Mandi! "Giuseppe Paternò (Gippa)"
In chel dì si favelave...
[grazie a tutti, of course]
>> ergo devo per forza usare e gestire certificati?
GPG> Si', almeno x il server.
Boh, i certificati sul server (per Apache e ldap) ci sono già, e ho una
buona approssimazione di CA in piedi, quidni questo non sarebbe un
grosso problema.
GPG> Se vuoi autenticare le macchine, allora mi sa che la cosa + pratica e'
GPG> di usare i certificati sulle macchine.
Si, ma mi sono spiegato male e ci sto ripensando. ;)
Nel senso che l'access point in questione andrà a cascare anche su un
bel parcheggio pubblico, e so benissimo che se mi fregano un portatile
io sarò l'ultimo a saperlo. (ovvero: lo saprò quando mi chiameranno a
configurare quello nuovo. ;( )
In un contesto del genere un certificato sull'host è anche peggio.
OK, posso pensare di mettere sugli accesspoint un elenco di MAC address
che possono connettersi, in questo caso l'accesspoint è uno e tutta
questa cosa è una grossa sega mentale alla fin fine, ma mi chiedo se
radius non abbia la possibilità di sostanzialmente 'filtrare' su mac
address server-side.
L'unica cosa che sembra una documentazione (o sono tordo io) è:
http://wiki.freeradius.org/Radiusd.conf
e nel mondo perfetto della mia fantasia io verificherei alcuni
attributi (MAC, gruppo di appartenenza dell'utente) sul mio server LDAP
*E* la password (che non essendo in chiaro in LDAP, ovviamente, dovrò
verificarla) con qualche altro metodo.
In un certo senso più che 'come si confugura freeradius', mi sa che mi
manca la risposta a 'come caspita funziona RADIUS'... ;(((
[e la documentazione di freeradius non aiuta]
--
Io chiedo quando sara` che l'uomo potra` imparare
a vivere senza ammazzare e il vento si posera` (F. Guccini)
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
