Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

problemi di autenticazione Radius con certificati, CRL

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
bosak



Registrato: 05/07/07 10:18
Messaggi: 3

MessaggioInviato: Gio Lug 05, 2007 11:37 am    Oggetto: problemi di autenticazione Radius con certificati, CRL Rispondi citando

Salve
sto cercando di realizzare un sistema di autenticazione sicuro per reti wireless utilizzando il server Radius di Zeroshell.

Con PEAP tutto ok. Peccato non poter autenticare in automatico gli utenti di un dominio ActiveDirectory (ho letto i vari post a riguardo, e nemmeno impostando la cross-authentication nel modulo Kerberos si riescono ad utilizzare le credenziali AD degli utenti. Sto ancora studiando la cosa, perché Kerberos è per me ancora nuovo e piuttosto complesso, se ci sono novità posterò qualcosa, o se qualcuno è riuscito nell'impresa mi illumini please!).

Anche con EAP-TLS riesco ad ottenere l'autenticazione, ma nelle varie prove fatte sono emersi alcuni problemi:
1) i certificati (creati da Zeroshell) e le chiavi private esportati con l'opzione "enable strong key protection" vengono installati correttamente in Windows, ma poi risultano inutilizzabili dal wireless supplicant di XP
2) i certificati (e le chiavi private) installati in Windows ed esportati su file non si riescono ad importare in Zeroshell
3) il sever Radius di Zeroshell sembra avere problemi con la CRL: se l'opzione "check CRL" viene impostata, non si ottiene autenticazione nemmeno per i certificati validi
3a) di conseguenza, per ottenere l'autenticazione ho provato a togliere l'impostazione "check CRL" ed in effetti i certificati validi vengono accettati e l'autenticazione funziona
3b) di rimando però, venendo a mancare il controllo della CRL, tutti i certificati vengono accettati, anche quelli revocati. Come gestire la revoca dei certificati? è possibile eliminare completamente dei certificati dalla CA? come negare l'accesso a un utente precedentemente autorizzato?
4) impossibilitato a negare l'accesso tramite la revoca del certificato, ho provato semplicemente ad eliminare l'utente dal DB. Chiaramente, per prova, non ho disinstallato il certificato dal PC client. Incredibile, l'autenticazione EAP-TLS viene convalidata ugualmente (certificato revocato nella CA, utente cancellato dal DB zeroshell).

Sto sbagliando qualcosa nella gestione dei certificati? Come fare in modo che zeroshell gestisca correttamente la CRL?
Esiste un modo per "salvare" le eventuali modifiche apportate "manualmente" da shell ai vari file di configurazione (p. es. eap.conf ecc.)?

Ringrazio anticipatamente chi potrà e vorrà rispondermi.
saluti Paolo
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Ven Lug 06, 2007 9:34 pm    Oggetto: Rispondi citando

