решил поиграться с суперлюимином

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Re: решил поиграться с суперлюимином

Сообщение Андрей Добров » 20 фев 2012, 14:06

Тут одни иностранные граждане несколько зазевались и дали доступ к ФортиГате и ФортиМанагер на виртуальной машине. Сам не пробовал.

Если кому интересно.
Андрей Добров
 
Сообщения: 247
Зарегистрирован: 03 авг 2003, 21:27
Откуда: Железнодорожный,Регион 50

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 21 фев 2012, 12:58

если не секрет что с этой виртуалкой делать ?
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение Андрей Добров » 22 фев 2012, 10:57

Dimerson писал(а):если не секрет что с этой виртуалкой делать ?


Я предполагаю должно быть типа фортигате, можно взглянуть на дему для фортигате на сайте компании. Как утверждается должно соответствовать, только без аппаратного ускорения которое имеется в железках.
Андрей Добров
 
Сообщения: 247
Зарегистрирован: 03 авг 2003, 21:27
Откуда: Железнодорожный,Регион 50

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 22 фев 2012, 12:34

интересно какие там процы ? у цискорутеров процы не особо шустрые - они даже несколько лет назад перестали это публиковать :)
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 02 мар 2012, 11:59

Хотел в продолжение темы спросить у бывалых . Продолжаю допиливать бесплатную альтернативу BM в оставе: squid (+squidtrust), fwbuilder (вместо SuSE_firewall. в fwbuilder делается статик нат именно такой как в BM), OpenVPN. Вопрос по OpenVPN. Использует ли кто-нибудь в OpenVPN для хранения клиентских ключей
токены (eToken итд) ?

С файловыми ключами все ок. Хотел залить RSA ключ на токен. Содал значится ключи клиента c помощью build-key-pkcs12 .
И через утили еТокена пробовал заливать в токен файл .p12 но не хочет - выдает ошибку (у меня правда етокен рантайм старый - не pki клиент).

Хочу попробовать работать вообще через OpenSC - я так понял там свой формат криптоконтейнера и своя либа через которую криптография смарткарт и живет хотя в работе используются виндовые драйвера для смарткарт.

Вопрос бывалым - пользует ли кто-нибудь такую аутентификацию в OpenVPN (на стороне виндового впн клиента только) ?

Пока в сравнении OpenVPN и BM VPN даже не знаю что лучше - и то и то имхо юзабельно вполне.

upd: с токенами все ок - главное чтоб токен позволял держкать ключи нужного размера. с eToken72K и RuToken S ключ 2048 ложится. Регается в вендовом личном хранилище сертификатов. И позволяет дергать их из OpenVPN по cryptoapicert THUMB:
при этом вылазит штатный гуй ввода пина (для eToken это PKI CLient , для RuToken - RuToken CSP).
Если работать через

pkcs11-providers ..
и
pkcs11-id ..

то требуется ввод пинкода на токен в текстовом режиме -
OpenVPNGUI 1 и 2 обламываются (существует правда патченный openvpn gui 1.0.3 с поддержкой PKCS11).

В общем допиливается нормально. Привет Суперлюмину !
Последний раз редактировалось Dimerson 06 мар 2012, 09:58, всего редактировалось 1 раз.
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение skoltogyan » 02 мар 2012, 17:01

использем openvpn

прикрутил и натсроил
- к openvpn коннектятся вводя имя и пароль
- имя и пароль openvpn берет из eDIR (по LDAP)
- после логина чел получает правила iptabl именно для своего логина
- добавлять/убирать пользователей, включать и исключать из прав доступа(по направлениям ) - все не выходя из C1 или iManager
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 09 мар 2012, 07:41

skoltogyan писал(а):использем openvpn

прикрутил и натсроил
- к openvpn коннектятся вводя имя и пароль
- имя и пароль openvpn берет из eDIR (по LDAP)
- после логина чел получает правила iptabl именно для своего логина- добавлять/убирать пользователей, включать и исключать из прав доступа(по направлениям ) - все не выходя из C1 или iManager


если /usr/sbin/openvpn добавляет динамически правила iptables то он должен быть запущен от рута ?
или есть нарезанные правила для определенных сабнетов и пользователь лишь попадает в нужный сабнет ...
имхо затруднительно дергать iptables от nobody:nobody ....
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение skoltogyan » 09 мар 2012, 16:50

да, вы правы. от рута и в это минус
skoltogyan
 
Сообщения: 2037
Зарегистрирован: 12 июл 2002, 19:39
Откуда: Украина, Донецк

Re: решил поиграться с суперлюимином

Сообщение sovchik » 27 сен 2012, 16:56

прочитав весь топик так и не понял - что же всё таки советует народ в качестве замены border manager-у при отказе от NetWare в пользу SLESа ?
sovchik
 
Сообщения: 323
Зарегистрирован: 31 июл 2012, 23:06
Откуда: Ярославль

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 28 сен 2012, 06:16

единого мнения нет. Проще провести опрос :)

В качестве панацеи предлагался суперлюмин.

Можно то же самое сделать на опонсорс-продуктах:

По большому счету
BM это:
Proxy
Firewall
VPN

что реализуется как угодно (вариантов тьма)

У меня работает на:
Squid+SquidTrust
FWBuilder
OpenVPN (для автоизации используются eToken'ы)
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Re: решил поиграться с суперлюимином

Сообщение sovchik » 28 сен 2012, 08:04

Dimerson писал(а):...
В качестве панацеи предлагался суперлюмин.
...

что-то из этого топика следует, что его не особо жалуют.

Dimerson писал(а):...
У меня работает на:
Squid+SquidTrust
FWBuilder
OpenVPN (для автоизации используются eToken'ы)

не поделитесь опытом реализации?
мне нужно только две группы юзверей выпустить в интернет с разными фильтрами: одни начальники - почти без фильтров, ну и остальные - с урезанными всякими аськами, одноклассниками и так далее.
ну и не все юзвери в эти группы входят - есть и без интернета народ.
sovchik
 
Сообщения: 323
Зарегистрирован: 31 июл 2012, 23:06
Откуда: Ярославль

Re: решил поиграться с суперлюимином

Сообщение Dimerson » 28 сен 2012, 08:52

если надо привязываться к группам Novell читайте тут на предмет SquidTrust ....
Аватара пользователя
Dimerson
 
Сообщения: 2951
Зарегистрирован: 15 сен 2002, 14:39
Откуда: Регион 70

Пред.

Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8

cron