Le he cogido gusto a lo del Radius y centralizar todos los temas de autentificación bajo su paraguas .

Por un lado hemos visto como crear vpn’s y puntos de acceso wireless con Radius y por otro cómo integrar vsftpd con MySQL utilizando usuarios de ftp virtuales. ¿Por qué no combinarlos? ¿Para qué vamos a querer mantener una nueva base de datos para ftp si ya tenemos nuestro Radius preparado para realizar autentificaciones? Está casi todo hecho, sólo nos falta tocar las teclas adecuadas.

Vamos a suponer que tu servidor Radius ya está funcionando y que ya has montado tu sistema vsftpd con usuarios virtuales, en los links anteriores se explica todo. Configuraremos ahora nuestro servidor ftp para que se autentique contra Radius en vez de contra MySQL directamente.

Como vsftpd utiliza PAM para autenticarse, deberemos solamente cambiar el módulo MySQL por el correspondiente a Radius. En aquél momento utilizábamos pam_mysql. ahora haremos lo mismo con pam_radius, así de sencillo.

En mi caso, como sabéis, utilizo CentOS5, y curiosamente no está disponible un rpm con este módulo, así que toca prepararlo a mano, la suerte es que en los fuentes viene el archivo .spec adecuado para crearlo directamente. Si para vuestro sistema tenéis el instalable adecuado podéis saltaros este paso.

Podríamos compilar e instalar directamente el tar, pero prefiero crear un rpm que permita actualizarlo y desinstalarlo a posteriori. Descargamos el código fuente desde aquí, lo desempaquetamos en una ruta temporal y copiamos el propio tar a la ruta adecuada para compilar el rpm:

Ahora debemos hacer un pequeño cambio en este archivo spec. Deberemos editarlo y modificar la línea 2

actualizando el número de versión correspondiente:

Y añadimos la línea

Después de la línea 15, de manera que queda

Ya tenemos todo preparado para compilar el módulo

Si todo va bien tendremos en /usr/src/redhat/RPMS/x86_64 el rpm del paquete preparado para instalar. En mi caso, como es un sistema de 64bits está en la carpeta x86_64, en tu caso puede estar en i386. Sólo nos queda instalarlo.

Vamos ahora a configurar lo poco que hay que configurar . Indicamos la dirección del servidor Radius y la clave de acceso al mismo:

/etc/raddb/server

Cambiamos la configuración PAM de vsftpd para que en vez autenticarse con MySQL utilice Radius:

/etc/pam.d/vsftpd

Eso es todo. Nuestro servidor FTP se autenticará contra el servidor Radius. Hemos añadido la opción de depuración (debug) para comprobar el funcionamiento, cuando estemos seguros de que todo funciona bien podemos eliminarla.

Si tienes algún problema, para verificar qué hace el módulo pam_radius debemos comprobar el log estándar de debug. Por defecto no viene activado en el demonio syslog, así que lo añadimos:

/etc/syslog.conf

Intentamos acceder al servidor FTP y comprobamos qué está haciendo el módulo de autentificación en este log:

cat /var/log/debug.log

Si hubiese algún problema deberíamos verlo ahí, pero si ya tenías Radius y vsftpd funcionando, todo debería ir bien.

Hasta aquí hemos llegado, hemos integrado un nuevo servicio de nuestra red en el mismo sistema de autentificación. Cualquier demonio que utilice PAM para autenticarse se debería configurar del mismo modo. Ssh es el ejemplo más claro, se haría prácticamente igual.

Si hace unos meses os mostraba cómo crear conexiones VPN entre máquinas Linux y Windows con autentificación a través de servidor Radius y MySQL hoy veremos cómo aprovechar la misma estructura para autentificar usuarios que se conecten a nuestra red wifi de manera que tengamos todo el entorno de acceso a nuestra red integrado. En capítulos posteriores puede que veamos cómo añadir más servicios.

Ante todo aviso que no soy ningún experto en la materia y puede que diga cosas que no son correctas , por favor, no dudéis en corregirme.

La parte más importante del sistema la tenemos ya preparada, si necesitas montar todo el servidor Radius puedes leer el artículo anterior donde se explica bien el procedimiento. En esta ocasión nos centraremos en hacer que el servidor Radius que ya teníamos autentifique a los usuarios que se conecten a nuestro punto de acceso inalámbrico.

