemplo acima temos três usuários fictícios:

Usuário:	Senha:
usuario1@isp.com.br	senha1
usuario2@isp.com.br	senha2
usuario3@isp.com.br	senha3

Onde as informações após o @ (isp.com.br) variam de acordo com o ISP.

O nome do usuário não deve conter espaços (nem caracteres inválidos como tabulações, aspas, sinal de igual e vírgula) e o seu tamanho não deve exceder 31 caracteres.

A senha não deve conter espaços (nem caracteres inválidos como tabulações, aspas, sinal de igual, vírgula e exclamação).

Antes dos atributos Password e Class, devem existir um caractere de tabulação ou de espaço.

A senha deve ser inserida apenas após um espaço depois do sinal de igual, conforme os exemplos descritos.

 

7)     As portas TCP padrão utilizadas são:

Acct-port (accounting port)	1813
Auth-port (authentication port)	1812

8)     ATIVANDO O RADIUS. Em um shell do LINUX, devemos ativar o processo radiusd:

 

[root]# cd /root/radiusd-cistron-1.6.6/src ¿ (caso o diretório de instalação for o /root)

[src]# ./radiusd¿ (ativar o processo no modo normal)

[src]# ./radiusd -x¿ (ativar o processo no modo log)

 

Após este passo o RADIUS deverá estar em funcionamento, autenticando todos usuários que estiverem configurados no arquivo /etc/raddb/users.

 

9)     DESATIVANDO O RADIUS. Em um shell do LINUX, devemos desativar o processo radiusd:

Ativo no modo normal,

-         executar (em qualquer diretório): [root]# ps –ef¿ (listar todos os processo ativos)

-         identificar o processo ./radiusd e anotar o número PID correspondente (pode haver dois números PID, anotar qualquer um dos dois números)

-         executar: [root]# kill (+ o número PID anotado)¿ (parar o processo)

 

Ativo no modo log,

-         Apenas teclar simultaneamente as teclas “control” e “c” no shell onde é exibido o log, para parar o processo)

 

10) ALTERANDO A CONFIGURAÇÃO. Depois de qualquer alteração nas configurações do Radius Cistron (por exemplo, adição de um novo usuário no arquivo /etc/raddb/users), será necessário reinicializar o processo radiusd, desativando e ativando conforme os passos (9) e (8) descritos acima, para que as alterações tenham efeito.

 

11) LOG DE ATUTENTICAÇÃO. Para obter informações das autenticações, verificar todos os arquivos no diretório: /var/log/radacct.

 

ð     Para maiores informações, consultar: " http://www.radius.cistron.nl/faq/ "

 

ANEXO II-                FORMULÁRIO PARA ISPS

 

Informações Comerciais
Razão Social do Cliente:
CNPJ/MF:
IE :
Responsável
Telefone :
e-mail:
Cargo:
Gerente de Contas/Atendente:
Telefone:
Informações Técnicas
Informação de Domínio
Qual é o Realm que o ISP utilizará para o Serviço Speedy? (ex: usuário@realm)
Informações do RADIUS
Possui servidor com o software RADIUS ? • Sim • Não
Qual o software RADIUS instalado?
Qual a versão do RADIUS?
Qual o endereço IP do servidor RADIUS?
Qual a Senha (Shared Secret) utilizada atualmente entre os RADIUS da TEmpresas e do ISP?
Qual é o Port de Autenticação?
Qual é o Port de Accounting?
Obs: Caso o ISP não possua um Servidor RADIUS deverá providenciar de acordo com os requisitos mínimos.
Informações de Acesso
Possui acesso Speedy Link ? • Sim • Não
Qual o nº de LP do acesso Ip dedicado?
Roteador de acesso é gerência Telefônica ?
O roteador de acesso é de propriedade da Telefônica?
Obs: Caso o ISP não possua o acesso Speedy Link, deverá providenciar .

 

ANEXO I-                   GUIA PARA UTILIZAÇÃO DO ACESSO AUTENTICADO PARA USUÁRIOS SPEEDY IP FIXO

 

Objetivo

O objetivo deste anexo é esclarecer a utilização do Speedy autenticado para usuários  provisionados com IP Fixo, pois existe a necessidade do conhecimento do processo de autenticação para que o correto funcionamento do serviço Speedy seja possível.

 

Autenticação do Acesso

Para maior confiabilidade e controle do Speedy, a Telefônica está incluindo em seu serviço uma autenticação do acesso do usuário, ou seja, para o usuário "navegar" na Internet, ele deverá inserir a senha de seu provedor e somente após uma aprovação deste, o usuário poderá utilizar o serviço.

