[Ninux-Calabria] freeRadius mysql

Giuseppe De Marco demarcog83 a gmail.com
Sab 27 Feb 2016 22:22:58 UTC 

freeIPA è bellissimo
la cosa che più mi interessa come programmatore è GSSAPI.

In ufficio non sto avendo sbocchi di produzione, solo affiancandolo a
radius l'avrei sfruttato ma per come è attualmente la situazione
preferisco SQL storage e password storage misto, freeIPA lo accendo
per esperimenti e lo sfrutto tramite un realm apposito creato in
freeRadius per fare da proxy di autenticazione, es: peppelinux a ipa mi
autentica delegando al radius che ho affiancato a freeIPA.

ad ogni modo la sicurezza della privacy, su freeIPA, non è assoluta
perchè Kerberos cripta sì le password ma stipa la chiave per
decriptarle, pertanto un sistemista può risalire alla chiave e
decriptare le passwords... (stessa cosa tutti i prodotti microsoft).

Il problema di avere le password in chiaro è fisiologico alla logica
enterprise, quando migri su un nuovo sistema non puoi ammettere di
dover resettare tutte le password piuttosto devi maneggiarle in chiaro
per codificarle nel nuovo storage di password ! (quello che fanno i
software quando fanno gli aggiornamenti o le migrazioni)

Assurdo, ci sono problemi, in ambito informatico che non vengono
risolti ma solo spòstati !
Con radius puro posso usare un meccanismo misto di storage, ovvero in
base a come storo le password abilito uno o più sistemi di
autenticazione.

Attualmente vado forte con TTLS-PAP ma se voleste incuriosirmi ditemi
se avete provato TTLS-GTC.
Radius consente anche lo storage delle password in chiaro e questo,
specie per servizi "momentanei", è utile in previsione di migrazioni
imminenti.

Il 27 febbraio 2016 23:09, Pietro Lombardo
<pietrolombardo1979 a gmail.com> ha scritto:
> Grande Peppe
> Come sai stavo cercando di trovare il tempo di analizzare per bene freeipa,
> la cui soluzione integrata permette di sviluppare servizi unificati usando
> gli stessi parametri di autenticazione per tutto. Mi fa piacere comunque che
> hai trovato una soluzione che sta bene in una fase come quella attuale di
> ninux.
>
>
> Il sab 27 feb 2016 22:50 Giuseppe De Marco <demarcog83 a gmail.com> ha
> scritto:
>>
>>
>> https://github.com/peppelinux/NinucsWRT_utilities/blob/master/freeRadius_mysql-setup.sh
>>
>> Sto usando freeRadius per fare roaming eduroam e autentiche locali.
>> Ho sperimentato anche con freeIPA ma almomento tutto il bendidio di
>> freeIPA è parcheggiato.
>>
>> penso che convertirò il wireless 2.4ghz di brodolini con autentica
>> eap, sia dentro che in aria.
>> Questo script manca di diverse "aggiunte" che poi man mano integrerò,
>> alla fine sono solo dei comandi sequenziali accompagnati da
>> suggerimenti commentati.
>>
>> freeRadius si presta bene, ha una logica interna di bilanciamento di
>> carico e failover, può eseguire condizioni logiche e funzionali,
>> programmi esterni in perl/python/java, una logica di accounting
>> estendibile.
>>
>> bello
>> _______________________________________________
>> Calabria mailing list
>> Calabria a ml.ninux.org
>> http://ml.ninux.org/mailman/listinfo/calabria
>
>
> _______________________________________________
> Calabria mailing list
> Calabria a ml.ninux.org
> http://ml.ninux.org/mailman/listinfo/calabria
>

Maggiori informazioni sulla lista Calabria