> -----Original Message----- > From: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] On > Behalf Of Domenico Viggiani > Sent: mercoledì 30 gennaio 2008 14.40 > To: [email protected] > Subject: [ml] 802.1x "ristretta" > > > mentre io vorrei restringere l'accesso a PC facenti effettivamente > parte del > dominio aziendale. > E' possibile? Devo ricorrere a versioni di IAS più recenti (ho sentito > dire > che fanno parecchie cose sul fronte del Network Admission Control)?
Puoi implementare EPA/TLS (RFC 2716) con certificati digitali per computer e utenti, ovviamente hai bisogno di una PKI interna (Certificate Services). Con la versione Enterprise di Windows Server 2003, puoi utilizzare l'autoenrollment per distribuire i certificati in modo trasparente ad utenti/macchine. Controlli la configurazione di autoenrollment dei certificati e del client XP SP2 tutto via GPO, senza toccare i PC (a meno che non vuoi usare WPA2 che necessita di un update). L'unico drawback è la generazione di certificati utenti multipli per quegli utenti che usano più laptop (es: tecnici IT), dato che i certificati sono conservati nel protected store del profilo utente. Un workaround - secondo me impraticabile - è quello di usare i roaming profiles. Le prossime versioni di Windows avranno una nuova feature che si chiama "Roaming Credentials" che permetterà all'utente di avere il suo Security Store su qualsiasi macchina sulla quale faccia login, quindi senza richiedere certificati multipli. In realtà è stato ritagliato un subset di funzionalità "Roaming Credentials" da usarsi anche in ambiente 2003/XP, ma richiede update software e modifica dello schema di AD. My two cents - Gabriele. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
