[TILUG] authentication client with proxy server

santangelo.luigi@tiscali.it santangelo.luigi@tiscali.it
Mer 10 Maggio 2006 08:10:27 CEST 

Cari amici, vi porgo il mio più sincero saluto,
sono Luigi, un neofita del Tilug List, e ho un problema che vorrei 
sottoporre alla vostra attenzione. Innanzitutto vorrei spendere due 
parole riguardo l'install party: anche io credo di esserci (purche' 
insomma la giornata rimanga il sabato) ma non mi pare di sapere dove 
(ma presumo verrà comunicato a posteriori). Arrivo adesso al problema:
PREMESSA: ho una rete con client eterogenei (lin/win) i cui utenti 
vengono autenticati da un server samba su una macchina linux. 
Attualmente i client escono fuori attraverso il firewall configurato 
sulla macchina linux che esegue un filtering sulla base degli indirizzi 
IP e MAC. Quello però di cui avrei bisogno è monitorare le richieste 
HTTP. Ho pensato pertanto di installare il server proxy squid e 
configurare il firewall in modo da configurare un proxy trasparente.
PROBLEMA: Un utente un po' abile, connettendosi a una macchina client 
della rete, potrebbe ottenere IP e MAC, spegnere questa macchina, 
accedere al proprio portatile precedentemente connesso alla rete Lan, 
sostituire il proprio IP e MAC e uscire fuori indisturbato (attraverso 
il proxy). Questo è quello che vorrei evitare.
SOLUZIONE PREVISTA: premetto che ci sono tante soluzioni (ad esempio 
quello di configurare il proxy in modo che richiede una user e pwd a 
chi tenta di uscire e vericare le credenziali con un db ad esempio 
LDAP) ma quello che avevo pensato io, ammesso che ciò sia fattibile, è 
quello di installare sul client un certificato digitale (accessibile 
sono a root). Quando un utente richiede l'uso del protocollo HTTP, il 
proxy domanda questo certificato e se è valido autentica l'utente (o 
meglio autentica la macchina che sta effettuando il tentativo di 
uscire, giacchè l'utente è stato autenticato a priori). Se questo 
certificato e' inaccessibile agli utenti comuni, nessuno può copiarlo e 
portarlo nel suo portatile.
E' FATTIBILE QUESTA SOLUZIONE? Guardando sul web non ho trovato nulla 
che me lo confermasse. Non mi interessa mantenere squid se questo non 
lo fa. Se esiste un altro proxy sono pronto a migrare.
Grazie mille e a presto per l'install party
Luigi




		
Tiscali ADSL 4 Mega Flat 

Naviga senza limiti a 19,95 Euro al mese con 4 Megabps di velocita'. Attiva subito: hai 2 MESI di canone adsl GRATIS!

In piu', se sei raggiunto dalla rete Tiscali, telefoni senza pagare il canone Telecom. 

Scopri subito come risparmiare! 

http://abbonati.tiscali.it/prodotti/adsl/tc/4flat/

Maggiori informazioni sulla lista Tilug