Comments
3 Responses to “Autenticazione Forte”
  1. Paolo scrive:

    Ciao,articolo molto interessante.
    hai qualche link da suggerirmi se volessi cimentarmi nella configurazione dell’autenticazione tramite ldap + chiave usb?
    grazie

    Ghido

    • Ciao Paolo,
      allora, tutto dipende da che tipo di chiave USB vuoi usare. Se si tratta di una Smart Card che contiene un certificato X.509, com e gli eToken, è necessario avere anche un server di autenticazione che sia in grado di svolgere le funzioni crittografiche del caso, come RADIUS o, più esattamente, RADIUS+ Kerberos. In questo caso LDAP può essere usato per conservare le credenziali di accesso (username, password e certificati) ma l’autenticazione vera e propria è demandata ad altri sistemi (per solito Kerberos o ActiveDirectory). La procedura di installazione di sistemi di questo tipo è piuttosto complicata e non può essere appresa senza studiarsi la manualistica dei programmi coinvolti (e senza fare le prove del caso). Di solito si usano soluzioni commerciali pronte all’uso per queste cose.

      Se si tratta di una chiave USB generica che contiene una OTP, come nel caso di PAM_USB, in teoria sarebbe necessario avere un server in grado di generare le chiavi OTP ed un client (un modulo PAM) in grado di gestirle al login (caricarle, inviarle al server, sovrascriverle con quelle nuove, etc.), senza creare disallineamenti con il server quando si lavora offline.

      Per fortuna, però, il sistema di gestione dei login di Linux (PAM) è in grado di gestire metodi di autenticazione alternativi per lo stesso utente che si collega in modi diversi, per cui si può avere un’autenticazione basata su PAM_USB per l’autenticazione locale e, per esempio, un’autenticazione basata su password OTP spedite come SMS attraverso la rete GSM per l’autenticazione di rete, ad esempio via SSH (che poi è esattamente una delle configurazioni di questo laptop). PAM può gestire anche metodi diversi per utenti diversi che si collegano nello stesso modo, per cui è possibile avere “alex” che si autentica localmente con un eToken Aladdin e “bob” che si autentica localmente con PAM_USB.

      In generale, al giorno d’oggi l’autenticazione di rete (gestita da un server come LDAP, RADIUS o ActiveDirectory) è quasi sempre affidata a generatori di password one-time, come i SecurID di RSA, od a password one-time generate dal server e spedite “out-of-band”, cioè su canali diversi da Internet (di solito la rete GSM). Questo perchè questi sistemi sono completamente indipendenti dal tipo di client utilizzato (Windows, Linux, MacOS, etc.). L’autenticazione locale (offline) è invece spesso affidata a chiavi USB crittografiche come quelle usate da PAM_USB od a token commerciali come certi modelli di eToken di Aladdin.

      Come spiegavo nell’articolo, questo schema “doppio” complica non poco la vita degli utenti e di chi deve gestire la baracca ma, per fortuna, l’autenticazione online (OTP spedite come SMS, per esempio) resta utilizzabile in tutte le situazioni in cui l’utente è collegato al server (dall’ufficio, via LAN), cioè nel 90% dei casi. L’altro tipo di autenticazione serve solo come “riserva” quando ci si trova scollegati (laptop usati sul campo).

      Puoi trovare tute le indicazioni del caso tra la documentazione di PAM e dei moduli PAM_OBC, PAM_USB ed altri.

      • Paolo scrive:

        Ciao, grazie per la risposta esauriente.
        pensavo di utilizzare una chiave usb generica contenente OTP.
        A questo punto visto che la maggioranza dei miei utenti è sempre collegata al server (lan o vpn) spedisco OTP tramite SMS e poi posso utilizzare pam_usb (dopo averlo adeguatamente studiato)

        Grazie

        Ghido

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: