จัดทำเมื่อ 23-08-2009
โดย อดิศร ขาวสังข์
บทนำ
การใช้งาน Plawan Central Log เท่าที่มีประสบการณ์มาพบว่า จะเหมาะสมสำหรับเครือข่ายขนาดไม่ใหญ่นัก นั่นคือเครือข่ายที่มีขนาด Network เพียง Network เดียว เช่น Network ทีีเป็น Class C (หรือขยายใหญ่ขึ้นเล็กน้อย) ขนาดไม่เกิน 255 เครื่อง และถ้านำไปใช้กับเครือข่ายขององค์กรใหญ่ ซึ่งมีหลาย ๆ Network (หลาย ๆ ตึก หลาย ๆอาคาร หลาย ๆ คณะ) ก็สามารถประยุกต์ใช้งานได้ แ่ต่จะมีปัญหาเรื่องของระบบ user ที่จะต้องทำการ Add User สำหรับ Network ของตัวเองเท่านั้น ในเครื่อง Plawan ของแต่ละ Network ทำให้เป็นจำกัดขอบเขตของผู้ใช้ให้สามารถใช้งานได้เฉพาะบริเวณ Network (ตึก/อารคาร/คณะ) ของตัวเอง ซึ่งถ้าจะให้สามารถใช้งานได้ทุกที่ (Network) ก็จะต้องมีการ Add user ในเครื่อง Plawan เครื่องอื่น ๆ ทุกเครื่องด้วย
ด้วยปัญหาดังกล่าวบทความนี้จะกล่าวถึงวิธีการที่จะ Add user ที่เครื่อง Central เพียงเครื่องเดียว และให้เครื่อง Plawan ทุกเครื่องชี้ Radius มายังเครื่องที่เป็นเครื่อง Central ซึ่งจะทำให้องค์กรขนาดใหญ่ ที่ได้นำ Plawan ไปใช้ และมีการใช้งาน หลาย ๆ เครื่อง สามารถใช้ระบบฐานข้อมูลของ User เพียงจุดเดียวเท่านั้น ส่งผลให้สะดวกต่อการบริหารจัดการ User
ตัวอย่าง Log ของ Plawan Central Log
การดู Log ของ Plawan โดยทั่วไปก็คือการดู Log ที่เป็น HTTP proxy เนื่องจากโดย Default แล้ว Plawan จะทำการ Enable Transparent Proxy เอาไว้ แต่เราสามารถไปกำหนดให้ Disable ได้ ซึ่งการดู Log ดังกล่าวนี้ดูได้ผ่าน URL ที่เป็น SSL ของ IP ของเครื่องและมี /ebox ต่อท้าย จากนั้นให้เลือกเมนู Log --> Query log และเลือกชนิด Log เป็น HTTP proxy ดังรูปข้างล่าง
Log ของ HTTP proxy ที่ผ่านมาบอกว่าเครื่อง IP ไหน เรียกใช้งานไปไหน เืมื่อวันที่และเวลาใด แต่ไม่ได้บอกว่า User คนไหนเป็นผู้ใช้งาน ถ้าเราอยากจะรู้ว่า User คนไหนเป็นผู้ใช้งาน เราต้องไปดูอีก Log หนึ่งด้วยการดูว่าในเวลานั้น ๆ เป็น User คนไหนที่ใช้งาน ด้วยการดู Log ผ่านเมนู Plawan --> Planwan Radius และ Report ดังรูปข้างล่าง ซึ่งจะบอกว่า ณ วันเวลานั้น ๆ User คนไหนเป็นผู้ใช้งาน มี MAC Address และ IP เป็นอะไร และหยุดใ้ช้งานเมื่อไร
และในกรณีต้องการอยากทราบว่าการใช้งานใช้ Protocol อะไร มี Public Src IP, Public Dst IP และ Src Mac เป็นอะไร ก็สามารถดูได้ผ่านเมนู Planwan Report ดังรูปข้างล่าง
รูปแบบการเชื่อมต่อ Plawan Central Log สำหรับองค์กรขนาดใหญ่
