[TILUG] authentication client with proxy server

[Luca]

santangelo.luigi@tiscali.it wrote:
> Cari amici, vi porgo il mio più sincero saluto,

ciao anche a te

> sono Luigi, un neofita del Tilug List, e ho un problema che vorrei 
> sottoporre alla vostra attenzione. Innanzitutto vorrei spendere due 
> parole riguardo l'install party: anche io credo di esserci (purche' 
> insomma la giornata rimanga il sabato) ma non mi pare di sapere dove 
> (ma presumo verrà comunicato a posteriori). Arrivo adesso al problema:
> PREMESSA: ho una rete con client eterogenei (lin/win) i cui utenti 
> vengono autenticati da un server samba su una macchina linux. 
> Attualmente i client escono fuori attraverso il firewall configurato 
> sulla macchina linux che esegue un filtering sulla base degli indirizzi 
> IP e MAC. Quello però di cui avrei bisogno è monitorare le richieste 
> HTTP. Ho pensato pertanto di installare il server proxy squid e 
> configurare il firewall in modo da configurare un proxy trasparente.
> PROBLEMA: Un utente un po' abile, connettendosi a una macchina client 
> della rete, potrebbe ottenere IP e MAC, spegnere questa macchina, 

il MAC non viene dato da DHCP, il MAC è univoco della scheda di rete.

> accedere al proprio portatile precedentemente connesso alla rete Lan, 
> sostituire il proprio IP e MAC e uscire fuori indisturbato (attraverso 
> il proxy). Questo è quello che vorrei evitare.

Però, posso capire che uno modifichi il suo indirizzo ip ad hoc,ma 
modificare il MAC addres non è cosa da poco (correggetemi se sbaglio :-))

Quindi potresti fare solamente una verifica di MAC address e, se non 
corrisponde ai client abilitati non li fai uscire.Puoi abbinare questa 
alla coppia user/password.

> SOLUZIONE PREVISTA: premetto che ci sono tante soluzioni (ad esempio 
> quello di configurare il proxy in modo che richiede una user e pwd a 
> chi tenta di uscire e vericare le credenziali con un db ad esempio 
> LDAP) ma quello che avevo pensato io, ammesso che ciò sia fattibile, è 
> quello di installare sul client un certificato digitale (accessibile 
> sono a root). Quando un utente richiede l'uso del protocollo HTTP, il 
> proxy domanda questo certificato e se è valido autentica l'utente (o 
> meglio autentica la macchina che sta effettuando il tentativo di 
> uscire, giacchè l'utente è stato autenticato a priori). Se questo 
> certificato e' inaccessibile agli utenti comuni, nessuno può copiarlo e 
> portarlo nel suo portatile.
> E' FATTIBILE QUESTA SOLUZIONE? Guardando sul web non ho trovato nulla 
> che me lo confermasse. Non mi interessa mantenere squid se questo non 
> lo fa. Se esiste un altro proxy sono pronto a migrare.

Ho cercato leggendo

http://www.acmeconsulting.it/Squid-Book/HTM/

pare che gestisca i certificati (come fare per configurarlo non lo so), 
guardati anche la guida sul sito ufficiale.

per quanto riguarda la migrazione, squid è il più conosciuto, almeno da 
parte mia. Altri server proxy non mi vengono in mente.

ciao
Luca