Scenario di Single-SingOn

monitorQuando ho cominciato questa “avventura”, mi sono prefisso alcuni punti. Il primo in assoluto è che prima di procedere alla rinfusa con l’implementazione del software, ho preferito usare un approccio più strutturato al problema, definendomi degli obiettivi o requisiti. Vediamoli insieme:

  • Il KDC doveva risiedere principalmente su un ambiente Unix, ma si doveva comunque dimostrare teoricamente la possibilità di usare un KDC su ambiente Windows (Active Directory)
  • Il server LDAP doveva risiedere su un ambiente Unix, con gli stessi requisiti del KDC per quanto riguarda l’ambiente Windows

Continua a leggere

Scenari di Single Sign-On

monitorDopo aver dimostrato la fattibilità tecnica di un’architettura di Single Sign-On, è necessario calarla in una realtà aziendale ben definita, ovvero come faccio ad inserire una simile soluzione in azienda? Ho identificato tre diversi scenari:

  • Assenza di un dominio Windows 2000 con il server Kerberos installato su un sistema Unix.
  • Active Directory installato in azienda e uso del server Kerberos integrato in Windows 2000
  • Active Directory installato in azienda, uso di due server Kerberos (quello integrato in Windows 2000 e uno su Unix) e una relazione di fiducia (trust relationship) tra i due realm Kerberos.

Vediamo in dettaglio quali sono i vantaggi e gli svantaggi di ognuna di queste soluzioni. Continua a leggere

Unified User Management e Single Sign-On

 

monitorDurante i miei “pellegrinaggi” tra i clienti e anche tra i miei stessi colleghi ho scoperto che c’è un po’ di confusione sul significato del termine Single Sign-On. Molto spesso pensano che questo termine indichi il fatto di poter immettere sempre le stesse username e password, ma in realtà il termine esatto per descrivere questo concetto è Unified User Management.

Unified User Management

L’Unified User Management è in realtà un data-store unico contenente la base utenti; in pratica si tratta di un singolo punto dove gli utenti e le loro caratteristiche (indirizzo e-mail, numero di telefono, home directory, ecc.) vengono caricati (user provisioning) e gestiti. Per utenti si intende sia gli utenti “umani” che quelli digitali, ad esempio un’applicazione che deve autenticarsi verso un’altra applicazione. Continua a leggere

CAcert

monitorCACert: una certification authority free

Per rendere piu’ sicura la mia rete Wireless, ho deciso di implementare l’autenticazione del client in modo da generare le chiavi WEP per ogni singolo utente. Per fare questo, ho dovuto installare un RADIUS server ed assegnargli un certificato digitale: solo cosi’, infatti, il RADIUS server e’ in grado di generare una chiave WEP dinamicamente. Ho creato cosi’ una piccola Certification Authority per gestire i miei certificati digitali. In poco tempo pero’ mi sono reso conto che gestire una piccola CA e’ oneroso e non si giustificava per pochi certificati digitali. Continua a leggere

1 2 3 4