®
NTTacPlus
NTTacPlus Server
RADIUS/TACACS+ Access Control Server per Windows
Installazione e Guida all’uso
Release 2.0
NTTacPlus Server per Windows 2.0
Un prodotto completo per la gestione degli accessi e l’elaborazione
dei dati di accounting.
Particolarmente studiato per le esigenze degli Internet Service
Provider.
Realizzato per Windows NT 4.0, Windows 95/98 e Windows 2000.
Pronto per l’anno 2000.
MASTER SOFT S.N.C. SI RISERVA IL DIRITTO DI MODIFICARE LA PRESENTE
DOCUMENTAZIONE SENZA PREAVVISO.
É INOLTRE POSSIBILE CHE QUESTA DOCUMENTAZIONE CONTENGA ERRORI TIPOGRAFICI O
INESATTEZZE TECNICHE. MASTER SOFT S.N.C. NON SI ASSUME NESSUNA RESPONSABILITÁ
DERIVANTE DALL’USO PROPRIO O IMPROPRIO DI QUESTA DOCUMENTAZIONE O DEL
PRODOTTO SOFTWARE NTTACPLUS.
NESSUNA PARTE DI QUESTA DOCUMENTAZIONE PUÓ VENIRE RIPRODOTTA, TRASMESSA,
MEMORIZZATA O TRADOTTA IN QUALUNQUE LINGUA, IN QUALUNQUE FORMA O CON
QUALUNQUE MEZZO, ELETTRONICO, MECCANICO, OTTICO, CHIMICO, MANUALE O
EQUIVALENTE, SENZA L’ESPLICITA CONCESSIONE SCRITTA DA PARTE DI MASTER SOFT
S.N.C.
Copyright 1998-2000 MASTER SOFT S.N.C. - Novara (Italy) - Tutti i diritti riservati.
NTTacPlus e MSoft sono marchi registrati di proprietà della Master Soft S.n.c.
Tutti i riferimenti a nomi di compagnie o prodotti citati nella presente documentazione sono
marchi di fabbrica o marchi registrati ed appartengono ai loro rispettivi proprietari.
Installazione e guida all’uso.
Rel. 2.0.74 22/06/2017
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus Server per Windows 2.0
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 1/95
Indice
Introduzione ...................................................................................................................................... 3
Cos’è NTTacPlus........................................................................................................................... 3
Caratteristiche principali di NTTacPlus ......................................................................................... 4
Novità della release 2.0 .................................................................................................................... 7
Introduzione alla versione 2.0 ....................................................................................................... 7
Differenze rispetto alla versione 1.x .............................................................................................. 7
Come effettuare l’aggiornamento dalla versione 1.x ................................................................... 10
Installazione di NTTacPlus ............................................................................................................ 11
Requisiti di sistema ..................................................................................................................... 11
Contenuto del pacchetto d’installazione ...................................................................................... 11
Installazione di NTTacPlus .......................................................................................................... 11
Disinstallazione di NTTacPlus ..................................................................................................... 12
Avvio di NTTacPlus come applicazione stand-alone .................................................................. 12
Avvio di NTTacPlus come servizio di Windows NT ..................................................................... 12
Esecuzione di NTTacPlus in modalità non registrata.................................................................. 13
Configurazione di NTTacPlus ....................................................................................................... 14
Prima esecuzione del server NTTacPlus .................................................................................... 14
Primo login su NTTacPlus ........................................................................................................... 15
Elementi della console di NTTacPlus .......................................................................................... 15
Sommario dei parametri di configurazione .................................................................................. 18
Configurare i NAS per interagire con NTTacPlus ....................................................................... 23
Configurazione di parametri specifici RADIUS/TACACS+ .......................................................... 27
Configurare NTTacPlus e i NAS per la disconnessione forzata ................................................. 29
Impostazioni di carattere generale .............................................................................................. 32
Configurazione dell’activity event log .......................................................................................... 36
Resincronizzazione con i NAS Cisco .......................................................................................... 38
Configurazione di un server NTTacPlus di backup ..................................................................... 40
Configurazione dei messaggi di login ......................................................................................... 41
I protocolli RADIUS e TACACS+ ................................................................................................... 42
Il modello AAA ............................................................................................................................. 42
Authentication .............................................................................................................................. 42
Authorization................................................................................................................................ 42
Accounting ................................................................................................................................... 43
Implementazione del modello AAA in NTTacPlus ....................................................................... 43
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 2/95
Il processo di Authentication in NTTacPlus ................................................................................. 43
Il processo di Authorization in NTTacPlus .................................................................................. 44
Il processo di Accounting in NTTacPlus ...................................................................................... 45
Un confronto tra alcuni attributi RADIUS e l’equivalente in TACACS+ ....................................... 46
Gli attributi RADIUS e il dizionario............................................................................................... 46
Gestione degli account .................................................................................................................. 48
Il Database degli Account Utente ................................................................................................ 48
Struttura gerarchica del database utenti ..................................................................................... 48
Parametri di un profilo utente ...................................................................................................... 49
Espressioni con i caratteri jolly .................................................................................................... 59
Alcuni esempi di profili utente e di gruppo .................................................................................. 60
Configurazioni particolari ............................................................................................................. 63
Gli script post-autenticazione ...................................................................................................... 64
I messaggi di scadenza account e esaurimento credito ............................................................. 65
Gli Account nel formato SQL ODBC ........................................................................................... 66
Gestione del database utenti tramite Profile Manager ................................................................ 68
Considerazioni sulle impostazioni dei profili nel Profile Manager ............................................... 69
I dati di Accounting ........................................................................................................................ 77
Dati di Accounting generati da NTTacPlus ................................................................................. 77
File di Accounting per utente ....................................................................................................... 77
File di Accounting globali ............................................................................................................. 78
Dati di Accounting su datasource ODBC .................................................................................... 79
Output ODBC degli utenti attivi ................................................................................................... 79
Configurazione dell’accounting ................................................................................................... 80
Preparazione per l’accounting su ODBC .................................................................................... 82
Configurazione manuale ................................................................................................................ 85
Struttura del file di configurazione ............................................................................................... 85
I parametri speciali Flags e Debug .............................................................................................. 87
Supporto Tecnico/Registrazione .................................................................................................. 90
Documentazione da allegare alle comunicazioni ........................................................................ 90
Registrazione del prodotto .......................................................................................................... 90
Contratto e Licenza d'uso ............................................................................................................ 91
Come contattarci ......................................................................................................................... 92
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 3/95
Introduzione
Cos’è NTTacPlus
NTTacPlus è un’applicazione server centralizzata per il controllo e la gestione degli accessi remoti in rete
tramite i protocolli standard TACACS+ (sviluppato da Cisco) e RADIUS (sviluppato da Livingston, ora
standard IETF), ed implementa il modello AAA (Authentication, Authorization, Accounting):
Authentication. Processo di verifica e convalida degli account utente (coppie username/password).
Authorization.
Processo di autorizzazione per l’assegnazione ad un utente di risorse di rete.
Accounting.
Processo di registrazione dei dati relativi all’utilizzo del sistema da parte di un utente.
Gestione centralizzata degli accessi
NTTacPlus è in grado di operare sia come applicazione stand-alone oppure come servizio di Windows NT.
NTTacPlus utilizza un database degli utenti implementabile in due modalità operative: un insieme di semplici
file di testo in cui ciascun file rappresenta il profilo di un singolo utente; oppure un database SQL ODBC
formato da tabelle che contengono i profili utente; nei profili degli utenti vengono memorizzate tutte le
caratteristiche ad essi associate, quali password, scadenza, restrizioni orarie nell’accesso al sistema, ecc.
Il Network Access Server (o NAS), talvolta chiamato Communication Server, Remote Access Server o
Terminal Server, è un dispositivo che accetta solitamente accessi remoti tramite telefonate su linee
analogiche o ISDN attraverso modem o terminal adapter ISDN. Il NAS permette di collegare gli utenti dialin alla rete interna (Intranet) – tipicamente una Local Area Network (LAN) – oppure all’intera rete di Internet.
NTTacPlus soddisfa le richieste di authentication e di authorization provenienti dai NAS (come ad esempio
Cisco AS5200, Ascend MAX4000 o 3Com TotalControl) esaminando i profili utente e rispondendo in base
alle caratteristiche configurate per ciascun utente.
NTTacPlus acquisisce inoltre i dati di accounting inviati dal NAS e li elabora registrandoli in una fonte dati
ODBC, in modo da renderli disponibili per elaborazioni statistiche sugli accessi, per la generazione di billing
report dettagliati, ecc.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 4/95
Caratteristiche principali di NTTacPlus
Elevate prestazioni, occupazione ridotta
NTTacPlus, sviluppato in C++, è ottimizzato per fornire ottime prestazioni con una limitata occupazione di
memoria e di risorse. È in grado di eseguire un elevato numero di autenticazioni al secondo, con bassa
occupazione del processore.
Le dimensioni del file eseguibile sono ridotte. L’installazione è rapida, poiché l’applicazione non utilizza
DLL di runtime o altre librerie di appoggio esterne non già fornite con il sistema operativo. Tutte le
componenti dell’applicazione risiedono nella directory di installazione (nessuna DLL viene sparsa nella
directory di sistema di Windows o altrove).
NTTacPlus non utilizza il registry database di Windows: nessuna perdita di tempo girovagando per la
complicata struttura del registry in cerca dei valori di configurazione del programma! Tutti i dati di
configurazione sono impostati nei file di testo e risiedono nella directory di installazione.
Supporto completo per autenticazione, autorizzazione e accounting
NTTacPlus supporta tutte le funzioni di authentication, authorization ed accounting come sono definite nelle
specifiche standard dei protocolli TACACS+ e RADIUS. La sua flessibilità consente di supportare nuove
estensioni dei valori proprietari di AV pairs definite per l’authorization per entrambi i protocolli.
Gestione semplificata e remota del database dei profili utenti
I profili utente sono facilmente modificabili tramite qualunque editor di testo (NOTEPAD.EXE) se
memorizzati in file ASCII, o tramite l’esecuzione di query su tabelle se memorizzati in un database ODBC.
Non occorre effettuare operazioni di caricamento o salvataggio del database utenti (load o save user
database): le modifiche apportate ai profili sono istantanee dal momento in cui si salva il file.
Il backup dell’intero database è immediato: è sufficiente copiare le directory dei profili utente e dei profili di
gruppo per la modalità ASCII, oppure effettuare il backup del database ODBC prescelto per la modalità SQL
ODBC.
Tramite l’utility NTTacPlus Console è possibile effettuare la gestione remota completa dei server NTTacPlus
e dei profili utente/gruppo ad essi associati. L’applicazione di gestione remota è ridotta ad un singolo
eseguibile, e funziona su di un qualunque PC Windows 95 o NT connesso in rete tramite TCP/IP; consente la
modifica in tempo reale dei profili utente e della configurazione dialogando con un server NTTacPlus. Lo
scambio dei dati tra NTTacPlus Console e il server NTTacPlus avviene in maniera crittografata.
Gruppi ed ereditarietà
Con NTTacPlus è possibile definire, oltre ai profili utente, i profili di gruppo.
I profili di gruppo possono comprendere tutti i parametri definibili per ogni singolo utente. È sufficiente
assegnare l’appartenenza di un utente ad un gruppo perché esso erediti automaticamente tutti i parametri
preimpostati nel gruppo di assegnazione.
Un profilo utente può appartenere a più gruppi, e in tal caso la ricerca degli attributi procede attraverso
l’analisi di ciascun gruppo.
Un gruppo a sua volta può appartenere ad un altro gruppo. È possibile così creare una struttura gerarchica
che consente di gestire in modo molto semplice i profili utente, evitando inutili ripetizioni in ciascun profilo e
mettendo a fuoco solo i parametri che differenziano gli utenti tra loro, lasciando nei gruppi le impostazioni
comuni.
Controllo in tempo reale dell’attività (anche remoto)
NTTacPlus consente di monitorare lo stato delle connessioni attive, mettendo a disposizione, tramite la
console, una finestra che mostra l’elenco degli utenti attivi, da quanto tempo e su quale NAS sono collegati.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 5/95
NTTacPlus registra inoltre in tempo reale tutte le richieste provenienti di autenticazione, autorizzazione, e
accounting, oltre alle sessioni di gestione remota. Gli eventi vengono visualizzati a video in una finestra di
log e vengono anche registrati permanentemente in un file di log.
È possibile disconnettere forzatamente gli utenti dal sistema in maniera automatica (tramite l’appoggio al
protocollo RSHELL incorporato o ad utility esterne, quali SNMPSET o script di telnet).
Tramite l’applicazione indipendente NTTacPlus Console è possibile visualizzare la finestra degli utenti attivi
su di un qualunque PC remoto (Windows 95 o NT) connesso in rete TCP/IP.
Funzionamento ridondante e Backup
NTTacPlus può essere installato su di una seconda macchina, ed essere configurato come server ridondante
di backup.
NTTacPlus è in grado di connettersi automaticamente al server NTTacPlus primario e sincronizzare
periodicamente l’intero database degli utenti.
Il trasferimento dei dati durante la sincronizzazione avviene tramite connessione TCP ed i pacchetti scambiati
sono crittografati.
In caso di malfunzionamento del computer server principale, i NAS possono reindirizzare le richieste al
server di backup.
Controllo di accesso esteso
NTTacPlus offre un elevato numero di parametri tramite i quali regolare l’accesso degli utenti al sistema. In
particolare è possibile configurare l’accesso in base a:
-
data di scadenza o durata account
fasce orarie di collegamento (giornaliere o settimanali con calendario festività programmabile)
Caller/Calling ID (numero di telefono chiamante o chiamato se previsto dall’operatore Telecom)
NAS di provenienza o porta del NAS (controllo e distinzione chiamate analogiche o ISDN)
Numero di login contemporanei per lo stesso account
Credito residuo totale di tempo
Credito residuo totale di traffico
Quota assegnata di tempo per un determinato periodo
Livello di privilegio (da utente base ad amministratore)
Controllo esteso su scadenze e situazioni sospette
NTTacPlus è in grado di rilevare tentativi falliti di accesso (ad esempio a causa di password, ora di
collegamento, o privilegio errati, oppure tentativo di doppio accesso con una stessa username), e di
intraprendere di conseguenza azioni amministrative (liberamente attivabili o disattivabili), come:
-
Invio di notifiche e-mail all’amministratore del sistema
Invio di notifiche e-mail all’utente in oggetto
Disabilitazione immediata dell’account utente
Disconnessione forzata immediata dell’utente
NTTacPlus è in grado inoltre di inviare una e-mail personalizzabile di avvertimento all'utente quando il suo
account è prossimo alla scadenza (sia temporale che dei crediti).
Supporto esteso per l’accounting (ODBC)
NTTacPlus offre un supporto esteso per l’accounting.
Per ogni sessione NTTacPlus registra una serie di informazioni utili quali ad esempio durata della sessione,
traffico generato in ingresso e in uscita e crediti residui di traffico e tempo.
L’output di accounting viene riversato in tempo reale in una tabella (file) ASCII standard oppure in un
database standard ODBC, come ad esempio Microsoft Access, SQL Server, Paradox, ecc.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 6/95
NTTacPlus può anche, opzionalmente, mantenere una tabella aggiornata in tempo reale dei dati relativi agli
utenti collegati, oltre che nel monitor video, anche in un database ODBC.
Funzionamento come modulo Proxy per Windows NT, UNIX o altri server TACACS+
NTTacPlus offre la possibilità di effettuare le autenticazioni delle username e password reindirizzando le
richieste di accesso ad una macchina Windows NT (anche remota), sfruttandone il database degli utenti. È in
grado inoltre di reindirizzare autenticazioni ad altri server TACACS+ o di utilizzare gli account presenti nel
file standard passwd di UNIX.
Sincronizzazione automatica con NAS Cisco
NTTacPlus è in grado di sincronizzare la propria finestra degli utenti attivi con qualunque access server
Cisco, evitando così la perdita di informazioni che può occorrere al riavvio del computer in cui è in
esecuzione NTTacPlus o al riavvio del NAS stesso.
NTTacPlus inoltre è in grado di sincronizzare periodicamente lo stato degli utenti attivi interrogando l’access
server e aggiornando le informazioni in suo possesso, eliminando i problemi nel caso in cui venissero persi
dati di accounting (ad es. quando il NAS non invia correttamente informazioni di termine sessione a
NTTacPlus).
Architettura aperta ed espandibilità
NTTacPlus offre un’architettura aperta tramite l’uso dell’interfacciamento dati standard ODBC per la
memorizzazione dei profili utente e dei dati di accounting, permettendo una facile integrazione con altri
applicativi di gestione ed adattandosi bene a situazioni preesistenti.
NTTacPlus consente all’amministratore di estendere le capacità di autenticazione ed accounting permettendo
l’interazione con script esterni personalizzabili.
Facile interfacciamento con il Web
NTTacPlus può facilmente esporre i propri dati relativi ai profili utente e all’accounting su pagine Web
(tramite ASP, Cold Fusion, CGI, ecc.), consentendo all’amminsitratore di configurare pagine dedicate alla
generazione di report sulle sessioni (accessibili anche dai propri utenti), pagine dedicate alla gestione dei
profili utente, ecc.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 7/95
Novità della release 2.0
Introduzione alla versione 2.0
La nuova versione di NTTacPlus introduce notevoli miglioramenti rispetto alle versioni precedenti del
software, tra cui il supporto per il protocollo di autenticazione RADIUS, divenuto ormai standard presso tutte
le piattaforme hardware NAS, e l’introduzione dell’interfaccia ODBC come supporto per la memorizzazione
del database degli account.
L’evoluzione del software di gestione degli accessi NTTacPlus procede in direzione di un’apertura verso le
esigenze degli amministratori di sistemi di networking attraverso il progetto OAK (Open Administration Kit).
Il software NTTacPlus è stato realizzato mantenendo il più possibile un’architettura aperta, grazie anche
all’introduzione del supporto database utenti via ODBC.
Il progetto OAK ha come obbiettivo l’integrazione del motore di autenticazione e accounting di NTTacPlus
nelle procedure aziendali esistenti (contabilità, gestionali, fatturazione, emissione bollette, statistiche, ecc.)
senza sconvolgere i metodi operativi esistenti.
Il progetto OAK prevede il rilascio progressivo della documentazione e di un set di API scritte per gestire il
server NTTacPlus in qualsiasi linguaggio di programmazione, insieme all’estensione per il supporto Active
Server Pages e Cold Fusion Application Server, realizzando così un software aperto attorno al quale ciascuno
sarà in grado di sviluppare procedure integrate anche con il Web in maniera semplice e flessibile.
Differenze rispetto alla versione 1.x
NTTacPlus presenta parecchi miglioramenti rispetto alla versione 1.x, e tra questi alcune modifiche
sostanziali nell’interfaccia grafica con cui si presenta. Si consiglia a coloro che possiedono e utilizzano una
release precedente di effettuare un’attenta lettura di questo breve panorama che illustra le differenze
fondamentali. La descrizione dettagliata delle nuove opzioni viene presentata invece più avanti nei relativi
capitoli del manuale d’uso. Ecco un sommario delle nuove caratteristiche di NTTacPlus:
Interfaccia utente completamente trasferita nella console remota
Supporto per il protocollo RADIUS
Supporto per la memorizzazione degli account in un database SQL ODBC
Riorganizzazione dei menu e delle opzioni di configurazione
Miglioramento delle opzioni di resincronizzazione con i NAS Cisco
Diverse altre modifiche minori
Trasferimento interfaccia utente nella console remota
La console remota è stata completamente ridisegnata ed ora integra in un’unica applicazione eseguibile la
vecchia console e il vecchio NTTacPlus User Manager.
L’interfaccia dal lato server è stata ridotta una semplice finestra di dialogo/icona sulla tray bar se NTTacPlus
viene eseguito come applicazione. Se NTTacPlus viene eseguito come servizio, nessuna finestra GUI visibile
viene attivata. Questa nuova implementazione miglora l’utilizzo di memoria e di risorse dal lato server.
Tutte le funzioni precedentemente disponibili solo sulla finestra principale del server sono ora disponibili
sulla console remota. Ciò include anche la possibilità di configurare ogni impostazione di NTTacPlus da un
computer remoto senza dover accedere al server direttamente.
Il programma di installazione consente di scegliere la componente console remota solamente, per poterla
installare su PC client remoti.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 8/95
Non è necessario comunque eseguire il setup per installare la console remota su un PC client. È sufficiente
molto più semplicemente copiare i seguenti due file in una directory del computer di destinazione:
NTTACMON.EXE
l’eseguibile della console remota
RADDICT.DAT
il dizionario degli attributi RADIUS usato per la gestione degli account utente
Per la gestione locale del server NTTacPlus è necessario comunque avviare la console, ed effettuare il login
selezionando localhost come indirizzo server.
Supporto del protocollo RADIUS
Questa release di NTTacPlus finalmente supporta il protocollo RADIUS per qualsiasi client abilitato al
RADIUS.
Alcuni attributi specifici del protocollo RADIUS vengono automaticamente rimappati in parametri
NTTacPlus standard, per mantenere un’interfaccia di configurazione degli utenti consistente con il protocollo
TACACS+ e compatibile anche con versioni precedenti di NTTacPlus. Per una descrizione relativa a questa
caratteristica vedere il paragrafo Un confronto tra alcuni attributi RADIUS e l’equivalente in TACACS+ più
avanti.
Tramite il protocollo RADIUS, NTTacPlus ora è in grado di sfruttare l’attributo Session-Timeout per
terminare implicitamente le sessioni degli utenti. Consultare più avanti il paragrafo Utilizzo di
Session-Timeout.
Supporto per la memorizzazione degli account in un database SQL ODBC
NTTacPlus ora è in grado di memorizzare i dati relativi agli account utente, oltre che nei file di testo ASCII
come nella release precedente, in un database SQL ODBC.
Tutti i dettagli riguardanti l’utilizzo di un database per gli account e le modalità di migrazione dei profili dal
formato ASCII al database sono riportate al paragrafo Gli Account nel formato SQL ODBC.
Un database d’esempio in formato Microsoft Access 97 è incluso nel setup di NTTacPlus.
Aprendo questo database con Access è possibile accedere ad una maschera che esegue automaticamente
l’importazione degli utenti dal formato ASCII.
Riorganizzazione dei menu e delle opzioni di configurazione
Tutto l’insieme delle opzioni di configurazione è stato riorganizzato e spostato in una singola finestra di
dialogo accessibile con tramite il menu Tools/Options (F8).
La finestra di dialogo per la configurazione di NTTacPlus può essere richiamata ora da qualsiasi console
remota.
Qualunque modifica apportata alle opzioni all’interno di tale finestra diviene effettiva alla pressione del tasto
OK e non richiede il riavvio del server.
Miglioramento delle opzioni di resincronizzazione con i NAS Cisco
Un nuovo insieme di utilità per la resincronizzazione è stato implementato per superare i problemi causati dai
record di accounting STOP persi dai Cisco. Accade infatti che, in alcune circostanze, a causa di diversi bug
del sistema IOS, i record di STOP possano “perdersi” senza venire inviati a NTTacPlus, lasciando l’utente in
uno stato “fantasma” nella finestra degli utenti attivi di NTTacPlus.
I dettagli sulla configurazione di NTTacPlus e dei NAS si trovano al paragrafo Resincronizzazione con i
NAS Cisco.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 9/95
Sommario delle modifiche minori
Segue un elenco sintetico di tutte le modifiche e le aggiunte minori apportate al software NTTacPlus. Le
informazioni dettagliate relative a ciascuna funzionalità sono reperibili nei paragrafi relativi più avanti.
Modifiche relative all’interfaccia e alla configurazione di NTTacPlus:
Aggiunto il supporto per i menù di contesto (clic destro e doppio clic) nella finestra delle sessioni
attive.
Nuova sintassi della sezione Kill dedicata agli script esterni di disconnessione forzata: supporto
caratteri jolly nei nomi delle interfacce, distinzione in base al NAS, supporto comando di default.
Supporto interno del protocollo RSHELL: non è più necessario richiamare applicazioni esterne per
inviare comandi rsh.
Supporto per l’esecuzione di uno script post-accounting globale (non per utente) per estendere le
funzionalità di accounting con proprie procedure personalizzate esterne.
Aggiunto il supporto per i protocolli di autenticazione MS-CHAP e ARAP-DES in TACACS+.
Riorganizzato il formato dei messaggi nell’activity event log, ora più dettagliati ma anche più
compatti.
Aggiunto il supporto per l’operatore refuse (not), designato dal simbolo “!” nelle espressioni con i
caratteri jolly.
Migliorato il dettaglio delle informazioni riportate nelle email amministrative di avvertimento.
Aggiunto il supporto per l’accounting di sistema TACACS+.
Aggiunta la possibilità di configurare l’intervallo di tempo tra due controlli sulle sessioni attive.
Aggiunta la possibilità di disattivare l’output su schermo dell’activity event log, per ridurre il carico
specialmente in caso di numerose sessioni console remote.
Modifiche relative ai profili degli account:
Supporto del nuovo parametro EffectiveFrom in grado di indicare una data di attivazione dell’account
oltre a quella classica di scadenza.
Supporto del nuovo formato per il parametro Expires, in grado di indicare, anziché una data assoluta
di scadenza, una durata in giorni dell’account; combinato con EffectiveFrom può gestire account di
durata in giorni prefissata con conteggio a partire dal primo login.
Supporto per l’esecuzione di uno script post-autenticazione per utente: è possibile estendere le
funzioni di autenticazione con proprie procedure personalizzate esterne.
Riorganizzato il supporto per le email di avvertimento/scadenza account ora funzionali anche per
l’esaurimento di crediti di tempo o traffico.
Aggiunta una sezione dedicata per la gestione della password nel Profile Manager.
Aggiunto il supporto per le password crittografate DES.
Aggiunto il supporto per l’autenticazione su file UNIX standard passwd (5).
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 10/95
Come effettuare l’aggiornamento dalla versione 1.x
Per installare la versione 2.0 su di un’installazione precedente senza danneggiare la configurazione o
compromettere il funzionamento dei profili utente, occorre osservare le seguenti istruzioni:
1.
