[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Ottobre 2006 ml@sikurezza.org Soggetto: Re: [ml] Client FTP via HTTP proxy Mittente: Giuseppe Paternò (Gippa) Data: Wed, 18 Oct 2006 09:25:50 +0200 (CEST)
Per vostra info ho risolto cosi'. Ho messo SS5 come socks server e ho usato l'autenticazione PAM con: set SS5_PAM_AUTH set SS5_AUTHCACHEAGE 600
Nel PAM faccio lookup degli utenti su winbind. Anche se ha possibilita' di usare LDAP, la limitazione e' che puoi specificare un solo IP su cui fare autenticazione: va bene se hai piu' LDAP slave con un load balancer, ma nel caso di active directory ciccia. Con winbind ho sotto samba (configurato con kerberos) che fa automaticamente transizione tra un ADS e l'altro. Per lo stesso motivo, non faccio lookup su AD per la group membership. Al posto, popolo un file di utenti in locale che viene generato a partire da un gruppo di AD (FTP-USERS) creato apposta:
getent group FTP-USERS | awk -F: '{print $4}' | tr , \\n >
/etc/opt/ss5/ftp-usersmesso in cron ogni x periodo, mi garantisce l'aggiornamento (nello script ci sono check che non ritorni dati spuri). I client su socks5 con autenticazione ce ne sono un bordello: il cliente su windows ha scelto Filezilla che e' gratis (anche se IMHO preferisco cuteftp ;).
Per quanto riguarda SFTP/FTP/SSH e quant'altro, non e' mia intenzione sollevare il polverone. Purtroppo ci sono situazioni in cui certe cose non sono sotto il nostro controllo. Se la corp del mio cliente dice che i contenuti se li deve scaricare via FTP da un sito, per quanto insicuro, schifoso, e quante altre parole vogliate mettere, purtroppo questo e'! :-(((
Voglio ringraziare tutta la ML per l'aiuto. Ciao, Gippa
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005