En un escenario normal es el punto de acceso el que se encarga de autentificar al cliente que intenta conectarse a través de las conocidas contraseñas (técnicamente shared-keys) con el inconveniente de que todos los usuarios deben utilizar la misma y si hay que cambiarla hay que comunicar a todos ellos cual es la nueva.

Hay dos conceptos dentro de todo este sistema que van siempre juntos pero son distintos:

1. La encriptación de la comunicación entre el cliente y el punto de acceso, las conocidas WEP, WAP y WAP2.
2. La shared-key de acceso al router.

Estos dos elementos son completamente independientes. No me voy a meter técnicamente en los distintos tipos de encriptación ya que no son el objetivo del artículo y hay toda la documentación que quieras al respecto. Para nuestro ejemplo vamos utilizar WPA2 con cifrado AES. Recuerda que estos parámetros sólo importan al punto de acceso y al cliente que se conecta, se utiliza para asegurar el canal inalámbrico, el servidor Radius es completamente ajeno a estos mecanismos.

En nuestro escenario el procedimiento descrito anteriormente quedaría como muestra este gráfico.

Es decir, para que un cliente se conecte a nuestro punto de acceso necesitará las credenciales adecuadas. Una vez el AP las recibe, consulta al servidor Radius si son correctas y debe dejarle pasar, en cuyo caso el cliente ya puede acceder a nuestra red. Cómo os habréis dado cuenta, entre el AP y Radius no he nombrado en ningún momento WAP2 o AES, éstos se utilizan sólamente en lo que en el gráfico superior es el rayo amarillo, el medio inalámbrico. En resumen, la diferencia entre la configuración habitual con shared-key estática y ésta es que permitimos que cada usuario tenga su login independiente, pudiendo cancelar su acceso en cualquier momento, algo que puede ser muy útil en ciertos ambientes, sobre todo corporativos.

Configurando el servidor Radius

Nuestro servidor Radius ya estaba configurado, sólo deberemos hacer un par de modificaciones. Primero añadimos permiso para que se conecte el punto de acceso y pueda autentificar a los clientes, para ello agregamos lo siguiente al archivo /etc/raddb/clients.conf:

Donde la ip es la del AP,  secret es la contraseña que utilizará el AP para conectarse a Radius y shortname un identificador interno. A continuación editamos el archivo /etc/raddb/eap.conf dejando las siguientes secciones de este modo:

Eap es el método de autenticación que se utilizará, en el caso que tratamos será PEAP (conocido también como EAP-MSCHAPv2) y necesita además TLS, por eso debemos añadir los dos en la configuración de Radius. En mi caso, la instalación de FreeRadius crea los certificados necesarios así que no entraré más en detalle sobre este tema, supondremos que existen y funcionan bien. Ya solo queda reiniciar el demonio Radius para que los cambios comiencen a estar visibles.

Configurando el punto de acceso

En este punto hemos terminado la configuración en nuestro servidor Linux. Configuraremos ahora el router, en mi caso un SMC. Tendremos que utilizar un cable ethernet para acceder al router ya que no podremos entrar por wifi hasta que lo tengamos bien configurado. La configuración en tu router será muy parecida a ésta. En las opciones “Wireless” le indicamos que la seguridad será WPA:

En la configuración WPA especificamos los parámetros que hemos acordado, WPA2 y AES. Además le indicamos que no utilizaremos pre-shared key para autenticación sino que se hará a través del protocolo 802.1x. Los demás parámetros no nos importan.

Finalmente configuramos las opciones de autenticación 802.1x habilitándola e indicando la dirección IP de nuestro servidor Linux con Radius.

Ya está el router configurado. Sólo nos queda hacer lo propio con nuestro cliente inalámbrico. Como hemos escogido WAP2 supondremos que la tarjeta wireless del portátil la soporta, si no ¿por qué la has escogido? .

Configurando los clientes inalámbricos

Al buscar las redes inalámbricas disponibles en el portátil veremos la del router que hemos configurado. Por defecto no podremos acceder a ella, debemos indicarle cómo debe autenticarse, para ello vamos a “Configuración avanzada” y en la lista de redes seleccionamos la que nos ocupa y vamos a propiedades.