2.
3.
4.
5.
6.
Effettuare comunque una copia di backup della directory di NTTacPlus 1.x.
Fermare qualsiasi istanza attiva della console remota e del servizio NTTacPlus.
Eseguire il setup della nuova versione, indicando come destinazione la precedente directory.
Riavviare il servizio.
Effettuare il login dalla console.
Verificare con attenzione tutti i parametri di configurazione dalla finestra Tools/Options.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 11/95
Installazione di NTTacPlus
Questo capitolo tratta l’installazione di NTTacPlus su di un sistema ove non sia presente un’installazione
precedente di NTTacPlus stesso. Per effettuare un aggiornamento dalla versione precedente, si rimanda al
capitolo precedente.
Requisiti di sistema
Sistema operativo
Windows 95 o Windows NT 4.0
CPU
Pentium/133 o superiore
RAM
16 Mb su Windows 95, 32 Mb su Windows NT
Spazio su disco
Meno di 4 Mb per l’installazione; spazio addizionale è richiesto per
ospitare i file di log, i dati di accounting e i dati sui profili utente
Rete
Stack TCP/IP compatibile WinSock
Contenuto del pacchetto d’installazione
Il pacchetto originale del prodotto NTTacPlus contiene le seguenti componenti:
NTTACP.EXE
NTTACP.INI
RADDICT.DAT
INSTSERV.EXE
README.TXT
MESSAGES\*.TXT
ODBC\STAT.MDB
ODBC\NTTACDB.MDB
NTTACMON.EXE
EXTERNAL\*.*
DOCS\MANUAL.DOC
DOCS\ORDER.DOC
DOCS\MANUALE.DOC
DOCS\ORDINE.DOC
USERS\*.USR
GROUPS\*.UGP
L’eseguibile del server NTTacPlus
File di configurazione di NTTacPlus
Dizionario estensibile degli attributi RADIUS
Utility per l’installazione e l’avvio di NTTacPlus come servizio NT
File di testo contenente le ultime aggiunte e alcune informazioni utili
Directory contenente file di testo (banner) pre e post-autenticazione
File di database Microsoft Access con tabelle di accounting d’esempio
File di database Microsoft Access con tabelle profili utenti d’esempio
L'eseguibile di NTTacPlus Console
Directory con utility/script esterni NT
Documentazione in inglese
Modulo d'ordine del presente software (valido per l'estero)
Documentazione in italiano
Modulo d'ordine del presente software (valido per l'Italia)
Esempi di profili utente preconfigurati in formato ASCII
Esempi di profili gruppo preconfigurati in formato ASCII
Installazione di NTTacPlus
1.
2.
3.
Creare una directory temporanea per l'installazione di NTTacPlus (ad es. c:\temp).
Esplodere l’archivio zip nella directory creata.
Eseguire il programma di installazione setup.exe e seguire le istruzioni.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 12/95
Disinstallazione di NTTacPlus
Per disinstallare NTTacPlus. Alternativamente è possibile scegliere il comando Uninstall dalla cartella
NTTacPlus aggiunta al menu Avvio di Windows, oppure utilizzare la funzione Installa/Rimuovi applicazioni
dal Pannello di Controllo.
Se il programma è stato configurato come servizio di Windows NT, occorre rimuoverlo dall'elenco dei
servizi prima della disinstallazione, utilizzando l'utility allegata INSTSERV.EXE.
Nel caso che la procedura automatica di disinstallazione non si completasse, dopo aver fermato e rimosso il
servizio con INSTSERV procedere nel seguente modo:
1.
2.
3.
Rimuovere tutti i collegamenti a NTTacPlus dalla cartella Menù Avvio/Programmi/NTTacPlus.
Rimuovere tutti i datasource di sistema ODBC che fanno riferimento a database di NTTacPlus.
Cancellare la directory principale di NTTacPlus e tutte le sue subdirectory (ad es. “C:\NTTacPlus2”)
4.
Eseguire REGEDIT.EXE e cancellare in ordine tutte le seguenti chiavi dal database registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Master Soft\NTTacPlusConsole
HKEY_LOCAL_MACHINE\SOFTWARE\Master Soft\NTTacPlusMgr
HKEY_LOCAL_MACHINE\SOFTWARE\Master Soft (solo se questa chiave è vuota)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NTTacPlus 2.0
Avvio di NTTacPlus come applicazione stand-alone
NTTacPlus può funzionare come applicazione stand-alone. Per avviarlo eseguire il programma
NTTACP.EXE.
Al primo avvio si consiglia di lanciare NTTacPlus come applicazione stand-alone piuttosto che come
servizio, in modo da poter procedere alla configurazione delle impostazioni.
Avvio di NTTacPlus come servizio di Windows NT
NTTacPlus può funzionare come servizio di Windows NT (non richiede cioè il logon di un utente per
l’avvio). Per installarlo come servizio, lanciare l’utility INSTSERV.EXE:
Per aggiungere NTTacPlus all’elenco dei servizi del Service Control Manager, premere Install service.
Per avviare NTTacPlus come servizio immediatamente, premere Start service.
NOTA: non è possibile eseguire più di un’istanza di NTTacPlus, per cui il servizio non parte se NTTacPlus è
già attivo come stand-alone e viceversa.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 13/95
Per fermare NTTacPlus in esecuzione come servizio, premere Stop service.
Per rimuovere il servizio dall’elenco dei servizi, premere Remove service.
NOTA: la rimozione del servizio non implica l’arresto di un’eventuale istanza attiva del servizio.
Alternativamente è possibile avviare/fermare il servizio tramite la finestra standard dei servizi del Pannello di
Controllo.
Esecuzione di NTTacPlus in modalità non registrata
Al primo avvio di NTTacPlus il software parte in modalità non registrata.
La modalità non registrata consente un periodo di valutazione del software di 30 giorni dal primo avvio. Il
software in modalità non registrata è completamente funzionante in tutte le sue opzioni.
Trascorso il periodo di 30 giorni dal primo avvio, il prodotto cessa di funzionare al primo riavvio della
macchina.
È possibile cambiare la modalità di esecuzione del software da non registrata a registrata avviando la
console, scegliendo il menu Help/Registration… e compilando la scheda Registration che compare:
Premendo OK il software passa immediatamente in modalità registrata. Poiché la chiave di registrazione si
basa sul nome della macchina su cui il software è in funzione, in caso di cambiamento del nome o di
spostamento del software su di un'altra macchina, occorre richiedere a Master Soft S.n.c. la nuova chiave di
registrazione.
Per informazioni su come ottenere i dati di registrazione, consultare il paragrafo Come registrare il prodotto
alla fine di questo documento.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 14/95
Configurazione di NTTacPlus
Prima esecuzione del server NTTacPlus
All’avvio di NTTacPlus compare una piccola finestra di stato del server:
NOTA: Se il programma viene avviato come servizio, nessuna finestra è visibile; riducendo invece ad
icona la finestra precedente, questa viene nascosta dalla taskbar di Windows ed al suo posto viene
aggiunta una icona nel tray di sistema:
L’intero controllo del server NTTacPlus è affidato alla console remota (applicazione indipendente). Per
procedere alla configurazione del server, avviare NTTacPlus Console (NTTACMON.EXE), che richiederà di
effettuare un login amministrativo:
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 15/95
Primo login su NTTacPlus
Effettuare il primo login utilizzando il seguente account:
Username
Password
Server name
Encryption key
=
=
=
=
admin
admin
localhost
(oppure indirizzo del server NTTacPlus)
(lasciare vuoto)
Elementi della console di NTTacPlus
Finestra delle sessioni attive
All’avvio della console di NTTacPlus, dopo aver effettuato il login, compare la finestra principale che
consente di monitorare le sessioni in corso:
Cliccando con il tasto destro sull’utente è possibile
accedere a comandi relativi alla sessione in corso
Selezionando Properties oppure eseguendo un
doppio clic sulla username della sessione in corso,
compare una scheda informativa sull’account
associato
Shortcut per l’invio di un
messaggio di e-mail
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 16/95
Finestra degli eventi (activity log window):
Premendo il tasto F4 oppure selezionando Edit/Log window, compare la finestra degli eventi, che mostra
l’attività del server NTTacPlus in tempo reale con un dettaglio di informazioni che può variare molto a
seconda della configurazione della quantità di informazioni di cui si desidera tenere traccia (vedere più avanti
il paragrafo Configurazione dell’activity event log):
NOTA: La visualizzazione del log dell’attività del server NTTacPlus nella finestra degli eventi è possibile
solo se è attivata la voce di menu Edit/Receive log event stream.
Finestra di gestione degli account (Profile Manager)
Premendo il tasto F10 oppure selezionando il menu Edit/Profile Manager si attiva la finestra di gestione degli
account e dei profili di gruppo di NTTacPlus:
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 17/95
Finestra delle opzioni di configurazione
Dalla finestra principale premere F8 (Menu Tools/Options) per attivare la finestra di configurazione:
La finestra di configurazione del server è suddivisa in più sezioni. Procedere all’impostazione di ciascuna
opzione secondo la seguente tabella riassuntiva di tutte le opzioni disponibili. Al termine dell’impostazione
dei parametri di configurazione, premere OK.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 18/95
Sommario dei parametri di configurazione
La seguente tabella presenta un quadro complessivo di riferimento di tutte le opzioni globali di
configurazione di NTTacPlus. Una descrizione e una spiegazione più approfondite di ciascuna opzione di
configurazione verranno trattate più avanti nelle sezioni dedicate.
Sezione General
E-Mail global settings
Notification E-Mail Address
Indirizzo di e-mail al quale NTTacPlus invia le notifiche amministrative
SMTP Server
Indirizzo o nome del server di posta SMTP da utilizzare per inviare i
messaggi di e-mail
Server source e-mail
Indirizzo mittente di NTTacPlus
Banners
Pre-authentication msg file
Percorso/nome del file di testo contenente il messaggio personalizzabile
che si presenta al prompt di login del NAS prima dell’autenticazione
Post-authentication msg file
Percorso/nome del file di testo contenente il messaggio personalizzabile
che si presenta al prompt di login del NAS dopo l’autenticazione
User database settings
Enable ODBC user database
attiva l’utilizzo di un database ODBC per la memorizzazione dei profili
utente (se disattivato, utilizza il formato ASCII in file di testo)
using this datasource
Nome del datasource di sistema configurato sul database utenti
Serialize SQL queries
se attivato gestisce tutte le interrogazioni al database utenti in una coda
sequenziale (da usare ad es. con SQL Server)
DB Username
Account da usare per la connessione al datasource
DB Password
Password da usare per la connessione al datasource
User file directory
la directory ove risiedono i profili utente (file *.usr) in formato ASCII
(ignorata se attivo il database ODBC)
Group file directory
la directory ove risiedono i profili gruppo (file *.ugp) in formato
ASCII (ignorata se attivo il database ODBC)
Default user
Enable <default> user
Abilita l’utilizzo del profilo di default quando una username non viene
trovata nel database degli utenti.
Create user profile from
<default>
Consente la creazione automatica di un profilo utente, duplicando
quello di default
Email admin on unknown users
Invia notifiche all’amministratore quando un utente sconosciuto tenta
il login
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 19/95
General
Max login attempts
Numero massimo di login falliti prima di inviare l’e-mail di notifica
First day of week
Consente di impostare il primo giorno della settimana (per il calcolo
delle quote settimanali), ad es. domenica nei paesi anglosassoni, lunedì
negli altri paesi europei
Periodic check interval
Imposta la frequenza con la quale NTTacPlus effettua un controllo
periodico dei crediti degli utenti attivi (per procedere ad eventuali
disconnessioni forzate)
Use username for maxlogins
Identifica univocamente una sessione utilizzando anche il nome utente
in aggiunta alla porta e all’indirizzo del NAS
Resolve name (DNS)
Risolve gli indirizzi dei NAS nei nomi (sconsigliato per prestazioni)
Sezione Logging
Event logging options
Enable logging to screen
Invia gli eventi di log alle finestre di log delle console
Enable logging to file
Registra gli eventi di in un file giornaliero (formato ASCII)
Log file directory
Percorso della directory dove NTTacPlus crea i file di log giornalieri
Debug Logging Events
Session thread execution
Mostra informazioni sull’avvio/termine dei thread del programma e
delle applicazioni esterne (script/utility)
Authentication session
Mostra dettagli sulle richieste di autenticazione
Authorization session
Mostra dettagli sulle richieste di autorizzazione e le coppie A/V
Accounting session
Mostra dettagli sui dati di accounting ricevuti
Packet dumping
Evidenzia il contenuto dei pacchetti RADIUS/TACACS+ ricevuti
Password checking
Mostra in chiaro il processo di verifica delle password
Port cleaning commands
Mostra dettagli sui comandi di disconnessione inviati ai NAS
User account charging
Mostra dettagli sul calcolo degli addebiti di traffico e tempo
Max logins check
Mostra eventi relativi al controllo di login concorrenti
Extended session
Mostra dettagli sulle sessioni di gestione remota (Remote Console)
Backup events
Mostra gli eventi relativi alla sincronizzazione tra server NTTacPlus
SMTP connections
Mostra gli eventi relativi all’invio delle e-mail di notifica
Sezione Accounting
Time & traffic roundoff
Session time rounding offset
Arrotondamento (in minuti) per eccesso che viene applicato al tempo
nell’accounting (definisce il pacchetto “minimo” di tempo)
Session traffic rounding offset
Arrotondamento (in Kbytes) per eccesso che viene applicato al traffico
nell’accounting (definisce il pacchetto “minimo” di traffico)
Account expiration warnings
Date expiration warning
Imposta il periodo di avvertimento precedente la scadenza dell'account
Time expiration warning
Imposta la soglia di avvertimento (tempo) per l’esaurirsi del credito
Traffic expiration warning
Imposta la soglia di avvertimento (traffico) per l’esaurirsi del credito
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 20/95
ASCII Accounting
Accounting directory
Imposta il percorso dove NTTacPlus crea i file di accounting ASCII
Enable accounting text output
Abilita la creazione dei file ASCII giornalieri di accounting ( *.acc)
Per-user accounting logging
Abilita la creazione di file ASCII per utente che registrano tutti i
messaggi di accounting ricevuti dal NAS (*.log)
Log unknown user accounting
Registra tutti i dati di accounting relativi a username non configurate nel
file _unknown_.log
General Accounting
Send unknown users to active
window
Mostra anche utenti sconosciuti (non configurati) nella finestra degli
utenti attivi (registrandone quindi la sessione)
Run the post accounting script
Abilita l’esecuzione di uno script esterno alla ricezione di ogni
messaggio di accounting dai NAS
ODBC Accounting
Enable ODBC accounting
attiva l’utilizzo di un database ODBC per la memorizzazione dei dati di
accounting
Datasource name
Nome del datasource di sistema configurato per l’accounting
Login Username
Account da usare per la connessione al datasource
Login Password
Password da usare per la connessione al datasource
Accounting table name
Nome della tabella che memorizza i dati sulle sessioni utente
Log active users on table
Abilita il mantenimento di una tabella sincronizzata con il contenuto
della finestra degli utenti attivi
Automatic reconnect on
connection failure
Abilita il ripristino automatico della connessione al datasource nel caso
di perdita di connessione (ad es. SQL Server via TCP/IP)
Sezione Messages
Reply messages
Account expiring
Restituito quando l’account è sotto la soglia di avvertimento scadenza
Account expired
Restituito quando l’account è scaduto
Account disabled
Restituito quando l’account è disabilitato
Account not effective
Restituito se la data di attivazione è successiva al momento del login
Too many logins
Restituito se si supera la quantità massima di login contemporanei
Invalid login time
Restituito se si tenta il login in un’ora non autorizzata
Login time-up
Resituito se si ha esaurito il credito di tempo
Login Kbytes-up
Restituito se si ha esaurito il credito di traffico
Quota time-up
Restituito se si ha esaurito la quota periodica di tempo
Bad login user/pwd
Restituito su username o password non valide
Bad login NAS port
Restituito se si tenta il login su un’interfaccia NAS o con un
Caller/Called ID non autorizzati
Bad login NAS
Restituito se si tenta il login su di un NAS non autorizzato
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 21/95
Sezione Backup/Synch
Backup settings
Enable this server for backup
Abilita NTTacPlus come server di backup
Primary server name or addr
Nome/indirizzo del server NTTacPlus primario
Primary server port
Porta TCP del server primario (default = 49)
Primary login username
Account amministrativo (privilege=15) per la connessione al primario
Primary login password
Password dell’account amministrativo per la connessione al primario
Backup interval
Frequenza del refresh degli account (intervallo in minuti tra due backup)
Remove local accounts before
backup
Elimina gli account locali, comprese le modifiche ad essi fatte,
sostituendoli completamente con gli account del primario
Forward accounting to primary
server
Invia una copia dei messaggi di accounting ricevuti dai NAS al server
primario
Cisco IOS boxes synch
List of NAS to query
Elenco dei NAS Cisco (separato da virgolo) da interrogare per i refresh
List of valid interfaces
Elenco delle interfacce valide per la sincronizzazione
Perform synchronization during Esegue un refresh sui Cisco ad ogni intervallo di controllo utenti
(configurato nella sezione General)
active users check
Perform synchronization on
maxlogin collision detected
Esegue un refresh sui Cisco al rilevamente di un probabile superamento
di login contemporanei da parte di un utente
Username for RSHELL
Username con la quale NTTacPlus si presenta nell’esecuzione dei
comandi RSHELL (RSH)
Command to issue with RSH
Comando IOS Exec da usare per l’elenco degli utenti
Sezione Secrets
Encryption key settings
Always encrypt
Invia sempre pacchetti TACACS+ crittografati se configurata la chiave
Default secret key
Chiave di cifratura di default (globale)
Restrict NAS to configured IP
addresses only
Limita le interrogazioni al server NTTacPlus ai soli NAS indicati nella
lista
NAS IP address
indirizzo ip del NAS per cui configurare una chiave segreta autonoma
Secret key
Chiave segreta da associare ad un NAS specifico
Sezione Kill
Kill commands configuration
Interface name
Nome dell’interfaccia sulla quale eseguire il comando di kill
Command line
Riga di comando da eseguire per eseguire il reset dell’interfaccia
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 22/95
Sezione TACACS+/RADIUS
RADIUS protocol settings
RADIUS Authentication port
Porta UDP di ascolto per le sessioni di autenticazione RADIUS
RADIUS Accounting port
Porta UDP di ascolto per le sessioni di accounting RADIUS
Use Session-Timeout for
disconnection
Utilizza l’attributo RADIUS Session-Timeout per forzare la
disconnessione degli utenti all’esaurirsi del credito.
TACACS+ protocol settings
TACACS+ TCP port
Porta TCP di ascolto per le sessioni di autenticazione TACACS+ e di
gestione console remota.
Ignore multiple STOP records
Rimuove l’utente dalla lista degli utenti attivi al ricevimento del primo
record di STOP. I successivi eventuali STOP vengono solo loggati.
Username prompt
Prompt da presentare all’utente durante il login di tipo terminale alla
richiesta di username.
Password prompt
Prompt da presentare all’utente durante il login di tipo terminale alla
richiesta di password.
Enable prompt
Prompt da presentare all’utente durante il login di tipo terminale alla
richiesta di password di enable.
Sezione Holiday calendar
Kill commands configuration
Date
Giorno e mese dell’anno per cui fissare una festività
Type
Tipo di festività (prefestivo o festivo)
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 23/95
Configurare i NAS per interagire con NTTacPlus
Esiste un grande numero di marche e modelli di Network Access Server che supportano i protocolli RADIUS
e TACACS+, per cui non è possibile includere i comandi di configurazione per tutti. Vengono qui proposte
alcune linee guida generiche di configurazione dei NAS per l’uso di NTTacPlus e alcuni comandi di
configurazione per apparecchiature NAS Cisco che eseguono il sistema operativo IOS versione 11.0 e
successive.
Impostare NTTacPlus come server di autenticazione/autorizzazione/accounting
Ciascun modello di Network Access Server abilitato all’uso di RADIUS o TACACS+ prevede la possibilità di
delegare l’autenticazione, l’autorizzazione e l’accounting (leggere il capitolo successivo per una descrizione
più approfondita di queste fasi) ad un server esterno, impostandone l’indirizzo IP e la chiave di encryption,
oltre ad una serie di parametri specifici di ciascun modello di NAS.
Alcune apparecchiature consentono di configurare separatamente una o più delle tre fasi AAA
(authentication, authorization, accounting), impostando autonomamente per ciascuna di esse il server di
riferimento. Si consiglia di delegare tutte e tre le funzioni allo stesso server NTTacPlus per un funzionamento
ottimale. Ad esempio, nel protocollo RADIUS le fasi di autenticazione e autorizzazione sono conglobate in
un’unica operazione, per cui molti NAS, tra cui ad esempio i sistemi 3Com TotalControl o Ascend MAX,
consentono di impostare un server per autenticazione/autorizzazione e uno per l’accounting. In tal caso
occorre specificare le medesime impostazioni per entrambe le configurazioni.
La chiave di encryption (secret key)
Entrambi i protocolli RADIUS e TACACS+, senza entrare troppo nei dettagli tecnici, prevedono la possibilità
di crittografare la comunicazione tra i NAS ed il server di autenticazione tramite specifici algoritmi che
utilizzano una chiave segreta nota e condivisa tra i NAS e il server. Tale chiave (chiamata a volte key, secret o
encryption key) consiste in una stringa di caratteri, esattamente come una password (e quindi sensibile alle
maiuscole), che deve venire configurata manualmente dall’amministratore sia nei NAS che nel server di
autenticazione.
La comunicazione crittografata impedisce (o perlomeno ne riduce fortemente la possibilità) l’eventuale
intercettazione dei pacchetti RADIUS/TACACS+ scambiati tra i NAS e il server (compresa la trasmissione
delle password degli account).
NOTA: la mancata o errata configurazione delle chiavi di encryption (secret) impedisce la
comunicazione tra i NAS e NTTacPlus, producendo anche risultati imprevedibili. Si consiglia
sempre di verificare con molta attenzione la configurazione di tali chiavi.
Impostare le chiavi di encryption in NTTacPlus
NTTacPlus prevede la possibilità di operare con i NAS in due modi, relativamente alle chiavi di encryption:
utilizzare una chiave di default globale per le richieste di tutti i NAS, eccetto quelli che compaiono
esplicitamente nella lista di NTTacPlus
scartare le richieste di tutti i NAS che non compaiono esplicitamente nella lista di NTTacPlus
Nel primo caso NTTacPlus è in grado di accettare richieste da qualunque NAS senza restrizione; al momento
della richiesta da parte di un NAS, NTTacPlus ricerca se esiste una chiave configurata per quel NAS; se non
viene trovata, NTTacPlus utilizza la chiave globale (di default).
Nel secondo caso, al momento della richiesta da parte di un NAS, NTTacPlus ricerca se esiste una chiave
configurata per quel NAS; se non viene trovata la richiesta viene scartata immediatamente.
Per configurare le chiavi di encryption in NTTacPlus, dalla console remota selezionare Tools/Options (F8) e
passare alla sezione Secrets.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 24/95
Se l’opzione Restrict NAS access to configured IP addresses only non è barrata, NTTacPlus opera nella
prima modalità descritta, cioè utilizzando le chiavi configurate per i NAS presenti nella lista oppure usando la
chiave di default per le richieste provenienti da NAS non inclusi nella lista.
Se l’opzione Restrict NAS access to configured IP addresses only è barrata, allora NTTacPlus opera nella
seconda modalità descritta, cioè scartando le richieste provenienti da NAS non inclusi nella lista.
ATTENZIONE: La console di NTTacPlus viene considerata a tutti gli effetti dal server NTTacPlus
alla stregua di un NAS. Ciò significa che anche per la console valgono le stesse regole
applicate alla scelta della chiave di encryption. Se si decide di restringere l’accesso
alla lista configurata, occorre includere in essa anche gli indirizzi IP dai quali verrà
eseguita la console, compreso l’IP dello stesso server se la console verrà eseguita
localmente. Inoltre occorrerà effettuare il login della console inserendo
correttamente nella casella Encryption key la chiave configurata precedentemente
nel server NTTacPlus.
Se si effettuano modifiche alle impostazioni di encryption, occorre effettuare
nuovamente il logoff e il logon dalla console.
Se, per qualche motivo, la modifica della configurazione delle chiavi di encryption
precludesse l’accesso tramite console al server NTTacPlus, consultare il capitolo
Configurazione manuale più avanti, per ripristinare l’accesso.
Configurazione di un router Cisco/IOS TACACS+ per l’uso di NTTacPlus
Il modello AAA nei NAS Cisco prevede che le procedure di authentication, authorization ed accounting
possano venire configurate separatamente ed indipendentemente.
NOTA: Il modello AAA/Tacacs+ è supportato anche nella versione 10.3 dello IOS. Tuttavia i messaggi di
accounting (START/STOP), fondamentali all’applicazione per tenere traccia degli utenti collegati,
non vengono inviati al server NTTacPlus, ma mantenuti nella memoria del NAS (che, dopo un certo
periodo di funzionamento, tra l’altro, si esaurisce).
E’ indispensabile, pertanto, effettuare un aggiornamento del sistema operativo sui NAS che
ancora montano una versione di IOS inferiore alla 11.0. Per l'upgrade del sistema operativo dei
NAS Cisco, consultare la documentazione allegata al prodotto e contattare il proprio fornitore.
ATTENZIONE: la configurazione dei NAS Cisco per l’utilizzo del protocollo tacacs+ richiede l’inserimento
del comando aaa new-model che causa il reset immediato di tutte le interfacce (e quindi la
disconnessione forzata degli utenti dalle linee). Effettuare pertanto la configurazione
quando si è certi di non causare problemi.
