aiuto server radius, apache, mysql

Tutto quello che ha a che fare con GNU/Linux, soprattutto in ambito sistemistico.

Moderatore: Federico.Lagni

Rispondi
Avatar utente
richardsith
Cisco fan
Messaggi: 37
Iscritto il: mar 08 lug , 2008 1:44 pm
Località: everywhere
Contatta:

ciao a tutti, sto cercando di capire come funziona un server di autentificazione per una tradizionale rete lan. Dalle varie guide trovate mi trovo a utilizzare qsti applicativi:
radius
mysql
apache2
ma la mia domanda il servizio radius va bene anche per le reti cablate con cavo oppure è solo per wifi? In internet trovo solamente guide riquardanti reti wifi. Ho provato ad impostare radius e mysql e dai vari test i 2 lavorano perfettamente mi mancherebbe apache2 e qui ho prb. Ovvero dalle guide vedo sempre che prendono il file di esempio di chillispot per impostare una pagina di autentificazione ma il mio scopo non è avere chillispot. Cè qualke anima sperduta che mi puo aiutare grazie 1000?
ep
Network Emperor
Messaggi: 260
Iscritto il: sab 06 dic , 2008 11:36 am

Dovresti spiegare cosa vuoi fare. In sintesi estrema, un server RADIUS è un server "stupido" che non sa nulla né di LAN né di Wi-Fi. Semplicemente, gli arrivano delle richieste ("Access-Request") con dei dati; a seconda dei protocolli va avanti a farsene mandare (rispondendo con dei pacchetti Access-Challenge) fino a quando non ha tutti i dati necessari ed emette un responso, che può essere Access-Accept o Access-Deny.

Se tu hai qualcosa (ad es. uno switch) che parla il protocollo RADIUS, puoi configurarlo perché un utente acceda soltanto se si fa autorizzare. In termini RADIUS qualsiasi dispositivo che interroga il server RADIUS per autorizzare un utente si chiama NAS. In questo caso il computer dell'utente dovrà presentare allo switch le credenziali (ad es. tramite il protocollo 802.1x, oppure mettendole in una pagina web...), e lo switch, agendo da NAS, chiederà al server RADIUS. Lo switch autorizzerà il client ad accedere alla LAN soltanto se il server RADIUS dice di sì.

Se non hai un dispositivo adeguato, niente controllo degli accessi alla LAN; puoi mettere la macchina Linux come gateway e regolare gli accessi oltre la macchina, ma in quel caso devi usare Chillispot, e comunque non proteggi la LAN.

Senza Chillispot e con uno switch adeguato, Apache non ti serve.

Ciao!
Avatar utente
richardsith
Cisco fan
Messaggi: 37
Iscritto il: mar 08 lug , 2008 1:44 pm
Località: everywhere
Contatta:

innanzitutto grazie mille per la spiegazione adesso mi è un pò + chiara la funzionalità di radius. Io stò solamente cercando di realiazzare una lan virtualizzata dove il server è uno di autentificazione (radius) e usare mysql per lo store dei dati sugli utenti. Mentre con apache vorrei avere una pagina per l'accettazione dei parametri di autentificazione e navigare in internet. Dalle varie guide la pagina di esempio utilizzata da apache viene presa da un file di esempio di chillispot. Volevo sapere se era possibile fare un sistema del genere senza usare chillispot. Da quello che ho potuto capire radius non viene usato esclusivamente per reti wifi può essere usato anche per reti wired. Mentre chillispot è solamente per reti wifi. Ho capito bene quest'ultimo passaggio? grazie e buone feste.
ep
Network Emperor
Messaggi: 260
Iscritto il: sab 06 dic , 2008 11:36 am

Ciao,
richardsith ha scritto:innanzitutto grazie mille per la spiegazione adesso mi è un pò + chiara la funzionalità di radius. Io stò solamente cercando di realiazzare una lan virtualizzata dove il server è uno di autentificazione (radius) e usare mysql per lo store dei dati sugli utenti.
Dovresti spiegare meglio che cosa intendi per "lan virtualizzata". Solitamente per "lan virtuale" (VLAN) si intende qualcosa che non c'entra con l'autenticazione degli utenti!
richardsith ha scritto: Da quello che ho potuto capire radius non viene usato esclusivamente per reti wifi può essere usato anche per reti wired. Mentre chillispot è solamente per reti wifi. Ho capito bene quest'ultimo passaggio? grazie e buone feste.
Se ho capito bene, tu vuoi soltanto autenticare gli utenti prima che possano navigare su Internet; non è necessario autenticarli prima che accedano alla LAN.

In questo caso Chillispot fa tranquillamente al caso tuo, perché supporta tutti i tipi di rete Ethernet, sia cablata che senza fili; ti fornisce un livello abbastanza buono di sicurezza. Io lo uso con soddisfazione.

Se disponi di uno switch che supporta 802.1x, puoi autenticare gli utenti anche prima che accedano alla LAN, facendo completamente a meno di Chillispot oppure utilizzandolo in modalità proxy. Se il tuo switch non supporta 802.1x, ti tocca usare Chillispot su di una macchina che faccia, sostanzialmente, da gateway/firewall tra la LAN e Internet.

Potresti voler dare anche un'occhiata a Zeroshell, che alcuni trovano più comodo.
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Se stai facendo il tutto per fini di studio,tieni presente che esiste una differenza sostanziale tra il SSO (single sign on) e l'autenticazione centralizzata.Radius essenzialmente permette quest'ultima,è un contenitore supportato da moltissimi apparati che permette il "riconoscimento" di credenziali.Come ha detto ep ci puoi appoggiare,switch ma anche server web,proxy,access point.
Se,invece devi realizzare un sistema per cui autenticare in maniera centralizzata degli utenti che accedono al Web sia su ethernet che su Wireles...lascia perdere tutto e vai qua http://m0n0.ch/wall/ ,in 98 minuti avrai tutto perfettamente funzionante,stabile e compatibile con le richieste che hai espresso qui,
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Rispondi