En la venta que se abre seleccionamos, en la pestaña “Asociación“,  los métodos de autenticación y cifrado que hemos definido:

En la pestaña “Autenticación” seleccionamos “PEAP” como tipo de EAP y vamos a “Propiedades“:

En la ventana que se abre eliminamos la selección de “Utilizar certificado cliente” y en el método de autenticación “EAP-MSCHATP v2” vamos a “Configurar”, eliminando en la ventana que se abre la opción que viene señalada por defecto.

Aceptamos todos los cambios hacia atrás y guardamos la configuración. A los pocos segundos veremos este aviso:

Parece que funciona . Pinchamos en el aviso y nos salta la venta que buscamos:

Introducimos nuestro usuario y clave de Radius y padentro!

Eso es todo, hemos conseguido el objetivo del artículo, utilizar la misma infraestructura de autentificación para el entorno inalámbrico que la que teníamos para el acceso remoto por VPN.

Hoy voy a contar cómo tengo montado en mi casa el sistema de copias de seguridad para los equipos de escritorio basados en Windows, concretamente para mi portátil.

Lo primero, obviamente, es compartir las carpetas o unidades de las que vas a querer hacer copia, en mi caso la unidad d:\ completa y mi escritorio, tengo todos los documentos y archivos centralizados en esas dos rutas. Lógicamente no debes hacerlas públicas, sino cualquiera que tenga acceso por red a tu equipo podrá entrar a todo, hay que compartirlas y punto, el que quiera entrar que se autentifique como hará nuestro sistema.

Las copias están centralizadas desde el servidor Linux del que ya os he hablado otras veces, basado en CentOS5. En este equipo tengo un disco duro USB con dos particiones, una ext3 para copias del propio servidor y otra NTFS para las de los equipos Windows. Para evitar pérdidas por cortes, el disco se monta y desmonta automáticamente cuando se necesita a través del sistema autofs, de este modo cada vez que se acceda a la ruta predefinida se montará el disco y pasado un tiempo de inactividad se desmonta. Veamos primero cómo preparar este sistema.

Lo primero que necesitaremos son los drivers para acceder a partificiones NTFS desde Linux, yo utilizo ntfs-3g. En mi caso es tan sencillo como hacer:

Mi equipo tiene varias rutas de automontaje, vamos a ver las que nos interesa que son las del disco usb. Primero configuramos los dos archivos necesarios:

/etc/auto.master

/etc/auto.backup

En el primero indicamos que nuestras unidades se van a montar en /mnt/backup y que lea la configuración del segundo archivo mientras que en éste especificamos qué montar y cómo hacerlo.

Como veis he definido dos puntos de montaje correspondientes a las dos particiones. El primer parámetro indica la “carpeta” dónde los montará dentro de la definida en master, en este caso /mnt/backup/backupusb y /mnt/backup/backupntfs. La importante en nuestro caso es la segunda donde indicamos el tipo de archivos y el lenguaje en el que están los nombres, imprescindible para que se lean bien los acentos y eñes del castellano.

Ya sólo debemos iniciar el demonio autofs y probar las rutas.

Si ahora intentamos acceder a /mnt/backup/backupntfs deberíamos poder entrar a la unidad del disco correspondiente y ver su contenido. Ya tenemos la mitad del trabajo resuelto.

Vayamos ahora con el backup propiamente dicho. Creamos el punto de montaje de la unidad que vamos a copiar, en este caso /mnt/portatil. Ahí montaremos temporalmente la unidad remota para hacer las copias. Creamos además en la partición del disco USB el directorio donde meteremos el backup, en mi caso /portatil. Ya estamos preparados para copiar. Ah no, falta un detalle. ¿Cómo lo hacemos si no queremos copiar los tropecientos Gb cada vez que se haga la copia?. El socorrido rsync viene en nuestra ayuda. Rsync permite sincronizar datos entre dos rutas sin copiarlo todo, simplemente elimina lo que ya no existe  y copia lo nuevo y lo que ha cambiado sin tocar lo que no ha variado, con lo que en un ambiente normal será poco lo que hay que copiar.

Este sería mi script.

Lo primero que hago es comprobar que el disco USB está disponible, básico para poder hacer el backup . A continuación montamos la unidad remota en el directorio que creamos antes, /mnt/portatil. Esto lo hacemos con:

Los parámetros importantes son los del medio, le indicamos que el juego de caracteres sea UTF-8 y los datos con los que autentificarse en el portátil.  En este punto podríamos hacer un ls -l /mnt/portatil y deberíamos ver los archivos de la unidad D:\ del portátil.

