Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

dubbi Kerberos

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
Leviatano



Registrato: 20/09/07 17:23
Messaggi: 17

MessaggioInviato: Ven Ott 05, 2007 8:34 am    Oggetto: dubbi Kerberos Rispondi citando

Ciao, stavo riflettendo sul funzionamento del sistema kerberos, in particolare sul fatto che per ricevere un ticket un client, a garanzia di autenticità, invia un authenticator al server che viene criptato con la session key che conoscono entrambe le macchine... ora nell'authenticator è contenuto anche il time stamp del client. Io ho notato che NTP su ZS è presente ed è configurato per sincronizzarsi con dei server master.

Però è anche configurato per sincronizzare i client del realm?

Io credo di no, spero di sbagliarmi, in quanto mi sono autenticato al captive portal con orari completamente sballati sul client rispetto al server eppure riuscivo ad entrare...Infine se ZS si sincronizza con master server NTP pubblici si potrebbe configurare come server ntp per un dominio Windows 2000/2003?
Grazie in anticipo per le risposte.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Ven Ott 05, 2007 7:47 pm    Oggetto: Rispondi citando

Non è come pensi. Il problema della sincronizzazione tra client, server e KDC Kerberos si pone se le applicazioni sono realmente Kerberizzate, ovvero sfruttano realmente i ticket Kerberos per accedere ai servizi. Ma per far ciò è necessario compilare i client e i server con le librerie di kerberos o meglio con le GSS-API. Come puoi ora immaginare, visto che l'utilizzo del captive portal non puo' essere limitato ai soli browser web kerberizzati, ho fatto in modo che il browser deleghi l'autenticazione a Zeroshell stesso che si occupa poi di verificare le credenziali Kerberos. Poiché la verifica la fa su se stesso e siccome è sempre sincronizzato con se stesso, nell'uso del captive portal non si verificheranno mai problemi di non allinamento.

Nella lista degli NTP server di Zeroshell puoi aggiungere gli IP che vuoi e cancellare quelli che io metto di default. Tieni conto che se lo abiliti, Zeroshell stesso può fare da server NTP.
Se hai un dominio Windows, ti conviene sincronizzare il controller di dominio sul server NTP di Zeroshell e i clienti agganciati a tale dominio si sincronizzano automaticamente dal controller.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it