2015年1月

wifidog开发--part3

什么是RADIUS和目前在wifidog的支持
RADIUS(Remote Authentication Dial In User Service)是分享用户网络访问控制信息的产业标准。因为WiFiDog起初不是为手动管理用户设计的。用户不得不自我签署,电脑认证,并执行abuse-control政策。大多数拥有核心开发者的机构还不需要它。
然而一些wifidog新用户不仅仅想成为人工认证的用户,还在RADIUS拥有用户数据库。
幸运的是,IDRC(The Canadian government’s International Development Research Centre)付款让Technologie Coeus股份有限公司以做为概念认证为目的编写了RADIUS认证器。这是基于PEAR Auth_RADIUS package。
l 好消息是它支持Auth_RADIUS的所有特性。
l 坏消息是它只支持Auth_RADIUS的特性。
拥有这些局限性,RADIUS认证器应该被这样的组织机构使用:
l RADIUS服务器已存在用户数据库
l 想要手动签署和认证的用户(这只是暂时的,因为wifidog将要在1.0之前有用户管理器)。
换句话说,目前使用RADIUS认证与内置认证器相比有一点优势。
然而技术上Wifidog使用RADIUS的目的有:

  1. 针对现有的RADIUS服务器相比,允许认证服务器进行认证。
    这一点已经被支持,但这种支持也是有限的。
    l 只支持身份验证和审计
    l 没有bootstrap代码允许超级管理员成为标准的RADIUS用户。所以你必须与标准认证器保持本地网络连接,或者你必须用标准认证器安装你的网络,然后将认证器改成RADIUS,下一步在数据库手动将合适的RADIUS用户添加到管理列表。
    在wifidog获取RADIUS更多支持的第一步是直接将它直接移到PECL::RADIUS PHP package,而不是Auth_Radius。
  2. 允许wifidog网关与标准RADIUS认证服务器直接对话。
    我们意识到一些用户想让我们这样做,但这不太可能发生。但wifidog网关构思是它的强制门户等同于一个非智能终端。它明确地被设计用来摆脱所有加密依赖关系并将登录页面和门户页面的UI移到服务器。
    如果你只想不使用中心服务器来显示免责页面,你应该做到以下几点:
    l 使用为此而设计的NoCatSplash
    l 编写一个可以直接运行于网关的小的splash only认证服务器。这一点非常容易实现,并且非常符合wifidog设计原理。
  3. 把RADIUS用作网关认证服务器协议。
    这样做非常有意义,因为RADIUS和它各种各样的标准化扩展允许我们与网关相互沟通许多信息(并且有标准方法来扩展它不具有的支持)。遗憾的是,这会出现几个小问题:
    l 我们不能使用RADIUS来认证用户凭证,所以这会与大多数人对RADIUS的通常概念相冲突,也许会否认使用标准协议的优势。
    l 这也许会让人们认为Wifidog网关与任何RADIUS服务器相匹配,这将是技术支持的恶梦。
    这种情况也许会在我们使用Wifidog网关2.0版本时出现,它将会有新的协议。
  4. 使用RADIUS来允许Wifidog认证服务器进行彼此交流。
    许多无线社区想要接受彼此间的用户。这也正是RADIUS设计的初衷,也是产业标准,表面上做任何事情都是无意义的。这基本上是允许Wifidog认证服务器充当RADIUS服务器。遗憾的是认证服务器使用的是PHP,所以很难实现。这意味着两项选择:
    l 支持RADIUS协议的代码完全用的是PHP,较低水平的PHP套接字函数的所有方式。
    l 代码支持C PHP程序包,这意味着人们需要编译他们自己的PHP去使用,这似乎不太可能。
    这些都解决不了将PHP做为长期监听器来运行。