A livello globale (router(config)#), inserire i seguenti comandi di configurazione:
!
aaa new-model
!
tacacs-server host a.b.c.d
tacacs-server timeout 20
tacacs-server key pippo
!
attiva il modello AAA
sostituire “a.b.c.d” con l’IP del server su cui è installato NTTacPlus
valore in secondi per l’attesa di risposta
sostituire “pippo” con la chiave di encryption
Per attivare l’authentication con tacacs+, aggiungere a livello globale:
!
aaa authentication login default tacacs+ local
aaa authentication ppp default if-needed tacacs+ local
aaa authentication enable default tacacs+ enable
!
Questi comandi prevedono l’attivazione dell’autenticazione per il login con finestra del terminale, con ppp o
per il passaggio in modalità enable.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 25/95
La prima riga crea una procedura di authentication di default per chi si collega ad una tty o vty (prompt) del
Cisco, e utilizza tacacs+ per verificare username/password. L’aggiunta di local al termine della riga indica
al sistema di utilizzare l’elenco interno di username nel caso che il server tacacs+ non risponda
correttamente.
La seconda riga crea una procedura di authentication di default per chi si collega richiedendo una
connessione PPP al Cisco, e utilizza tacacs+ per verificare username/password (tramite PAP o CHAP).
L’aggiunta di local al termine della riga indica al sistema di utilizzare l’elenco interno di username nel caso
in cui nessun server tacacs+ risponda correttamente.
L’ulteriore indicazione if-needed evita di procedere nuovamente ad una fase di autenticazione nel caso che
un utente già autenticato e collegato al prompt del Cisco digiti il comando PPP per passare in modalità PPP.
La terza riga crea una procedura di authentication di default per chi, già collegato al prompt del Cisco,
richieda il passaggio alla modalità enable (tramite comando ENABLE), e utilizza tacacs+ per verificare la
password di enable. L’aggiunta di enable al termine della riga indica al sistema di utilizzare la password
interna secret/enable nel caso in cui nessun server tacacs+ risponda correttamente.
È possibile aggiungere altre righe per l’authentication secondo le proprie esigenze. Consultare la
documentazione del NAS a riguardo.
Per attivate i messaggi di accounting tacacs+, aggiungere a livello globale:
!
aaa accounting exec default start-stop tacacs+
aaa accounting network default start-stop tacacs+
!
La prima riga attiva l’accounting per l’accesso alla shell (prompt del Cisco), mentre la seconda attiva
l’accounting per l’uso dei servizi di rete (ad es. per la connessione in PPP).
La keyword default è supportata solo dalle release 11.3 e successive, nelle release precedenti non deve
essere inserita.
Se disponete di una versione IOS 11.2.9 o successiva, occorre aggiungere, oltre alle due precedenti, i
seguenti comandi (se disponibili):
!
aaa accounting update newinfo
aaa accounting nested
!
che consente al NAS di inviare anche le informazioni di accounting relative ai cambiamenti di stato durante la
sessione dell'utente (ad es., segnalazione dell'indirizzo IP, ecc.). Questa opzione è implicita nelle versioni
precedenti di IOS.
A livello di interfaccia (asincrona, seriale, BRI, Dialer, ecc.), se volete attivare l’utilizzo del protocollo PAP
(Password Authentication Protocol) per l’uso con PPP, occorre aggiungere (router(config-if)#):
!
ppp authentication pap oppure chap (o entrambi)
!
Le linee di configurazione qui indicate rappresentano il caso tipico di un ISP che vende accessi ad Internet
tramite una connessione analogica (con modem su interfacce asincrone) o ISDN (ad es. su seriali sincrone),
attraverso l’incapsulazione del TCP/IP nel protocollo PPP, attivando la possibilità di login sia con
PAP/CHAP che con una finestra terminale.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 26/95
È possibile fare in modo che il Cisco determini automaticamente la modalità scelta dall’utente, aggiungendo,
a livello di configurazione di linee (router(config-line)#), i seguenti comandi:
!
autoselect during-login
autoselect ppp
autocommand ppp
!
È possibile infine opzionalmente attivare l’autenticazione sul server secondario NTTacPlus, aggiungendo alla
configurazione globale una seconda riga:
!
tacacs-server host e.f.g.h
!
sostituire “e.f.g.h” con l’IP del server NTTacPlus secondario
Il Cisco automaticamente invia la richiesta al secondo server qualora il primo non dovesse rispondere.
Se desiderate attivare anche l'authorization, potete inserire, ad esempio, sempre a livello globale:
!
aaa
aaa
aaa
aaa
!
authorization
authorization
authorization
authorization
commands 1 default tacacs+ local if-authenticated
commands 15 default tacacs+ local if-authenticated
exec default tacacs+ local
network default tacacs+ local
Queste righe attivano l'autorizzazione alla shell (exec), ai servizi di rete (network), ai comandi standard ed in
modalità enable (commands 1 e commands 15) solo per utenti già autenticati da NTTacPlus, utilizzando la
configurazione locale nel caso che il server (o i server) tacacs+ non rispondessero alle richieste (vedere più
avanti il paragrafo Authorization per maggiori dettagli).
La keyword default è supportata solo dalle release 11.3 e successive, nelle release precedenti non deve
essere inserita.
Per una descrizione più dettagliata della configurazione dei router Cisco per i server AAA
RADIUS/TACACS+ si rimanda alla documentazione stessa dei router.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 27/95
Configurazione di parametri specifici RADIUS/TACACS+
Questa sezione prevede la possibilità di cambiare le impostazioni di default relative a parametri specifici dei
protocolli RADIUS o TACACS+.
Sezione
Parametro
Valore
TACACS+/RADIUS RADIUS Authentication Port
Porta UDP di ascolto per le sessioni di
autenticazione RADIUS
RADIUS Accounting Port
Porta UDP di ascolto per le sessioni di
accounting RADIUS
Use Session-Timeout for disconnection
Utilizza l’attributo RADIUS
Session-Timeout per forzare la
disconnessione degli utenti all’esaurirsi
del credito.
TACACS+ TCP Port
Porta TCP di ascolto per le sessioni di
autenticazione TACACS+ e di gestione
console remota.
Ignore multiple (nested) STOP records
Rimuove l’utente dalla lista degli utenti
attivi al ricevimento del primo record di
STOP. I successivi eventuali STOP
vengono solo registrati nei file di log.
Username prompt
Prompt da presentare all’utente durante il
login di tipo terminale alla richiesta di
username.
Password prompt
Prompt da presentare all’utente durante il
login di tipo terminale alla richiesta di
password.
Enable prompt
Prompt da presentare all’utente durante il
login di tipo terminale alla richiesta di
password di enable.
La modifica del numero di porta di ascolto RADIUS può risultare utile in alcuni casi. Le specifiche iniziali
del protocollo infatti prevedevano l’utilizzo delle seguenti porte UDP:
1645
Richieste di autenticazione RADIUS
1646
Messaggi di accounting RADIUS
Successivamente la commissione IANA per gli standard Internet ha modificato le specifiche, per evitare
conflitti con altri servizi che utilizzavano le stesse porte, assegnando ufficialmente al protocollo RADIUS le
seguenti porte UDP:
1812
Richieste di autenticazione RADIUS
1813
Messaggi di accounting RADIUS
Tuttavia la grande maggioranza dei NAS in commercio (anche nelle versioni software più recenti) continuano
ad utilizzare i numeri non standard originari. Anche NTTacPlus segue questa impostazione di default.
Consultare la manualistica del NAS per verificare quali numeri di porta vengono utilizzati dal NAS in uso.
La modifica del numero di porta di ascolto TACACS+ invece è solo una comodità nel caso si decida di
variare (per motivi di sicurezza) la porta di comunicazione tra NAS e NTTacPlus.
ATTENZIONE: Il protocollo di gestione remota (NTTacPlus Console) e il protocollo di backup tra
server NTTacPlus sfruttano il trasporto dei dati nella stessa porta TCP di ascolto di
TACACS+. Se si decide di cambiare il numero di porta TCP TACACS+ in un server
NTTacPlus, occorrerà indicare tale porta anche durante il login su console remota, e
nelle impostazioni di tutti i server di backup che devono sincronizzarsi con il server di
riferimento (vedere il paragrafo Configurazione di un server NTTacPlus di backup
più avanti).
Dopo aver cambiato la porta TCP dalla console, è inoltre inispensabile effettuare il
logoff e un nuovo login specificando la nuova porta.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 28/95
Utilizzo dei timeout di sessione per la disconnessione
L’opzione Use Session-Timeout for disconnection consente a NTTacPlus di utilizzare l’attributo RADIUS
Session-Timeout (che indica al NAS il timeout assoluto, cioè la durata massima che una sessione può avere,
trascorsa la quale il NAS termina forzatamente la sessione), se supportato dal NAS per disconnettere
forzatamente l’utente all’esaurirsi del suo credito.
Per una descrizione precisa su come NTTacPlus opera per la disconnessione degli utenti si rimanda alla
sezione successiva dedicata a tale argomento.
Si consiglia di lasciare questa opzione sempre attiva.
Ignorare i messaggi multipli di STOP in TACACS+
NTTacPlus aggiorna il proprio elenco di utenti collegati basandosi sui messaggi di inizio/termine sessione
(accounting START/STOP records) che il NAS gli invia.
Normalmente può capitare che il NAS invii ad NTTacPlus più sequenze start/stop annidate. Ad esempio, se
l'utente inizia una sessione Exec (shell) tipo terminale per autenticarsi, e poi entra in modalità PPP (digitando
manualmente il comando ppp oppure perché è configurato autocommand ppp sulla linea a cui è
collegato), il NAS invia un messaggio START quando inizia la sessione Exec; quindi invia un secondo START
quando inizia la sessione PPP. Quando l'utente si disconnette, il NAS invia uno STOP per indicare il termine
della sessione PPP (messaggio che contiene anche informazioni circa il traffico generato nella sessione), poi
invia un secondo STOP per indicare il termine della sessione Exec da cui è partita la modalità PPP (tutto ciò
non accade se l'utente si collega invece direttamente in PPP/PAP, nel cui caso il NAS invia un'unica sequenza
START/STOP).
Se l'opzione Ignore multiple STOP records non è barrata, NTTacPlus considera l'utente scollegato (e quindi
procede a rimuoverlo dalla lista) solo quando riceve l'ultimo record di STOP. Purtroppo a volte capita, con
alcune versioni di IOS Cisco che lo STOP relativo alla sessione di Exec non venga correttamente inviato dal
NAS, per cui l'utente risulterebbe erroneamente collegato anche se in realtà non lo è più.
È fortemente consigliabile lasciare questa casella attivata; disattivarla solo se è il caso.
I prompt di login
I prompt di login specificano i messaggi che il NAS deve presentare all’utente al momento della richiesta di
informazioni nelle autenticazioni TACACS+ di tipo terminale (login).
Può essere utile modificare queste informazioni se alcuni client remoti utilizzano script di connessione che si
aspettano determinati prompt prima di inserire automaticamente username e password.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 29/95
Configurare NTTacPlus e i NAS per la disconnessione forzata
Vi sono due casi in cui è utile avere a disposizione una procedura che consente di terminare forzatamente la
sessione in corso di uno o più utenti.
Il primo caso riguarda la disconnessione manuale da parte dell’amministratore, allorché egli decida di
terminare una sessione dalla console remota NTTacPlus senza dover manualmente collegarsi, ad esempio in
telnet, al NAS per inviare il comando di disconnessione.
Il secondo caso invece riguarda la disconnessione forzata automatica da parte di NTTacPlus allorché un
utente stia esaurendo il proprio credito di connessione durante una sessione in corso.
NTTacPlus mette a disposizione infatti la possibilità, per ciascun profilo utente, di assegnare per la
connessione dei crediti di tempo o delle quote di tempo a periodo (giornaliere, settimanali, ecc.).
L’amministratore del sistema può decidere il comportamento che NTTacPlus deve tenere nei confronti degli
utenti che, durante una sessione in corso, stanno esaurendo i crediti e le quote a loro disposizione (lasciar
proseguire la sessione sino al termine oppure interromperla quando il credito raggiunge lo zero).
Purtroppo né il protocollo RADIUS né il protocollo TACACS+ prevedono comandi o estensioni per
ordinare ai NAS di terminare sessioni attive. NTTacPlus allora sfrutta due metodi per la disconnessione: un
metodo implicito tramite l’attributo RADIUS Session-Timeout, e un metodo esplicito, appoggiandosi a
utility/script esterni che consentono di inviare ai NAS il comando appropriato per terminare le sessioni.
L’utilizzo di procedure o piccole applicazioni esterne è motivato dal fatto che ogni marca (e persino ogni
modello o addirittura ogni release software di uno specifico modello) di NAS prevede comandi o modalità
diverse per raggiungere lo scopo, non essendoci un comando standard di disconnessione.
Utilizzo di Session-Timeout
Attivando l’opzione di Session-Timeout come riportato nella sezione precedente, NTTacPlus esegue al
momento del login dell’utente un calcolo di quale sia la durata massima della sessione per quell’utente,
inviando il risultato al NAS nell’attributo Session-Timeout. Trascorso questo tempo, è il NAS che procede
alla terminazione della sessione. Nessun comando viene inviato esplicitamente da NTTacPlus.
Il valore trasmesso nell’attributo Session-Timeout viene calcolato come il minimo valore tra i seguenti
(vedere il capitolo Gestione degli account per maggiori informazioni sui singoli parametri):
Massima durata di una singola sessione intera (MaxConnectionTime)
Quota temporale residua per il periodo in corso (QuotaLeft)
Credito di tempo residuo per l’account (TimeLeft)
Ciascuno dei tre parametri precedenti viene valutato nel calcolo solo se l’account è configurato per avere una
limitazione su tale parametro e solo se l’account è configurato per venire disconnesso forzatamente
all’esaurirsi di tale parametro.
In caso contrario, l’attributo Session-Timeout non viene inviato al NAS per cui non si applicano limitazioni
implicite alla sessione.
NOTA: questo metodo opera correttamente solo nelle autenticazioni di tipo RADIUS e se il NAS interessato
supporta l’attributo Session-Timeout. Tramite questo metodo inoltre non è possibile disconnettere
manualmente un utente dal comando Edit/Kill della console remota.
Configurazione delle utility esterne per la disconnessione forzata
Il metodo esplicito di disconnessione prevede che, quando l’utente ha esaurito il credito o l’amministratore ha
selezionato il comando Edit/Kill della console remota, NTTacPlus esegua uno script esterno il quale, ricevuti
da NTTacPlus i parametri descrittivi della sessione, provveda ad inviare al NAS il comando di
disconnessione.
La sezione kill della finestra di configurazione di NTTacPlus contiene le informazioni per indicare a
NTTacPlus che comandi eseguire per la disconnessione degli utenti dalle porte dei NAS alle quali sono
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 30/95
collegati. È possibile configurare per ogni tipo di NAS o porta (interfaccia) al quale è collegato l'utente un
comando (programma o script da eseguire) diverso.
L'esempio che segue mostra come configurare il sistema per il funzionamento con un Access Server Cisco
AS5200 e sfrutta due utility, $RSH (comando incorporato) e SNMPSET.EXE (utility esterna inserita nella
subdirectory EXTERNAL creata all'installazione):
default=$rsh $nas clear interface $port
tty*=.\external\snmpset $nas public .1.3.6.1.4.1.9.2.9.10.0 $line
Queste righe indicano a NTTacPlus di eseguire SNMPSET qualora la disconnessione sia da effettuare su un
utente collegato su una porta tty, mentre viene richiamato il comando RSH per utenti connessi alle interfacce
asincrone (modem analogici) e seriali (connessioni ISDN).
SNMPSET esegue un'operazione set sulla variabile intera .1.3.6.1.4.1.9.2.9.10.0, impostandola al
valore della linea da disconnettere. RSH invece invia il comando IOS clear interface passandogli
come parametro il nome esteso completo della porta.
Le tre macro che compaiono sulle tre righe, $nas, $port e $line, vengono sostituite al momento della
chiamata al programma, rispettivamente con l'indirizzo del NAS, il nome completo della porta, e il numero
estratto dal nome della porta.
Ad esempio, per un utente collegato al NAS 198.83.24.2 sulla porta tty14, risulta:
$nas = 198.83.24.2
$line = 14
$port = tty14
e il comando che verrebbe eseguito corrisponde a:
.\external\snmpset 198.83.24.2 public .1.3.6.1.4.1.9.2.9.10.0 14
Occorre comunque configurare il NAS in modo che accetti i comandi SNMP e RSH dal server NTTacPlus. As
esempio, supponendo che l'indirizzo del server NTTacPlus sia 198.83.24.5 e il programma sia in esecuzione
come servizio, sull'AS5200 occorre aggiungere, a livello globale:
!
username SYSTEM privilege 15 password xxxx
!
ip rcmd rsh-enable
ip rcmd remote-host SYSTEM 198.83.24.5 SYSTEM enable
!
access-list 15 permit 198.83.24.5
!
snmp-server community public RW 15
!
L'access-list non è obbligatoria, ma è indispensabile per bloccare operazioni SNMP da host indesiderati.
La sintassi per l’associazione dei comandi di kill ai NAS e alle interfacce è la seguente:
[<nas_ip>@]<port>=<command>
dove port è il nome dell’interfaccia per la quale eseguire il comando (possono essere utilizzati i caratteri
jolly), mentre nas_ip è l’indirizzo (opzionale) del NAS. Se non si specifica il NAS, tale comando viene
applicato a qualsiasi NAS. Ecco alcuni esempi:
default=otherapp.exe $sessionid
tty*=myapp.exe $port
10.0.0.2@async*=kill_them_all.exe $nas $port
10.0.0.5@*=script.bat $line
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 31/95
In questo caso verrà eseguito script.bat per tutti gli utenti collegati al NAS 10.0.0.5, verrà eseguito
kill_them_all.exe per gli utenti collegati sulle porte async del NAS 10.0.0.2, mentre verranno eseguiti
myapp.exe per tutti gli altri utenti collegati sulle porte tty (indipendentemente dal NAS) e otherapp.exe
per tutti gli altri casi (porte e NAS) non contemplati esplicitamente.
È possibile indicare i seguenti parametri sulla riga di comando da eseguire:
$nas
$username
$sessionid
$port
$line
=
=
=
=
=
indirizzo IP del NAS
username della sessione da terminare
id della sessione (trasmesso dal NAS come dato di accounting)
nome completo della porta (interfaccia)
numero della porta (o linea)
NTTacPlus supporta internamente l’utilizzo del protocollo RSHELL, per cui non richiede l’esecuzione di
applicazioni esterne. Per inviare un comando RSHELL è sufficiente iniziare il comando con la macro $rsh:
Serial*=$rsh $nas clear interface $port
questo comando invia “clear interface” tramite RSHELL al NAS in questione. La username utilizzata dal
comando interno RSHELL è quella configurata nella sezione Synch (vedere Resincronizzazione con i NAS
Cisco più avanti).
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 32/95
Impostazioni di carattere generale
Verranno descritte qui di seguito alcune impostazioni di configurazione di carattere generale, a prescindere
dal tipo di NAS utilizzato. Tutte le opzioni di qui descritte vengono impostate dalla finestra di dialogo delle
Opzioni, attivabile con il comando Tools/Options (F8).
Configurazione di NTTacPlus per l’invio di e-mail
NTTacPlus è in grado di inviare notifiche amministrative per email al verificarsi di eventi particolari quali
tentativi di login falliti, tentativi di doppi accessi non autorizzati, backup falliti, ecc.
NTTacPlus inoltre può inviare notifiche particolari quali la scadenza di un account o l’esaurirsi di crediti agli
utenti interessati. Per poter inviare messaggi, occorre configurare i seguenti parametri:
Sezione
Parametro
Valore
General
Notification e-mail address
Indirizzo a cui NTTacPlus invia tutte le
notifiche amministrative
Indirizzo IP o nome del server SMTP
Indirizzo mittente con cui NTTacPlus si
presenta (campo From:)
Invia una notifica all’amministratore nel
caso di tentativi di login di username
sconosciute
SMTP Server
Server source e-mail (sender)
E-Mail admin on unknown users
Banners
I parametri relativi ai banner consentono di configurare dei messaggi di testo da presentare prima e dopo
l’autenticazione di tipo terminale (login). I banner sono file di testo ASCII, e attualmente sono supportati solo
dal protocollo TACACS+. I parametri relativi ai banner sono i seguenti:
Sezione
Parametro
Valore
General
Pre-authentication msg file
Percorso/nome del file di testo per il
banner pre-autenticazione
Percorso/nome del file di testo per il
banner post-autenticazione
Post-authentication msg file
Default user
Le impostazioni relative all’utente di default consentono di attivare un profilo comune di base utilizzato per
qualsiasi username richieda l’autenticazione.
Sezione
Parametro
Valore
General
Enable <default> user
Create user profile from <default>
Attiva l’utilizzo del profilo di default
Attiva la duplicazione del profilo di
default su autenticazione completata con
successo
Attivando il profilo di default, NTTacPlus, nel caso in cui non abbia trovato all’interno del suo database un
profilo utente la cui username corrisponda con quella in fase d’autenticazione, utilizza un profilo standard
denominato default.usr recuperandone tutti gli attributi (password compresa).
Se, al contrario, il profilo di default non è attivo, le richieste di autenticazione relative a username non
presenti nel database falliranno, restituendo al NAS un messaggio di “utente sconosciuto”.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 33/95
Il profilo di default può essere utile se combinato, ad esempio, con il modulo proxy di autenticazione per
server Windows NT, in modo da poter redirigere le autenticazioni verso un database SAM di NT già
esistente.
Con l’opzione Create profile from default attiva (operativa solo se è abilitato il profilo di default), è possibile
fare in modo che NTTacPlus, qualora riceva una richiesta di autenticazione di un utente sconosciuto, utilizzi
il profilo default.usr e, in caso di successo dell’autenticazione, provveda a duplicare il profilo
default.usr in un altro profilo identico, il cui nome coincida con quello della username sconosciuta; nei
successivi tentativi di login la username non risulterà più sconosciuta poiché verrà usato il profilo creato dal
profilo di default. È possibile combinare queste opzioni con la funzionalità di password grabbing per
catturare la password digitata dall’utente (vedere il paragrafo Parametri di un profilo utente alla sezione
relativa alle opzioni di password nei profili utente per maggiori informazioni).
Max login attempts
Questo valore fissa la soglia di tentativi falliti da parte di un utente prima di inviare una e-mail di
avvertimento all'amministratore e/o disattivare l’account (opzioni attivabili indipendentemente per ciascun
account). Ad esempio, se il valore è 4, ogni quattro tentativi consecutivi di accesso fallito, verrà inviata l'email. Ad ogni tentativo riuscito di login, il contatore viene azzerato.
Sezione
Parametro
Valore
General
Max login attempts
Numero di tentativi massimi di login
prima di bloccare l’account o inviare
una e-mail all’amministratore
NOTA: questa impostazione non ha nulla a che fare con quella configurata nei NAS, che decidono
indipendentemente quanti tentativi dare prima di disconnettere la linea.
Identificazione sessione tramite username
Normalmente questa casella non è barrata. Questa opzione può interessare principalmente coloro che
utilizzano router Cisco. Se sussiste la necessità di dare accessi Exec agli utenti, se è il caso, attivare
l'impostazione. Lasciate comunque disattivata questa opzione se non strettamente necessario.
Sezione
Parametro
Valore
General
Use username field also for maxlogins check
Utilizza anche la username per
riconoscere una sessione univocamente
Poiché non può capitare che due utenti diversi siano collegati contemporaneamente alla stessa porta dello
sesso NAS, NTTacPlus normalmente identifica univocamente un utente collegato esaminando il NAS a cui è
collegato e la Porta del NAS a cui è collegato; la username non viene considerata. Infatti a volte può capitare
(con alcune versioni di IOS Cisco) che per qualche motivo certi messaggi di STOP vadano persi. Questo
comporta il fatto che un utente risulti erroneamente collegato anche quando in realtà non lo è più. Quando
NTTacPlus riceve un messaggio di START relativo ad una coppia NAS/Porta sulla quale gli risulta già
collegato un utente, ritiene che ci sia stata la perdita del messaggio di STOP per questo utente, procede a
simulare uno STOP, elimina l'utente dalla lista, e aggiunge il nuovo utente del messaggio START appena
ricevuto alla lista. Tutto questo accade indipendentemente dalle username degli utenti. Se infatti venisse
confrontata la username, non sarebbe possibile rimuovere l'utente vecchio dalla lista, e risulterebbero così
collegate due username diverse sullo stesso NAS e sulla stessa Porta.
Purtroppo, però, in alcune situazioni occorre identificare univocamente l'utente collegato confrontando, oltre
al NAS e alla Porta del NAS, anche la username con il quale è collegato.
Questo accade, ad esempio, quanto un utente inizia una sessione Exec (shell) al prompt dei comandi del NAS.
Se l'utente decide di cambiare login senza prima fare logout, gli verranno richieste le nuove credenziali e (se
la nuova autenticazione ha successo), il NAS procederà ad inviare uno START ad NTTacPlus per il nuovo
utente PRIMA di inviare lo STOP dell'utente precedente. Se la username non venisse confrontata, in questo
caso NTTacPlus, ricevendo uno START su di una coppia NAS/Porta già occupata, penserebbe alla perdita
dello STOP precedente, sostituirebbe quindi il vecchio utente con quello nuovo, ma quando poi riceve lo
STOP del vecchio utente, poiché non controlla di che utente si tratta, considera questo STOP come fine
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 34/95
sessione del nuovo utente. Il risultato è che nessun utente risulterebbe collegato, mentre in realtà il nuovo
utente ha aperta una sessione Exec.
Risoluzione dei nomi
Questa opzione, se attivata, consente di visualizzare il nome dei NAS anziché il loro indirizzo IP (se è
disponibile un reverse lookup).
Sezione
Parametro
Valore
General
Resolve NAS names (DNS)
Converte gli indirizzi IP dei NAS in
nomi
Si consiglia di lasciare questa opzione disattivata per non degradare inutilmente le prestazioni.
Controllo periodico degli utenti
NTTacPlus esegue periodicamente un thread che verifica i crediti e le quote di tempo disponibili per tutti gli
utenti con una sessione attiva in corso, per verificare se qualche account abbia esaurito il credito (ed
eventualmente passare ad eseguire il comando di disconnessione forzata degli utenti).
