Algo de Linux

lunes, 25 de mayo de 2015

Control de acceso wifi en el IES utilizando PfSense

Aprovechando que algún compañero de otro centro me ha vuelto a preguntar qué control de acceso inalámbrico tengo implantado en mi centro, y que muchos otros compañeros me siguen, voy a explicarlo aquí para que a todo el mundo le sirva de orientación: 
 
Para controlar el acceso inalámbrico a la Intranet del centro sigo utilizando freeradius directamente. Esto quiere decir que para poder conectarse en esta red, habrá que configurar un acceso WPA2 Enterprise con EAP/TTLS + PAP en lo clientes. En el blog hay un post de febrero de 2012 con un documento en el que explicaba cómo instalar y configurar freeradius para lograrlo.

Ahora bien, como en un futuro se pretende implantar el sistema BYOD (Bring Your Own Device), que en castellano quiere decir "Trae tu propio dispositivo", y aún no nos han contando cómo se va a implantar, decidí adelantarme y montar mi propio sistema de control de acceso, en lugar de esperar a que se implante en algún momento, pero, sobre todo, motivado por dos razones:
  • Porque en el centro ya me habían pedido poder conectar dispositivos personales ajenos al mismo vía wifi, algo que no podía realizar por disponer del tiempo suficiente para llevar a cabo un proyecto como éste que requiere bastante trabajo y pruebas.
  • Y porque en estos momentos cuento con la ayuda de dos alumnas en prácticas, Raquel y Jennifer, que me están ayudando muchísimo a ponerlo en marcha y probarlo.
La idea se basa en utilizar PfSense, un firewall basado en FreeBSD, para crear un portal cautivo que permita a los usuarios acceder a una red privada que les proporcione un acceso a internet.


De este modo, los usuarios se podrán conectar a la red mediante diferentes puntos de acceso abiertos y tendrán que iniciar sesión para poder navegar, como puede verse en la siguiente imagen:


Se podrá acceder de dos modos:
  • Mediante el usuario y la contraseña con que está dado de alta en el servidor ldap del centro.
  • Mediante un ticket que se podrá generar para dar un acceso limitado en tiempo a usuarios ajenos al centro.
El servidor pfSense tendrá dos interfaces:
  • Una interfaz LAN para dar servicio a clientes inalámbricos en la red 192.168.0.0
  • Una interfaz WAN que servirá para dar acceso a internet a los equipos que se conecten a través de la LAN.


El servidor pfSense, al que hemos llamado firewall, contactará con el servidor freeradius para autorizar a los usuarios que intenten conectar vía wifi. A su vez, el servidor freeradius contactará con el servidor ldap del centro para validar dichos usuarios. Ésto quiere decir que dispondremos de un sistema de control de acceso freeradius+pfsense combinado, pudiendo establecer reglas de control en freeradius y en pfsense.

Por ejemplo, podríamos hacer que los usuarios de un determinado grupo tuvieran acceso durante el horario de mañana y los de otro grupo durante el horario de tarde mediante controles en freeradius y limitar el tiempo que pueden estar conectados mediante el portal cautivo de pfsense.

El firewall pfSense tiene configurado un servidor DHCP que proporciona IP's a los clientes conectados en la LAN 192.168.0.0

Y os preguntaréis: ¿Cómo hago para que los puntos de acceso presten servicio en la red 192.168.0.0 si en el centro tan sólo tengo una red 172.x.x.x? Muy sencillo: Aprovechando que los switches disponen de soporte de VLAN, crearemos una VLAN a través de los switches de nuestro centro a la que se encontrará conectado el firewall en la interfaz LAN.
 Ésto es algo que requerirá un cierto trabajo por vuestra parte, puesto que probablemente no tendréis un mapa de red de vuestro centro en el que se identifiquen al menos los puertos que interconectan los switches, pero tampoco es difícil de identificar si examináis las tablas de enrutamiento de vuestros switches y disponéis de un tester de red. En mi caso hice un mapa de red cuando estuve configurando la telefonía IP con nuestro compañero Javi, de telecomunicaciones.

Por otra parte, he aprovechado que la mayoría de los puntos de acceso de que dispongo tienen soporte de VLAN para hacer que un mismo punto de acceso preste servicio en la VLAN por defecto del centro, por un lado y en la VLAN para dispositivos ajenos por el otro.
Publicado por primera vez en http://enavas.blogspot.com.es

viernes, 22 de mayo de 2015

Permitir root login mediante ssh

Por lo que he podido comprobar, después de instalar Debian Jessie no es posible conectarse vía ssh a la máquina en la que lo hemos instalado. Ésto se debe a que en el fichero de configuración del servidor ssh (/etc/ssh/sshd_config), la directiva PermitRootLogin viene definida así:
PermitRootLogin without-password
Y, como podréis deducir, va ser imposible conectarse así, utilizando una clave pública, a menos que copiemos la clave pública de la máquina en cuestión de forma manual.

Lo que podemos hacer es cambiar la directiva por:
PermitRootLogin yes
De este modo, nos podremos conectar de ambos modos:
  • Utilizando usuario y contraseña.
  • O utilizando una clave pública.
No olvidéis reiniciar el servicio ssh una vez hecha la modificación en el archivo /etc/ssh/sshd_config
Publicado por primera vez en http://enavas.blogspot.com.es

WinFF: Conversor de vídeo desde el entorno gráfico

Muchas veces convertimos vídeos utilizando ffmpeg desde la línea de comandos. Si queréis convertir vuestros vídeos desde el entorno gráfico, podéis utilizar WinFF, un GUI de ffmpeg que os permitirá convertir un vídeo de un formato a otro de una forma fácil,  y rápida, en un solo paso.

Esta herramienta se encuentra disponible tanto para Linux como para Windows.

La instalación en Debian es muy sencilla, puesto que el paquete de instalación se encuentra en los repositorios:
# apt-get install winff
Publicado por primera vez en http://enavas.blogspot.com.es

jueves, 14 de mayo de 2015

Paquetes de Plank 0.9.1 para Debian Jessie

Como ya comenté en un post anterior, Plank es un dock escrito en el lenguaje de programación Vala que me gusta mucho por ser ligero y sencillo, pero que además tiene un añadido muy interesante para mí: Se configura modificando el siguiente fichero en el home del usuario: 

~/.config/plank/dock1/settings 

La ventaja de ésto es que puedo gestionar las configuraciones de los usuarios de una manera muy sencilla desde la línea de comandos o desde scripts.

En el siguiente enlace, podéis descargar el paquete compilado para Debian Jessie 64 bits:
Publicado por primera vez en http://enavas.blogspot.com.es

Instalar paquetes de 32 bits en un sistema Debian Wheezy o Jessie de 64 bits

Si acabáis de instalar un sistema de 64 bits Debian Wheezy o Jessie, que son multiarch, tendréis la posibilidad de instalar paquetes de 32 bits en el sistema. Y me diréis: ¿Para qué puedo querer hacer eso? Bueno, pues básicamente porque muchas veces encontraréis paquetes compilados para 32 bits que no existen en 64 bits.

Podéis comprobar si ya tenéis añadida la arquitectura de 32 bits a vuestro sistema, ejecutando el comando:
# dpkg --print-foreign-architectures
Naturalmente, si acabáis de instalar el sistema, aún no la habréis añadido y la salida del comando no mostrará nada.

Pero, si ahora añadimos la arquitectura:
# # dpkg --add-architecture i386
Y volvemos a ejecutar el comando:
# dpkg --print-foreign-architectures
Comprobaremos que al ejecutarlo, ahora sí nos devuelve como arquitectura añadida i386:
# dpkg --print-foreign-architectures
i386
Publicado por primera vez en http://enavas.blogspot.com.es

Tarjeta inalámbrica Broadcom BCM43xx en Debian Jessie

Instalar nuestra tarjeta Broadcom BCM43xx en Debian Jessie es realmente trivial. Lo único que tendremos que hacer para que funcione es instalar el firmware de la tarjeta, algo de lo más sencillo puesto que existe un paquete en los repositorios que se encarga de descargarlo e instalarlo:
# apt-get install firmware-b43-installer
Una vez instalado el paquete, reiniciamos el equipo y listo.
Publicado por primera vez en http://enavas.blogspot.com.es

sábado, 9 de mayo de 2015

EZcast: Muestra contenidos de tu smartphone, tablet o PC en tu TV

Ahora que está tan de moda usar aplicaciones com Splive Player o Kodi (XBMC) para reproducir contenido multimedia en streaming, EZcast es dispositivo que merece la pena tener a mano, por su bajo precio e interesantes prestaciones.

Básicamente, nos va a servir para visualizar en la pantalla de la TV archivos multimedia de nuestro smartphone, tablet o PC, como fotos, vídeos, audio e incluso archivos pdf.

Pero no sólo sirve para ver en la TV los archivos locales. También nos permite reproducir contenido multimedia de internet  como por ejemplo Youtube o archivos almacenados en la nube.
 
Soporta DLNA, Miracast, AirPlay y permite hacer mirroring de nuestro dispositivo vía wifi.

Además, si lo conectamos a nuestra red wifi, podremos actualizar su firmware automáticamente vía OTA.


El dispositivo se conecta mediante HDMI a la TV. El cable que viene con él sirve para alimentarlo vía USB, ya sea desde un puerto USB de nuestra TV o desde un adaptador de corriente USB. Además el mismo cable tiene en un extremo la interfaz wifi.

Si en vuestro smartphone tenéis instalada alguna aplicación para DLNA, como por ejemplo BubbleUPnP, podréis reproducir directamente vuestros vídeos en la TV.

Pero es que ezCast cuenta también de una completa aplicación disponible en Play Store para mostrar los contenidos de una manera muy sencilla.

  
En la siguiente imagen, podéis comprobar todas las posibilidades del dispositivo:

Con ella controlaréis la visualización de contenidos sin necesidad de un mando adicional.
Publicado por primera vez en http://enavas.blogspot.com.es