A continuación ejecutamos la sincronización. La primera vez que se lance tardará bastante ya que ahí sí que debe copiar todos los archivos de la unidad origen en el portátil a la del backup. Cuando termine de sincronizar el script desmontará la unidad del portátil y el autofs hará lo propio automáticamente con la del USB. En el rsync añadimos los parámetros adecuados para que excluya algunas carpetas predefinidas de Windows, como la papelera, y muy importante, el parámetro –modify-window=1 para salvar la diferencia que tiene Windows con la fecha de modificación de los archivos, Windows utiliza sólo valores pares, lo que generaría la copia de muchos más archivos de los que realmente han sido modificados.

Vayamos un poco más lejos. Quiero poder recuperar algún archivo borrado, no sea que me equivoque y me cargue algo. Con rsync todo es muy sencillo, le indicamos que los archivos que vaya a eliminar los mueva a otra ruta. Para ello añadimos los parámetros :

Con esto conseguimos que en la carpeta /incremental/portatil de la partición NTFS del disco USB se mantenga un histórico por fecha de los archivos eliminados. El comando entero quedaría del siguiente modo:

De este modo tenemos en el disco todo, por un lado la instantánea de la unidad al momento de hacerla y en otro un histórico diario por día, pudiendo recuperar todo lo que queramos.

Sólo nos queda añadir el script al crontab para que se ejecute cuando creamos oportuna, una vez por semana por ejemplo. Yo crearía también un script que limpie las copias de los archivos eliminados cada cierto tiempo, cada mes o cada dos meses, para que no crezca en exceso el espacio ocupada por la “basura“.

Siguiendo este mismo ejemplo podemos ahora hacer copias de las copias para tener varias copias distribuidas no sea que se nos incendie el piso y lo perdamos absolutamente todo .

Hace aproximadamente 3 años mis padres, por aquello de jubilar el viejo vídeo VHS y ante la llegada de la TDT me pidieron que les comprase algo que sirviese para todo. En aquel momento encontré el LG DBRH-197 con unas características perfectas:

• TDT incorporado (por aquel entonces era una novedad en grabadores de DVD).
• Disco duro de 160Gb.
• Grabación de la TDT en DVD o en el disco duro.
• Reproducción de películas en divx y xvid.
• Salida HDMI (aunque esto no lo iban a usar ).

Vamos, el cacharro perfecto para el hogar que no busca complicaciones. Eran aún algo caros pero se lo llevé ese mismo verano a mis padres para que me dejasen tranquilo . Al tenerlo unos días instalado me avisaron de que había algún problema, viendo la televisión (TDT) daba unos pantallazos negros de vez en cuando, apenas era un segundo, pero bastante molesto. Yo, la verdad, no le di mucha importancia.

El problema llegó al cabo de los casi dos años de garantía. El lector dejó también de funcionar y ya era imposible reproducir ni DVD’s originales ni grabados, así que les dije que lo llevasen al servicio técnico oficial ya que aún quedaban un par de meses de garantía y avisasen de los dos problemas, el lector y los pantallazos negros. De este último ya había leído por Internet que era cuestión simplemente de actualizar el firmware. A la vuelta del servicio técnico el cacharro, increíblemente, seguía igual, no le habían hecho absolutamente nada. Premio para el SAT de LG en Pontevedra. De los pantallazos dijeron que no habían conseguido reproducir el problema a pesar de tenerlo funcionando horas y horas. Lástima del tiempo que le dedicaron, hubieran acabado en cinco minutos buscando en Internet, prueba de que el problema no era invención nuestra. El lector DVD siguió la misma suerte, seguía sin funcionar.

En definitiva, este verano me tocaba solucionarlo a mi si no quería sermones en casa. Antes de irme a Galicia había estado consultando foros al respecto y encontré la solución a todos mis problemas en este extenso pero completo hilo. Estuve buscando alguno de los modelos de lectores/grabadores que aconsejaban pero no encontré exactamente el mismo, así que me decidí por un LG  GH22NS30 IDE (22 euros) esperando que me sirviese.