Sezione
Parametro
Valore
General
Periodic check interval
Intervallo in minuti tra un controllo e
l’altro degli utenti attivi
Se il NAS utilizzato consente di usare i timeout di sessione (Session-Timeout), questo thread di controllo può
rivelarsi inutile.
Poiché inoltre in condizioni di carico (più di 200 utenti attivi simultaneamente) il thread può richiedere molto
tempo per l’esecuzione (fino a 30 secondi), è possibile impostare con che frequenza eseguirlo, arrivando a
disabilitarlo del tutto con un valore pari a zero.
Primo giorno della settimana
Con questa opzione è possibile decidere qual è il giorno della settimana che riporta a zero il contatore delle
quote di tempo settimanali assegnate.
Sezione
Parametro
Valore
General
First day of the week
Primo giorno della settimana
Normalmente i paesi anglosassoni impostano questo valore a domenica. In Italia, invece, occorre impostarlo
a lunedì, in modo che la quota settimanale riparta dal valore massimo in coincidenza col trascorrere della
mezzanotte tra domenica e lunedì.
Calendario festività
Poiché è possibile definire per ciascun utente un piano settimanale per le fasce orarie di accesso al sistema,
NTTacPlus dà la possibilità di stabilire anche un calendario annuale delle festività e delle prefestività.
I giorni prefestivi infrasettimanali assumono la configurazione impostata per il sabato; i giorni festivi
infrasettimanali o i sabati festivi assumono la configurazione impostata per la domenica. Eventuali
impostazioni del calendario festività per le domeniche vengono ignorate, in quando il giorno di domenica è
considerato comunque festivo.
Per stabilire il calendario festività occorre modificare la sezione Holiday della finestra di configurazione.
L'impostazione di una giornata festiva o prefestiva va fatta inserendo una riga del tipo gg-mm=p per i giorni
prefestivi oppure gg-mm=h per quelli festivi (p = preholiday, h = holiday).
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 35/95
Ad esempio è possibile configurare nella lista delle festività:
23-09=p
24-12=p
25-12=h
Questo esempio imposta il 23 settembre come giorno prefestivo, la vigilia di Natale come prefestivo e Natale
come festivo.
NOTA: il calendario festività non prevede date legate ad un anno particolare, per cui le feste mobili (che
cambiano cioè data ogni anno –come la Pasqua-) vanno riconfigurate di anno in anno.
Configurazione del database utenti
Le impostazioni relative alla configurazione del database utenti dalla sezione General nella finestra delle
opzioni di NTTacPlus sono trattate separatamente nel capitolo dedicato Gestione degli account.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 36/95
Configurazione dell’activity event log
NTTacPlus mette a disposizione la possibilità di monitorare in tempo reale l’attività del server, mostrando a
video (e inviando il flusso a tutte le console amministrative aperte) la successione di eventi in corso.
NTTacPlus consente anche di registrare la successione di eventi in file di log ASCII giornalieri suddivisi per
data di creazione, memorizzati nella directory di Log, e il cui nome ha il formato yyyymmdd.log
(anno/mese/giorno).
Tipi di messaggi ed eventi
NTTacPlus genera 3 differenti tipi di messaggi di log:
Messaggi ordinari
Messaggi d'errore
Messaggi di debug
I messaggi ordinari e d'errore vengono visualizzati sempre. L'insieme dei messaggi di debug invece può
venire attivato o disattivato a piacere secondo le opzioni barrate nella sezione Debugging log events.
Il formato generale di un messaggio ordinario ha la forma:
#dd-mm-yyyy hh:mm:ss# message_text
mentre i messaggi d'errore o di debug hanno la forma:
#dd-mm-yyyy hh:mm:ss ERROR# message_text
oppure
#dd-mm-yyyy hh:mm:ss DEBUG# message_text
Il campo message_text a sua volta, nel caso si riferisca a eventi associati a pacchetti scambiati con i NAS,
ha il seguente formato:
PR_TYPE NAS_ADDR[SESSION_ID]: text
dove:
PR = tipo di protocollo (TAC=TACACS+, RAD=RADIUS)
TYPE = tipo di richiesta (AUTHN=autenticazione, AUTHR=autorizzazione, ACCT=accounting,
EXTN=console remota)
NAS_ADDR = indirizzo del NAS o della console remota
SESSION_ID = numero che identifica la sessione
Messaggi ordinari
Vengono sempre visualizzati e segnalano gli eventi ordinari del server NTTacPlus, come accettazione o
respinta di richieste di authentication, messaggi di accounting, ecc.
Messaggi di errore
Vengono sempre visualizzati e segnalano eventi anomali o risposte non standard ricevute dal NAS.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 37/95
Messaggi di debug
Vengono visualizzati a seconda delle opzioni impostate nella finestra Options di NTTacPlus.
Riepilogo dei parametri di configurazione di logging:
Sezione
Parametro
Valore
Logging
Enable logging to screen
Abilita l’invio del log degli eventi allo
schermo (a tutte le finestre di log delle
console aperte)
Attiva la creazione di un file giornaliero
che registra l’attivita
Directory dove vengono creati i file di
log degli eventi
Enable logging to file
Log file directory
Sezione
Parametro
Valore
Logging
Session thread execution
Mostra informazioni sull’avvio/termine
dei thread del programma e delle
applicazioni esterne (script/utility)
Authentication session
Mostra dettagli sulle richieste di
autenticazione
Authorization session
Mostra dettagli sulle richieste di
autorizzazione e le coppie A/V
Accounting session
Mostra dettagli sui dati di accounting
ricevuti
Packet dumping
Evidenzia il contenuto dei pacchetti
RADIUS/TACACS+ ricevuti
Password checking
Mostra in chiaro il processo di verifica
delle password
Port cleaning commands
Mostra dettagli sui comandi di
disconnessione inviati ai NAS
User account charging
Mostra dettagli sul calcolo degli
addebiti di traffico e tempo
Max logins check
Mostra eventi relativi al controllo di
login concorrenti
Extended session
Mostra dettagli sulle sessioni di gestione
remota (Remote Console)
Backup events
Mostra gli eventi relativi alla
sincronizzazione tra server NTTacPlus
SMTP connections
Mostra gli eventi relativi all’invio delle
e-mail di notifica
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 38/95
Resincronizzazione con i NAS Cisco
I messaggi di accounting sono vitali per il corretto funzionamento di NTTacPlus, il quale basa la sua
conoscenza delle sessioni attive e del consumo di traffico e di tempo proprio sui record START, STOP e
UPDATE che vengono inviati dai NAS sotto forma di messaggi di accounting.
Purtroppo, in alcune circostanze, può capitare (anche a causa di problemi nei sistemi operativi IOS) che con i
NAS Cisco alcuni record di STOP (fine sessione) non vengano trasmessi a NTTacPlus, impedendogli quindi
di prendere conoscenza del termine di una sessione utente. In tal caso NTTacPlus continua a mostrare
l’utente come attivo, anche se in realtà non lo è; questa situazione genera problemi relativi alla registrazione
errata del traffico e del tempo “consumati” ed inoltre impedisce un calcolo corretto delle sessioni attive
dell’utente (eventualmente bloccando anche nuovi tentativi “legittimi” di login).
NTTacPlus incorpora ora un metodo basato su alcune estensioni RSHELL per ricreare un elenco corretto
delle sessioni attive, anche in caso di mancato recapito di un messaggio di STOP.
Per abilitare questa funzione occorre innanzitutto verificare che sia attivo nei NAS Cisco il protocollo
RSHELL, lo stesso protocollo usato per inviare i comandi di disconnessione forzata; i comandi di attivazione
del protocollo sono i medesimi:
!
username SYSTEM privilege 15 password non_ha_importanza
ip rcmd rsh-enable
ip rcmd remote-host SYSTEM a.b.c.d SYSTEM enable
!
(rispettare le maiuscole/minuscole esattamente come scritto!)
dove a.b.c.d è l’indirizzo del server NTTacPlus, mentre la password dell’account locale SYSTEM non ha
importanza poiché non viene utilizzata da RSHELL.
Nella finestra di configurazione di NTTacPlus, impostare i seguenti parametri:
Sezione
Parametro
Valore
Backup/synch
List of NAS to query
Elenco separato da virgole degli IP dei
NAS Cisco da interrogare
Elenco delle interfacce da includere
nella sincronizzazione (vuoto=tutte)
Effettua un controllo con RSHELL ad
ogni intervallo di controllo utenti
Effettua una verifica con RSHELL
quando rileva accessi contemporanei
non consentiti
Username da usare con RSHELL
Comando inviato tramite RSHELL per
recuperare l’elenco degli utenti
List of valid interfaces
Perform synchronization during active users
periodic check
Perform synchronization on maxlogin
collision detected
Username for RSHELL protocol
Command to issue with RSHELL
Inserendo in List of NAS to query un elenco separato da virgole degli indirizzi IP dei NAS Cisco, viene
abilitata la possibilità da parte di NTTacPlus di ricostruire automaticamente al riavvio l’elenco degli utenti
collegati interrogando i Cisco (eccetto che per il dato di Caller ID).
È possibile filtrare le interfacce valide (ad esempio per escludere interfacce virtuali create dinamicamente e
delle quali non si desidera monitorare lo stato in NTTacPlus) inserendo l’elenco delle interfacce, separato da
virgole; sono consentiti i caratteri jolly (ad es. “Async*,tty*,Serial*”). Lasciando il campo vuoto, tutte le
interfacce per cui esiste un’azione attiva di accounting vengono recuperate.
L’opzione Perform synchronization during active users periodic check indica a NTTacPlus di richiedere
tramite RSHELL l’elenco degli account attivi ai Cisco ad ogni controllo periodico degli utenti attivi (la cui
frequenza è configurabile nella sezione General), confrontandolo con il proprio elenco visualizzato e, in caso
di differenze, aggiornando il proprio elenco secondo quanto ricevuto dai Cisco.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 39/95
L’opzione Perform synchronization on maxlogin collision detected, invece, indica a NTTacPlus di richiedere
tramite RSHELL l’elenco degli account attivi ai Cisco nel momento in cui si verifica un tentativo di
superamento di accessi contemporanei consentiti da parte di un utente. In tal caso, NTTacPlus, prima di
negare l’accesso all’utente segnalando il problema e prendendo i provvedimenti del caso, verifica tramite i
dati restituiti da RSHELL che il superamento sia effettivo, che, cioè, tutte le altre sessioni riportate per
quell’utente siano effettivamente in corso.
Queste due ultime opzioni garantiscono sempre un’effettiva corrispondenza tra gli utenti effettivi e le sessioni
riportate da NTTacPlus. Esse tuttavia hanno lo svantaggio di rallentare le prestazioni di NTTacPlus poiché
ogni interrogazione tramite RSHELL sospende i processi di autenticazione e accounting durante la propria
esecuzione (che può durare fino a 5 secondi).
L’opzione Username for RSHELL protocol consente di impostare con quale username NTTacPlus invia le
richieste ai NAS tramite RSHELL, e deve coincidere con l’account locale creato per l’rsh nei Cisco
(rispettando le maiuscole/minuscole).
L’opzione Command to issue with RSHELL indica quale sia esattamente il comando inviato da NTTacPlus ai
NAS Cisco per recuperare l’elenco delle azioni attive di accounting.
Entrambe le ultime due opzioni vanno lasciate normalmente sui valori di default (rispettivamente SYSTEM e
show accounting) salvo necessità particolari.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 40/95
Configurazione di un server NTTacPlus di backup
La maggior parte dei NAS prevede ormai la possibilità di configurare più di un server di riferimento per
l’autenticazione e l’accounting, in modo da indirizzare le richieste, in caso di indisponibilità temporanea del
server principale, in maniera automatica verso un server secondario (di backup).
NTTacPlus è in grado di operare come backup di un altro server NTTacPlus. La sincronizzazione dei dati e
del database utenti avviene in maniera automatica tramite una connessione TCP tra i due server.
Il server di backup, infatti, ad intervalli regolari, apre una connessione TCP verso il server primario
(sfruttando lo stesso trasporto del protocollo TACACS+), si autentica presso il server primario con un account
NTTacPlus amministrativo, quindi procede al prelievo di tutte le informazioni degli account.
In caso di fallimento della procedura di backup (dovuto ad es. alla caduta della connessione TCP a causa di
timeout) il server di backup invia una notifica email amministrativa di fallimento, ritentando nuovamente il
backup entro i 10 minuti successivi, e continuando così sino al completamento con successo della procedura.
Il backup effettua una copia “grezza” dei profili, mantenendo quindi anche parametri aggiuntivi inseriti
manualmente dall’amministratore.
La trasmissione dei dati durante la procedura di backup avviene in maniera crittografata esattamente come
accade per i pacchetti TACACS+.
Sezione
Parametro
Valore
Backup/synch
Enable this server for backup
Attiva NTTacPlus come server di
backup
Nome o indirizzo IP del server
NTTacPlus primario
Porta TCP del server primario
(default=49)
Username amministrativa per il login
sul primario
Password dell’account amministrativo
Intervallo (in minuti) tra due backup
successivi
Rimuove gli account locali sostituendoli
con quelli del primario
Invia l’accounting ricevuto al server
primario (solo TACACS+)
Primary server name or addr
Primary server port
Username
Password
Backup interval
Remove local accounts before backup
Forward accounting to primary server
L’account amministrativo (username/password) non è un account di Windows NT del server primario, ma
un account del database di NTTacPlus primario che abbia privilegio amministrativo (privilegio 15),
esattamente come un account che viene usato per il login da console remota.
La rimozione degli account locali (Remove local accounts before backup) fa sì che l’intero database del
server di backup venga rimpiazzato con quello del primario; in questo modo, gli account che sono stati
eliminati dal primario vengono eliminati anche nel backup, così come vengono eliminati gli account aggiunti
solo nel server di backup.
L’opzione di inoltro messaggi al server primario (Forward accounting to primary server), funzionante solo
con il protocollo TACACS+, risulta utile con i NAS Cisco. Questi, infatti, in caso di indisponibilità del server
primario, inviano l’accounting al server di backup; ma poiché si “ricordano” a quale server hanno inviato
l’accounting, anche se il server primario ritorna disponibile, vengono comunque inviati al server di backup
tutti i messaggi di STOP i cui corrispondenti messaggi di START erano pure stati inviati al backup.
Nel caso di sincronizzazione all’avvio si avrebbe quindi che la sessione tracciata dal server di backup termina
correttamente, mentre sul server primario resta la sessione che è stata “ricostruita” con la sincronizzazione
automatica, poiché questi non riceverebbe alcun messaggio di STOP. L’inoltro dei messaggi risolve il
problema.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 41/95
Configurazione dei messaggi di login
La configurazione dei messaggi di login prevede la possibilità di personalizzare il messaggio di risposta del
server NTTacPlus nei login di tipo terminale (interattivi).
Tali messaggi non possono però essere visualizzati ad esempio nelle autenticazioni di tipo PPP/PAP o
PPP/CHAP (come nei client RAS Windows 95/98).
Sezione
Parametro
Valore
Reply messages
Account expiring
Restituito quando l’account è sotto la soglia di
avvertimento scadenza
Account expired
Restituito quando l’account è scaduto
Account disabled
Restituito quando l’account è disabilitato
Account not effective
Restituito se la data di attivazione è successiva al
momento del login
Too many logins
Restituito se si supera la quantità massima di login
contemporanei
Invalid login time
Restituito se si tenta il login in un’ora non autorizzata
Login time-up
Resituito se si ha esaurito il credito di tempo
Login Kbytes-up
Restituito se si ha esaurito il credito di traffico
Quota time-up
Restituito se si ha esaurito la quota periodica di tempo
Bad login user/pwd
Restituito su username o password non valide
Bad login NAS port
Restituito se si tenta il login su un’interfaccia NAS o
con un Caller/Called ID non autorizzati
Bad login NAS
Restituito se si tenta il login su di un NAS non
autorizzato
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 42/95
I protocolli RADIUS e TACACS+
Il modello AAA
Il protocollo RADIUS è un protocollo di sicurezza sviluppato da Livingston e divenuto poi uno standard
internet ratificato dalla commissione IETF.
Il protocollo TACACS+ è un sofisticato protocollo sviluppato da Cisco Systems. Nonostante il nome possa
trarre in inganno, questo protocollo è assai differente da TACACS e XTACACS.
NTTacPlus attualmente supporta il protocollo RADIUS e il protocollo TACACS+, mentre non supporta i
protocolli TACACS e XTACACS che sono meno flessibili, affidabili e sicuri dei due precedenti, e sono stati
ormai dichiarati obsoleti da Cisco.
Il modello di sicurezza AAA, su cui si basano RADIUS e TACACS+, prevede la distinzione di tre diverse fasi
dell’accesso di un utente alle risorse di rete: Authentication, Authorization e Accounting. L’attivazione dei
messaggi di ciascuna di queste tre fasi può venire attivata o disattivata indipendentemente nel NAS. Ciò che il
NAS invierà al server AAA (NTTacPlus) dipende strettamente dalla configurazione del NAS stesso.
In pratica, per il protocollo TACACS+ nella grande maggioranza dei casi, sarà fondamentale l’attivazione di
authentication e accounting, mentre l’attivazione di authorization non è indispensabile finché non si vuole
avere un controllo dettagliato di ciò che l’utente può fare.
Nel caso di utilizzo di RADIUS, le procedure di authentication e authorization avvengono in un’unica fase in
cui la richiesta di autenticazione contiene anche i parametri definiti o richiesti per l’autorizzazione.
Authentication
La authentication è il processo che identifica chi è un utente. Quando un utente tenta di collegarsi, il NAS
interroga il server NTTacPlus su cosa fare. Il server tipicamente ordinerà al NAS di richiedere una coppia
username/password all’utente. Successivamente invierà al NAS una risposta di accesso consentito o negato.
Authorization
La authorization è il processo che stabilisce che cosa un utente può fare. Dopo che l’utente si è collegato, per
ogni comando inserito, il NAS invia una richiesta di autorizzazione al server. Il NAS può proporre una
configurazione (chiamata elenco di coppie Attributo/Valore) da applicare all’utente. Ad esempio, se l’utente
invia il comando per entrare in modalità PPP, il NAS invia una richiesta al server per l’autorizzazione al PPP,
e può proporre un determinato indirizzo IP da assegnare all’utente. Basandosi sulle informazioni della
richiesta di autorizzazione, il server risponderà concedendo o negando l’autorizzazione. Se l’autorizzazione
viene concessa, il server può indicare al NAS di applicare un’altra serie di attributi all’utente. Per esempio, il
server può comunicare al NAS di scartare l’indirizzo IP proposto, utilizzando invece quello indicato dal
server stesso, oltre ad applicare un certo valore di timeout per la connessione.
Nel protocollo TACACS+ ogni attributo proposto dal NAS nella richiesta di autorizzazione può essere
opzionale o obbligatorio. Se l’attributo è opzionale, il server può a sua volta proporre un attributo alternativo.
Se è obbligatorio, il server non può modificare tale attributo. Se il server ritiene che tale attributo non sia
valido, può solo rispondere con un messaggio di autorizzazione negata.
Anche gli attributi aggiunti dal server nella risposta di autorizzazione concessa possono essere obbligatori o
opzionali. Se opzionali, il NAS può scegliere autonomamente se applicare gli attributi all’utente. Se sono
obbligatori, il NAS deve usare tali attributi. Se per qualche motivo il NAS non può rispettare gli attributi
richiesti, deve negare l’autorizzazione anche se la risposta del server era positiva.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 43/95
Nel protocollo RADIUS, al momento stesso dell’autenticazione, il NAS invia all’interno della stessa richiesta
una serie di parametri (coppie Attributo/Valore) che descrivono il tipo di login e di servizio richiesti
dall’utente. Il server RADIUS può utilizzare tali attributi per decidere se rifiutare o concedere
l’autorizzazione all’utente, e in quest’ultimo caso può includere nella risposta un’altra serie di attributi
applicabili all’utente (quali ad esempio l’ip statico, l’indirizzo dei server DNS, ecc.). Il NAS a sua volta può
decidere se tali attributi sono effettivamente applicabili e quindi proseguire con la sessione o terminarla
immediatamente.
Accounting
L'accounting è il processo che misura il consumo di risorse di un utente. Indipendentemente
dall’authentication e dall’authorization, con RADIUS o TACACS+ il NAS invia i messaggi di accounting di
start al server per indicare l’inizio di una sessione di accounting, i messaggi di update per aggiornare la
situazione della sessione in corso, e i messaggio di stop per indicare che la sessione di accounting è
terminata. Nel messaggio di stop solitamente vengono incluse anche informazioni addizionali relative alla
sessione appena conclusa, quali la durata (tempo) della sessione e la quantità (traffico) di dati scambiati
durante la sessione.
Implementazione del modello AAA in NTTacPlus
NTTacPlus supporta tutti i tipi di Authentication, Authorization e Accounting definiti nelle specifiche del
protocollo TACACS+ (al momento della stesura del manuale giunte alla versione DRAFT 1.78), mentre non
implementa le richieste di autenticazione ARAP e MSCHAP per il protocollo RADIUS (al momento della
stesura del manuale definito nelle RFC 2138 e 2139).
Il processo di Authentication in NTTacPlus
Quando NTTacPlus riceve una richiesta di authentication da un NAS, richiede a questo una coppia
username/password. NTTacPlus ricerca quindi l’utente in oggetto all’interno del suo database.
Se l’utente non viene trovato e non è attivata l’autenticazione di default o non esiste il profilo di default
default.usr, NTTacPlus restituisce accesso negato al NAS ed il processo termina istantaneamente.
Se l’utente non viene trovato ma è attiva l’autenticazione di default, allora il controllo viene effettuato sul
profilo di default anziché su quello dell’utente.
Se invece l'utente esiste, viene utilizzato il suo profilo.
NTTacPlus procede quindi al controllo delle seguenti condizioni:
la password è corretta?
l’account è abilitato?
può l’utente collegarsi dal NAS da cui proviene la richiesta?
l’account è scaduto?
può l’utente collegarsi dalla porta del NAS da cui sta tentando l’accesso?
può l’utente collegarsi con il Caller ID proposto (=eventuale numero di telefono ISDN)?
può l’utente collegarsi in questa fascia oraria o in questo giorno della settimana?
ha l’utente del credito residuo (minuti) per la connessione?
ha l’utente del credito residuo (kbytes) per la connessione?
ha l’utente superato il numero massimo di accessi contemporanei consentiti?
Se qualunque condizione precedente non risulta vera, allora il login fallisce e NTTacPlus restituisce accesso
negato (salvo casi speciali descritti più avanti), altrimenti l’authentication si conclude con successo.
Nel caso di richieste RADIUS, NTTacPlus conclude l’authentication con successo solo se anche la verifica di
authorization si conclude con esito positivo.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 44/95
Il processo di Authorization in NTTacPlus
L’Authorization in TACACS+
NTTacPlus riceve dal NAS la richiesta di autorizzazione, insieme ad una serie di attributi, quindi risponde con
una risposta positiva (e una serie eventualmente modificata di attributi) oppure nega l’autorizzazione.
Possono verificarsi richieste di autorizzazione per tre diversi tipi di servizi:
Autorizzazione alla shell (Exec)
Autorizzazione ai comandi
Autorizzazione ai servizi di rete
Autorizzazione alla shell (Exec)
L'autorizzazione alla shell (Exec) nel protocollo TACACS+ stabilisce se un utente sia abilitato all'esecuzione
di una shell dei comandi sul NAS, nonché le condizioni ed i filtri da applicare all'utente.
La richiesta di autorizzazione Exec avviene quando un utente si collega al NAS in modalità terminale e
richiede una shell dei comandi. Questa richiesta può non venire inoltrata, invece, se l'utente si collega al NAS
in modalità PPP usando l'autenticazione PAP o CHAP, evitando così la shell dei comandi.
Autorizzazione ai comandi
La richiesta di autorizzazione ai comandi viene inoltrata dal NAS per autorizzare l'utente ad eseguire specifici
comandi.
NTTacPlus consente di impostare un elenco di comandi consentiti o negati, e permette di specificare di
negare alcuni comandi anche in base ai parametri dei comandi stessi. Ad esempio è possibile consentire l'uso
del comando telnet solo quando i parametri si riferiscono a determinati host.
Autorizzazione ai servizi di rete
L'autorizzazione ai servizi di rete nel protocollo tacacs+ stabilisce se un utente sia abilitato alla connessione
al NAS tramite un particolare protocollo, nonché le condizioni ed i filtri da applicare all'utente.
La richiesta di autorizzazione ai servizi di rete avviene quando un utente si collega al NAS, ad esempio, in
modalità PPP usando l'autenticazione PAP o CHAP.
Elenco delle coppie Attribute-Value
Le autorizzazioni alla shell (Exec) ed ai servizi di rete consentono di specificare le condizioni ed i filtri da
applicare all'utente. I parametri applicati all'utente vengono specificati tramite la negoziazione tra il NAS e
NTTacPlus delle coppie attributo-valore (attribute-value pairs).
Una coppia AV assume la seguente forma:
attribute=value
oppure
attribute*value
dove il segno "=" indica che l'attributo deve essere applicato obbligatoriamente all'utente (pena il fallimento
della richiesta di autorizzazione), mentre il segno "*" indica un attributo opzionale che può venire applicato a
discrezione del NAS.
L'elenco delle coppie AV supportate dal NAS dipende strettamente dalla marca e dal modello del NAS,
nonché dalla versione del sistema operativo che esegue.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 45/95
Un elenco delle coppie AV supportate dai NAS Cisco (con sistema operativo IOS) viene riportato alla fine di
questo manuale.
Normalmente il NAS e NTTacPlus negoziano le coppie da applicare all'utente.
