Mandi! Gabriele Scolaro In chel dì si favelave... GS> - PEAP-MSCHAPV2 con certificati server-side (Radius) e credenziali user & GS> computer (anche computer per evitare che colleghino macchine non GS> appartenenti al dominio)
Premetto che ho implementato quest'ultimo, ma soprattutto perchè usando samba e freeradius gestire i certificati sarebbe stato non complicato, probabilmente quasi impossibile. Quindi concordo con chi dice che la scelta, più che nel protocollo in se, dovrebbe essere condizionata dal fatto se c'è o meno una PKI in piedi. Volevo solo aggiungere che la 'machine account auth' funziona (anche con freeradius e winbind/samba), ma non è usabile in 'AND' quanto in OR: quando la macchina parte e la machine auth è abilitata, si connette. Se un utente fa logon, e ha creato una connessione wireless per lo stesso SSID, semplicemente la connessione viene abbattuta e ci si riconnette con le nuove credenziali. Se non ha una connessione per lo stesso SSID, rimane 'in piedi' l'autenticazione macchina (non sono sicuro al 100% su questa ultima cosa). Ovvero: o si da accesso solo ai machine account di modo da autenticare solo macchine, oppure se si da accesso ad account utente occorre impedire a qualche macchina di collegarsi in altro modo (con filtri su MAC, a naso). -- Against software patents: http://www.freepatents.org - http://no-patents.prosa.it
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