    但是所有问题都只是因为RADIUS监听器无法在PHP网络服务器上运行。RADIUS是一个像http一样无状态,要求有回复的协议。这个问题是可以回避的,我们可以机械的将RADIUS回复打包成XML文件或直接打包成http文件,并用相同的方式发送回复,跳过所有复杂环节,允许支持将来“真正”的RADIUS服务器。
    什么是WISPr
    WISPr(Wireless Internet Service Project Roaming)是原于Wi-Fi Alliance的标准。这确实是一个非常好的编写标准。然而,Wi-Fi alliance却使得我们很难得到它。在他们的网页上搜索“wispr”,没有任何结果,当你可以买到Wi-Fi Alliance其它说明书的时候,你却买不到这个。你仍然可以获得WISPr说明书,但这会受到监管并且是非法再分配。
    WISPr的主焦点是分享必要的信息达到允许在商业WISP之间漫游的目的。
    它基本上提到了三件与WIFIDOG相关的事:
  5. RADIUS属性支持(第5章)
    RAIDUS属性被用在WISP分享方案中。然而大多数用户使用WIFIDOG的目的是不同的,他们中的大多数仍然为许多社区组织提供使用。
  6. 用PANA重新认证(附录B)
    这个方法(基本上与NoCat相同)已经在WIFIDOG设计阶段被否定,原因如下:
    l 它是用户的恶梦(必须保持java或javascript一直打开并且你的设备必须支持它)
    l Security wise,五分钟足够做一些坏事并陷害另外一个用户
    l 攻击一个网络绰绰有余(如果谁用强制门户技术来确保共用网络的一个无DMZ部分的安全,那他太傻了)
    l 对社区团体来说,人工扩充一个用户对于网络的应用,来恶意的获取钱财并不是个问题
  7. 智能客户端访问网关接口协议(附件D)
    对于一个设备来说,这是将合适设备的登录进行进行脚本的基本方法。这应该是被广泛传播的产业支持,是解决支持没有网络浏览器的设备的方法。制造商对此有非常高的需求,但对于WIFIDOG来说却非常容易实现支持。
    对WPA的支持
    最近对于用Wifidog支持WPA的兴趣有所上升。先来回答最基本问题,在WIFIDOG做WPA值得吗?
    是的,用户仍然可以splash门户网站,甚至当用WPA认证的时候。需要记住的是WIFIDOG最初的目标是成为位置感知强制门户,不是认证器。鉴于“在网关端越小越好”的前提,还是遇到了一些问题。最主要的有两个:
  8. 编写一个OpenRADIUS认证模块来允许它进行认证,而不是使用WIFIDOG认证服务器。这时认证服务器知道某个客户端已经被RADIUS认证过并跳到登录页面。
    l 优点
    ² 不需要网关进行修改
    ² 使用标准软件,这些软件的最初工作就是支持WPA和RADIUS
    l 缺点
    ² 需要单独的,完全累赘的RADIUS服务器
    ² 需要客户端拥有网络浏览器来触发标准WIFIDOG认证与服务器之间的交换
  9. 编写一个简单的RADIUS传送装置做为WIFIDOG网关插件。这个传送器应该听从RADIUS的指挥,并且通过http将信息重新传递到认证服务器。网关可以偷看到RADIUS的回复,来了解客户端是否已经被认证。
    l 优点
    ² 不需要一具单独的RADIUS服务器
    ² 可以与没有网络浏览器的WPA一同运行
    l 缺点
    ² 需要在网关端编写一部分RADIUS传送协议
    这些的意义只在于如果我们想重新使用“RAIDUS over XML or text”代码时,我们也许可以编写允许WIFIDOG认证服务器可以彼此交流。
    热点状态馈送的XML概念描述
    简介
    本文描述了由WIFIDOG认证服务器产生的XML热点状态馈送的设计动机。会在这里彻底的讨论一下所有数据元素和它们的语意。请注意一个包含所有数据元素的XML文件会在本文的附件A中提供。
    主要技术事项
    你需要注意的是整个XML文件都是由UTF-8编码写成,所以当你处理元素值时应该使用兼容多字节字符串处理函数。