Per ogni coppia proposta dal NAS, se obbligatoria, NTTacPlus applica il seguente schema:
a- se la medesima coppia obbligatoria è configurata in NTTacPlus, la coppia viene applicata;
b- se una coppia contraddittoria (cioè con un valore diverso) è configurata in NTTacPlus, ma in NTTacPlus
è indicata come opzionale, la coppia proposta dal NAS verrà mantenuta;
c- se una coppia contraddittoria è configurata in NTTacPlus come obbligatoria, oppure non è per nulla
configurata, allora l'intera autorizzazione viene negata se il valore di default è deny;
d- altrimenti la coppia verrà mantenuta.
Se la coppia proposta dal NAS è facoltativa, NTTacPlus applica il seguente schema:
a-
se la medesima coppia è configurata come obbligatoria in NTTacPlus, la coppia viene sostituita da quella
identica ma obbligatoria;
b- se una coppia contraddittoria è configurata come obbligatoria in NTTacPlus, la coppia viene sostituita da
quella di NTTacPlus con il nuovo valore e trasmessa come obbligatoria;
c- se la medesima coppia è configurata come facoltativa in NTTacPlus, la coppia viene mantenuta (come
facoltativa);
d- se una coppia contraddittoria è configurata come facoltativa in NTTacPlus, la coppia viene sostituita da
quella di NTTacPlus con il nuovo valore (ma resta facoltativa);
e- se nessun caso dei precedenti è vero, la coppia viene scartata (ma l'autorizzazione procede comunque) se
il valore di default per l'autorizzazione è deny;
f- altrimenti la coppia facoltativa del NAS viene mantenuta.
L’Authorization in RADIUS
La fase di authorization in RADIUS avviene contemporaneamente alla fase di authentication.
NTTacPlus riceve dal NAS la richiesta di autenticazione/autorizzazione, insieme ad una serie di attributi;
quindi procede a confrontare gli attributi ricevuti con quelli presenti nella check-list RADIUS.
Gli attributi presenti solo nella richiesta di autenticazione e non presenti nella check-list vengono ignorati
(salvo alcuni attributi speciali come descritto più avanti in questo capitolo).
Se gli attributi presenti nella check-list trovano una corrispondenza con quelli proposti dal NAS, NTTacPlus
risponde con esito positivo e aggiunge eventualmente un’altra serie di attributi, prelevata dalla reply-list
RADIUS.
Se invece alcuni attributi della check-list hanno valori diversi da quelli presenti nella richiesta di
autenticazione oppure non trovano una corrispondenza nella richiesta stessa, in tal caso NTTacPlus nega
l’autorizzazione.
Il processo di Accounting in NTTacPlus
NTTacPlus sfrutta i messaggi di accounting inviati dal NAS per mantenere l'elenco degli utenti collegati, per
registrare la durata delle singole sessioni di ciascun utente, e per stabilire il traffico generato da ciascun
utente per ogni singola sessione.
NTTacPlus memorizza tutti i dati di accounting ricevuti dal NAS in tabelle di testo oppure in un database
SQL (ODBC), consentendo una facile elaborazione dei dati relativi all'uso delle risorse da parte di ciascun
utente.
NTTacPlus usa gli stessi dati di accounting per stabilire i crediti in tempo e traffico residui per gli utenti che
hanno un profilo a credito a scalare, ed è in grado di bloccare l'accesso agli utenti che hanno esaurito il
proprio credito, oppure di memorizzare la durata della connessione o il traffico generato oltre il credito
residuo in campi separati.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 46/95
Un confronto tra alcuni attributi RADIUS e l’equivalente in TACACS+
Il protocollo TACACS+ prevede che alcuni parametri fondamentali, che descrivono il tipo di login che
l’utente sta effettuando, vengano comunicati al server non tramite coppie A/V ma tramite appositi campi nei
pacchetti TACACS+.
Il protocollo RADIUS, al contrario, comunica tutti i parametri (compresa la username e la password) tramite
l’utilizzo di coppie attributo valore.
NTTacPlus, per mantenere un’interfaccia consistente e comune, indipendente ove possibile dal tipo di
protocollo utilizzato (RADIUS o TACACS+), rimappa in maniera trasparente alcuni attributi RADIUS nei
parametri standard equivalenti dei profili utente NTTacPlus, originariamente appartenenti a specifici campi
del protocollo TACACS+. Ciò consente di evitare la configurazione esplicita di una check-list RADIUS e dei
filtri TACACS+ separatamente.
In particolare, i seguenti attributi RADIUS vengono convalidati nei campi definiti a lato, indipendentemente
dalla check-list configurata:
NAS-Port e NAS-Port-Type (se uno o entrambi sono presenti) vengono combinati e confrontati con
l’attributo Port, seguendo le stesse regole di convalida (con regular expressions) di TACACS+.
Calling-Station-Id viene copiato nel campo CallerID di NTTacPlus, ed è convalidato dalle
espressioni inserite nell’omonimo campo del profilo.
NAS-IP-Address viene convertito nel formato puntato standard e usato come riferimento per la
convalida del campo NAS del profilo utente NTTacPlus.
Gli attributi RADIUS e il dizionario
Il protocollo RADIUS è incentrato sul concetto di Attributo/Valore.
Ogni pacchetto RADIUS scambiato tra il NAS e il server incapsula le informazioni da trasmettere in una lista
di coppie attributo/valore. Ad esempio, un tipico pacchetto di richiesta di autenticazione inviato dal NAS
potrebbe avere il seguente contenuto:
Tipo = Authentication-Request
ID = (identificativo della richiesta)
Elenco di attributi/valori:
Attributo
User-Name
User-Password
NAS-IP-Address
NAS-Port
Service-Type
Framed-Protocol
Called-Station-Id
Calling-Station-Id
NAS-Identifier
NAS-Port-Type
Valore
rick
mandy71
10.0.0.5
4
Framed
PPP
275885412
268598741
MAX4030-01
Async
In realtà nel pacchetto RADIUS non vengono trasmesse le coppie così come sono rappresentate in questa
tabella; piuttosto ogni attributo è identificato da un numero intero (byte), e il valore ad esso associato dipende
dall’attributo stesso. Ad esempio l’attributo NAS-Port che indica il numero di porta, ha associato un valore
intero, mentre l’attributo User-Name ha associato un valore di tipo stringa di caratteri.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 47/95
In previsione di una variazione futura dell’elenco di tutti gli attributi RADIUS supportati sia dai NAS che dal
server di autenticazione, e per consentire un’espandibilità e un arricchimento degli attributi con nuove
coppie, è stato introdotto il meccanismo del dizionario RADIUS.
Il dizionario degli attributi RADIUS (chiamato RADDICT.DAT) consiste in un file di testo ASCII in cui viene
definito l’insieme di tutti gli attributi disponibili, con il numero intero che li rappresenta ed il tipo di valore
che specificano. Per fare in modo che NTTacPlus supporti un nuovo attributo è sufficiente inserire la
definizione dell’attributo e del tipo di dato ad esso riferito nel dizionario, riavviando il server.
ATTENZIONE: la modifica del file di dizionario è un operazione molto delicata. Il dizionario infatti
richiede una sintassi ben precisa. Il danneggiamento del file di dizionario o una
modifica inaccurata possono rendere inutilizzabile il server NTTacPlus, il quale carica
e analizza all’avvio il dizionario, interrompendo l’esecuzione in caso di sintassi errata.
La Master Soft rilascerà aggiornamenti del file di dizionario a mano a mano che verranno introdotti dalle
case produttrici nuovi attributi nei NAS.
Nel caso si fosse danneggiato il file di dizionario e non fosse più possibile ripristinare il file originale, è
possibile richiedere alla Master Soft un file di dizionario integro.
Supporto attributi Vendor-Specific
Il dizionario degli attributi RADIUS è in grado di accettare anche definizioni di attributi Vendor-Specific
(attributi estesi incapsulati nell’attributo n.26) sia in formato standard come consigliato nelle RFC, sia nel
formato specifico USRobotics/3Com.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 48/95
Gestione degli account
Il Database degli Account Utente
NTTacPlus offre la possibilità, per la memorizzazione degli account utente, di utilizzare tabelle in un
database SQL ODBC oppure mantenere tutti i profili in file di testo ASCII.
Dal punto di vista funzionale non vi sono differenze tra un metodo e l’altro, pertanto i paragrafi successivi
descriveranno i profili utente nel formato testo, mentre un paragrafo conclusivo del capitolo illustrerà come
configurare NTTacPlus per sfruttare un database ODBC e come i profili utente vengono effettivamente
memorizzati nelle tabelle del database.
NTTacPlus mantiene il proprio database degli account utente in due directory (configurate
dall'amministratore). La prima contiene tutti i profili di gruppo, la seconda contiene i profili utente
individuali.
Il profilo di un utente è costituito da un file di testo (ASCII), la cui struttura è la stessa utilizzata nei file di
configurazione di Windows 3.1 (file di inizializzazione INI). I vari parametri di configurazione, cioè, sono
raggruppati in diverse sezioni.
Il file di un profilo utente ha estensione .usr, mentre il nome del file coincide con la username del profilo.
Cambiando il nome del file si cambia implicitamente anche la username del profilo. NTTacPlus, infatti,
recupera il profilo di una data username cercando, nella directory degli utenti, un file il cui nome coincida
con la username in oggetto e che abbia estensione .usr.
Le stesse regole si applicano per i file dei profili gruppo: il formato dei profili di gruppo è lo stesso di quelli
utente. L'unica differenza sta nell'estensione dei file gruppo che è .ugp (user group).
Struttura gerarchica del database utenti
NTTacPlus offre la possibilità di configurare i parametri comuni ad una serie di profili utente una volta
soltanto, tramite l'utilizzo dei profili di gruppo.
Questo non solo evita di ripetere i parametri comuni in ciascun profilo utente, ma consente di focalizzare
l'attenzione solo sui parametri che differenziano i profili utente, come ad esempio la password o la scadenza
dell'account.
È sufficiente assegnare l'appartenenza degli utenti ad un determinato gruppo, perché questi ereditino
automaticamente tutte le impostazioni configurate per il gruppo di cui sono membri.
È possibile assegnare l'appartenenza degli utenti anche a più di un gruppo, oppure assegnare l'appartenenza di
uno stesso gruppo ad altri gruppi. Si può così costruire una gerarchia più o meno complessa, che facilità però
la gestione del singolo profilo utente.
Si applicano le seguenti regole:
un utente può non appartenere ad alcun gruppo
un utente può appartenere ad uno o più gruppi
un gruppo può non appartenere ad alcun altro gruppo (gruppo base)
un gruppo può appartenere ad uno o più gruppi
un gruppo non può appartenere a gruppi che a loro volta appartengono al gruppo stesso (riferimento
circolare): questa situazione condurrebbe ad un ciclo infinito
un utente o gruppo possono (inutilmente) appartenere a più gruppi, uno o più dei quali appartengono a
un gruppo comune a cui fa riferimento anche il profilo stesso direttamente o indirettamente
un gruppo non può appartenere a se stesso (!).
NOTA: le modifiche manuali ai file di testo –o alle tabelle nel database- dei profili utente/gruppo (senza
usare, cioè, il Profile Manager di NTTacPlus) non comportano alcuna verifica sulle incongruenze
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 49/95
della gerarchia disegnata dall'amministratore (riferimenti circolari, ecc.), per cui occorre prestare
attenzione alle variazioni che si apportano ai file.
Esempio
Gruppo BARBÚN
Gruppo W IL BARBERA
Gruppo BRAVI RAGAZZI
Gruppo W IL BARBERA
Utente BRAMBILLA (1)
Gruppo BARBÚN (2)
Gruppo W IL BARBERA (3)
Gruppo BRAVI RAGAZZI (4)
Gruppo W IL BARBERA (5)
Quando NTTacPlus cerca i parametri del profilo Brambilla, cerca ordinatamente nell'albero gerarchico creato
dall'amministratore. Tuttavia, il gruppo W il Barbera viene esplorato due volte (inutilmente), prima
direttamente, poi indirettamente tramite Bravi ragazzi.
Le gerarchie andrebbero organizzate in modo snello. In questo esempio è inutile aggiungere Brambilla al
gruppo W il barbera, poiché Brambilla appartiene già indirettamente al gruppo W il barbera tramite il
gruppo Bravi ragazzi.
Quando NTTacPlus deve recuperare un particolare parametro (ad es. TimeLeft=), incomincia la ricerca nel
profilo utente. Se non lo trova, esamina la lista di gruppi d'appartenenza (Groups=), quindi procede
ricorsivamente e ordinatamente la ricerca dal primo gruppo della lista. Se il parametro non viene trovato nel
primo gruppo, viene (eventualmente) ricercato nei gruppi di appartenenza del primo gruppo. Dopo aver
esaminato l'intero ramo del primo gruppo, se il parametro non è ancora stato trovato, NTTacPlus passa al
secondo gruppo, e così via, finché il parametro non viene trovato o non ci sono più gruppi da esaminare.
Riferendoci all'esempio, supponiamo la seguente situazione:
Brambilla.usr
Bravi ragazzi.ugp
W Il Barbera.ugp
Barbun.ugp
ha
ha
non ha
non ha
Groups=Barbun,W Il Barbera,Bravi Ragazzi
Groups=W Il Barbera
Groups=
Groups=
In questo caso l'ordine di ricerca dei parametri è quello indicato nel diagramma.
Per questo motivo è molto importante l'ordine con cui viene assegnata l'appartenenza ai gruppi. Infatti, se
supponiamo che sia Barbun che Bravi ragazzi contengano il parametro TimeLeft=, verrà usato il primo
incontrato nella ricerca, cioè quello di Barbun.
Parametri di un profilo utente
Segue ora una descrizione dettagliata di tutti i parametri che caratterizzano un profilo utente o gruppo.
Verranno riportati alcuni esempi di utenti al termine della descrizione.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 50/95
Sezione [Global]
Questa sezione regola i parametri globali per l'autenticazione.
Parametro
Descrizione
Name
Nome o descrizione del profilo utente o gruppo. Ha valore solo descrittivo e non
influisce sul comportamento del profilo.
Passwd
Password dell'utente. Se il file viene modificato con un editor di testo, è possibile
inserire solo la password in chiaro. Per inserire la password crittografata occorre
utilizzare NTTacPlus Profile Manager per modificare il profilo.
È possibile indicare in questo campo a NTTacPlus alcuni valori speciali che
modificano il comportamento della verifica delle password.
La sintassi dei valori speciali è:
Passwd=[<type>][$|#][<value>]
dove <type> può essere NT, TACACS+, NONE, DES, UNIX.
Esempi
Passwd=[NT]
Autentica localmente utilizzando gli account di NT
Passwd=[NT]\\pino
Autentica utilizzando gli account di NT sul server PINO
Passwd=[NT]ced
Autentica utilizzando gli account di NT del dominio CED
Passwd=[DES]CpuskTjR7spcM
Autentica utilizzando una password crittografata DES UNIX-style
Passwd=[TACACS+]192.168.0.6
Autentica utilizzando il server tacacs+ sull'host 192.168.0.6
Passwd=[NONE]
Autentica con successo senza verificare la password
Passwd=[UNIX]c:\nttacplus2\passwd
Autentica utilizzando un file di password di UNIX
Esempi con "grab password"
Passwd=[NT]#\\antonio
Autentica utilizzando gli account di NT sul server ANTONIO e, al primo
accesso riuscito dell'utente, l'intera espressione [NT]#\\antonio
viene sostituita dalla password in chiaro che l'utente ha inserito.
Passwd=[NT]$domain
Autentica utilizzando gli account di NT sul dominio DOMAIN e, al
primo accesso riuscito dell'utente, l'intera espressione [NT]$domain
viene sostituita dalla password crittografata che l'utente ha inserito.
L'opzione $ o # può venire specificata anche con il proxy TACACS+.
Le password crittografate assumono la forma:
+@XXXXXX
dove XXXXXX è un'espressione esadecimale.
Omettendo questo parametro l'autenticazione fallisce sempre.
EffectiveFrom
Specifica la data di attivazione dell’account. Il campo va impostato con il formato:
dd-mm-yyyy
Se l'anno viene indicato a due cifre, i numeri tra 00 e 89 vengono interpretati come
2000-2089, mentre i numeri tra 90 e 99 diventano 1990-1999.
Omettendo questo parametro l'account viene considerato immediatamente attivo.
Expires
Master Soft S.n.c.
Specifica la data di scadenza dell'account. Il campo va impostato con uno dei
seguenti formati:
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 51/95
dd-mm-yyyy
oppure
#nn[,dd-mm-yyyy]
Se l'anno viene indicato a due cifre, i numeri tra 00 e 89 vengono interpretati come
2000-2089, mentre i numeri tra 90 e 99 diventano 1990-1999.
Il primo formato permette di specificare una scadenza assoluta dell’account.
Il secondo formato consente di indicare una durata in giorni dell’account, il cui
conteggio inizia dal valore presente nel campo EffectiveFrom.
Opzionalmente, in questo caso, è comunque possibile indicare una data assoluta di
scadenza dell’account indipendentemente dai giorni residui, aggiungendo una
virgola e una data. Se il campo EffectiveFrom non è presente, allora
NTTacPlus crea automaticamente tale campo al primo login dell’utente, e da allora
inizia il conteggio della durata in giorni.
Per specificare un account che non scade mai, occorre inserire:
Expires=never
Omettendo questo parametro l'account viene considerato scaduto
Groups
Specifica una lista dei gruppi di appartenenza. Ad esempio:
Groups=standard,isdn
assegna l'appartenenza ai due gruppi standard e isdn.
Omettendo questo parametro, il profilo non appartiene ad alcun gruppo.
LoginHours
Indica le fasce orarie nelle quali consentire il login. Ad esempio:
LoginHours=02:00-06:00,15:00-17:30
consente l'accesso tra le 2 e le 6 di mattina e le 3 e le 5:30 pomeridiane. Le ore
vanno inserite nel formato 24h. Per differenziare l'accesso in base ai giorni della
settimana, occorre inserire:
LoginHours=weekly
e aggiungere un piano di accesso settimanale nella sezione [WeekPlan] (vedi
più avanti)
Omettendo questo parametro, nessun controllo di orario viene applicato.
MaxLogins
Indica quanti accessi contemporanei sono consentiti al profilo. Può essere un
numero compreso tra 0 e 9999.
Inserendo 0 si disattiva l'account.
Omettendo questo parametro, NTTacPlus considera l'account disattivato.
Disabled
Se impostato a 1 l’account è disattivato indipendentemente dagli altri parametri.
Se impostato a zero oppure omesso, l’account non è disattivato.
CallerID
Questo parametro è in grado di bloccare gli accessi esaminando il campo
rem_addr del protocollo tacacs+. Il contenuto del campo dipende molto dal
NAS e dal sistema operativo. Ad esempio, nella versione 11.3 di IOS, il campo,
per le chiamate da linee telefoniche ISDN, contiene il numero di telefono
chiamante e quello chiamato nel formato:
CallerID/CalledID
per cui è possibile controllare gli accessi in base al numero di telefono chiamante.
È possibile specificare una lista di valori validi per il campo, con l'uso di caratteri
jolly. Ad esempio:
CallerID=321498784*,32145345[3-7]*
accetta tutti i numeri che iniziano per 321498784 ed i numeri che iniziano per
32145345 e hanno un'altra cifra compresa tra 3 e 7 (per l'uso dei caratteri jolly
nelle espressioni vedere più avanti).
Omettendo questo parametro non viene effettuato nessun controllo sul campo.
NAS
Master Soft S.n.c.
Questo parametro è in grado di bloccare gli accessi in base al NAS sul quale
l'account sta tentando il login. È possibile indicare una lista di NAS validi, o
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 52/95
intervalli di indirizzi. Ad esempio:
NAS=192.168.0.3,192.168.1.15-192.168.1.22
accetta le richiesta dal NAS 192.168.0.3 e da quelli compresi tra 192.168.1.15 e
192.168.1.22.
Omettendo questo parametro non viene applicata alcuna restrizione sul NAS di
provenienza.
Port
Questo parametro è in grado di bloccare gli accessi in base alla porta del NAS
sulla quale l'account sta tentando il login. Ad esempio, indicando:
Port=tty*,async*
si consente all'account il collegamento solo su linee tty o interfacce asincrone
(bloccando così l'accesso ISDN sulle interfacce seriali)
Per l'uso dei caratteri jolly nelle espressioni vedere più avanti.
Omettendo questo parametro non viene effettuato nessun controllo sulla porta.
Privilege
Questo parametro assegna il livello di privilegio dell'utente, che può essere un
valore numerico compreso tra 0 e 15.
Il valore 15 è richiesto per gli account di SuperManager che intendono utilizzare
NTTacPlus Remote Console.
Quando è attiva anche l'authorization per le sessioni exec, NTTacPlus converte
automaticamente questo valore nella coppia A/V "priv-lvl", a meno che questa non
sia esplicitamente configurata nella relativa sezione (vedere parametri relativi
all'autorizzazione).
Omettendo questo parametro NTTacPlus assume privilegio uguale a zero.
NOTA: l’attributo privilege level non viene utilizzato con il protocollo RADIUS.
MaxConnectionTime
Questo parametro imposta la durata massima (in minuti) di una sessione. Ad
esempio:
MaxConnectionTime=480
limita la durata massima di una connessione ad 8 ore.
NTTacPlus esegue periodicamente il controllo sugli utenti collegati. Se rileva
qualche account oltre la durata massima, invia un comando di kill al NAS per la
disconnessione forzata.
Omettendo questo parametro non si impongono limiti alla durata della sessione.
Email
Questo parametro specifica l'indirizzo di e-mail del profilo utente in oggetto.
Viene ignorato nei profili di gruppo.
Quando NTTacPlus deve inviare una notifica amministrativa su di un evento che
riguarda il profilo in oggetto, una copia del messaggio viene inviata anche
all'utente se è presente questo campo.
Questo stesso parametro viene usato per l’invio dei messaggi di avvertimento
scadenza.
È possibile indicare una lista, separata da virgole, di più destinatari.
Omettendo questo parametro l'utente non riceve alcuna copia delle notifiche.
Comment
Un commento sul profilo. Questo parametro non influisce il comportamento
dell'account.
ExpiringEMailMsg
Un nome/percorso completo che punta ad un file di testo contenente il messaggio
da spedire all'utente se il suo account sta per scadere.
Per informazioni sui messaggi di avvertimento scadenza, vedere la sezione relativa
più avanti.
TimeLowEMailMsg
Un nome/percorso completo che punta ad un file di testo contenente il messaggio
da spedire all'utente se il suo account sta per esaurire il credito di tempo.
TrafficLowEMailMsg
Un nome/percorso completo che punta ad un file di testo contenente il messaggio
da spedire all'utente se il suo account sta per esaurire il credito di traffico.
AuthenScript
Script post-autenticazione da richiamare se l’autenticazione in NTTacPlus ha
successo. Tramite questo script è possibile estendere le funzionalità di
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 53/95
autenticazione con applicazioni esterne personalizzate.
Per informazioni dettagliate sullo script post autenticazione, consultare più avanti
il paragrafo Gli script post-autenticazione.
Se questo parametro è omesso, non viene eseguito alcuno script.
Sezione [WeekPlan]
Questa sezione (opzionale) stabilisce un piano di accesso per le fasce orarie nei giorni della settimana. Viene
esaminata solo se nella sezione [Global] è stato inserito LoginHours=weekly.
Parametro
Descrizione
Mon
Indica le fasce orarie nelle quali consentire il login il lunedì. Per la sintassi, vedere
LoginHours nella sezione [Global]
Omettendo questo parametro, l'accesso viene negato per tutta la giornata. Per
consentire l'accesso di 24 ore, occorre inserire esplicitamente:
Mon=00:00-23:59
Tue
Indica le fasce orarie nelle quali consentire il login il martedì. Per la sintassi,
vedere LoginHours nella sezione [Global]
Omettendo questo parametro, l'accesso viene negato per tutta la giornata. Per
consentire l'accesso di 24 ore, occorre inserire esplicitamente:
Tue=00:00-23:59
Wed
Indica le fasce orarie nelle quali consentire il login il mercoledì. Per la sintassi,
vedere LoginHours nella sezione [Global]
Omettendo questo parametro, l'accesso viene negato per tutta la giornata. Per
consentire l'accesso di 24 ore, occorre inserire esplicitamente:
Wed=00:00-23:59
Thu
Indica le fasce orarie nelle quali consentire il login il giovedì. Per la sintassi,
vedere LoginHours nella sezione [Global]
Omettendo questo parametro, l'accesso viene negato per tutta la giornata. Per
consentire l'accesso di 24 ore, occorre inserire esplicitamente:
Thu=00:00-23:59
Fri
Indica le fasce orarie nelle quali consentire il login il venerdì. Per la sintassi,
vedere LoginHours nella sezione [Global]
Omettendo questo parametro, l'accesso viene negato per tutta la giornata. Per
consentire l'accesso di 24 ore, occorre inserire esplicitamente:
Fri=00:00-23:59
Sat
Indica le fasce orarie nelle quali consentire il login il sabato e nei giorni prefestivi
secondo il calendario stabilito nel file di configurazione di NTTacPlus. Per la
sintassi, vedere LoginHours nella sezione [Global]
Omettendo questo parametro, l'accesso viene negato per tutta la giornata. Per
consentire l'accesso di 24 ore, occorre inserire esplicitamente:
Sat=00:00-23:59
Sun
Indica le fasce orarie nelle quali consentire il login la domenica e nei giorni festivi
secondo il calendario stabilito nel file di configurazione di NTTacPlus. Per la
sintassi, vedere LoginHours nella sezione [Global]
Omettendo questo parametro, l'accesso viene negato per tutta la giornata. Per
consentire l'accesso di 24 ore, occorre inserire esplicitamente:
Sun=00:00-23:59
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 54/95
Sezione [Credits]
Questa sezione (opzionale) stabilisce l'ammontare complessivo dei crediti in tempo e traffico per l'account.
L'intera sezione può venire omessa per account con credito illimitato.
Parametro
Descrizione
KBytesInitial
Indica l'ammontare iniziale del credito in Kbytes per l'account.