จากรูปข้างบน จะมีรูปแบบของ Planwan 2 แบบ คือ แบบที่วางอยู่ส่วนกลาง ซึ่งกำหนดให้เป็น Radius กลางที่อนุญาตให้เครื่อง Plawan เครื่องอื่นๆ ที่อยู่ตามอาคารหรือคณะต่างชี้การใช้งาน Radius มาที่เครื่องนี้ และเครื่องนี้สามารถกำหนดนโยบายให้ทำการทำหน้าที่เก็บ Log (ทั้ง Raduis Log และ Log อื่น ๆ) ของ User ที่ใช้งานบริเวณศูนย์คอมพิวเตอร์หรือบริเวณที่เครื่องวางอยู่ได้
ส่วนแบบที่ 2 คือเครื่อง Planwan ที่วางอยู่ตามอาคารต่าง ๆ ซึ่งเครื่องส่วนนี้จะไ่ม่ีมีการใช้งาน Radius ภายในเครื่องของตัวเอง แต่จะชี้ Radius ไปยังเครื่องกลาง ทำให้การเก็บ Log ของเครื่องนี้ไม่มี Log เกี่ยวกับ Radius แต่จะเก็บ Log การใช้งานทั่วไปของ User เช่น HTTP log หรือ Log อื่นๆ
การคอนฟิกเครื่อง Plawan
- ที่เครื่องส่วนกลาง
- เปิดไฟล์คอนฟิกส่วน Client ของ FreeRadius คือไฟล์ /etc/freeradius/client.conf
- เพิ่มค่า IP ของ Client (เครื่อง Plawan ที่อยู่ตามอาคารต่าง ๆ) ให้สามารถเข้ามาใช้งาน Radius ได้ เช่น
client 192.168.1.254 {
secret = testing123
shortname = chilli4
}
client 192.168.1.251 {
secret = testing123
shortname = chilli1
}
- ทำการ Restart Freeradius ด้วยคำสั่ง
/etc/init.d/freeradius restart
- ที่เครื่องอื่นๆ
- เปิดไฟล์คอนฟิกของ ChilliHotSpot คือไฟล์ /etc/chilli.conf
- แก้ไขค่าในไฟลด์ดังกล่าวด้วยการเปลี่ยนชื่อไฟล์ที่ทำการ include จากไฟล์ที่ชื่อ main.conf ไปเป็นไฟล์อื่น ๆ ในที่นี้กำหนด่เป็น main2.conf ดังนี้
เปลี่ยนจากคำว่า include /etc/chilli/main.conf เป็น include /etc/chilli/main2.conf
หมายเหตุ เหตุผลที่ต้องทำการเปลี่ยนชื่อไฟล์จาก main.conf เป็น main2.conf เพราะเราจะทำการเปลี่ยนค่าบางอย่างในไฟล์ main.conf แต่ถ้าเราแก้ไขค่าในไฟล์ main.conf แล้วทำการ restart chilli ปรากฎว่าค่าที่แก้ไขจะกลับสู่ค่าเดิม นั่นคือระบบมีการห้ามไม่ให้แก้ไขไฟล์ main.conf
- สำเนาไฟล์ที่ชื่อ /etc/chilli/main.conf เป็น /etc/chilli/main2.conf ด้วยคำสั่ง
cp /etc/chilli/main.conf /etc/chilli/main2.conf
- ทำการแก้ไขค่าในไฟล์ /etc/chilli/main2.conf โดยเปลี่ยนค่า IP ของ Radius จากเครื่องตัวเองคือ 127.0.0.1 ไปเป็น IP ของเครื่อง Plawan ที่เป็นเครื่องกลาง เช่น
radiusserver1 192.168.1.253
radiusserver2 192.168.1.253
และต้องกำหนดค่า radiussecret ให้ตรงกับค่าบน Radius ของเครื่องกลางด้วย
- ทำการ restart chilli ด้วยคำสั่ง
/etc/init.d/chilli restart
จบครับ