Comienza la operación. Una vez retirados todos los tornillos de la tapa aparece el sistema, muy parecido a un ordenador común, con su disco duro y su lector/grabador de dvd. Para retirar el antiguo tuve que retirar también el frontal del aparato, la parte negra donde van los botones y el display, me costó un poco encontrar la manera pero al final fue sencillo. En este punto podemos ya retirar el lector antiguo. El soporte de éste es especial, no es el de un lector habitual, y viene preparado para asentarse perfectamente en el hueco. Hay gente que optó por trasladar todo el mecanismo del nuevo lector al soporte del antiguo, pero yo lo tuve más fácil. Del lector hay que retirar el frontal decorativo que lleva, de esta manera entra perfectamente en el hueco que hay. Se configura en modo maestro y  se enchufan los cables IDE y de alimentación. En este punto hice una prueba a ver si íbamos bien antes de cerrarlo. Conecté el cable de alimentación y el de la tele y voilà, ¡funcionaba!. En la foto de abajo se ve cómo quedó instalado.

Me quedaba el problema de dejarlo suelto en la caja ya que, como he comentado, el armazón del nuevo es distinto al viejo y no hay manera de utilizar los tornillos. En principio quedaba bien puesto y firmemente sujeto, pero me daba miedo que al cerrar la bandeja con un poco de fuerza se desplazase, así que, echando mano de un clásico como la silicona, le puse cuatro puntos, dos a cada lado, de manera que lo fijase tal como indico en la imagen de abajo. Y eso es todo, lo volví a cerrar, frontal y tapa, y a probarlo. Cuando confirmé que leía bien fui directo a actualizar el firmware con la última versión que encontré en el foro que indicaba más arriba. El proceso es algo lioso (mete el cd, pulsa rec dos veces, espera, pulsa OK…) pero todo funcionó correctamente.

Hora y media después de comenzar y por apenas 20 euros tenía el aparato como nuevo. Los pantallazos del TDT han desaparecido completamente y el lector… ¡lee!. Sólo he encontrado un problema que no sé cómo solucionar y es que no deja copiar del DVD al disco duro, es decir, para copiar películas, pero la verdad, seamos sinceros, tampoco me preocupé mucho del tema puesto que lo que necesitaban mis padres ya estaba areglado .

Desde aquí mi más sincera enhorabuena al SAT de LG por hacer tan bien su trabajo.

Aclaración para los del SAT: la última frase es en tono irónico . Por cierto, por cambiar el lector pedían alrededor de 200 euros…

Una fecha señalada me hace cambiar las típicas comidas de restaurante por una sin lugar a dudas mucho más espectacular comida casera.

Tirando de congelador saco algunos de los manjares traídos de mis últimas expediciones a Galicia, comenzando por unas suculentas vieiras preparadas al estilo de mi madre , sencillas pero impresionantemente sabrosas.

Tras limpiarlas adecuadamente ponemos las conchas sobre una fuente de horno, servimos en cada una de ellas una cama de jamón serrano y sobre ésta la carne de cada vieira.

A continuación pochamos cebolla hasta que esté caramelizada (a mi se me pasó un poco esta vez ), aproximadamente una cebolla mediana por vieira, y cubrimos cada concha con ella bien escurrida de aceite. En mi caso, como podéis ver en la foto superior, la mitad no llevan cebolla ya que a mi pareja no le gusta , ella se lo pierde. Finalmente espolvoreamos con pan rallado y las metemos al horno de 20 a 30 minutos.

Esto es nuestro primer plato .

Como segundo escogemos un entrecot de ternera gallega con unos espárragos verdes de acompañamiento y todo regado por un aceptable  Via Appia de la Ribeira Sacra que tenía por ahí guardado.

Para preparar la carne tengo un “artilugio” que compré hace algún tiempo para hacer carnes a la piedra. Tiene una plancha pétrea bajo la cual se colocan dos quemadores alimentados con alcohol de quemar. Una vez se calienta la piedra mantiene muy bien el calor y se cocina rápidamente. No es una barbacoa pero da el pego en un piso . Aviso, cuidado con el alcohol, no es un juguete .

Para mi gusto se nos hizo un poco de más, la carne me gusta muy poco hecha, sobre todo cuando es de calidad como en este caso, pero aún así estaba exquisita y tiernísima, un placer para el paladar.Tenía que haber preparado unas filloas de postre, no se me ocurrió, habría sido el perfecto día de Galicia en Valencia . La próxima vez será. La tarde terminó de siesta tirado en el sofá y con unos cristalitos bien bonitos .