Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

[Risolto] Autenticazione Kerberos su Radius

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
Gianny



Registrato: 12/09/09 18:56
Messaggi: 69

MessaggioInviato: Dom Feb 21, 2010 10:27 am    Oggetto: [Risolto] Autenticazione Kerberos su Radius Rispondi citando

Un saluto a tutti.
Grazie alle guide ed indicazioni poste questo sito vorrei realizzare un Access Point con sistema di autenticazione con Captive Portal senza certificando verso le utenze usando una autenticazione Kerberos, ma al fine di aumentare il livello di sicurezza vorrei utilizzare il server RADIUS interno a Zeroshell per la gestione degli account.

Riassumendo vorrei fare:
Utente -> Autenticazione in WIFI senza certificato su ZS con Kerberos -> Kerberos che si autentica su RADIUS interno a ZS (attraverso l'utilizzo del certificato interno a ZS) concedendo la navigazione internet all'utente richiedente.

1 - E' possibile una soluzione di questo tipo?
2 - La parte Utente -> Autenticazione in WIFI senza certificato su ZS con Kerberos l'ho implementata, come sarebbe possibile proseguire per la restante parte?


L'ultima modifica di Gianny il Sab Mar 06, 2010 8:41 pm, modificato 1 volta
Top
Profilo Invia messaggio privato
Gianny



Registrato: 12/09/09 18:56
Messaggi: 69

MessaggioInviato: Sab Mar 06, 2010 8:40 pm    Oggetto: Rispondi citando

Ho risolto, in pratica non attivavo nella sezione RADIUS le opzioni Access Point e Proxy.
Un saluto a tutti.
Top
Profilo Invia messaggio privato
Simo89



Registrato: 17/03/10 00:23
Messaggi: 12

MessaggioInviato: Lun Mar 22, 2010 12:27 am    Oggetto: Rispondi citando

Sarebbe utile che tu esponessi tutti i passaggi che hai fatto così potrebbe essere di aiuto ad altri Wink
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Lun Mar 22, 2010 10:45 am    Oggetto: Rispondi citando

Io se riuscissi a far autenticare gli utenti con un server Kerberos esterno (AD, in realtà) sarei felicissimo...

Mi manca "solo" l'ultimo passaggio...
L'AP passa, via RADIUS, l'autenticazione a ZS. ZS può autorizzare i suoi utenti locali. Gli utenti non locali dovrebbero essere autenticati da un server Kerberos esterno (che, tra l'altro, gestisce vari domini).
Top
Profilo Invia messaggio privato
Gianny



Registrato: 12/09/09 18:56
Messaggi: 69

MessaggioInviato: Lun Mar 22, 2010 3:34 pm    Oggetto: Rispondi citando

In sostanza quello che ho fatto è stato di attuare la seguente procedura:
1 - Generazione di un nuovo certificato (con presenza di almeno un utente per attivare il captive portal);
2 - Nella sezione RADIUS, abilitarlo sul certificato appena generato (NON selezionare "Check CRL");
3 - Selezionare da RADIUS -> Access Point (è il mio caso) e visualizzeremo il pop-up Access Point List nel quale inserire l'interfaccia ETH rivolta verso le utenza, ovvero nel mio caso ETH03;
4 - In "Access Point List" inserire nell'ordine:
Nome Accesso Rete = ReteAP_192.168.2
IP 192.168.2.0 / 24
Shared Secret = una password che farà da tramite tra Kerberos e RADISU

A questo punto (sempre che il mio ragionamento sia corretto), gli utenti si autenticherebbero con Kerberos (consiglio di lasciare l'opzione https) che a sua volta gira la richiesta al RADIUS fornendo l'autenticazione.

Voi che ne pensate?
Top
Profilo Invia messaggio privato
Simo89



Registrato: 17/03/10 00:23
Messaggi: 12

MessaggioInviato: Mar Mar 23, 2010 12:03 am    Oggetto: Rispondi citando

Domanda da ignorante...

dove sta il vantaggio di usare radius al posto di kerberos?
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Mar Mar 23, 2010 11:24 am    Oggetto: Rispondi citando

Gianny ha scritto:
In sostanza quello che ho fatto è stato di attuare la seguente procedura:
1 - Generazione di un nuovo certificato (con presenza di almeno un utente per attivare il captive portal);
2 - Nella sezione RADIUS, abilitarlo sul certificato appena generato (NON selezionare "Check CRL");
3 - Selezionare da RADIUS -> Access Point (è il mio caso) e visualizzeremo il pop-up Access Point List nel quale inserire l'interfaccia ETH rivolta verso le utenza, ovvero nel mio caso ETH03;
4 - In "Access Point List" inserire nell'ordine:
Nome Accesso Rete = ReteAP_192.168.2
IP 192.168.2.0 / 24
Shared Secret = una password che farà da tramite tra Kerberos e RADISU

A questo punto (sempre che il mio ragionamento sia corretto), gli utenti si autenticherebbero con Kerberos (consiglio di lasciare l'opzione https) che a sua volta gira la richiesta al RADIUS fornendo l'autenticazione.

Voi che ne pensate?

C'è qualcosa che mi sfugge...
1) se non selezioni "check CRL", il sistema non si accorgerà di certificati scaduti, con possibili problemi di sicurezza
2) per gli AP non ho modo di inserire una ethernet, solo nome, indirizzo e password...
Per come la vedo io, comunque, in questo scenario l'autenticazione è comunque gestita solo da RADIUS. Lo potresti verificare subito se il tuo server Kerberos fosse esterno (come nel mio caso, dove il servizio Kerberos è fornito da un Domain Controller di AD).

Simo89 ha scritto:
dove sta il vantaggio di usare radius al posto di kerberos?

Sono metodi diversi. RADIUS "trasporta" le credenziali in modo sicuro. Kerberos emette dei "ticket" per i servizi. Sono abbastanza complementari, anche se per alcune cose si sovrappongono. Se si riuscissero ad integrare bene i due sistemi, si potrebbe avere una rete in cui è sufficiente che una macchina sia joinata ad AD (e che ci sia loggato un utente valido) perché possa accedere in modo sicuro alla rete, lasciando fuori macchine non joinate e utenti locali.
Purtroppo, allo stato attuale, ZS non può ancora joinare un dominio, e quindi l'integrazione resta un po' traballante e richiede configurazioni speciali per il trust (che non tutti gli amministratori sono disposti a fornire).
Top
Profilo Invia messaggio privato
Gianny



Registrato: 12/09/09 18:56
Messaggi: 69

MessaggioInviato: Mar Mar 23, 2010 3:43 pm    Oggetto: Rispondi citando

Per cercare di fornire un contributo all'intera comunita' posto quì un'ottima guida reperita in rete:

http://www.renatomorano.net/?p=400

penso che ha poco da commentare......è veramente ben fatta.

Un personale ringraziamento a Filvio ed a persone come il realizzatore della guida che ho postato che ci aiutano ogni giorno a crescere un pò di più.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it