Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

richiesta informazioni per setup con active directory

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
zaromarco



Registrato: 08/05/08 14:28
Messaggi: 3

MessaggioInviato: Gio Mag 08, 2008 2:36 pm    Oggetto: richiesta informazioni per setup con active directory Rispondi citando

buongiorno ho scaricato la virtual machine della beta9 , l'ho avviata correttamente e riesco ad entrarci dal web .
ho configurato un ias server nella sede centrale e una CA con diversi access point che puntano al radius.il tutto sotto windows 2003 server r2 standard
su ogni client c'è un certificato e l'autenticazione utilizza il peap.
ora nella sede periferica connessa in vpn c'è un pc con la virtual machine di zeroshell, volevo sapere:

1) come si fa configurare zeroshell in proxy mode in modo che le richieste provenienti da questa rete raggiungano l'ias presso la sede principale.
mi hanno detto che ci vuole un radius in proxy mode nella sede periferica perchè la vpn passa attraverso router e i router modificano il pacchetto inviato dai client che richiedono l'autenticazione radius.

2) devo per forza di cose integrarlo con active directory ? oppure essendo in radius le richieste poi sarebbero gestite dal radius della sede primaria?
Insomma esiste una guida o c'è qualcuno che mi sa dire i passi salienti per la configurazione della vm zeroshell?
Vi ringrazio infinitamente in anticipo a chi saprà darmi delle informazioni.
ciao.
Top
Profilo Invia messaggio privato MSN
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Gio Mag 08, 2008 10:29 pm    Oggetto: Rispondi citando

Le VPN host to LAN realizzate con OpenVPN permettono sia l'autenticazione Kerberos 5 che quella Radius. Inoltre, se non si vuole ricorrere al normale username con password, si può ricorrere ai certificati X.509, magari immagazzinati su smartcard.

Nel tuo caso, mi pare di capire che il tuo Windows server 2003 R2 non è un controllore di dominio Active Directory, ma semplicemente ha un'istanza dello IAS attivo. Se ho interpretato correttamente la cosa, allora devi scartare Kerberos visto che tale servio viene attivato soltando sui domain controller. Ti rimane quindi l'autenticazione RADIUS visto che lo IAS è proprio un server che svolge tale servizio.

Non mi è chiaro il tuo discorso sulla necessità di configurarti un proxy Radius poiché i router modificano il pacchetto inviato. Probabilmente ti riferisci ad un altro problema che si verifica quando uno dei router attraversato dalle richieste RADIUS esegue il NAT dell'IP sorgente. Se così fosse lo IAS riceverebbe come IP sorgente di chi ha fatto la richiesta non quello del gateway VPN, bensì quello dell'ultimo NAT router. Ma ciò significherebbe soltanto, che nello IAS, invece di specificare lo shared secret riferito all'IP di zeroshell, lo dovrai specificare per l'IP pubblico del router che fa NAT e il problema è banalmente risolto.

Detto questo, è vero che devi configurarti in Zeroshell un proxy RADIUS. Ciò perché OpenVPN contatterà il server RADIUS locale che poi forwarderà la richiesta verso lo IAS che è autoritario per autenticare i tuoi utenti.

per aggiungere lo IAS come proxy RADIUS, semplicemente dalla sezione [Radius]->[Proxy] configurati l'IP e lo shared secret del Windows Server 2003 e il nome di realm RADIUS con cui hai configurato IAS.

Nei domini autorizzati di OpenVPN aggiungi tale dominio specificando che si tratta di un'autenticazione RADIUS con PAP.
Se lo IAS ti gestisce anche 802.1x allora, usa invece del PAP i metodi EAP-TTLS oppure PEAP com MsCHAPv2. In tale maniera eviteresti che le password delle utenti passino debolmente criptate sulla rete.
Con PEAP e con EAP-TTLS, prima di far passare le credenziali, viene creato un tunnel criptato con SSL.
Ricordati che se per esempio il realm con cui è configurato lo IAS è test.com, allora gli username in OpenVPN dovranno esssere del tipo pippo@test.com. Se vuoi usare la versione abbreviata, senza specificare il realm, allora promuovi il realm test.com a dominio di default usando il pulsante [D].

Saluti
Fulvio
Top
Profilo Invia messaggio privato
zaromarco



Registrato: 08/05/08 14:28
Messaggi: 3

MessaggioInviato: Ven Mag 09, 2008 9:08 am    Oggetto: Rispondi citando

buongiorno, grazie per le risposte, farò delle prove..
solo per precisare l'ias è installato su di un domain controller w2k3.
non capisco il discorso fatto su openvpn perchè io non utilizzo tale software per realizzare la vpn o sui client...come non mi è chiaro il discorso fatto sui domini in openvpn....la nostra situazione è:
presso sedi periferiche ci sono dei router cisco oppure dove ci sono soluzioni proprietarie dei dispositivi zywall2 che sono appliance per creare tunnel vpn criptati verso la sede.
in sede abbiamo un server con una distribuzione custom di slackware che abilita questi servizi: proxy, web server, gateway e vpn.
mi faccia sapere,grazie mille.
saluti.
Top
Profilo Invia messaggio privato MSN
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it