Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

1.0beta8 Captive Portal su RADIUS esterno (proxy)

 
Nuovo argomento   Rispondi    Indice del forum -> Segnalazione BUG
Precedente :: Successivo  
Autore Messaggio
cicciopasticcio



Registrato: 03/12/07 11:42
Messaggi: 30

MessaggioInviato: Mer Feb 06, 2008 11:50 am    Oggetto: 1.0beta8 Captive Portal su RADIUS esterno (proxy) Rispondi citando

Ho un problema con la 1.0beta8.

Mi serve un captive portal bridged basato su RADIUS esterno

La parte RADIUS mi sembra uguale alla 1.0beta7.

a) Nella gestione del Captive Portal sulla parte "autenticazione", quando aggiungo un "Domain" basato su proxy radius esso mi compare sempre e solo in minuscolo (anche se lo aggiungo in maiuscolo = a quello del proxy radius). Inoltre ho la possibilità di scegliere PEAP-MSCHApv2/PAP/ etc. cosa che nella 1.0beta7 non c'era (e funzionava, con che metodo?)

b) lo "strip/nostrip" dello username (forse in conseguenza ad a)) non funziona. Ho sempre e comunque user@dominio nel log del RADIUS esterno, anche se teoricamente la parte "@domain" dovrebbe essere tolta, e ovviamente questo non fa autenticare nessuno. Per assurdo se gli tolgo qualunque dominio nell'autenticazione e gli dico di autenticare comunque via proxy radius (checkbox in basso), lui se ne esce con esattamente "username@".

Grazie, mi scuso se sono il più attivo in questa sezione... ecco diciamo: "attivo ma non cattivo" Wink
_________________
Marco Pamio - University of Udine - Italy
dunque "zero shell" .... humm, niente conchiglie da queste parti!
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1559

MessaggioInviato: Ven Feb 08, 2008 10:44 pm    Oggetto: Rispondi citando

Citazione:

a) Nella gestione del Captive Portal sulla parte "autenticazione", quando aggiungo un "Domain" basato su proxy radius esso mi compare sempre e solo in minuscolo (anche se lo aggiungo in maiuscolo = a quello del proxy radius). Inoltre ho la possibilità di scegliere PEAP-MSCHApv2/PAP/ etc. cosa che nella 1.0beta7 non c'era (e funzionava, con che metodo?)


Per quel che ne so Radius non dovrebbe essere case sensitive sul dominio. Zeroshell si riserva i nomi di dominio in maiuscolo per indicare i realm Kerberos 5 che invece sono case sensitive, ma per consuetudine sono scritti in maiuscolo.
Per quel che riguarda la possibilità di scelta sul tipo di autenticazione da girare tramite proxy ad un server Radius esterno ora ci sono 3 possibilità:

1) PAP è il metodo tradizionale che Zeroshell sceglie per default ed era usato obbligatoriamente fino alla 1.0.beta7. Esso cifra le password simmetricamente grazie a degli hash che dipendono dai vari shared secret che si incontrano nel percorso di proxy;

2) Allo scopo di incrementare la sicurezza si può usare EAP-TTLS che incapsula l'autenticazione PAP all'interno di un tunnel criptato tramite TLS. Questo metodo garantisce un'altissima garanzia di riservatezza purché si faccia uso del Outer Identity, cioè si ripeta lo username completo del dominio anche all'esterno del tunnel TLS. Se così non si facesse, verrebbero usati tunnel TLS distinti per ognuno dei proxy Radius attraversati che diverrebbero dei luoghi dove le credenziali potrebbero essere catturate. Naturalmente il Captive Portal di Zeroshell gestisce automaticamente l'Outer Identity rendendo EAP-TTLS molto sicuro.

3) Infine PEAP con MsCHAPv2 sfrutta esattamente lo stesso principio di EAP-TTLS, ma usa invece del semplice PAP come inner authentication, MsCHAPv2.

La scelta del tipo di autenticazione dipende da qual'è quella supportata dal server RADIUS finale che dovrà gestire effettivamente la validazione delle credenziali utente. PAP è sicuramente supportata da qualsiasi Radius server.

Citazione:

b) lo "strip/nostrip" dello username (forse in conseguenza ad a)) non funziona. Ho sempre e comunque user@dominio nel log del RADIUS esterno, anche se teoricamente la parte "@domain" dovrebbe essere tolta, e ovviamente questo non fa autenticare nessuno. Per assurdo se gli tolgo qualunque dominio nell'autenticazione e gli dico di autenticare comunque via proxy radius (checkbox in basso), lui se ne esce con esattamente "username@".


Il problema dovrebbe verificarsi soltanto se usi EAP-TTLS o PEAP, mentre con PAP non dovrebbe essere cambiato nulla. Il problema è che se usi l'opzione di strip del dominio, Radius si preoccupa automaticamente di rimuoverlo dall'Inner-Identity, mentre io avrei dovuto preventivamente fare lo strip delll'Outer-Identity nell'eseguire la richiesta a Radius. Purtroppo non l'ho fatto e da qui il bug che segnali. Comunque con PAP dovrebbe andare tutto bene. Fammi sapere.
Comunque trovo strano che tu debba necessariamente eseguire lo strip del dominio. Tranne alcuni casi rari, ciò non dovrebbe essere necessario.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Segnalazione BUG Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it