> -----Original Message----- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On > Behalf Of Luca Berra > Sent: giovedì 27 settembre 2007 9.40 > To: ml@sikurezza.org > Subject: Re: [ml] Disegno sicuro per server FTP. > > On Tue, Sep 25, 2007 at 11:06:11PM +0200, Gabriele Scolaro wrote: > >> From: Luca Berra > >> la nota in fondo a 179442 fa seriamente pensare che sia tutta fatica > >> inutile :D > > > >Forse sarebbe meglio mettere 2 foreste (1 in "DMZ di Produzione" e 1 > in > >"Intranet) non TRUSTATE e sincronizzate con MIIS, oppure federate con > ADFS > >(ADFS Proxy in DMZ)? In questo ultimo caso credo che le applicazioni > debbano > >essere claim-aware.... :-( > > La prima delle due ipotesi sembra presentare alcuni vantaggi > aggiuntivi, > rispetto alla trust, come la possibilita' di decidere quali account > debbano essere replicati in DMZ.
Giusto! E forse posso replicare anche il mapping utenti-certificati digitali, cosa che sarebbe utile per le autenticazioni mutue tipo SSL per i dipendenti quando accedono dall'esterno. > ADFS proprio non lo conosco, credo di aver capito che c'e' un coso che > intercetta le chiamate di autenticazione NT e le gira in richieste > ADFS, > ma non ci giuro. ADFS è proposto da Microsoft con l'ultima release di Windows Server 2003, forse è meglio aspettare un po' prima di capire se si tratta di un buono strumento o di un buco nell'acqua... > >> >Personalmente userei un Adam o un Read Only Domain Controller > windows > >> >server 2008 > >> > >> ma adam e' un server ldap, non permette di fare > >> autenticazione/trust/repliche Active Directory e RDOC e' in beta :D > > > >ADAM fa solo autenticazione in "LDAP bind", no trust ma si può > replicare con > Si, ma il tuo Titan non usava AD, o fa anche LDAP bind? http://titanftp.com/support/titanftp/v6/webhelp/nt_authentication.htm > >AD tramite ADAMSync o Identity Integration Feature Pack for Microsoft > >Windows Server Active Directory > A questo punto puoi decidere di usare qualsiasi cosa che sia supportato > da MIIS e dalle applicazioni che vuoi mettere in quella DMZ, direi che > la > scelta sara' guidata dalle applicazioni. E il budget dove lo metti??? :-)))) A questo punto mi piacerebbe la soluzione MIIS, ma quando avrò in mano la quotazione tra macchine e licenze per l'approvazione di spesa, rimbalzerò e metterò l'FTP sulla rete pubblica con accesso anonimo in scrittura.... (scherzo!) Grazie e ciao, Gabriele ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List