Authentification sous Linux ? [Chui dans la mouise] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 05-05-2003 à 19:23:18
Mon maitre de stage est en train de m'harceler avec ces histoires d'authentification par login/password.
J'ai fais pas mal de recherche sur le web... mais il ne semble pas exister de moyen d'authentification de ce type.
La solution serait de créer une PKI avec des cartes à puce et co... mais cela coute vraiment pas cher.
Une bonne solution solution serait d'installer un serveur RADIUS pour réaliser l'authentification.
Mais apparement Freeswan ne le permet pas !
------------------------
Voici ce que j'ai lu ds une FAQ de Freeswan :
Does FreeS/WAN support user authentication (Radius, SecureID, ...)?
Not yet. So far, there is no standard way to authenticate users for IPsec, though there is a very active IETF working group looking at the problem, and several vendors have implemented various things already.
In the absence of a standard, user authentication has not been a priority for the FreeS/WAN team, and is unlikely to become one. This would be a good project for a volunteer, perhaps a staff member or contractor at some company that needs the feature. Certainly our team would co-operate with such an effort; we just don't have time to do it.
The patches section of our web links document has links to some user work on this.
Of course, there are various ways to avoid any requirement for user authentication in IPsec. Consider the situation where road warriors build IPsec tunnels to your office net and you are considering requiring user authentication during tunnel negotiation. Alternatives include:
If you can trust the road warrior machines, then set them up so that only authorised users can create tunnels. If your road warriors use laptops, consider the possibility of theft.
If the tunnel only provides access to particular servers and you can trust those servers, then set the servers up to require user authentication.
If either of those is trustworthy, it is not clear that you need user authentication in IPsec.
------------------------
Pourtant de nombreuses solutions commerciales de type Cisco ou Checkpoint proposent des possibilités d'authentification VPN via RADIUS, TACACS...
Freeswan (c'est à dire IPSec) et Linux conviennent pleinement à nos besoins. Mais il faut à tout pris identifier de "manière sûr" les clients nomades ? !
Comment faire ? Je ne pense pas etre le premier à me poser la question !
Est il possible de réaliser de l'authentification avant l'établissement du tunnel IPSec ?
Merci de toute idées !
Marsh Posté le 09-05-2003 à 09:30:47
Ho miracle, quelqu'un posté ds mon topic...
Je sens que je vais etre obligé de me tapper de la PKI.
J'y connais pas grands chose ds ce domaine en plus.
Marsh Posté le 29-08-2004 à 12:43:35
Dans la liste de diffusion de Lea-Linux, il y a peut être quelqu'un qui s'y connait. Va voir dans les groupes de discussion fr.comp.os.linux.* ou/et fr.comp.reseaux.ip, fr.comp.reseaux.ethernet.
Ton pb m'intéresse aussi.
Marsh Posté le 02-12-2004 à 00:29:36
slt, je suis bien une étudiante spécialité telecom
j'ai un projet à propos de la mise en place d'une solution vpn basée sur des implémentations open source (utilisation du protocole ipsec sous linux 9.0 ) avec l'obligation de l'implémentation d'une GUI interface graphique pour la configuration et l'implémentation de la solution avec le java JBuilder9.
Je vous demande de l'aide pour préparer mon projet svp aidez moi.
Informez sur les vpn les freeswan l'IPsec et la programmation d'une interface graphique à l'aide du java JBuilder.
Merci beaucoup
Je vous attend sur : chixpon.wafa@laposte.net
Marsh Posté le 14-04-2003 à 16:36:32
Salut
Je viens de configurer freeswan 1.99 (implémentation d'IPSec) sous mon Linux afin de réaliser du VPN Host-to-LAN (c'est à dire qu'il y a une communication chiffré qui s'établie entre le client et la passerelle Freeswan, puis le trafic est routé en clair sur l'autre interface réseau).
Cependant on m'a demandé de réaliser une authentification de type login/mot de passe entre le client et le serveur.
Où le tunnel pourra etre "monté" si et seulement si l'authentification est valide.
L'ideal serait que les infos d'authentification puisse etre récupéré sur le serveur LDAP de la boite.
J'ai fais pas mal de recherche sur le web et j'ai vu que les authentification VPN était réalisable par l'intermédiaire d'un serveur RADIUS (le top), TACACS ou CHAP ?
Vous pensez que ce type d'authentification est réalisable avec un serveur VPN IPSec Freeswan ?
J'attends toutes vos bonnes idées.
Merci
Message édité par madsurfer le 05-05-2003 à 19:26:19