本文章由 http://www.wifidog.pro/2015/01/13/wifidog%E5%BC%80%E5%8F%913.html整理编辑,转载请注明出处

wifidog开发--part2

Wifidog网关协议V2
线路协议
回复形式
在线路协议中有以下说明:
l 紧凑表示(当浏览分散式网络时,宽带也不便宜)
l 用户可读
l 能够为C语言和PHP提供快速的解析器,并且比较理想的是能够多语言化
l 适用于与配置文件分享解析器和格式
l 适用于清晰的显示树结构(例如认证服务器列表)
请求格式
必须遵循请求格式:
l 每个http请求都有多个操作(例如为多个用户更新统计数据)
l 保持http传送,因为这能允许完整的NAT和透明代理阻力
以上的一些需求没有适用于RESTFull ROA。然而,保持现有格式事实上把我们限制在了tag-value对列表。理论上即使可以将action=whatever放在列表中间并在协议中申明以下每个参数都是那个action的参数,这将使大多数网络服务器与框架完全混淆。
Ø Acv:另一个可能性是从PHP进行URL-parsing的方式借用一个页面。将get请求设置到一个数组表示,这将允许公平的逻辑请求捆绑。也就是:
/page?req[0][action]=Action1&req[0][Param1]=param&req[0][Param...]=param...&req[0][Paramn]=paramn&\req[...][action]=Action...&req[...][Param1]=param&req[...][Param...]=param...&req[...][Paramn]=paramn&\req[n][action]=Actionn&req[n][Param1]=param&req[n][Param...]=param...&req[n][Paramn]=paramn
Ø Acv:当比较容易进行解析的时候,这个格式会保持用户可读
功能性需求
l 允许认证服务器发送一些主要的配置变更
l 允许基于MAC认证的非连接关系
l 允许per-connection防火墙政策
l 允许per-connection宽带管理,不只限于设置数量
l 允许全球宽带管理
l 指定围墙花园
l 指定最初连接用户列表
指令
NOOP
基本上只为网关心跳。可能会指定操作间很短的延迟,并且如果在实际操作之间延迟的话,就会发送NOOP。
AUTH_VERIFY
STATS_UPDATE
提议方案
Ø Philippe:
I think we could have a Hash kind of structure like this: * protocol_version: 1 (start with this to identify protocol) * wifidog_version: ... * status: * uptime, etc. * connected_clients: * stats, etc.
Ø 简单回复:
{ "protocol_version": 1, "config": { "login_url": "https://auth.server/login.php", "portal_url": "http://portal.server/", ... }, "clients": [ { "mac": "00aabbccdd22", "ip": "10.0.0.1", ... }, { "mac": "00aabbccdd22", "ip": "10.0.0.1", ... },}
网关和认证服务器通信
Gateway : Verbes / Actions Auth-Server
Init request Gateway configurations
MAC detect Auth response (accept/deny this MAC)
User auth request User connection configation (open/closed port, QOS)
Auth the auth server (key + protocol) Auth the gateway (key + protocol)

配置
l 醒目页面,如果auth-server=down(URL)
l 醒目页面,如果internet=down(内容)
l 围墙花园(考虑一下DNS超时)
l 静态MAC黑/白名单
l 全球防火墙/QOS配置
Wifidog V2结构
推荐结构和观点
线程
主程序
l 启用“status”或者“autheserv”线程
l 等待状态线程在初始化网络和拒绝客户端之前,成功的下载配置
l 一旦被初始化,等待连接到它的节点
² 用以前的方法处理流量(访问登录页面…获取标识,用认证服务器测试标识,提供防火墙规则)
状态线程
l 连接认证服务器并且每五分钟(默认)发送一次状态
² Wiifdog uptime
² System uptime
² System free memory
² System load average
² System network interface list(ifconfig –a).(需要选择wifidog将要使用的接口)
http客户端线程
l 当一个新的连接被初始化时,启用此线程。如果有80个人连接到认证服务器,同时就会有80个线程被启用。最好是有个threads pool,但99%的情况都没用,并且会花费很多时间在代码和调试上。
命令行的选项
用所需的数值设置:--auth Authserver’s hostname –lan LAN interface
当wifidog初始化他的config,它应该看到一些选项,如“这是连接登录页面的URL”…
l 全球化宽带设置
l 登录页面URL
l 门户页面URL
l 计时器

本文章由 http://www.wifidog.pro/2015/01/13/wifidog%E5%BC%80%E5%8F%912.html整理编辑,转载请注明出处

wifidog开发--part1

Wifidog的编码标准
PHP代码标准
l 认证服务器的代码风格是Zend Framework代码标准
l 注意的是Zend Framework代码标准主要是可读的PEAR代码标准超集
例外
l Wifidog源文件使用UTF-8字符编码,不是ISO-8859-1字符编码
总结
l 使用4个缩进空格,没有标点符号
l 变量和函数的命名是camelBack
l 类别命名是使用首大写字母,下划线分隔路径分隔符
ü Content_TrivialLangstring
l Private和protected member之间用下划线(但private和protect method之间不用)
ü Private*_privateMember
ü Private privateMethod()
l 控制语句应该在控制关键词和左括号这间有一个空格,这样才能将它们同函数调用区分开
l 即使是在可选的情况下,也鼓励你使用大括号
l 在调用函数时,函数名,左括号和第一个参数之间没有空格;逗号和每个参数之间有空格,最后一个参数,右括号和分号之间有空格
l 每个文件都包括$Id$ CVS关键词。当每个文件被编辑时,如果它没出现,就添加这个符号
Wifidog流程图

综合流程描述:

  1. 如果用户端已经连接,就可以进行初始化请求。
  2. 网关防火墙规则破坏了将它重定向到网关本地热点的需求。如果遇到这种情况,网关就会提供HTTP Redirect回复,包含网关ID,网关FQDN和其它信息。
  3. 客户端向网关指定认证服务器发送请求。
  4. 客户端用(潜在自定义)splash(login)页面回复
  5. 客户提供他的身份信息(用户名和密码)
  6. 基于成功认证,客户端通过自己的认证对象(一次性标识)实现HTTP重定向到网关自己的网络服务器。
  7. 客户端连接到网关并提供他的标识。
  8. 网关请求确认来自认证服务器的标识。
  9. 认证服务器确认标识
  10. 网关向客户端发送重定向来获取源于认证服务器的成功页面,重定向到http://auth_server/portal/
  11. 认证服务器提示客户端:他的请求已成功。
    Wifidog网关协议V1
    网关心跳(Ping协议)
    Wifidog将ping协议做为心跳机制向认证服务器发送当前状态信息。这可以实现为认证服务器每个节点的状态生成中央日志。
    Wifidog客户端在conf文件中进行设置,目的是通过http定期启动thread(ping_thread.c)向认证服务器发送状态信息。信息格式如下:
    http://auth_sever/ping/?gw_id=%ssys_uptime=%lusys_memfree=%usys_load=%.2fwifidog_uptime=%lu
    通过系统调用wifidog客户端收集的数据
    HeadersHTTP/1.0\r\n" "User-Agent: WiFiDog %s\r\n" "Host: %s\r\n" "\r\n",
    一个标准的HTTP需求应该是:
    GET /ping/?gw_id=001217DA42D2&sys_uptime=742725&sys_memfree=2604&sys_load=0.03&wifidog_uptime=3861 HTTP/1.0User-Agent: WiFiDog 1.1.3_beta6Host: auth.ilesansfil.org

认证服务器认证协议
这个页面描述了当用户已经被认证并允许访问互联网时,为了认证用户和进程,wifidog网关和认证服务器之间的信息传送。
Wifidog客户端将定期的启动一个thread来报告每个用户的连接状况。目前它被用来报告每个用户输入/输出计数器,以显示用户依然在现,并允许认证服务器将不再连接的用户断开。
以下是发给每个在线用户的信息
auth_server:/auth/index.php?stage=ip=mac=token=incoming=outgoing=
注意:stage=计数器/登录,取决于是否是新客户端
即使输入输出变量会在所有信息中出现,但他们只对处于counter阶段的信息有效。其它情况下输入输出经常设置为0。
在做回复时,认证服务器会以有效身份或新用户信息,或者认证服务器错误提示形式进行回复。
回复格式如下:
Auth:
新用户状态为:
0 - AUTH_DENIED - User firewall users are deleted and the user removed.6 - AUTH_VALIDATION_FAILED - User email validation timeout has occured and user/firewall is deleted1 - AUTH_ALLOWED - User was valid, add firewall rules if not present5 - AUTH_VALIDATION - Permit user access to email to get validation email under default rules-1 - AUTH_ERROR - An error occurred during the validation process
注意:认识服务器错误一般不会改变防火墙或用户状态
标准的URL为:
GET /auth/?stage=counters&ip=7.0.0.107&mac=00:40:05:5F:44:43&token=4f473ae3ddc5c1c2165f7a0973c57a98&incoming=6031353&outgoing=827770 HTTP/1.0User-Agent: WiFiDog 1.1.3_beta6Host: auth.ilesansfil.org

网关重定向浏览器
客户端浏览器在不同情况下会被重定向到其它页面:
初始化请求:
基于捕捉,客户端会被网关重定向到以下URL:
l login/?gw_address=%s&gw_port=%d&gw_id=%s&url=%s
例如:https://auth.ilesansfil.org/login/?gw_id=0016B6DA9AE0&gw_address=7.0.0.1&gw_port=2060
初始化请求之后
当请求被处理并且客户端已经被重定向到网关时
如果服务器回复AUTH_DENIED:注意你通常在标准认证服务器上看不到这样的提示。客户端将不会被重定向回网关。
l gw_message.php?message=denied
如果服务器回复AUTH_VALIDATION:
l gw_message.php?message=activate
如果服务器回复AUTH_ALLOWED:这是门户重定向
l portal/?gw_id=%s
如果服务器回复AUTH_VALIDATION_FAILED:注意你将不会在标准认证服务器看到此回复。客户端将不会重定向回网关。
l gw_message.php?message=failed_validation
认证服务器重定向浏览器
基于成功登录,客户端将被重定向到网关。 http://" . $gw_address . ":" . $gw_port . "/wifidog/auth?token=" . $token
URL示例:http://7.0.0.1:2060/wifidog/auth?token=4f473ae3ddc5c1c2165f7a0973c57a98

本文章由 http://www.wifidog.pro/2015/01/13/wifidog%E5%BC%80%E5%8F%911.html 整理编辑,转载请注明出处

wifidog安装--part7

在Ubuntu Linux安装认证服务器
简介
这是在Ubuntu Linux安装认证服务器的详细指南
安装distro
从Ubuntu:current release下载distro。烧录到盘上并启动有cdrom的电脑。这是标准安装:点击桌面上的“安装”并按指南操作。默认安装会安上许多不需要的东西,如果你没有足够的磁盘空间,你可以试试安装Debian。
Ubuntu默认软件管理器是APT,这让我很轻松的完成这个指南(大部分从debian安装指南剪切粘贴过来的)
重启时,在GUI输入你的用户名/密码,启动Applications/Accessories/Terminal。
安装prerequisites
你将会做为标准用户登录,所以我们需要在每个“root-runned”命令前面加上sudo。
在进行安装操作之前,我们需连接到网络并更新APT数据库

sudo apt-get update

认证服务器需要一个网络服务器(apache2)和PHP(最新版本)
sudo apt-get install apache2 php5
如果你使用的是current/2011 debian/ubuntu,你需要在suhosin使用长变量名,这样PHP才能正常运行:

vi /etc/php5/apache2/conf.d/suhosin.ini-> add:  suhosin.post.max_name_length = 100-> add:  suhosin.request.max_varname_length = 100

数据库服务器安装
我们还需要数据库服务器,所以需要安装PostgreSQL并已被完全配置。

sudo apt-get install postgresql

安装prerequisites-step2
我们也需要一些细节库

sudo apt-get install php5-cgisudo apt-get install php5-mhash php5-pgsql php-pear php5-xmlrpc php5-curl php5-mcrypt php5-devsudo apt-get install language-pack-en-base

