Wireless Italia il 1 Portale sul Wireless in Italia - Wireless LAN e tecniche di autenticazione 802.1x

Wireless LAN e tecniche di autenticazione 802.1x

Notizie flash

AirLive, one of the most advanced worldwide brands for networking and communication equipments, has just added its newest product to its security family. The AirLive

IP-2000VPN Internet

VPN

Server is tailor designed for the SOHO and SMB market or end users who wish to work from home. It combines the security features that are essential for the office environment together with the cost effectiveness and ease of use for a home user. AirLive IP-2000VPN allows users to create a safe and secure connection between 2 office networks or connection to the office network from the Internet. AirLive IP-2000VPN encrypts all data before sending it out to the public, thus protecting the company’s important and valuable data.

Menu principale

Home

Forum sul Wireless

Iscrizione Newsletter

Rimozione Newsletter

Wireless nei Comuni

Contributi Audio sul W.

Software per Wireless

Eventi e Manifestazioni

Normativa Wireless

Computers e Wireless

Sistemi Bluetooth

Comunicazioni dal sito

Glossario sul Wireless

Dicono di Noi

Press Kit

Audio Guestbook

Podcast
Full Feed

Wireless LAN e tecniche di autenticazione 802.1x

Indice articolo
Wireless LAN e tecniche di autenticazione 802.1x
Pagina 2
Pagina 3
Pagina 4
Pagina 5
Pagina 6
Pagina 7
Pagina 8
Pagina 9
Pagina 10
Pagina 11
Pagina 12

Pagina 10 di 12

Test della configurazione

All'atto pratico di testare la configurazione della rete costituita e' stato utilizzato un portatile IBM dotato di scheda Wi-Fi intel PRO2200b/g e S.O. Windows XP home SP2, quindi una configurazione piuttosto comune a livello di utenza docenti/studenti; alcuni test sono stati effettuati anche con una macchina Macintosh dotata di scheda di rete AirPort extreme. Inizialmente e' stata testata la possibilita' di una connessione Wi-Fi: in linea teorica una volta autenticato l'utente dovrebbe ricevere un indirizzo ip dal server DHCP se correttamente registrato l'indirizzo MAC della scheda di rete wireless. Purtroppo per entrambe le macchine testate il risultato e' stato lo stesso.

lato server:

	rad_recv: Access-Request packet from host 172.28.33.231:21648,

	id=227, length=163

	        User-Name = "cammani"

	        Framed-MTU = 1400

	        Called-Station-Id = "000e.84e2.0bb0"

	        Calling-Station-Id = "000e.35e5.14a6"

	        Message-Authenticator = 0xfd12688b453279797cb655e9e2cd898c

	        EAP-Message = 0x0201002c0163616d6d616e690000ff1c5379676174

	6553656375726974794167656e74000000000000000000

	        NAS-Port-Type = Wireless-802.11

	        NAS-Port = 474

	        Service-Type = Framed-User

	        NAS-IP-Address = 172.28.33.231

	        NAS-Identifier = "csapw1"

	  Processing the authorize section of radiusd.conf

	modcall: entering group authorize for request 0

	  modcall[authorize]: module "preprocess" returns ok for request 0

	    users: Matched cammani at 98

	radius_xlat:  'Hello, cammani'

	  modcall[authorize]: module "files" returns ok for request 0

	rlm_ldap: - authorize

	rlm_ldap: performing user authorization for cammani

	radius_xlat:  '(uid=cammani)'

	radius_xlat:  'dc=fis,dc=unipr,dc=it'

	rlm_ldap: ldap_get_conn: Checking Id: 0

	rlm_ldap: ldap_get_conn: Got Id: 0

	rlm_ldap: attempting LDAP reconnection

	rlm_ldap: (re)connect to ldap.fis.unipr.it:389, authentication 0

	rlm_ldap: bind as / to ldap.fis.unipr.it:389

	rlm_ldap: waiting for bind result ...

	rlm_ldap: Bind was successful

	rlm_ldap: performing search in dc=fis,dc=unipr,dc=it, with filter

	(uid=cammani)

	rlm_ldap: looking for check items in directory...

	rlm_ldap: looking for reply items in directory...

	rlm_ldap: user cammani authorized to use remote access

	rlm_ldap: ldap_release_conn: Release Id: 0

	  modcall[authorize]: module "ldap" returns ok for request 0

	modcall: group authorize returns ok for request 0

	  rad_check_password:  Found Auth-Type LDAP

	auth: type "LDAP"

	  Processing the authenticate section of radiusd.conf

	modcall: entering group Auth-Type for request 0

	rlm_ldap: - authenticate

	rlm_ldap: Attribute "User-Password" is required for authentication.

	  modcall[authenticate]: module "ldap" returns invalid for request 0

	modcall: group Auth-Type returns invalid for request 0

	auth: Failed to validate the user.

	Delaying request 0 for 1 seconds

	Finished request 0

	Going to the next request

	--- Walking the entire request list ---

	Waking up in 1 seconds...

	--- Walking the entire request list ---

	Waking up in 1 seconds...

	--- Walking the entire request list ---

	Sending Access-Reject of id 227 to 172.28.33.231:21648

	        Reply-Message = "Hello, cammani"

	Waking up in 4 seconds...

Il risultato dell'autenticazione e' un Access-Reject: l'ipotesi pi valida osservando il log del server e' che lo schema LEAP si aspetta di trovare sul database LDAP una coppia User password come testimoniato dalla riga seguente: rlm_ldap: Attribute "User-Password" is required for authentication. Indagando nel file eap.conf e' possibile trovare un indizio molto interessante As a result, LEAP *requires* access to the plain-text User-Password, or the NT-Password attributes. Infatti l'autenticazione basata sul client di test e' andata a buon fine, mostrando che il server radius e il database LDAP sono interfacciati correttamente (in quell'autenticazione il LEAP non gioca alcun ruolo). E' possibile effettuare un altro test: l'access point permette di loggarsi come amministratori utilizzando un server radius. Spuntando questa opzione e effettuando una connessione con l'utente LDAP l'autenticazione ha successo: il nome utente e la password sono stati inseriti sulla pagina HTML di configurazione ignorando quindi l'autenticazione LEAP.

<< Pagina Precedente - Prossima Pagina >>

< Articolo Precedente		Prossimo Articolo >

[Indietro]

Tutti i contenuti di Wireless-Italia (blog amatoriale a scopo didattico) sono pubblicati secondo la licenza di utilizzo Creative Commons, salvo diverse indicazioni. Wireless-Italia non assume alcuna responsabilita' nel caso di errori contenuti negli articoli o di errori in cui fosse incorso nella loro riproduzione sul sito. Le pubblicazioni su Wireless-Italia NON costituiscono in alcun modo offerta o consiglio di acquisto e avvengono senza eventuali protezioni di brevetti d'invenzione; inoltre, i nomi coperti da eventuale marchio registrato vengono utilizzati senza tenerne conto. Wireless-Italia non presta garanzie di nessun tipo sull'idoneita' di tutti i propri servizi al raggiungimento di un qualsiasi scopo. Consigliamo per tanto di consultare le Note Legali e le informazioni sulla Privacy prima di accedere ai contenuti di Wireless-Italia. ATTENZIONE: Wireless-Italia NON vende prodotti o accessi wireless.

Visita anche www.savoldi.com

sabato 19 luglio 2008

Wireless-Italia

Test della configurazione