Fluxo de utilização:

Ao se conectar, o usuário será obrigado a se autenticar, pois ao acessar o Speedy, ele é direcionado para uma tela de autenticação, na qual é necessário que ele forneça o username e password de seu ISP (provedor de Internet) para que este possa fazer a autenticação para sua validação na Internet.

O usuário poderá também salvar suas informações de login pressionando o botão “Salvar Senha”, assim da próxima vez que entrar na tela de autenticação não será mais necessário informar seu  “Usuário” e “Senha”, apenas pressionar o botão “OK”.

Uma outra opção, para usuários que desejem que a autenticação seja automática por completo, deve-se criar um arquivo sem conteúdo com o nome “AutAuto.txt” no diretório raiz do seu computador, caso deseje desativar a autenticação automática remova este arquivo.

É necessário que o usuário desse acesso tenha conhecimento de sua conta (username e password), além de estar com sua situação regular com o ISP para que este possa ser autenticado.

Exemplo de uma tela de autenticação:

Salvar Senha

 

Assim que o usuário de Speedy com IP Fixo esteja autenticado, sua conexão com a Internet é estabelecida e com isso o usuário poderá "navegar" livremente.

Para os usuários de IP Fixo, caso ocorra um desligamento do Modem ou da máquina, as condições de autenticação são mantidas, ou seja, reiniciando a máquina e ligando o Modem o acesso continua habilitado (autenticado).

 

1.      Aplicativos que necessitam de Internet (para usuários de IP Fixo)

 

Com a entrada da autenticação dos usuários de IP Fixo, alguns aplicativos existentes (e-mail, Messenger, ICQ, etc.) perderão sua funcionalidade automática, caso o usuário não esteja autenticado, ou seja, para que este serviço continue a ser utilizado do mesmo modo, é necessário que seja feita a autenticação antes de tentar acessá-lo.

 

·        Caso o usuário entre em seu "navegador" de Internet para verificar e-mail e seu acesso não esteja autenticado, ele será direcionado para a tela de autenticação do acesso (fig. III.1)

·        Caso o acesso não esteja autenticado, se o aplicativo não utilizar o navegador, ocorrerá um erro, pois estará tentando se comunicar com a Internet que não estará habilitada.

Em ambos os casos o usuário deverá entrar em seu "navegador" para que possa se autenticar através da tela de autenticação (fig. III.1).

 

2.      Usuários Corporativos

 

2.1.  Descrição:

Se caracteriza por um usuário corporativo, neste documento, aquele cliente Speedy que possui mais de uma máquina ligado ao seu Modem Router no seu acesso Speedy Business.

2.2.  Fluxo de utilização:

·        1º Acesso (Autenticação):

Ao se conectar, o usuário será obrigado a se autenticar, pois no 1º Acesso ele é direcionado para uma tela de autenticação, na qual é necessário que ele forneça o username e password de seu ISP (provedor de Internet) para que este possa fazer a autenticação para sua validação na Internet (Fig III.1).

Com isso é necessário que o usuário do acesso Speedy  esteja com sua situação regular com o ISP para que este possa ser autenticado. É também necessário que os usuários desse acesso sejam informados, pois pode ocorrer o caso de um usuário qualquer ser o primeiro a acessar a Internet após a conexão ser feita e com isso este usuário deverá autenticar o acesso, caso tenha o conhecimento da conta do acesso (username e password), ou entrar em contato com alguém responsável por tal autenticação. 

·        Demais acessos:

Para os demais acessos a "entrada" na Internet se torna transparente pois como o acesso já vai estar autenticado, o usuário terá acesso instantâneo sem passar pela tela de autenticação.

·        Usuários simultâneos em um acesso não autenticado:

Quando vários usuários entrarem na Internet antes que a autenticação seja feita, todos eles receberão antes de sua tela inicial a tela de autenticação.

A partir do momento que uma pessoa se autenticar, os demais usuários poderão acessar a Internet. Tanto clicando em "Home" como inserindo uma direção URL (site) no seu Web Browser padrão.

Caso mais de um usuário tente se autenticar, apenas a primeira autenticação é considerada e as outras são ignoradas, ficando assim o acesso livre para "navegação".

2.3.  Possibilidades para utilização:

1.      Todos usuários de um acesso compartilhado devem ter conhecimento sobre a necessidade de autenticação do sistema, e portanto devem conhecer a senha para saber atuar em caso de uma autenticação.

2.      Existir um funcionário responsável pela verificação do status do acesso, caso este não esteja em funcionamento este deve autenticar o acesso para que os demais usuários possam utilizar. Para este caso todos os usuários deverão ser informados que caso apareça esta pagina de autenticação, ele deverá entrar em contato com o responsável em manter o acesso.