Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

bloccare accesso a un utente con certificato X509

 
Nuovo argomento   Rispondi    Indice del forum -> VPN
Precedente :: Successivo  
Autore Messaggio
alexfr



Registrato: 30/09/11 13:35
Messaggi: 20

MessaggioInviato: Lun Apr 16, 2012 3:45 pm    Oggetto: bloccare accesso a un utente con certificato X509 Rispondi citando

Ciao a tutti,
ho un firewall Zersohell che mi fa da CA per altri firewall territoriali.
Ho diversi utente ciascuno con Certificato X509 che accedono in VPN a tutti i miei firewall distribuiti sul territorio.
Su uno di questi firewall devo inibirare l'accesso di un certo utente X, ma solo su un firewall lasciandogli invece la possibilità di connettersi in VPN a tutti gli altri.
E' possibile bloccare un determinato certificato X509 senza revocarlo e senza usare l'autenticazione kerberos/radius?
grazie a tutti
Top
Profilo Invia messaggio privato
redfive



Registrato: 26/06/09 22:21
Messaggi: 399

MessaggioInviato: Lun Apr 16, 2012 8:23 pm    Oggetto: Rispondi citando

Una soluzione (un po laboriosa eh..) potrebbe essere quella di creare , sul FW ( ZS) dove vuoi bloccare un determinato host/utente , un file di configurazione per ogni client che deve avere accesso in vpn ,il file avrà come nome il CN del certificato del client ( es. acer.paolo.hq.example.lan se usi il cert. host , pippo se usi il cert. user)
la procedura la trovi qui
http://www.zeroshell.net/forum/viewtopic.php?t=3261
aggiungendo il parametro
Codice:
--ccd-exclusive
solo i client per i quali è previsto il file di configurazione potranno accedere , se tale file non è presente , il risultato lato server è questo
Codice:
192.168.194.10:1094 TLS Auth Error: --client-config-dir authentication failed for common name 'pippo' file='/Database/etc/ccd/pippo'
lato client
Codice:
Mon Apr 16 19:53:08 2012 AUTH: Received control message: AUTH_FAILED
Mon Apr 16 19:53:08 2012 SIGUSR1[soft,auth-failure] received, process restarting
Mon Apr 16 19:53:08 2012 MANAGEMENT: >STATE:1334598788,RECONNECTING,auth-failure,,
Mon Apr 16 19:53:08 2012 Restart pause, 5 second(s)
Con gli ip "fissi" per i client , avresti anche il vantaggio di poter usare le regole iptables..In questo modo , le regole ( chi può accedere e "dove" può andare) sono stabilite dall'admin , e non dal client . Se hai tempo e voglia puoi farlo su tutti i FW . Potresti ... avere dei problemi se i FW sono connessi tra loro in vpn L2L , l'utente bloccato su un determinato FW potrebbe autenticarsi su un altro FW e, tramite la vpn L2L , raggiungere comunque risorse a cui non si vuole abbia accesso...possibilità remota , ma comunque motivo in piu' per poter gestire via iptables i clients
ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> VPN Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it