KBytesLeft
Indica l'ammontare del credito residuo in Kbytes per l'account. Inizialmente questo
valore coincide con KBytesInitial; successivamente NTTacPlus decrementa
il valore a mano a mano che l'account esaurisce il credito.
TimeInitial
Indica l'ammontare iniziale del credito in minuti per l'account.
KBytesLeft
Indica l'ammontare del credito residuo in minuti per l'account. Inizialmente questo
valore coincide con TimeInitial; successivamente NTTacPlus decrementa il
valore a mano a mano che l'account esaurisce il credito.
OnExtraTimeCharge
Se impostato a 1 indica a NTTacPlus di consentire ugualmente l'accesso
all'account anche se ha esaurito il credito di tempo, registrando però le ore in
eccesso in un campo separato dell'accounting, e consentire così la fatturazione
separata delle ore in eccesso sul credito iniziale.
Se omesso il default vale 0.
OnExtraKBytesCharge
Se impostato a 1 indica a NTTacPlus di consentire ugualmente l'accesso
all'account anche se ha esaurito il credito di traffico, registrando però i kbytes in
eccesso in un campo separato dell'accounting, e consentire così la fatturazione
separata del traffico in eccesso sul credito iniziale.
Se omesso il default vale 0.
OnTimeExceededKill
Se impostato a 1 indica a NTTacPlus di disconnettere forzatamente un utente che
abbia esaurito il suo credito di tempo durante l'ultima sessione.
Se omesso il default vale 0.
OnQuotaExceededKill
Se impostato a 1 indica a NTTacPlus di disconnettere forzatamente un utente che
abbia esaurito il suo credito di quota tempo relativo al periodo in corso.
Se omesso il default vale 0.
QuotaPeridod
Indica il periodo nel quale assegnare la quota di tempo per il profilo. Può valere:
daily
weekly
monthly
yearly
(giornaliero)
(settimanale)
(mensile)
(annuale)
Se omesso, non vi sono restrizioni sulla quota di tempo.
Quota
Questo è il valore in minuti per la quota di tempo assegnabile nel periodo dato.
QuotaLeft
(usato internamente da NTTacPlus, non ne è consigliabile la modifica) Memorizza
la quota di tempo residua per il periodo in corso.
Sezione [Warning]
Questa sezione viene creata ed aggiornata automaticamente da NTTacPlus per uso interno. Non occorre
modificare nessun parametro.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 55/95
Sezione [Suspicious]
Questa sezione regola il comportamento di NTTacPlus in caso di comportamenti "sospetti" dell'account.
Parametro
Descrizione
OnFailedEmail
Se impostato a 1, NTTacPlus invia una notifica e-mail amministrativa ogni
serie di n tentativi consecutivi falliti di accesso dell'account, dove n è il
valore impostato nel campo Max login attempts delle Options di
NTTacPlus.
Se omesso il default è zero.
OnFailedDisable
Se impostato a 1, NTTacPlus disabilita l'account (MaxLogins=0) dopo una
serie di n tentativi consecutivi falliti di accesso, dove n è il valore impostato
nel campo Max login attempts delle Options di NTTacPlus.
Se omesso il default è zero.
OnMultipleAccessEmail
Se impostato a 1, NTTacPlus invia una notifica e-mail amministrativa
quando accade un tentativo di superamento di numero di accessi
contemporanei consentiti all'account.
Se omesso il default è zero.
OnMultipleAccessKill
Se impostato a 1, NTTacPlus procede ad inviare un comando kill ai NAS
per tutte le occorrenze attive della username in oggetto quando accade un
tentativo di superamento di numero di accessi contemporanei consentiti
all'account.
Se omesso il default è zero.
OnMultipleAccessDisable
Se impostato a 1, NTTacPlus disabilita l'account (MaxLogins=0) quando
accade un tentativo di superamento di numero di accessi contemporanei
consentiti all'account.
Se omesso il default è zero.
OnExpiredAuthenticate
Se impostato a 1, NTTacPlus consente l'autenticazione dell'account anche
quando questo è scaduto o ha esaurito il credito in tempo/traffico senza
avere l'opzione OnExtraTimeCharge o OnExtraKByteCharge.
L'account scaduto però utilizza i parametri di autorizzazione di una sezione
apposita diversa da quella normalmente utilizzate. Questo consente di
specificare ad esempio, un accesso scaduto che consenta di leggere (e non
inviare) la posta ma non di navigare, oppure di collegarsi alla sola pagina
web da dove può ricaricarsi da solo il credito fornendo un numero di carta
di credito.
OnExpiringEmail
Se impostato a 1, NTTacPlus provvede ad inviare un messaggio di posta
(secondo quanto configurato nel campo ExpiringEMailMsg della
sezione [Global]) all'utente la prima volta che questi effettua un login
nel periodo di avvertimento che precede la scadenza del suo account. La
durata del periodo di avvertimento è configurabile nelle opzioni generali di
NTTacPlus.
EmailNotifyToUser
Se impostato a 1, NTTacPlus invia una copia delle notifiche
amministrative, normalmente spedite solo all’amministratore, anche
all’utente stesso.
OnTimeLowEmail
Se impostato a 1, NTTacPlus provvede ad inviare un messaggio di posta
(secondo quanto configurato nel campo TimeLowEMailMsg della
sezione [Global]) all'utente la prima volta che questi effettua un login
nel periodo di avvertimento che precede l’esaurirsi del credito di tempo del
suo account. La soglia di avvertimento è configurabile nelle opzioni
generali di NTTacPlus.
OnTrafficLowEmail
Come il parametro precedente, ma valido per l’esaurimento del credito di
traffico.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 56/95
Sezione [Authorization]
Questa sezione regola il comportamento di default di NTTacPlus per richieste di autorizzazione TACACS+
che non sono configurate esplicitamente.
Parametro
Descrizione
DefaultService
Se impostato a permit, NTTacPlus autorizza la richiesta proveniente dal NAS
per i servizi che non sono configurati esplicitamente. In caso contrario
l'autorizzazione fallisce.
Se omesso il default è deny.
DefaultCommand
Se impostato a permit, NTTacPlus autorizza la richiesta proveniente dal NAS
per i comandi della shell (Exec) che non sono configurati esplicitamente. In caso
contrario i comandi non configurati non vengono autorizzati.
Se omesso il default è deny.
NoAppendTacCmd
Se impostato a 1, NTTacPlus non accoda le autorizzazioni ai comandi
eventualmente configurate nei gruppi d’appartenenza.
Se omesso, NTTacPlus completa la lista delle autorizzazioni ai comandi del
profilo utente con quelle inserite nei profili gruppo d’appartenenza.
NoAppendTacSvc
Se impostato a 1, NTTacPlus non accoda le autorizzazioni ai servizi
eventualmente configurate nei gruppi d’appartenenza.
Se omesso, NTTacPlus completa la lista delle autorizzazioni ai servizi del profilo
utente con quelle inserite nei profili gruppo d’appartenenza.
Sezioni [cmd <cmd_name>]
Queste sezioni configurano l'autorizzazione TACACS+ per i comandi della shell (Exec) del NAS. Ogni
sezione configura un determinato tipo di comando. Il corpo della sezione contiene quindi l'elenco dei
parametri da accettare o rifiutare per il comando. Ad esempio configurando:
[cmd logout]
*=permit
[cmd telnet]
192.168.10.1 *=deny
192.168.10.*=permit
è consentito digitare al prompt della shell il comando logout con qualsiasi parametro, mentre è consentito
il comando telnet solo se il primo parametro indica un indirizzo IP della classe 192.168.10.0 escluso .1.
In generale la sintassi per i parametri del comando è:
<elenco_argomenti>=permit | deny
dove <elenco_argomenti> è un'espressione che può contenere caratteri jolly.
NOTA: I NAS Cisco con alcune versioni dei IOS aggiungono sempre letterlmente la stringa di quattro
caratteri "<cr>" per marcare la fine della riga (carriage return). Per un comando digitato senza
parametri, viene quindi presentata comunque una richiesta di autorizzazione che ha come unico
parametro la stringa "<cr>". Tenere presente questa stringa quando si configurano i parametri
validi.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 57/95
Sezione [Services]
Questa sezione regola il comportamento di NTTacPlus per richieste di autorizzazione TACACS+ ai servizi
di rete. Il corpo della sezione può contenere una o più righe che abilitano il servizio. La sintassi per
configurare un servizio esplicitamente è:
<service_name> default=permit | deny
Ad esempio, per configurare l'autorizzazione alla shell (Exec) del NAS, si deve inserire:
Exec default=permit | deny
L'opzione permit o deny regola il comportamento che NTTacPlus deve avere nei confronti delle coppie
attributo/valore che non sono esplicitamente configurate per il servizio. Con permit, la coppia ricevuta e non
configurata viene comunque mantenuta (sia essa obbligatoria o facoltativa) e l'autorizzazione ha successo.
Con deny, la coppia ricevuta e non configurata viene scartata e l'autorizzazione procede se è facoltativa,
mentre l'autorizzazione fallisce se la coppia è obbligatoria.
Per i servizi che prevedono anche l'indicazione di un protocollo (come ad es. per PPP), si deve inserire:
<service_name>-<protocol> default=permit | deny
Ad esempio, per configurare il servizio PPP con protocollo IP occorre inserire:
PPP-IP default=permit | deny
ATTENZIONE: Nel caso del servizio PPP, poiché il NAS invia separatamente richieste di autorizzazione
per PPP/LCP prima, poi quella relativa al protocollo su PPP (ad es. TCP/IP su PPP),
occorre configurare esplicitamente entrambi i servizi.
Ad esempio, per attivare l'autorizzazione al TCP/IP su PPP, sono richieste entrambe le seguenti linee:
PPP default=deny
PPP-IP default=deny
Per configurare anche una lista di coppie attributo/valore, aggiungere le linee:
<service_name> AV=attr1=value1;attr2=value2;attr3*value3;...
oppure
<service_name>-<protocol> AV=attr1=value1;attr2=value2;attr3*value3;...
Esempio di configurazione
[Services]
Exec default=deny
Exec AV=autocmd=ppp
PPP default=deny
PPP-IP default=deny
PPP-IP AV=addr=192.168.1.54;inacl=110
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 58/95
Queste linee configurano i servizi Exec, PPP/LCP e TCP/IP su PPP. Inoltre assegnano la coppia
autocmd=ppp (comando da eseguire quando si avvia la shell) al servizio Exec, mentre assegnano
addr=192.168.1.54 (IP statico) e inacl=110 (access-list da applicare all'utente) al servizio TCP/IP
su PPP.
Le coppie A/V possono venire indicate come attributo=valore oppure attributo*valore, dove
il segno di uguale indica una coppia obbligatoria, mentre il segno di asterisco indica una coppia opzionale,
applicabile a discrezione del NAS.
Sezione [Services Expired]
Questa sezione regola il comportamento di NTTacPlus per richieste di autorizzazione ai servizi di rete da
applicare solo quando l'account è scaduto o ha esaurito il proprio credito di tempo o traffico.
La sezione viene consultata solo se il parametro OnExpiredAuthenticate è impostato a 1.
Il corpo della sezione contiene parametri con la stessa sintassi della sezione [Services].
Sezione [RADIUS]
Questa sezione regola il comportamento di default di NTTacPlus per richieste di autorizzazione RADIUS.
Parametro
Descrizione
NoAppendRadChk
Se impostato a 1, NTTacPlus non accoda le checklist degli attributi RADIUS
eventualmente configurate nei gruppi d’appartenenza.
Se omesso, NTTacPlus completa la checklist degli attributi RADIUS del profilo
utente con quelle inserite nei profili gruppo d’appartenenza.
NoAppendRadRep
Se impostato a 1, NTTacPlus non accoda le reply list degli attributi RADIUS
eventualmente configurate nei gruppi d’appartenenza.
Se omesso, NTTacPlus completa la reply list degli attributi RADIUS del profilo
utente con quelle inserite nei profili gruppo d’appartenenza.
Sezione [RADIUS CheckList]
Questa sezione regola il comportamento di NTTacPlus per richieste di autorizzazione RADIUS. Il corpo
della sezione può contenere una o più righe di coppie attributo-valore che devono essere ricevute dal NAS
per poter autenticare con successo l’utente. Il NAS infatti invia un elenco di attributi che descrivono il tipo di
accesso che l’utente sta richiedendo. In questa lista è possibile inserire un elenco di attributi che devono
obbligatoriamente essere presenti tra gli attributi forniti dal NAS affinché l’autenticazione abbia successo. Il
formato per ogni riga è:
<attrbiute-name>=<value>
Ad esempio, per limitare l’accesso in dialup al solo login terminale, è possibile inserire l’attributo:
[RADIUS CheckList]
Service-Type=NAS-Prompt
Sezione [RADIUS ReplyList]
Questa sezione regola il comportamento di NTTacPlus per richieste di autorizzazione RADIUS. Il corpo
della sezione può contenere una o più righe di coppie attributo-valore che devono essere inviate al NAS
insieme alla risposta di autenticazione completata con successo. Il NAS interpreta gli attributi ricevuti da
NTTacPlus e decide se applicarli all’utente, scartarli o negare l’accesso all’utente e terminare la sessione Il
formato per ogni riga è, come nella check-list:
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 59/95
<attrbiute-name>=<value>
Ad esempio, per assegnare un indirizzo IP statico con RADIUS, occorre inserire:
[RADIUS ReplyList]
Service-Type=Framed
Framed-IP-Address=a.b.c.d
Framed-IP-Netmask=e.f.g.h
Dove a.b.c.d è l’indirizzo statico da assegnare e e.g.f.h la maschera di sottorete associata.
Sezioni [RADIUS Expired CheckList] e [RADIUS Expired ReplyList]
Queste sezioni regolano il comportamento di NTTacPlus per richieste di autorizzazione RADIUS rete da
applicare solo quando l'account è scaduto o ha esaurito il proprio credito di tempo o traffico.
La sezione viene consultata solo se il parametro OnExpiredAuthenticate è impostato a 1.
I corpi delle sezioni contengono parametri con la stessa sintassi delle sezioni [RADIUS CheckList] e
[RADIUS ReplyList].
Espressioni con i caratteri jolly
Le espressioni con i caratteri jolly utilizzate da NTTacPlus (ad es. nei campi Port= o CallerID= oppure nei
permessi ai comandi) prevedono l'uso dei seguenti caratteri speciali:
Carattere
Significato
*
Zero o più caratteri
?
Qualunque carattere singolo
[<a>-<b>]
Un carattere compreso tra <a> e <b> (ad es. [2-9] sono le cifre tra 2 e 9)
\*
Il carattere * letterale
\?
Il carattere ? letterale
\[
Il carattere [ letterale
\\
Il carattere \ letterale
Anteponendo il carattere di refuse (“!”) ad un’espressione con caratteri jolly, si indica a NTTacPlus di
rifiutare l’espressione che segue.
Ad esempio, nel campo Port la seguente espressione:
Port=!Async4,Async[1-8],Serial*
Accetta tutte le porte Async dalla 1 alla 8 tranne la 4, e tutte le porte Serial.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 60/95
Alcuni esempi di profili utente e di gruppo
Supponiamo il caso di un Internet Service Provider che fornisca accessi ISDN e analogici con connessione
TCP/IP su PPP, dotato di un NAS in grado di distinguere tra chiamate analogiche e ISDN, come ad esempio
Cisco AS5200. L'indirizzo IP del 5200 è 192.168.0.1
Supponiamo che il provider decida di vendere i seguenti tipi di accesso:
FLAT 24h analogico
HALF 12h diurno dalle 8:00 alle 20:00 analogico (tranne i festivi/prefestivi che consentono 24h)
HALF 12h notturno dalle 20:00 alle 8:00 analogico (tranne i festivi/prefestivi che consentono 24h)
HALF 12h diurno dalle 8:00 alle 20:00 ISDN (anche nei festivi/prefestivi)
HALF 12h notturno dalle 20:00 alle 8:00 ISDN (anche nei festivi/prefestivi)
ISDN con un totale di 300 ore
Tutti gli abbonamenti hanno scadenza annuale.
Si possono creare i seguenti profili di gruppo:
standard.ugp
[Global]
Name=Gruppo di base comune a tutti
MaxLogins=1
MaxConnectionTime=480
Privilege=1
NAS=192.168.0.1
Port=Async*,tty*
ExpiringEMailMsg=c:\nttacplus\messages\expiring.txt
[Suspicious]
OnFailedEmail=1
OnExpiredAuthenticate=0
OnMultipleAccessEmail=1
OnMultipleAccessKill=0
OnMultipleAccessDisable=0
OnExpiringEmail=1
[Authorization]
DefaultCommand=deny
DefaultService=deny
[Services]
Exec default=deny
Exec AV=autocmd=ppp
PPP default=deny
PPP-IP default=deny
[cmd exit]
*=permit
[cmd logout]
*=permit
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 61/95
day.ugp
[Global]
Name=Accesso diurno analogico
Groups=standard
LoginHours=weekly
[WeekPlan]
mon=08:00-19:59
tue=08:00-19:59
wed=08:00-19:59
thu=08:00-19:59
fri=08:00-19:59
sat=00:00-23:59
sun=00:00-23:59
night.ugp
[Global]
Name=Accesso notturno analogico
Groups=standard
LoginHours=weekly
[WeekPlan]
mon=00:00-07:59,20:00-23:59
tue=00:00-07:59,20:00-23:59
wed=00:00-07:59,20:00-23:59
thu=00:00-07:59,20:00-23:59
fri=00:00-07:59,20:00-23:59
sat=00:00-23:59
sun=00:00-23:59
dayisdn.ugp
[Global]
Name=Accesso diurno ISDN
Groups=standard
LoginHours=08:00-19:59
Port=Serial*,Async*,tty*
nightisdn.ugp
[Global]
Name=Accesso notturno ISDN
Groups=standard
LoginHours=00:00-07:59,20:00-23:59
Port=Serial*,Async*,tty*
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 62/95
isdn300.ugp
[Global]
Name=Accesso ISDN con un credito totale di 300 ore
Groups=standard
Port=Serial*,Async*,tty*
[Credits]
TimeInitial=18000
TimeLeft=18000
A questo punto si possono creare facilmente i profili utente assegnandoli al gruppo desiderato.
L'utente 'asdrubale' acquista un abbonamento flat analogico a partire dal 1° giugno 1999:
asdrubale.usr
[Global]
Name=Asdrubale Rossi
Passwd=indovina
Expires=01-06-2000
Groups=standard
[email protected]
L'utente 'antonio' acquista un abbonamento isdn 300 ore a partire dal 15 maggio 1999, con una quota di
tempo massima di 20 ore settimanali:
antonio.usr
[Global]
Name=Antonio Bianchi
Passwd=chilosa
Expires=15-05-2000
Groups=isdn300
[email protected]
[Credits]
QuotaPeriod=weekly
Quota=1200
L'utente 'ermenegildo' acquista un abbonamento ISDN diurno, con scadenza 30 aprile 2001, durata di 180
giorni e decorrenza dal primo login, con 2 accessi contemporanei, indirizzo IP statico pari a 199.189.161.15,
e limitazione di accesso dai soli suoi due numeri telefonici 02-77836524 e 02-77836525:
ermenegildo.usr
[Global]
Name=Ermenegildo Verdi
Passwd=lhodimenticata
Expires=#180,30-04-2001
Groups=dayisdn
MaxLogins=2
CallerID=27783652[4-5]*
[email protected]
[Services]
PPP-IP AV=addr=199.189.161.15
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 63/95
Configurazioni particolari
Un appunto sul valore di privilegio e il protocollo TACACS+
Quando NTTacPlus riceve una richiesta TACACS+ di autorizzazione al servizio Exec (shell), aggiunge
automaticamente alla lista di coppie A/V nella risposta anche la coppia "priv-lvl=nn", dove nn è il
valore che viene ripescato dall'impostazione Privilege= della sezione [Global].
In tal modo è possibile, per un amministratore che abbia un account con Privilege=15, entrare
direttamente in modalità enable al prompt del NAS (su Cisco con IOS 11.1 o successive), senza dover
digitare il comando enable e reinserire la password di enable.
Se invece si aggiunge esplicitamente la coppia a/v "priv-lvl=nn" nella configurazione
dell'autorizzazione del servizio Exec (ad es. con "Exec AV=priv-lvl=7"), il valore del parametro
Privilege viene ignorato.
Le password di enable e il protocollo TACACS+
Nei sistemi IOS più vecchi (11.1) le password di enable vengono richieste al server tacacs+ senza fornire la
username dell'utente che ha digitato il comando enable.
Quando NTTacPlus riceve una simile richiesta di autenticazione di enable, ricerca la password in un profilo
utente speciale, il cui nome è $enab<n>$ se la richiesta di enable specifica un valore di privilegio compreso
tra 0 e 14 (<n> è il numero tra 0 e 14), mentre se il privilegio è 15 ricerca prima un utente chiamato
$enab15$ e poi, se non lo trova, un utente chiamato $enable$. Ciò significa che se si attiva anche
l'autenticazione di enable con il protocollo tacacs+, occorre inserire la password di enable in un file utente
chiamato $enable$.usr.
Nelle versioni più recenti, le richieste di autenticazione di enable specificano anche la username dell'utente.
In tal caso, se l'utente ha privilegio sufficiente per la richiesta in corso, la password usata da NTTacPlus è la
stessa usata dall'utente per effettuare il login al prompt del NAS.
L’assegnazione di IP statici con RADIUS
I gruppi di esempio preconfigurati in NTTacPlus contengono gli attributi RADIUS per autorizzare l’accesso
ai servizi di rete PPP. Assegnando un utente ad un gruppo in cui sono configurati gli attributi RADIUS di
reply per l’accesso PPP (come ad esempio quelli preconfigurati), l’utente eredita automaticamente tali
attributi anche se non sono dichiarati esplicitamente nel suo profilo, poiché NTTacPlus accoda gli attributi
nel gruppo a quelli dell’utente. Gli attributi RADIUS reply tipici per l’accesso in PPP sono:
[RADIUS ReplyList]
Service-Type=Framed
Framed-Protocol=PPP
Framed-IP-Address=Select-by-NAS
Per assegnare un indirizzo ip statico ad un account, occorre indicare, nel suo profilo:
[RADIUS ReplyList]
Service-Type=Framed
Framed-Protocol=PPP
Framed-IP-Address=a.b.c.d
Framed-IP-Netmask=e.f.g.h
avendo però cura di disabilitare l’accodamento automatico degli attributi RADIUS dei gruppi tramite
l’opzione:
[RADIUS]
NoAppendRadRep=1
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 64/95
Senza tale accorgimento, infatti, NTTacPlus restituirebbe un elenco di attributi composto da entrambe le liste:
Service-Type=Framed
Framed-Protocol=PPP
Framed-IP-Address=a.b.c.d
Framed-IP-Netmask=e.f.g.h
Service-Type=Framed
Framed-Protocol=PPP
Framed-IP-Address=Select-by-NAS
Attributi dell’utente
Attributi accodati dal gruppo
In questo caso, oltre a trasmettere inutili ripetizioni, l’ip statico verrebbe ignorato poiché l’ultimo attributo
trasmesso relativo all’ip sarebbe Select-by-NAS.
Gli script post-autenticazione
Oltre alle verifiche standard di autenticazione di NTTacPlus (password, scadenza, ecc.), è possibile estendere
la procedura di autenticazione mediante script esterni (eseguibili, file batch, ecc.) ai quali NTTacPlus
trasmette i parametri ricevuti dal NAS, e dai quali NTTacPlus attende una risposta per l’esito della fase di
autenticazione.
Nella riga di comando per richiamare gli script post-autenticazione, configurabile nel parametro
AuthenScript della sezione [Global], sono disponibili le seguenti macro che vengono sostituite
automaticamente da NTTacPlus:
$user
$pass
$nas
$port
$clid
$addr
$priv
$svc
$action
$type
Username
Password digitata dall’utente
Indirizzo ip o nome del NAS
Numero/nome della porta del NAS
Caller ID (se disponibile)
Indirizzo di rete
Livello di privilegio
Codice numerico del tipo di servizio
Azione richiesta
Tipo di autenticazione
NTTacPlus si aspetta che lo script restituisca l’esito dell’autenticazione sul flusso di standard output,
trasmettendo righe nella forma parametro=valore (senza spazi all’inizio della riga).
I parametri di ritorno che NTTacPlus accetta sono:
status=pass
(oppure fail)
reply-msg=<messaggio di testo da restituire al NAS e quindi all’utente>
Il parametro status è obbligatorio, mentre reply-msg è facoltativo. Tutte le altre righe non riconosciute
vengono ignorate.
Esempio di uno script (inutile) batch
nel profilo utente (o gruppo) è configurato
AuthenScript=cmd.exe /c c:\nttacplus\external\fool.bat $user
@echo off
if not "%1"=="alberto" goto bother_it_is_not_alberto
echo reply-msg=Hello, Alberto, welcome!
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 65/95
goto exit_fool_bat
:bother_it_is_not_alberto
echo reply-msg=Hey, you're not Alberto. Welcome, anyway!
:exit_fool_bat
echo status=pass
I messaggi di scadenza account e esaurimento credito
I messaggi che vengono inviati ad un utente il cui account sta per scadere o sta esaurendo il proprio credito di
tempo o traffico, sono file di testo ASCII, da creare nel seguente formato:
From: SuperExtraMeganet Staff <[email protected]>
To: $fullname <$email>
Subject: Avviso scadenza abbonamento
Spett. $fullname,
questo messaggio Le è stato inoltrato automaticamente
per ricordarLe che il suo account (ID account = <$username>)
scadrà il $expiry.
Siamo lieti di informarLa che per questo mese
offriamo condizioni speciali per i rinnovi dei contratti
di abbonamento a Internet.
Qualora Lei decidesse di rinnovare il contratto di accesso
entro la fine del mese, potrebbe usufruire di vantaggiosi sconti.
Cordiali saluti,
Lo Staff di SuperExtraMeganet.
NOTA: Affinché i messaggi vengano inviati correttamente, occorre che non ci siano linee vuote all'inizio
del file.
Inoltre è obbligatorio che le prime tre linee contengano i campi From, To e Subject, seguiti da una linea
vuota..
Nove macro speciali possono essere incluse nel testo e, al momento dell'invio del messaggio, vengono
sostituite dai parametri relativi all'account in questione:
$fullname
Il nome dell'utente
$username
La username dell'account
$email
L'indirizzo di posta dell'utente
$expiry
La data di scadenza dell'account
$effectivefrom
La data di attivazione dell'account
$timeinitial
Il credito iniziale in minuti dell'account
$timeleft
Il credito residuo in minuti dell'account
$kbytesinitial
Il credito iniziale in Kbytes dell'account
$kbytesleft
Il credito residuo in Kbytes dell'account
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 66/95
Gli Account nel formato SQL ODBC
NTTacPlus è in grado di affidarsi ad un database SQL ODBC per la memorizzazione dei profili utente e
gruppo anziché i file di testo.
NTTacPlus utilizza due tabelle per la memorizzazione, rispettivamente, dei gruppi e degli account:
Tabella per i profili di gruppo: TAC_GRP
Tabella per i profili utente:
TAC_USR
Entrambe le tabelle seguono lo stesso formato dei campi:
Campo
TAC_ID
TAC_ATTR
TAC_VAL
Tipo
TEXT
TEXT
TEXT
Primary Key
Il campo TAC_ID contiene la username del profilo.
Il campo TAC_ATTR contiene il nome del parametro, cioè una stringa composta dalla sezione e dal nome del
parametro equivalenti nel profilo di testo.
Il campo TAC_VAL contiene il valore del parametro indicato in TAC_ATTR.
Nella tabella utenti o gruppi saranno presenti quindi, per ciascuna username, tanti record quanti sono i
parametri presenti nell’account associato a tale username.
NTTacPlus considera esistente un account (o un gruppo) nel database quando compare almeno un record in
cui TAC_ID contenga la username (o il nome del gruppo) in oggetto.
Esempio di conversione profili da testo a database
Supponendo di avere il seguente profilo utente chiamato abelarda.usr:
[Global]
Name=Nonna Abelarda
Groups=ISDN
Expires=#120,01-01-2002
EffectiveFrom=15-07-1999
Passwd=nonnasprint
NAS=212.195.12.121-212.195.12.126
[Credits]
QuotaPeriod=weekly
Quota=3600
QuotaLeft=2500
[RADIUS ReplyList]
Framed-IP-Address=212.195.12.192
Il contenuto equivalente della tabella TAC_USR sarebbe rappresentato dai seguenti 10 record:
TAC_ID
abelarda
abelarda
abelarda
abelarda
TAC_ATTR
[Global]Name
[Global]Groups
[Global]Expires
[Global]EffectiveFrom
Master Soft S.n.c.
TAC_VAL
Nonna Abelarda
Expires
#120,01-01-2002
15-07-1999
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
abelarda
abelarda
abelarda
abelarda
abelarda
abelarda
pag. 67/95
[Global]Passwd
[Global]NAS
[Credits]QuotaPeriod
[Credits]Quota
[Credits]QuotaLeft
[RADIUS ReplyList]Framed-IP-Address
nonnasprint
212.195.12.121-212.195.12.126
weekly
3600
2500
212.195.12.192
Configurare il database utenti in un datasource ODBC
Per poter utilizzare un database SQL per la memorizzazione degli account utente e gruppo occorre
configurare un datasource ODBC che faccia riferimento al database:
1.
2.
3.
4.
5.
6.
Dal Pannello di Controllo selezionare ODBC.
Selezionare la finestra per la creazione di System DSN (DSN di sistema)
Premere Add (Aggiungi) e selezionare il tipo di database (ad es. MS Access Driver)
Indicare un nome per il datasource (ad es. utenti) ed eventualmente una descrizione
Premere Select (Seleziona) e indicare il percorso/nome del database (ad es.
c:\NTTacPlus2\odbc\nttacdb.mdb)
Premere OK, chiudere tutte le finestre ed il pannello di controllo. Il datasource è configurato.
Per abilitare in NTTacPlus l’utilizzo del database per gli account anziché l’utilizzo dei profili ASCII, attivare
la casella Enable ODBC user database, inserendo opportuni valori nei campi Datasource, username e
password a seconda di quanto impostato nel Pannello di Controllo/ODBC (ad. es “utenti”, “admin”, “”).
L’opzione Serialize SQL Queries fa in modo che tutte le query (sia di lettura che aggiornamento) sul database
utenti vengano eseguite in una coda (cioè sequenzialmente); questa opzione è richiesta con alcuni driver
ODBC che non supportano l’esecuzione concorrente di query di estrazione dati (come ad esempio il driver
per Microsoft SQL Server); utilizzando altri driver, come quello di MS Access, non occorre barrare tale
casella.
ATTENZIONE: nel momento in cui si barra la casella Enable ODBC user database, NTTacPlus
utilizza immediatamente gli account del database, ignorando i profili di testo.
Prestare quindi molta attenzione prima di confermare il cambiamento, poiché se
l’account amministrativo con il quale si è collegati alla console non è presente nel
database, non sarà più possibile riaccedere a NTTacPlus dalla console.
Esportazione account da e verso un database
Nel pacchetto NTTacPlus è incluso un database utenti di esempio in formato Microsoft Access 97, chiamato
NTTACDB.MDB.
Tale database contiene già le due tabelle richieste da NTTacPlus (TAC_GRP e TAC_USR) ed è pronto per
l’utilizzo con NTTacPlus.
Se si possiede una copia installata di Microsoft Access 97 è possibile, aprendo il database fornito, attivare
due form del database che contengono routine già preparate per importare o esportare account utente o
gruppo di NTTacPlus da e verso i file standard .usr e .ugp.
Per l’utilizzo di altri formati di database occorre creare una propria routine personalizzata per la conversione.
Apertura del database utenti
Una caratterisrica che contraddistingue il database utenti NTTacPlus è l’apertura verso altre applicazioni. È
possibile infatti intervenire sul database con proprie routine e altri software personalizzati per modificare gli
account utente, senza dover necessariamente interagire tramite console remota. Tutte le modifiche sui record
del database diventano immediatamente effettive al termine della transazione d’aggiornamento. È possibile
infine appoggiarsi al database utenti per inserire record personalizzati su ogni utente a seconda delle proprie
esigenze: NTTacPlus ignora gli attributi non riconosciuti, mantenendoli però anche nei database dei server di
backup, anche se questi utilizzano i profili in formato ASCII.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 68/95
Gestione del database utenti tramite Profile Manager
Premendo F10 dalla console remota (oppure selezionando Edit/Profile Manager) si accede all’interfaccia
grafica per la gestione degli account NTTacPlus:
Creazione un nuovo utente (gruppo)
1.
2.
3.
Selezionare Users (Groups) nel riquadro Display options.
Premere il pulsante New user (New group).
Digitare la nuova username nella casella di testo User/Group name.
4.
5.
6.
Quando ci si sposta su di un altro elemento della finestra, compare l'indicatore
Configurare i parametri del profilo nelle varie sezioni.
Al termine, premere Update per salvare i cambiamenti.
.
Creazione (duplicazione) di un nuovo utente (gruppo) da uno esistente
1.
2.
3.
4.
5.
Selezionare un nome esistente dalla lista a discesa o digitandolo direttamente nella casella di testo.
Spostarsi su di un altro elemento della finestra
Tornare nella casella di testo User/Group name e digitare il nuovo nome.
Modificare i parametri desiderati.
Al termine, premere Update per salvare i cambiamenti.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 69/95
Eliminazione di un utente (gruppo) esistente
1.
2.
Selezionare un nome esistente dalla lista a discesa o digitandolo direttamente nella casella di testo.
Premere il pulsante Delete e confermare l'operazione.
Modifica di un utente (gruppo) esistente
1.
2.
3.
4.
Selezionare un nome esistente dalla lista a discesa o digitandolo direttamente nella casella di testo.
Quando ci si sposta su di un altro elemento della finestra, le proprietà del profilo dovrebbero venire
caricate.
Quando si apporta una modifica al profilo dall'ultimo salvataggio, compare una piccola sfera blu per
indicare che sono state apportate modifiche al profilo senza averle ancora salvate: .
Al termine, premere Update per salvare i cambiamenti oppure Revert per ripristinare i valori originali
dell'ultimo salvataggio.
Considerazioni sulle impostazioni dei profili nel Profile Manager
Tutti i parametri configurabili per gli utenti possono venire impostati anche nei gruppi (ad eccezione del
campo e-mail che viene ignorato nei gruppi).
Lasciando vuota una impostazione, compare nel riquadro la scritta (group) per ricordare che il parametro
omesso verrà ricercato da NTTacPlus server nei gruppi a cui il profilo eventualmente appartiene.
Se il profilo non dovesse appartenere ad alcun gruppo, l'impostazione non ha alcun valore. Per i parametri
obbligatori (come ad esempio la data di scadenza dell'account), occorre verificare che essi esistano (nel
profilo utente o di gruppo d'appartenenza), altrimenti l'autenticazione o l'autorizzazione falliscono.
Impostazioni della sezione General
Parametro
Full Name
Account disabled
E-Mail
Expiration date
Activation date
Max concurrent logins
Privilege level
Allowed NASes
Master Soft S.n.c.
Descrizione
equivale a [Global]
equivale a [Global]
equivale a [Global]
equivale a [Global]
equivale a [Global]
equivale a [Global]
equivale a [Global]
equivale a [Global]
/
/
/
/
/
/
/
/
Name=
Disabled=1
Email=
Expires=
EffectiveFrom=
MaxLogins=
Privilege=
NAS=
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
Allowed Port
Caller/Called ID
Comment
pag. 70/95
equivale a [Global] / Port=
equivale a [Global] / CallerID=
equivale a [Global] / Comment=
Impostazioni della sezione Password
Parametro
Regular Password
No Password
Blank Password
NT Proxy Password
TACACS+ Proxy Password
DES Encrypted Password
UNIX password file
Descrizione
equivale a [Global]
equivale a [Global]
equivale a [Global]
equivale a [Global]
equivale a [Global]
equivale a [Global]
equivale a [Global]
/
/
/
/
/
/
/
Passwd=<password_utente>
Passwd=[NONE]
Passwd=
(vuoto)
Passwd=[NT]
Passwd=[TACACS+]
Passwd=[DES]
Passwd=[UNIX]
Impostazioni della sezione Options
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 71/95
Sezione
Failed login attempts
Parametro
Send e-mail
Failed login attempts
Disable the account
Concurrent logins
exceeded
Concurrent logins
exceeded
Concurrent logins
exceeded
Send e-mail
Disable the account
Terminate sessions
Send a copy of...
Authenticate even if...
Descrizione
equivale a [Suspicious] /
OnFailedEmail=
equivale a [Suspicious] /
OnFailedDisable=
equivale a [Suspicious] /
OnMultipleAccessEmail=
equivale a [Suspicious] /
OnMultipleAccessDisable=
equivale a [Suspicious] /
OnMultipleAccessKill=
equivale a [Suspicious] /
EmailNotifyToUsers=
equivale a [Suspicious] /
OnExpiredAuthenticate=
Impostazioni della sezione Warnings
Parametro
Send msg when expiring (date)
Email msg file (date)
Send msg when expiring (time)
Email msg file (time)
Send msg when expiring (traffic)
Email msg file (traffic)
Master Soft S.n.c.
Descrizione
equivale a [Suspicious] / OnExpiringEMail=
equivale a [Global] / ExpiringEMailMsg=
equivale a [Suspicious] / OnTimeLowEMail=
equivale a [Global] / TimeLowEMailMsg=
equivale a [Suspicious] / OnTrafficLowEMail=
equivale a [Global] / TrafficLowEMailMsg=
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 72/95
Impostazioni della sezione Group membreship
Questa sezione imposta l'appartenenza del profilo ai gruppi, ed equivale a [Global] / Groups=.
I pulsanti Up e Down servono per scambiare l'ordine di appartenenza ai gruppi, poiché la ricerca dei
parametri nei gruppi di appartenenza avviene secondo l'ordine stabilito in questa lista.
Il parametro Post authentication script equivale a [Global] / AuthenScript=
Impostazioni della sezione Hours
Parametro
Login Hours
Week plan
Mon
Tue
Wed
Thu
Fri
Sat
Sun
Descrizione
equivale a [Global] / LoginHours=
equivale ad impostare [Global] / LoginHours=weekly
equivale a [WeekPlan] / Mon=
equivale a [WeekPlan] / Tue=
equivale a [WeekPlan] / Wed=
equivale a [WeekPlan] / Thu=
equivale a [WeekPlan] / Fri=
equivale a [WeekPlan] / Sat=
equivale a [WeekPlan] / Sun=
NOTA: Impostando un piano settimanale e lasciando vuoto un giorno della settimana, se l'impostazione per
quel giorno non è impostata nemmeno a livello di gruppo, l'accesso per quel giorno verrà negato. Per
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 73/95
concedere un accesso a tutta la giornata senza restrizioni, occorre specificare esplicitamente un
intervallo di 24 ore.
Impostazione sezione Credits
Parametro
Max connection time
Initial Time
Time Left
Assign a time quota
Quota
Reset quota left
Kill when exceeding
time credit
Kill when time quota
is over
Allow extra-credit
time
Initial KBytes
KBytes Left
Allow extra-credit
Kbytes
Master Soft S.n.c.
Descrizione
equivale a [Global] / MaxConnectionTime=
equivale a [Credits] / TimeInitial=
equivale a [Credits] / TimeLeft=
equivale a [Credits] / QuotaPeriod=
equivale a [Credits] / Quota=
cancella il parametro [Credits] / Quota= riazzerando la quota
equivale a [Credits] / OnTimeExceededKill=1
equivale a [Credits] / OnQuotaExceededKill=1
equivale a [Credits] / OnExtraTimeCharge=1
equivale a [Credits] / KBytesInitial=
equivale a [Credits] / KBytesLeft=
equivale a [Credits] / OnExtraKBytesCharge=1
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 74/95
Impostazioni della sezione TACACS+ Command Authorization
Parametro
Descrizione
Permit commands not
equivale a [Authorization] / DefaultCommand=
explicitly configured
Permit services not
equivale a [Authorization] / DefaultService=
explicitly configured
Do not append all
equivale a [Authorization] / NoAppendTacCmd=
group configured
commands
La sezione relativa ai comandi configurati e le permissions, equivale alle sezioni [cmd <cmd_name>].
Per aggiungere la configurazione per l'autorizzazione di un comando della shell, digitare il comando nella
casella di testo di sinistra (ad es. telnet) e premere il pulsante Add di sinistra.
Selezionare quindi il comando appena aggiunto nella lista dei comandi, poi digitare nella casella di testo di
destra i parametri configurati per il comando, scegliendo permit o deny e premere il pulsante Add di destra.
Impostazioni della sezione TACACS+ Services
Le impostazioni di questa sezione equivalgono, nel profilo, alla sezione [Services] se è selezionata
l'opzione Ordinary authorization, mentre equivalgono alla sezione [Services Expired] se è
selezionata l'opzione Expired authorization.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 75/95
La lista dei servizi configurati in Configured services equivale alle righe
<svc_name>-<protocol>=permit|deny
Per aggiungere una lista di coppie A/V ad un servizio configurato, selezionare il servizio nella lista di
sinistra, quindi aggiungere ciascuna coppia nella casella di testo di destra e premere Add. La coppia può
avere il formato:
attributo=valore
oppure
attributo*valore
L’opzione Do not append all group services equivale al parametro [Authorization] /
NoAppendTacSvc=
Impostazioni della sezione RADIUS CheckList
Le impostazioni di questa sezione equivalgono, nel profilo, alla sezione [RADIUS CheckList] se è
selezionata l'opzione Ordinary authorization, mentre equivalgono alla sezione
[RADIUS Expired CheckList] se è selezionata l'opzione Expired authorization.
Ciascuna riga della lista di attributi da verificare, aggiunta selezionando a sinistra l’attributo, inserendo a
destra il valore e premendo Add, compare come corpo della sezione del profilo utente nel formato
attributo=valore
Il contenuto delle caselle a discesa per gli attributi e i valori dipende dal file del dizionario di attributi
RADIUS (file RADDICT.DAT).
L’opzione Do not append all group attribute check list equivale al parametro [RADIUS] /
NoAppendRadChk=
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 76/95
Impostazioni della sezione RADIUS Reply List
Le impostazioni di questa sezione equivalgono, nel profilo, alla sezione [RADIUS ReplyList] se è
selezionata l'opzione Ordinary authorization, mentre equivalgono alla sezione
[RADIUS Expired ReplyList] se è selezionata l'opzione Expired authorization.
Ciascuna riga della lista di attributi da restituire al NAS dopo l’autenticazione, aggiunta selezionando a
sinistra l’attributo, inserendo a destra il valore e premendo Add, compare come corpo della sezione del
profilo utente nel formato:
attributo=valore
Il contenuto delle caselle a discesa per gli attributi e i valori dipende dal file del dizionario di attributi
RADIUS (file RADDICT.DAT).
L’opzione Do not append all group attribute check list equivale al parametro [RADIUS] /
NoAppendRadRep=
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 77/95
I dati di Accounting
Dati di Accounting generati da NTTacPlus
NTTacPlus è in grado di generare diversi tipi di output riguardo ai dati di accounting, cioè i dati sul numero,
sulla durata e sul traffico delle sessioni registrate da NTTacPlus:
File di testo separati per ciascun utente, creati nella directory di Accounting, il cui nome coincide con la
username dell'utente, e con estensione .log. Questi file registrano, per ciascun utente, tutti i messaggi
di accounting inviati dal NAS.
File di testo di accounting globali, creati giornalmente nella directory di Accounting, il cui nome è nel
formato yyyymmdd.acc (anno/mese/giorno). Questi file registrano, per ogni sessione utente,
informazioni sulla durata e sul traffico generato relativamente a tale sessione.
Output di accounting globale su database SQL/ODBC. Questi dati vengono inseriti in una tabella (il cui
formato è descritto più avanti), e registrano i dati su ogni sessione utente, sulla sua durata e sul traffico
che ha generato.
File di Accounting per utente
I file di accounting generati singolarmente per ogni utente contengono i dati esatti ricevuti come messaggi di
accounting dal server NAS. Ogni riga (record) rappresenta un messaggio di START, STOP, o UPDATE ed
elenca i campi in formato separato da virgole (comma delimited), con il seguente significato:
Campo
Datetime
Type
NAS
Port
CallerID
ExtraArgs
Task_ID
Elapsed_Time
Bytes_In
Bytes_Out
Paks_In
Paks_Out
Bytes
Paks
Descrizione
Data/ora di ricezione del messaggio, (formato dd-mm-yyyy hh:mm:ss)
Tipo del messaggio ("START", "STOP", o "UPDATE")
Nome o indirizzo del NAS da cui proviene il messaggio
Nome della porta su cui è collegato l'utente
Eventuale Caller ID dell'utente (ad es. n. telefono chiamante)
elenco separato da punti e virgole di argomenti aggiuntivi inviati dal NAS
Numero univoco che identifica il task (comune alle coppie START/STOP)
Durata in secondi della connessione
Totale bytes inviati dall'utente
Totale bytes ricevuti dall'utente
Totale pacchetti inviati dall'utente
Totale pacchetti ricevuti dall'utente
Totale bytes scambiati dall'utente (se applicabile)
Totale pacchetti scambiati dall'utente (se applicabile)
Esempio:
15-01-1998 14:30:49,START(2),194.184.16.2,tty53,async/321457913,
addr=194.184.16.57;service=ppp,3769,0,0,0,0,0,0,0
15-01-1998 14:30:49,UPDATE(8),194.184.16.2,tty53,async/321457913,
addr=194.184.16.57;service=ppp;protocol=ip,3769,0,0,0,0,0,0,0
15-01-1998 14:32:56,STOP(4),194.184.16.2,tty53,async/321457913,
addr=194.184.16.57;service=ppp;protocol=ip,3769,133,12415,49283,162,106,0,0
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 78/95
File di Accounting globali
I file di accounting globale memorizzano in ogni riga (record) ciascuna sessione utente. I file (ASCII)
contengono i campi in formato separato da tabulazione (tab delimited), con il seguente significato:
Campo
Username
CallerID
Addr
NAS
Port
StartTime
Descrizione
StopTime
Data/ora di termine della sessione (formato dd-mm-yyyy hh:mm:ss)
Durata in minuti della sessione, arrotondata per eccesso secondo quanto
configurato nelle opzioni di NTTacPlus
Durata in minuti della sessione (arrotondata per eccesso), dopo il
superamento del credito in tempo dell'account
Credito totale residuo in minuti dopo la sessione
Totale kbytes inviati dall'utente
Totale kbytes ricevuti dall'utente
Totale traffico (in kbytes) generato durante la sessione, arrotondato per
eccesso secondo quanto configurato nelle opzioni di NTTacPlus
Totale traffico (in kbytes) generato durante la sessione (arrotondato per
eccesso), dopo il superamento del credito in traffico dell'account
Credito totale residuo in kbytes dopo la sessione
SessionTime
ExtraTime
TimeLeft
KBytesIN
KBytesOut
SessionKB
ExtraKB
KBytesLeft
Nome dell'account a cui si riferisce la sessione
Eventuale Caller ID dell'utente (ad es. n. telefono chiamante)
Eventuale indirizzo dell'utente
Nome o indirizzo del NAS su cui si è collegato l'utente
Nome della porta su cui si è collegato l'utente
Data/ora di inizio della sessione (formato dd-mm-yyyy hh:mm:ss)
I campi ExtraTime, TimeLeft, ExtraKB e KBytesLeft vengono normalmente impostati a zero per
le connessioni che non hanno limite di traffico o di tempo, mentre diventano utili per gli account a credito.
La durata effettiva (non arrotondata) di una sessione può venire calcolata come differenza tra start e stop.
Esempio
Se l'utente ermenegildo ha comprato una connessione per 200 minuti totali, può avere diverse sessioni, per
ciascuna delle quali consumerà una certa parte del suo credito. Supponiamo che la durata media delle sue
sessioni sia di circa 10-20 minuti. Allora nei dati di accounting comparirà un record per ogni sessione di
ermenegildo, per esempio:
Sessione
1
SessionTime
20
ExtraTime
0
TimeLeft
180
2
10
0
170
3
25
0
145
…
…
…
…
23
30
0
20
Dopo 23 sessioni, ermenegildo ha un credito residuo di 20 minuti. Se il suo profilo non ha impostato il
parametro OnExtraTimeCharge=1, l'utente sarà in grado di collegarsi per i rimanenti 20 minuti,
dopodiché nei tentativi successivi di connessione l'accesso gli sarà negato.
Se invece è impostato OnExtraTimeCharge=1, ermenegildo potrà continuare a collegarsi anche dopo
aver esaurito il credito di 20 minuti, ma il consumo in eccedenza verrà memorizzato nel campo ExtraTime
anziché nel campo SessionTime.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 79/95
Supponiamo che, avendo 20 minuti di credito, si colleghi per 30 minuti (eccedendo così di 10 minuti).
Supponiamo infine che si colleghi ancora in un'altra sessione per 40 minuti. La durata delle sessioni verrà
così registrata nei dati di accounting:
Sessione
24
SessionTime
20
ExtraTime
10
TimeLeft
0
25
0
40
0
Questo significa che, sommando tutti i valori di SessionTime per un dato account da quando l'utente ha
iniziato a consumare il credito, si ottiene il credito iniziale (in questo esempio 300), mentre per avere il
consumo extra è sufficiente sommare tutti i valori di ExtraTime (10 + 40 = 50 minuti).
Lo stesso procedimento viene impiegato anche per il consumo del traffico in KBytes.
È possibile quindi, per un ISP, ad esempio, vendere un abbonamento per un totale di 300 ore di connessione,
consentendo l'accesso anche a credito esaurito, e facendo pagare una determinata tariffa oraria per ogni ora di
connessione oltre il credito iniziale. Il provider determina la durata totale delle connessioni extra sommando
sul campo ExtraTime.
Dati di Accounting su datasource ODBC
Gli stessi record che vengono registrati nei file di accounting di testo giornalieri, possono venire registrati
anche in un database SQL attraverso l'uso di un datasource ODBC. Il database deve essere configurato in
modo da contenere una tabella che abbia un formato simile a quella fornita nel database di esempio
(stat.mdb) che è un file di MS Access 97. I campi della tabella di accounting sono dati nel seguente
ordine:
Campo
Username
CallerID
Addr
NAS
Port
StartTime
StopTime
SessionTime
ExtraTime
TimeLeft
KBytesIN
KBytesOut
SessionKB
ExtraKB
KBytesLeft
Tipo
TEXT
TEXT
TEXT
TEXT
TEXT
DATE/TIME
DATE/TIME
LONG INTEGER
LONG INTEGER
LONG INTEGER
LONG INTEGER
LONG INTEGER
LONG INTEGER
LONG INTEGER
LONG INTEGER
Output ODBC degli utenti attivi
Gli stessi record che vengono visualizzati nella finestra monitor degli utenti attivi, possono venire registrati in
tempo reale anche in un database SQL attraverso l'uso di un datasource ODBC. Il database deve essere
configurato in modo da contenere una tabella che abbia un formato simile a quella fornita nel database di
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 80/95
esempio (stat.mdb) che è un file di MS Access 97. I campi della tabella di accounting sono dati nel
seguente ordine:
Campo
UserID
NAS
Port
Username
CallerID
Address
LoginTime
Tipo
TEXT (Primary Key)
TEXT
TEXT
TEXT
TEXT
TEXT
DATE/TIME
Ad ogni inizio o termine sessione di un dato utente, il corrispondente record nella tabella viene aggiunto o
rimosso contemporaneamente a quanto riportato a video. È così possibile, ad esempio, tramite un gateway
ODBC, consultare da una pagina web gli utenti collegati on-line.
Configurazione dell’accounting
Tutti i parametri per la configurazione dell’accounting in NTTacPlus sono organizzati nella sezione
Accounting della finestra di configurazione del server (Tools/Options o F8).