Ciao Paolo, ti ringrazio per l'analisi dettagliata sull'autenticazione 802.1x con server RADIUS. Mi aiuterà senz'altro ora che devo apportare delle modifiche da inserire nella 1.0.beta6.
Per quel che riguarda il problema della CRL, mi era stato già segnalato e non ho ancora controllato il motivo del malfunzionamento. Al momento non si può fare altro che tenere disabilitato il controllo sulla CRL quando si usa EAP-TLS.
Ho previsto di disabilitare l'autenticazione 802.1x tramite LDAP. Per far ciò ti basta agire sul flag 802.1x presente nella scheda dell'utente. Infatti, ho configurato FreeRadius per autenticare con i certificati e autorizzare con LDAP. Tieni conto però che da parecchio non testo questa possibilità e mi viene qualche dubbio, visti i tuoi test, che possa non funzionare.
Se provi a negare l'autenticazione EAP-TLS per un utente, agendo sul relativo flag 802.1x, fammi sapere il risultato. Sicuramente funziona per il PEAP.
Per quel che riguarda invece il trust con Active Directory, per autenticarne gli utenti sul RADIUS di ZeroShell mediante PEAP, escludo assolutamente che la cosa può e potrà mai funzionare. Il problema è nei protocolli e nelle chiavi di cifratura. Il PEAP del supplicant di Windows XP utilizza MsChapv2 come autenticazione, che, essendo un protocollo basato sul Challenge non può sfruttare i ticket già criptati di Kerberos. L'idea di utilizzare una cross-autenticazione tra REALM Kerberos per autenticare gli utenti di uno (Active Directory) sui servizi dell'altro (RADIUS di Zeroshell) è ottima, solo che nel caso specifico del PEAP non può funzionare.
Quello che invece potresti tentare, è di attivare sul controller di dominio Active Directory lo IAS (Internet Authentication Service), cioè il RADIUS server di Microsoft. A quel punto dovrebbe bastare aggiungere in Zeroshell l'IP e lo shared secret del server IAS come proxy RADIUS. Ovviamente anche nello IAS devi aggiungere il segreto.
Nei supplicant gli utenti di Active Directory dovranno essere indicati come username@domain per distinguerli da quelli locali di Zeroshell per i quali invece si può omettere il dominio.
Tutto ciò, che in linea teorica dovrebbe andare, io non l'ho mai provato. Ti chiederei pertanto, se fai qualche test di tenerci al corrente e in caso positivo, se hai tempo, di documentare il tutto.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
bosak



Registrato: 05/07/07 10:18
Messaggi: 3

MessaggioInviato: Mar Lug 17, 2007 3:49 pm    Oggetto: CRL Rispondi citando

Ciao Fulvio, grazie per la tua risposta.
La difficoltà nell'impostare il Radius di Zeroshell per autenticare gli utenti di dominio Active Directory mi ha portato a sperimentare altre soluzioni basate sulla distribuzione ufficiale di freeRadius (anche così la strada è in salita, presumo la colpa sia di Microsoft...). Ho avuto modo di lavorare un po' sui file di configurazione, e forse ho trovato qualcosa riguardo alla gestione della CRL che, come mi hai confermato anche tu, non è ancora a punto in Zeroshell.

Nel file 'eap.conf', alla sezione 'tls' sono riportate le entries che puntano ai certificati utilizzati da freeradius; nella directory che contiene i certificati delle trusted authority dovrebbe esserci anche il certificato CRL, il fatto è che quando "check CRL" viene spuntato nella web-GUI, il file eap.conf viene aggiornato si nella entry check_crl=yes, ma rimane commentata la riga che contiene la path delle trusted_CAs. Immagino quindi che Radius non sappia dove andare a cercare il certificato CRL per fare il controllo.

Anche se ultimamente ho rallentato un po' con Zeroshell per provare altre soluzioni, resto in campana. Spero che i feedback, anche se sporadici, ti possano esser d'aiuto nel tuo lavoro su questa interessantissima distro.
saluti
Paolo[/quote]
Top
Profilo Invia messaggio privato
bosak



Registrato: 05/07/07 10:18
Messaggi: 3

MessaggioInviato: Mar Lug 17, 2007 4:37 pm    Oggetto: 802.1x Rispondi citando

Ti confermo che escludendo il metodo di autenticazione 802.1x per un utente, questo viene correttamente "rejected" se tenta di autenticarsi, sia con PEAP sia con EAP-TLS.
Alla fine, in attesa del bug-fix riguardo alla CRL, mi sembra una via abbastanza rapida e indolore (anche se un po' poco elegante...) per poter utilizzare l'autenticazione con certificati client, che è in assoluto la più sicura, e contemporaneamente avere un mezzo efficace per revocare gli accessi.

saluti

Paolo
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mar Ago 21, 2007 9:38 pm    Oggetto: Rispondi citando

Il problema della CRL quando si utilizza il RADIUS per autenticare con EAP-TLS è stato risolto nella release 1.0.beta6 di ZeroShell.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it