> -----Original Message----- > From: [EMAIL PROTECTED] > [mailto:[EMAIL PROTECTED] On Behalf Of marco misitano > Sent: Saturday, February 02, 2008 11:00 AM > > Domenico Viggiani wrote: > > io vorrei restringere l'accesso a PC facenti effettivamente > parte del > > dominio aziendale. > > > secondo me si tratta di "machine authentication". non conosco > IAS, ma alla fine é esattamente un controllo piu o meno > sofisticato della identitá della macchina (indipendente > dall'utente) che vai a fare contro un AD. So che Cisco ACS > permette di farlo, quindi tendo pensare che lo faccia almeno > anche IAS.
E' proprio così, grazie. Ricapitolo, a beneficio mio e degli archivi. Io uso EAP-PEAP/MS-CHAPv2, non EAP-TLS, in modo da non deployare certificati (si, lo so, ci sarebbe l'autoenrollment...). Con EAP-PEAP/MS-CHAPv2, ho bisogno solo di un certificato per il server (fatto in casa con Openssl modificato, non ricordo dove ho trovato la patch) e di disabilitare la sua verifica sui client (lo so che non si dovrebbe fare...) Per la machine-authentication, con XP, si può impostare la chiave di registro: HKEY_LOCAL_MACHINE\Software\Microsoft\EAPOL\Parameters\General\Global\AuthMo de a "2" (e funziona anche con le reti "wired"). In alternativa, si può fare tramite una GPO ma forse solo per le reti wireless. Con Vista, non so di preciso. Poi, bisogna impostare IAS in modo che accetti solo un gruppo Windows che contiene esclusivamente le macchine a cui vogliamo dare connettività; è un po' una scocciatura perché deve essere proprio un gruppo e non una OU e quindi va gestito a parte. Ecco un documento che descrive tutto per bene, partendo dalla creazione del mondo (!): https://thesource.ofallevil.com/technet/network/wifi/ed80211.mspx Saluti -- Domenico Viggiani ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
