The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Нужно ли прикручивать шифрование в связке PopTop + Radius + ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Нужно ли прикручивать шифрование в связке PopTop + Radius + ..."  
Сообщение от schizoid on 29-Июл-06, 12:26 
Добрый день.
Есть необходимость проводить аутенитификацию на удаленном сервере.
Подскажите пожалуйста нужно ли добавлять какое то шифрование?
Значит схева такая.
/Win-пользователи/----/2 POPtop сервера/---/Freradius/---/ldap/

Радиус и лдап можно поставить на одну машину и пароли передавать через 127.0.0.1.
Но вот РОРТор сервера. Они на разных машинах и соответственно логин-пароль передается по сети. Тоесть теоретически можно перехватить. Но вопрос, он передаётся там зашифрованым или нет?
Если зашифрованым, то хорошо.
а если нет?
Как его можно зашифровать?
Я не смог радиус заставить собраться с САСЛ.
Это возможно?
Как это сделать?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Нужно ли прикручивать шифрование в связке PopTop + Radius + ..."  
Сообщение от Dmk on 31-Июл-06, 12:27 
>Добрый день.
>Есть необходимость проводить аутенитификацию на удаленном сервере.
>Подскажите пожалуйста нужно ли добавлять какое то шифрование?
>Значит схева такая.
>/Win-пользователи/----/2 POPtop сервера/---/Freradius/---/ldap/
>
>Радиус и лдап можно поставить на одну машину и пароли передавать через
>127.0.0.1.
>Но вот РОРТор сервера. Они на разных машинах и соответственно логин-пароль передается
>по сети. Тоесть теоретически можно перехватить. Но вопрос, он передаётся там
>зашифрованым или нет?
>Если зашифрованым, то хорошо.
>а если нет?
>Как его можно зашифровать?
>Я не смог радиус заставить собраться с САСЛ.
>Это возможно?
>Как это сделать?

Если мы говорим о freeradius, то:
1. Для того чтобы использовать CHAP/MSCHAP/MSCHAP-V2 аутентификацию пароль в ldap должен лежать открытым текстом {CLEARTEXT}.
2. Если же пароли в ldap находятся в виде md5/ssha/crypt и т.д. - то в этом случае
с радиусом будет работать только PAP.

Выбирайте что Вам больше нравится.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Нужно ли прикручивать шифрование в связке PopTop + Radius + ..."  
Сообщение от schizoid on 01-Авг-06, 12:49 
>Если мы говорим о freeradius, то:
>1. Для того чтобы использовать CHAP/MSCHAP/MSCHAP-V2 аутентификацию пароль в ldap должен лежать
>открытым текстом {CLEARTEXT}.
>2. Если же пароли в ldap находятся в виде md5/ssha/crypt и т.д.
>- то в этом случае
>с радиусом будет работать только PAP.

схева такая.
/Win-пользователи/----/2 POPtop сервера/---/Freradius/---/ldap/

Да. Говорим про Фрирадиус.

Во втором варианте получается от Вин-пользователей будет идти незашифрованый пароль?
Не подходит.

В первом варианте:
Да, пользуем МСЧАП.
В лдапе пароли открытым текстом.

Так от Поп сервера к радиусу передается зашифрованый пароль или открытый?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Нужно ли прикручивать шифрование в связке PopTop + Radius + ..."  
Сообщение от Dmk on 01-Авг-06, 16:02 
>>Если мы говорим о freeradius, то:
>>1. Для того чтобы использовать CHAP/MSCHAP/MSCHAP-V2 аутентификацию пароль в ldap должен лежать
>>открытым текстом {CLEARTEXT}.
>>2. Если же пароли в ldap находятся в виде md5/ssha/crypt и т.д.
>>- то в этом случае
>>с радиусом будет работать только PAP.
>
>схева такая.
>/Win-пользователи/----/2 POPtop сервера/---/Freradius/---/ldap/
>
>Да. Говорим про Фрирадиус.
>
>Во втором варианте получается от Вин-пользователей будет идти незашифрованый пароль?
>Не подходит.
>
>В первом варианте:
>Да, пользуем МСЧАП.
>В лдапе пароли открытым текстом.
>
>Так от Поп сервера к радиусу передается зашифрованый пароль или открытый?

Трафик между nas и radius в любом случае шифрованный - независимо от метода аутентификации.

читаем /etc/freeradius/clients.conf

#  The shared secret use to "encrypt" and "sign" packets between
#  the NAS and FreeRADIUS.  You MUST change this secret from the
#  default, otherwise it's not a secret any more!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Нужно ли прикручивать шифрование в связке PopTop + Radius + ..."  
Сообщение от schizoid on 01-Авг-06, 17:08 
>Трафик между nas и radius в любом случае шифрованный - независимо от
>метода аутентификации.
>
>читаем /etc/freeradius/clients.conf
>
>#  The shared secret use to "encrypt" and "sign" packets between
>#  the NAS and FreeRADIUS.  You MUST change this secret
>from the
>#  default, otherwise it's not a secret any more!


Спасибо.
Успокоили старика :)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру