Bom Dia Pessoal,
O objetivo deste post é ajudar nossos amigos a aproveitar ao máximo esta poderosa ferramenta de gerenciamento de provedores que é o MK-AUTH. Vejo muitos usuários com dúvidas acerca do processo de autenticação dos usuários, e nem sempre eles possuem os recursos para investigar com clareza quais os probemas que podem ocorrer neste processo.
Existem vários motivos que impedem o processo de autenticação do usuário no servidor. Entre eles:
1- Login ou senha errados
2- Múltiplo login
3- Servidor Mikrotik (NAS) não cadastrado no MK-AUTH, ou com o ip errado
4- Falha de comunicação entre o Mikrotik e o servidor
5- MAC Address do cliente diferente, etc
O problema é que quando passamos por algum problema de autenticação, nos logs do Mikrotik ele só nos mostra a informação "RADIUS TIMEOUT" e mais nada. Esta informação é muito genérica e não nos dá idéia do que exatamente está ocorrendo. Para isto, o ideal é sempre acompanhar este processo diretamente no servidor, no entanto precisaremos fazer algumas modificações nas configurações do radius para que ele nos dê as informações que precisamos.
1 - Acesse seu servidor via ssh. Pode utilizar o WinSCP, um programa muito bacana que te permite vizualizar e editar arquivos no servidor.
2- Na pasta: /etc/freeradius edite o arquivo radiusd.conf
3- Localize no arquivo a linha de comando "log" aonde ele trata dos logs no processo de autenticação
4- Verifique se está marcado para mostrar os logs, se não estiver deixe desta maneira:
log {
destination = files
file = ${logdir}/radius.log
syslog_facility = daemon
stripped_names = no
auth = yes
auth_badpass = yes
auth_goodpass = no
}
Normalmente você terá que alterar somente as linhas:
auth = yes *Mostra nos logs todas as autenticações
auth_badpass = yes *Mostra os erros de autenticação, senha errada, login errado, etc
5- Feito isso, reinicie o seu servidor radius pelo comando /etc/init.d/freeradius/restart
Pronto ! Agora você já pode acompanhar através do servidor todos os logs de autenticação diretamente no console do MK-AUTH. Basta acessar seu servidor via ssh e aplicar o comando:
tail -f /var/log/freeradius/radius.log
Este comando lê em tempo real as últimas linhas do arquivo de log do radius e retorna informações importantes como:
* Login ou senha errados:
Tue Dec 3 10:25:29 2013 : Auth: Login incorrect: [moacir/533445] (from client SANTAROSA port 597 cli DC:9F:DB:7A:44:D3)
* Login OK:
Tue Dec 3 10:25:28 2013 : Auth: Login OK: [helena] (from client 3 PODERES port 2147483664 cli 00:08:54:85:70:DB)
* Múltiplo login:
Mon Dec 2 12:49:44 2013 : Auth: Multiple logins (max 1) : [bruno] (from client SANTAROSA port 92 cli 00:1A:EF:16:35:E4)
* Servidor Mikrotik (NAS) não cadastrado ou com ip errado:
"Error: Ignoring request to authentication address * port 1812 from unknown client 10.0.0.8 port 32454"
Se quiser fazer uma busca mais específica nos logs basta usar algumas variações do comando como:
tail -n500 /var/log/freeradius/radius.log *Lê as últimas 500 linhas do arquivo
tail -n5000 /var/log/freeradius/radius.log | grep incorrect * Lê as últimas 5000 linhas do arquivo e retorna somente logins incorretos
tail -n50000 /var/log/freeradius/radius.log | grep sandra *Lê as últimas 50000 linhas do arquivo e mostra somente conexões da cliente sandra
E por aí vai. Espero ter ajudado os amigos do fórum a entender melhor e gerenciar de forma plena os processos de autenticação. Abraço a todos.
Está precisando turbinar o seu provedor? Oferecemos consultoria total em Mikrotik, MK-AUTH, Rádio Enlace, Servidores, etc. Solicite um orçamento!
Acesse:
verdante@verdante.com.br
Respostas
Parabéns, ótimo material. O colegas irão aproveitar bastante.
Abrazo hermano!
mais esse log e visto pelo putty dentro do mkauth ou no log do mikrotik?
apartir do Putty via ssh
augusto cezar das neves disse:
obrigado amigo, otimo material...
muito bom mesmo, parabéns pela disposição deste material, e por nos ensinar, obrigado... tenho aprendido muito...!
parabens ótimo material.
já em produção aqui, muito bom, gostaria de saber se tem como exportar esse log de hora em hora e enviar via email automaticamente para ter um backup dessas informações
Obrigado
Boa Tarde Amigo,
Estes log ficam salvos dentro do arquivo /var/log/freeradius/radius.log no servidor. Então basta fazer um script que copie este arquivo e mande para outro servidor ou te envie por e-mail. É tranquilo. Com o script pronto e testado, basta adicionar no cron do servidor com o intervalo que você desejar.
Está precisando turbinar o seu provedor? Oferecemos consultoria total em Mikrotik, MK-AUTH, Rádio Enlace, Servidores, etc. Solicite um orçamento!
Acesse:
www.verdante.com.br
verdante@verdante.com.br
União Telecom disse:
Boa Tarde Pessoal!
Estou tentando fazer com que fique acessivel, uma pagina pode ser em html com o log do radius, pois aqui tenho a necessidade de ser visualizado quando o cliente não consegue logar, ai o pessoal do atendimento visualizará essa paginá com o log sendo automaticamente atualizado, poderá informar o que o cliente está fazendo de errado ou o que está errado.
Eu vi na internet, que é possível criando um link do arquivo de log do radius, só que na hora de visualizar, aparece na página que não é permitido a visualização do mesmo, provavelmente por causa do root, ou de não ter autoridade adequada no arquivo.
Se puderem ajudar agradeço, pois seria de grande utilidade até a implementação do sistema de log do radius para o mk-auth, pois no proprio painel o atendente ou pessoal do suporte conseguiria ter a informação fácil.
O que fiz:
Criei um link do arquivo de log do radius da pasta /var/log/freeradius/radius.log para a pasta var/www/radius_log.html só que na hora que vai visualizar a pagina radius_log.html da erro "Forbiden" ou seja acesso não autorizado. Posteriormente criaria uma senha para visualizar o arquivo.
Obrigado.
Silvio Pereira
silvio@untelecom.com.br
Tem que permitir o "read" pra esse arquivo por qualquer usuário... Da uma estudada em configuração de permissões com "chmod"
União Telecom disse:
Rapz, você é dez... show de bola...