Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Utilizzo di un Radius esterno

 
Nuovo argomento   Rispondi    Indice del forum -> RADIUS 802.1x e Captive Portal
Precedente :: Successivo  
Autore Messaggio
francescom



Registrato: 17/10/12 18:13
Messaggi: 5

MessaggioInviato: Gio Ott 18, 2012 6:27 pm    Oggetto: Utilizzo di un Radius esterno Rispondi citando

Ho fatto un paio di domande sul forum di zerotruth (che sto studiando con interesse), ma forse per quanto segue non era il posto giusto.
Non ho trovato un topic specifico per cui mi permetto di aprirne uno.

Sto cercando di capire come si contattano real esterni per l'autenticazione radius.
Dalla documentazione non mi è chiaro se devo agire su
kerberos5 -> cross authentication
sul menù radius o dove.
Sto provando con due installazioni ZS, ma finora senza risultato.
Qualcuno può darmi qualche suggerimento ?
Comunque mille grazie in anticipo.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Ven Ott 19, 2012 9:25 pm    Oggetto: Rispondi citando

Kerberos 5 è alternativo a RADIUS. Invece per contattare un server RADIUS esterno ti basta aggiungerlo come proxy RADIUS per un certo dominio.
Tieni conto che dovrai anche aggiungere l'IP e lo shared secret di Zeroshell come client sul server RADIUS esterno.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Sab Ott 20, 2012 7:06 am    Oggetto: Rispondi citando

Ed ovviamente dovrai configurare ZA come client autorizzato per il RADIUS server esterno.

PS x Fulvio: posso differenziare, sul RADIUS esterno, se una richiesta è per un'autenticazione sul CP piuttosto che 802.1x?
Top
Profilo Invia messaggio privato
francescom



Registrato: 17/10/12 18:13
Messaggi: 5

MessaggioInviato: Sab Ott 20, 2012 7:54 am    Oggetto: Rispondi citando

Ciao Fulvio.
1000 grazie per la risposta (e soprattutto infinite grazie per zeroshell)
Provo subito quanto suggerito, l'obbiettivo come ti dicevo e configurare il server radius per la connessione a freeitaliaWiFi.
Di seguito un estratto del loro regolamento tecnico:

L’entità afferente è tenuta:
• a implementare e mantenere un server RADIUS in grado di contattare
(secondo le modalità riportate in seguito) il proxy RADIUS dell’IX-WiFi;
• a dirigere le richieste di autenticazione relative ad utenze delle altre entità
federate in “roaming” presso l’entità stessa verso il proxy RADIUS dell’IXWiFi,
specificando in esse l’attributo User-Realm con valore pari al <realm
ente federato>, dell’entità cui l’utente appartiene, assegnato dall’IX-WiFi;
• ad utilizzare, nei pacchetti RADIUS di tipo Access-Request diretti verso il
proxy RADIUS dell’IX-WiFi e relativi ad utenze non appartenenti al proprio
dominio, l’attributo RADIUS User-Name nella seguente forma:
<utente>@<realm ente federato>
• ad implementare e mantenere un server RADIUS in grado di essere contattato
(secondo le modalità riportate in seguito) dal proxy RADIUS dell’IX-WiFi;
• ad utilizzare esclusivamente PAP come schema di autenticazione per le
richieste di RADIUS dirette verso l’IX-WiFi;
• ad accettare e processare opportunamente le richieste di autenticazione
provenienti dal proxy RADIUS dell’IX-WiFi relative a proprie utenze in “roaming” presso altre entità federate e che utilizzeranno PAP come schema di
autenticazione.
La connettività tra il server RADIUS dell’ente federato e il proxy RADIUS dell’IXWiFi
dovrà essere tale da garantire l’integrità e la riservatezza delle informazioni in
transito e potrà realizzarsi almeno con le seguenti modalità:
• VPN Layer 2;
• VPN Layer 3;


Mi sembra che zeroshell possa fare tutto.
Corretto ?
Top
Profilo Invia messaggio privato
francescom



Registrato: 17/10/12 18:13
Messaggi: 5

MessaggioInviato: Sab Ott 20, 2012 8:28 am    Oggetto: Rispondi citando

Ancor prima di creare un nuovo proxy ho creato un nuovo realm ed un nuovo utente di questo realm
prova@realmprova.com
Ho configurato su un AP l'autenticazione via ZS.
Se utilizzo utenti del realm di default (example.com) tutto funziona correttamente.
Se utilizzo l'utente del nuovo realm il dispositivo mi da "errore di connessione".
Dai log di ZS però sembrerebbe dover funzionare:

09:20:05 Login OK: [prova@realmprova.com] (from client Pico port 0 cli 18-46-17-FD-22-7A)

è forse un errore derivato dall'assenza di certificato per il nuovo realm creato ?
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> RADIUS 802.1x e Captive Portal Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it