Attivazione dell’accounting di testo globale e per utente
Sezione
Parametro
Valore
Accounting
Accounting directory
Imposta il percorso dove NTTacPlus crea i file di
accounting ASCII
Enable accounting text output
Abilita la creazione dei file ASCII giornalieri di
accounting (*.acc)
Per-user accounting logging
Abilita la creazione di file ASCII per utente che
registrano tutti i messaggi di accounting ricevuti
dal NAS (*.log)
Log unknown user accounting
Registra tutti i dati di accounting relativi a
username non configurate nel file
_unknown_.log
L’opzione Log unknown user accounting consente a NTTacPlus di creare, sempre nella directory di
accounting, un file chiamato _unknown_.log nel quale confluiscono tutti i messaggi di accounting ricevuti
dai NAS, relativi ad account che non sono configurati nel database di NTTacPlus (ad es. record di accounting
con username nulla). Se questa opzione non è barrata, NTTacPlus semplicemente ignora tali record.
Invio accounting di username sconosciute alla finestra sessioni attive
Sezione
Parametro
Valore
Accounting
Send unknown users to active
window
Mostra anche utenti sconosciuti (non configurati)
nella finestra degli utenti attivi (registrandone
quindi la sessione)
L’opzione Send unknown users to active window fa in modo che NTTacPlus registri regolarmente le sessioni
attive (mostrandole quindi anche nella finestra delle sessioni attive) anche dai messaggi di accounting relativi
a username sconosciute (non configurate). Questa opzione può essere utile nel caso si utilizzi un unico
profilo di default per cui gli account effettivi non sono memorizzati nel database di NTTacPlus. In caso
contrario è consigliabile lasciare disattivata questa opzione.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 81/95
Esecuzione di uno script personalizzato post-accounting
Sezione
Parametro
Valore
Accounting
Run the following post accounting
external script
Abilita l’esecuzione di uno script esterno alla
ricezione di ogni messaggio di accounting dai
NAS
È possibile configurare NTTacPlus in modo da eseguire uno script o un’applicazione esterna per ogni
messaggio di accounting ricevuto dal NAS. Questa funzione rende possibile estendere l’accounting di
NTTacPlus secondo proprie procedure personalizzate.
NOTA: questa impostazione opera a livello globale, e non per utente, al contrario di quanto accade invece
per gli script post-autenticazione.
È possibile passare sulla riga di comando al programma o script da richiamare una serie di parametri, tramite
l’utilizzo delle seguenti macro:
Macro
Valore
$user
Username
Indirizzo IP o nome del NAS
Porta/interfaccia
Caller ID
Indirizzo di rete
Livello di privilegio
Tipo di record di accounting (= START, STOP o UPDATE)
Identificativo della sessione
Tempo trascorso (in secondi), calcolato dal NAS e non da NTTacPlus
Byte trasferiti in input
Byte trasferiti in output
Pacchetti trasferiti in input
Pacchetti trasferiti in output
$nas
$port
$clid
$addr
$priv
$type
$taskid
$elapsed
$bytesin
$bytesout
$paksin
$paksout
Non è necessario che lo script post-accounting ritorni alcun codice o risposta a NTTacPlus.
Esempio per uno script (inutile) post-accounting
Riga di comando configurata nella finestra delle opzioni:
cmd.exe /c c:\nttacplus2\external\foolacct.bat $user $type
Contenuto del file di script c:\nttacplus\external\foolacct.bat
@echo off
if not "%1"=="alberto" goto exit_foolacct_bat
if "%2"=="START" goto is_start
if "%2"=="STOP" goto is_stop
goto exit_foolacct_bat
:is_start
net send davide "Hey, Alberto is logging on!"
goto exit_foolacct_bat
:is_stop
net send davide "Hey, Alberto is logging off!"
:exit_foolacct_bat
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 82/95
Arrotondamento nel calcolo del consumo di tempo e traffico
Sezione
Parametro
Valore
Accounting
Session time rounding offset
Arrotondamento (in minuti) per eccesso che viene
applicato al tempo nell’accounting (definisce il
pacchetto “minimo” di tempo)
Session traffic rounding offset
Arrotondamento (in Kbytes) per eccesso che viene
applicato al traffico nell’accounting (definisce il
pacchetto “minimo” di traffico)
L'impostazione di time rounding offset fissa il valore minimo, in minuti, con il quale calcolare
l'arrotondamento per eccesso del tempo di connessione di una singola sessione. Ad esempio, se fisso questo
valore a 5 minuti, i tempi di connessione vengono calcolati di 5 minuti in 5 minuti: 7 minuti e 32 secondi di
connessione diventano 10 minuti, un'ora e 42 minuti diventa un'ora e 45, ecc.
L'opzione è utile per fissare uno "scatto" minimo di tempo che l'utente comunque consuma. Si applica agli
account che prevedono un monte ore di connessione.
Il procedimento equivalente si applica al conteggio del traffico generato in KBytes (somma del traffico in
entrata e di quello in uscita), dove è possibile fissare il "consumo" minimo in KBytes nell'impostazione di
traffic rounding offset.
Impostazione delle soglie di avvertimento
NTTacPlus è in grado di inviare agli utenti email personalizzate di notifica che avvertono della prossima
scadenza (scadenza temporale o esaurimento di crediti di tempo o traffico). È possibile impostare la soglia
minima al di sotto della quale l’account “entra in riserva”, facendo inviare a NTTacPlus un messaggio email
di avvertimento.
Sezione
Parametro
Valore
Accounting
Date expiration warning
Imposta il periodo di avvertimento precedente la
scadenza dell'account
Time expiration warning
Imposta la soglia di avvertimento (tempo) per
l’esaurirsi del credito
Traffic expiration warning
Imposta la soglia di avvertimento (traffico) per
l’esaurirsi del credito
Preparazione per l’accounting su ODBC
Sezione
Parametro
Valore
Accounting
Enable ODBC accounting
attiva l’utilizzo di un database ODBC per la
memorizzazione dei dati di accounting
Datasource name
Nome del datasource di sistema configurato per
l’accounting
Login Username
Account da usare per la connessione al datasource
Login Password
Password da usare per la connessione al datasource
Accounting table name
Nome della tabella che memorizza i dati sulle sessioni
utente
Log active users on table
Abilita il mantenimento di una tabella sincronizzata
con il contenuto della finestra degli utenti attivi
Automatic reconnect on
connection failure
Abilita il ripristino automatico della connessione al
datasource nel caso di perdita di connessione (ad es.
SQL Server via TCP/IP)
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 83/95
Per poter sfruttare in pieno le potenzialità di accounting è possibile utilizzare un database SQL ODBC per la
memorizzazione dei dati relativi alle sessioni. Occorre configurare un datasource ODBC che faccia
riferimento al database per l’accounting:
1.
2.
3.
4.
5.
6.
Dal Pannello di Controllo selezionare ODBC.
Selezionare la finestra per la creazione di System DSN (DSN di sistema)
Premere Add (Aggiungi) e selezionare il tipo di database (ad es. MS Access Driver)
Indicare un nome per il datasource (ad es. accessi) ed eventualmente una descrizione
Premere Select (Seleziona) e indicare il percorso/nome del database (ad es.
c:\NTTacPlus2\odbc\stat.mdb)
Premere OK, chiudere tutte le finestre ed il pannello di controllo. Il datasource è configurato.
Per abilitare in NTTacPlus l’output dei dati di accounting su ODBC, attivare la casella Enable ODBC
accounting output, inserendo opportuni valori nei campi Datasource name, username e password a seconda
di quanto impostato nel Pannello di Controllo/ODBC (ad. es “accessi”, “admin”, “”).
Inserire in Accounting table name il nome della tabella che riceverà informazioni di accounting.
Se si desidera mantenere aggiornata anche la tabella contenente le sessioni attive, barrare la casella Log
active users on table specificando anche il nome della tabella per le sessioni attive.
Il file di esempio stat.mdb fornito con NTTacPlus contiene le due tabelle per l’accounting e le sessioni
attive, chiamate rispettivamente Accounting e ActiveUsers.
L’ultima opzione (Automatic reconnect on connection failure) fa in modo che NTTacPlus, in caso di perdita
di connessione con il driver ODBC e il datasource, avvii automaticamente un thread che tenta la
riconnessione al datasource. Questa funzione è utile tipicamente con i database SQL remoti (come ad
esempio Oracle o SQL Server) che prevedono per esempio una connessione TCP/IP tra il driver ODBC e
l’host su cui è in esecuzione il motore del database.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 84/95
Esempi di elaborazione dei dati di Accounting
Questo paragrafo presenta alcuni esempi su come estrapolare i dati di accounting per diverse elaborazioni.
Presuppone l'utilizzo dell'output di accounting su di un database SQL/ODBC e riporta gli esempi come query
SQL.
Estrazione delle sessioni di un utente in un intervallo di date
Sessioni dell'utente ermenegildo tra 01-gen-99 e 10-gen-99:
SELECT * FROM Accounting
WHERE (Start Between #1/1/99# And #1/10/99#) AND (Username = "ermenegildo")
ORDER BY Start;
Conteggio delle sessioni di un utente in un intervallo di date
Numero di sessioni dell'utente ermenegildo tra 01-gen-99 e 10-gen-99:
SELECT Count(username) AS NumeroSessioni FROM Accounting
HAVING (Start Between #1/1/99# And #1/10/99#) AND (Username = "ermenegildo");
Conteggio del traffico e del tempo extra di un utente
Traffico e tempo extra dell'utente ermenegildo tra 01-feb-99 e 28-feb-99:
SELECT Sum(ExtraTime) AS SommaTime, Sum(ExtraKB) AS SommaKB FROM Accounting
HAVING (Username = "ermenegildo") AND (Start Between #2/1/99# And #2/28/99#);
Chi si è collegato a mezzanotte del capodanno '98-'99
Nessun commento aggiuntivo (!):
SELECT * FROM Accounting
WHERE (Start <= #12/31/98 11:59:00 PM#) AND (Stop > #1/1/99#)
ORDER BY Start;
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 85/95
Configurazione manuale
NTTacPlus memorizza tutti i parametri relativi alla propria configurazione in un file di testo chiamato
NTTACP.INI e situato nella stessa directory principale ove risiede il programma eseguibile.
Non è necessario intervenire direttamente sul file di configurazione, poiché tutti parametri sono impostabili
direttamente dalla finestra delle opzioni nella console remota.
La modifica manuale di alcuni parametri del file di configurazione, inoltre, richiede l’arresto e il riavvio di
NTTacPlus per rendere effettive le modifiche, mentre, utilizzando la console remota, ogni modifica alla
configurazione diviene immediatamente attiva alla chiusura della finestra delle opzioni.
Tuttavia, in alcuni casi è opportuno operare direttamente sul file di configurazione, ad esempio quando
modifiche incaute da console bloccano il funzionamento del server e anche tutti i tentativi successivi di
riaccedere al server da console.
Struttura del file di configurazione
Il file di configurazione NTTACP.INI ha la struttura dei file INI di Windows, ed è suddiviso in sezioni. La
seguente tabella illustra tutti i parametri del file, indicandone l’equivalente nella finestra delle opzioni e
segnalando se la modifica manuale del parametro richiede il riavvio del server.
Sezione
Parametro
Nella finestra opzioni equivale a (sezione/valore)
[Options]
LogPath
Logging / Log file directory
General / User file directory
General / Group file directory
Accounting / Accounting directory
General / Pre-authentication message file
General / Post-authentication message file
TACACS+ / Username prompt
TACACS+ / Password prompt
TACACS+ / Enable prompt
General / Notification E-Mail Address
General / SMTP Server
Secrets / Default secret key
General / Max login attempts
Accounting / Session time rounding offset
Accounting / Session traffic rounding offset
(vedi tabella dedicata più avanti)
TACACS+ / TACACS+ TCP Port
Accounting / Date expiration warning period
General / First day of week
General / Server source e-mail
Accounting / Time expiration warning period
Accounting / Traffic expiration warning period
General / Periodic check interval
RADIUS / RADIUS Authentication port
RADIUS / RADIUS Accounting port
UserPatha
GroupPath
AcctPath
PreAuthMsgFile
PostAuthMsgFile
UsernamePrompt
PasswordPrompt
EnablePrompt
Email
SMTP
Key
MaxLoginAttempts
TimeRoundUp
KbytesRoundUp
Debug
TacacsPort
WarningPeriod
FirstDayOfWeek
SourceEMail
WarningTime
WarningKBytes
UserCheckInterval
RADIUSAuthPort
RADIUSAcctPort
Master Soft S.n.c.
NTTacPlus Access Control Server
Richiede
riavvio
sì
sì
sì
sì
no
no
no
no
no
sì
sì
sì
sì
sì
sì
sì
sì
sì
sì
sì
sì
sì
sì
sì
sì
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 86/95
Flags
(vedi tabella dedicata più avanti)
Accounting / post accounting script
usato internamente
sì
no
--
Registration / Registration name
Registration / Registration key 1
Registration / Registration key 2
sì
sì
sì
Accounting / ODBC Datasource name
Accounting / Accounting table name
Accounting / Login Username
Accounting / Login Password
Accounting / online users table
General / User database / using this datasource
General / DB Username
General / DB Password
sì
sì
sì
sì
sì
sì
sì
sì
Messages / Account disabled
Messages / Too many logins
Messages / Invalid login time
Messages / Login time-up
Messages / Login Kbytes-up
Messages / Bad login user/pwd
Messages / Bad login NAS port
Messages / Bad login NAS
Messages / Account expiring
Messages / Account expired
Messages / Quota time-up
Messages / Account not effective
no
no
no
no
no
no
no
no
no
no
no
no
Backup / Primary server port
Backup / Backup interval
Backup / Primary server name or address
Backup / Primary login username
Backup / Primary login password
sì
sì
sì
sì
sì
Synch / Username for RSHELL
Synch / Command to issue with RSHELL
no
no
NASResynchPorts
Synch / List of NAS to query
Synch / List of valid interfaces
no
no
[Holiday]
(dd-mm list)
elenco festività come nella sezione Holiday
no
[Kill]
(interface list)
elenco interfacce/comandi come nella sezione Kill
no
[Keys]
(nas list)
elenco ip/chiavi come nella sezione Secrets
no
AccountingScript
LSCfgChkPt
[Registration]
Name
Key1
Key2
[ODBC]
Datasource
AccountingTable
LoginUser
LoginPasswd
OnlineTable
UserDBDatasource
UserDBLoginUser
UserDBLoginPasswd
[Messages]
AccountDisabled
TooManyLogins
InvalidLoginTime
LoginTimeUp
LoginKBytesUp
BadLoginPassword
BadLoginPort
BadLoginNAS
AccountExpiring
AccountExpired
QuotaTimeUp
AccountNotEffective
[Backup]
PrimaryTacascPort
BackupInterval
PrimaryTacacsServer
TacUser
TacPass
[RSH]
Username
AccountingCommand
[Resynch]
Master Soft S.n.c.
NASResynchList
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 87/95
I parametri speciali Flags e Debug
Tutte le opzioni di NTTacPlus che sono configurabili barrando una casella con un segno di spunta vengono
memorizzate nel file di configurazione sotto forma di valori numerici (bitmapped) in due parametri della
sezione [Options]: Debug (per quanto riguarda le opzioni di dettaglio dell’activity event log) e Flags (per
tutte le altre opzioni). La modifica di uno qualsiasi di questi parametri richiede il riavvio del server.
Valori di Flags
Opzione equivalente della finestra di configurazione
Valore (esadecimale)
General / Resolve names (DNS)
Secrets / Always encrypt
Accounting / Enable accounting text output
Accounting / Enable ODBC accounting
TACACS+ / Ignore multiple STOP records
Backup / Remove local accounts before backup
Backup / Enable this server for backup
General / Use username for maxlogins check
General / Email admin on unknown users
General / Enable <default> user
General / Create user profile from <default>
Accounting / Log active users on table <nn>
Accounting / Per-user accounting logging
Logging / Enable logging to file
Accounting / Automatic reconnect on connection failure
(valore usato internamente)
Accounting / Log unknown user accounting
Accounting / Send unknown users to the active window
Backup / Forward accounting to primary server
Secrets / Restrict NAS to configured IP addresses only
Synch / Perform synchronization during active users check
Logging / Enable logging to screen
Synch / Perform synchronization on maxlogins collision detected
General / Enable ODBC user database
Accounting / Run the post accounting script
General / Serialize SQL queries
RADIUS / Use Session-Timeout for disconnection
0x00000001
0x00000002
0x00000004
0x00000008
0x00000010
0x00000020
0x00000040
0x00000080
0x00000100
0x00000200
0x00000400
0x00000800
0x00001000
0x00002000
0x00004000
0x00008000
0x00010000
0x00020000
0x00040000
0x00080000
0x00100000
0x00200000
0x00400000
0x00800000
0x01000000
0x02000000
0x04000000
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 88/95
Valori di Debug
Opzione equivalente della finestra di configurazione (logging)
Valore (esadecimale)
Extended session
Session thread execution
Authorization session
Authentication session
Accounting session
Password checking
Backup events
Packet dumping
Port cleaning commands
User account charging
SMTP connections
Max logins check
0x00000002
0x00000004
0x00000008
0x00000010
0x00000020
0x00000040
0x00000080
0x00000100
0x00001000
0x00002000
0x00004000
0x00008000
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 89/95
Attributi su NAS Cisco
Elenco degli attributi supportati dai NAS Cisco
Questa sezione riporta l'elenco degli attributi per l'autorizzazione, come definito nelle specifiche del
protocollo TACACS+.
Attributo
Descrizione
acl
Numero ASCII che rappresenta una access-list di connessione. Usato solo
per il servizio Exec.
inacl
Identificatore ASCII per una access-list di input su di un'interfaccia.
outacl
Identificatore ASCII per una access-list di output su di un'interfaccia.
zonelist
Un valore numerico di zonelist (applicabile solo per AppleTalk).
addr
Un indirizzo di rete.
addr-pool
L'identificatore di un pool di indirizzi dal quale il NAS dovrebbe
assegnare un indirizzo.
routing
Booleano. Indica se l'informazione di routing debba essere propagata e
accettata da questa interfaccia.
route
Indica un percorso di routing da applicare a questa interfaccia. I valori
devono essere nel formato "<indirizzo_dest> <maschera>
[<indirizzo_routing>]". Se <indirizzo_routing> non è
specificato, il percorso risultante dovrebbe passare dal peer richiedente.
timeout
Un timer assoluto per la connessione (in minuti). Un valore pari a zero
indica nessun timeout. Non applicabile ai servizi PPP.
idletime
Un timeout di inattività per la connessione (in minuti). Un valore pari a
zero indica nessun timeout.
autocmd
Un comando da eseguire automaticamente. Valido solo su servizio Exec.
noescape
Booleano. Impedisce all'utente di usare un carattere di escape. Valido solo
per il servizio Exec.
nohangup
Booleano. Non disconnette dopo un comando automatico. Valido solo per
il servizio Exec.
priv-lvl
Livello di privilegio da assegnare.
remote_user
ID dell'utente remoto (valido se l'autenticazione è avvenuta con RCMD).
remote_host
Host remoto (valido solo se l'autenticazione è avvenuta con RCMD).
callback-dialstring
Indica che dovrebbe venire eseguito un callback. Il valore è NULL,
oppure una stringa di dial. Un valore NULL indica che il servizio può
scegliere di recuperare la stringa di dial altrove.
callback-line
Il numero di linea da usare per il callback.
callback-rotary
Il numero di rotary da usare per il callback.
nocallback-verify
L'autenticazione non è richiesta dopo il callback.
Per gli attributi di tipo booleano, i valori validi sono "true" o "false". Un valore NULL indica un
attributo con una stringa di lunghezza zero.
Una descrizione più dettagliata degli attributi è disponibile online sul sito CCO di Cisco all’indirizzo
http://www.cisco.com/univercd/cc/td/doc/product/software/ios120/12cgcr/secur_c/scprt6/index.htm
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 90/95
Supporto Tecnico/Registrazione
Documentazione da allegare alle comunicazioni
Per aiutarci a fornire rapidamente soluzioni ai vostri problemi o alle vostre domande, vi invitiamo a preparare
le seguenti informazioni da includere in ogni segnalazione specifica che ci inviate:
1.
Tipo e numero di versione del sistema operativo su cui gira NTTacPlus server.
2.
Marca, modello e versione del sistema operativo del NAS (Network Access Server).
3.
Configurazione relativa ai protocolli RADIUS o TACACS+ nel NAS.
4.
File di configurazione di NTTacPlus (NTTACP.INI) ed eventualmente profili utente/gruppo interessati
5.
File di log generati da NTTacPlus (con le informazioni di debug più dettagliate possibili) che illustrino
il problema in oggetto.
6.
Numero di versione e build (potete recuperarli dalla finestra About...)
7.
Il nome e la chiave di registrazione che vi è stata fornita da Master Soft per l’attivazione del prodotto.
Registrazione del prodotto
Per ottenere la licenza d'uso e le chiavi che attivano il prodotto in modalità registrata,
LEGGERE ATTENTAMENTE E COMPILARE CON CURA IN OGNI SUA PARTE il modulo
d'ordine allegato (ORDINE.DOC), ed inviarlo via fax o come allegato di posta elettronica ai seguenti
indirizzi:
Ordine via FAX:
A: Master Soft S.n.c.
Supporto Software
Oggetto: Ordine NTTacPlus
Fax: +39-(0)321-465939
Ordine via E-mail:
To: [email protected]
Subject: Ordine NTTacPlus
Importante!
L'acquisto di una copia del prodotto garantisce il diritto alla licenza per l'uso di due copie installabili su due
macchine diverse (consentendo l'attivazione di un server primario ed uno di backup).
A seguito dell’ordine e della richiesta di registrazione, Master Soft vi fornirà due chiavi di attivazione per le
due rispettive copie del software.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 91/95
Contratto e Licenza d'uso
Master Soft S.n.c. concede in licenza all'utente finale il presente software NTTacPlus (il "Software") solo a
condizione che si accettino tutti i termini contenuti in questo contratto per la licenza d'uso prima
dell'installazione del software. Leggere attentamente tutti i termini del contratto. Installando, copiando o
usando in qualunque modo il Software, l'utente accetta di essere vincolato dalle condizioni del presente
contratto. Se l'utente non intende aderire alle condizioni del presente contratto, è tenuto a non installare
alcuna copia del Software e a distruggere le copie in suo possesso.
Licenza d'uso
Il Software è tutelato dalle leggi e dai trattati internazionali sul copyright, oltre che dalle leggi e trattati sulla
proprietà individuale.
Il Software che accompagna questa licenza è di proprietà della Master Soft S.n.c. e viene concesso in licenza,
non venduto. Mentre Master Soft S.n.c. mantiene la proprietà del Software, per un periodo di tempo limitato
l'utente potrà avere diritti limitati per l'uso del Software dopo aver accettato i termini di questa licenza.
Il presente contratto concede all'utente i seguenti diritti: usare due copie del software su due distinti computer
(una copia come server principale ed una copia come server di backup); creare una copia del Software per
l'archiviazione.
Non è possibile: copiare la documentazione che accompagna il Software; noleggiare o cedere con qualunque
forma di leasing qualsiasi parte del Software, decompilare, disassemblare, effettuare reverse engineering,
modificare, tradurre o compiere qualsiasi tentativo di risalire al codice sorgente del Software, o creare
applicazioni derivate dal Software, con l'eccezione di quanto espressamente consentito dalla legge in vigore.
Garanzia e responsabilità
Master Soft S.n.c. garantisce che il Software funzionerà, in conformità con quanto affermato nel materiale
scritto di accompagnamento, per un periodo di sessanta (60) giorni dalla data di acquisto e registrazione.
L'utente potrà godere di altri eventuali diritti che variano da paese a paese.
Nella massima misura consentita dalla legge Master Soft S.n.c. non riconosce relativamente al Software
alcuna garanzia, espressa o implicita, comprese la garanzia di commerciabilità ed idoneità ad un fine
particolare. Master Soft S.n.c. inoltre in nessun caso sarà responsabile per danni accidentali derivanti dall'uso
o dall'incapacità di fare uso del Software, anche nel caso in cui Master Soft S.n.c. sia stata avvertita della
possibilità di tali danni.
Termine del contratto
Master Soft S.n.c. può interrompere il diritto all'uso del Software dietro avviso all'utente finale, e l'utente
finale può interrompere questa licenza d'uso in qualunque momento distruggendo o cancellando qualunque
copia del Software in suo possesso. All'interruzione della licenza d'uso l'utente finale è tenuto a terminare
l'uso del Software e a rimuovere il Software dal proprio sistema. Master Soft S.n.c. si riserva il diritto di
modificare in qualunque momento e senza preavviso prezzi, caratteristiche, specifiche, funzioni, condizioni
di licenza, disponibilità o qualsiasi altra caratteristica del Software.
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
NTTacPlus – Installazione e Guida all’uso
pag. 92/95
Come contattarci
Per suggerimenti, consigli, segnalazione problemi, informazioni commerciali, di acquisto o di altro genere, lo
staff di supporto di Master Soft S.n.c. è raggiungibile al seguente indirizzo:
Master Soft S.n.c.
Piazzale Lombardia, 4
28100 NOVARA (ITALY)
Tel.
Fax
+39 – 0321 – 466 889
+39 – 0321 – 465 939
Lo staff di supporto Master Soft è contattabile per e-mail ai seguenti indirizzi:
Informazioni Commerciali:
[email protected]
Supporto Tecnico:
[email protected]
Staff di MSoft:
[email protected]
Novità, prezzi, informazioni e aggiornamenti sul software NTTacPlus e sugli altri software prodotti da
Master Soft sono disponibili online ai seguenti indirizzi web:
MSoft Software Site:
http://software.msoft.it/
MSoft Beta Software Site:
http://beta.software.msoft.it/
NTTacPlus Site:
http://www.nttacplus.com/
NTMonitor Site:
http://www.ntmonitor.com/
NTBatch Site :
http://www.ntbatch.com/
Master Soft S.n.c.
NTTacPlus Access Control Server
ver. 2.0