如果用最近版本的wifidog-auth,我们需要安装subversion:

sudo apt-get install subversion

在“sudo pear install Phlickr-0.2.5.tgz”,你会看到这样的错误提示:"/tmp/glibctestWTQG39:1:22: error: features.h no such file"...
这没关系,安装会继续并且FlickrPhotoStream将会成为有效内容类型。

sudo pear install XML_RPCcd /tmpwget http://ovh.dl.sourceforge.net/sourceforge/phlickr/Phlickr-0.2.5.tgz 
sudo pear install Phlickr-0.2.5.tgz rm Phlickr-0.2.5.tgz

你也许想要安装openssh-server(更便于远程连接)。但这不是WIFIDOG-AUTH的所必需的。

sudo apt-get install openssh-server

安装认证服务器

svn checkout https://dev.wifidog.org/svn/trunk/wifidog-auth 
sudo mv wifidog-auth/ /var/www/

/var/www/wifidog-auth/wifidog/classes/Dependency.php文件需要被编辑,否则smarty安装将失败。
Change line 122 to the following:'website' => "http://www.smarty.net/",Change line 123 to the following: 'installSourceUrl' => "http://www.smarty.net/files/Smarty-2.6.26.tar.gz",
Apache 2配置文件
我们需要变更文件路径。我们认为这台服务器不应该有其它“网络”使用。如果这样,你就需要学习如何配置apache2。
nano /etc/apache2/sites-available/default
将以下内容:(在第五行)
DocumentRoot /var/www/
更改为
DocumentRoot /var/www/wifidog-auth/wifidog
重启apache2:
sudo /etc/init.d/apache2 restart
在wifidog.conf配置语言环境
如果你想翻译所有语言,你需要创建所有语言环境。如果你的磁盘空间很充足,你可以能过各种方法进行操作。最简单的方法是在ubuntu执行以下命令:
ü sudo apt-get install language-pack-bg-base language-pack-de-base language-pack-el-base language-pack-es-base language-pack-fr-base language-pack-it-base language-pack-ja-base language-pack-pt-base language-pack-sv-base
你也许想在config.php文件中设置门户页面的默认语言
sudo nano /var/www/wifidog-auth/wifidog/config.php
define('DEFAULT_LANG', 'fr_CA');
改为
define('DEFAULT_LANG', 'en_US');
设置邮件服务器
你需要有有效的邮件程序来发送帐号确认信息。
安装postfix
sudo apt-get install postfix
选择“internet site with smart host”配置选项并回答下面一系列问题。
配置认证服务器
访问http://your-domaine.com/install.php并按指南操作。也可以参照以下步骤。
如果你还没有配置dns/domain重定向,你可以用“ifconfig”命令获取IP地址。
你必须执行
cat /tmp/dog_cookie.txt
然后在浏览器中点击下一步(在dog_cookie.txt文件中会需要密码)
1) First screen
在postgres创建一个wifidog用户
su - postgrescreateuser wifidog --pwprompt
当需要插入密码时执行
wifidogtest
如果你有PostgreSQL 8.1:三个问题的回答都为否。如果你有PostgreSQL7.4:两个问题的回答为否。
创建此用户的数据库
createdb wifidog --encoding=UTF-8 --owner=wifidog
2) Second screen:你需要复制粘贴这一长串的命令,点击刷新和下一步。此操作最简单的方法是看你是否将SSH链接到你的box。
sudo su -
然后复制整个命令包
3)Third screen:检测已安装过的软件。如果你按此指南操作,你已经具有了所有安装的条件。安装simplepie,然后安装PHPMailer,下一步安装feedpressreview,下一步安装Smarty。(虽然系统没有检测到,但Phlickr已经被安装)点击下一步。
4) Forth screen: 添加DB信息

本文章由 http://www.wifidog.pro/2015/01/13/wifidog%E5%AE%89%E8%A3%857.html 整理编辑,转载请注明出处