wydaje mi sie ze tu nie wiele maja wspolnego certyfikaty bo jak wylacze przekierowanie na imq i robie podzial bezposrednio na eth to obciazenie spada do normalnego poziomu
- po mac adresie bo to sie o dziwo może niektórym jeszcze przydać
- 802.1x + EAP-(PEAP/EAP-MSCHAPv2)lub EAP-TTLS
- po ludzku ;), uwierzytelnianie login/password lub certyfikat
ogolny/osobny dla każdego usera (nie wgłębiałem się w to, ale chyba były jeszcze certyfikaty dla nasów), nie wiem ale myśle, że jeśli nikt z tego nie korzysta moglibyśmy sobie to odpuścić tym razem, z tego względu że to troche roboty, jakby chciało się to do porządku zrobić (trzeba by nie wiem dorobić typ dokumentu, certyfikat czy cos takiego), a co za tym idzie więcej kasy dla Alka
Jesli odpuścić to tylko EAP-TLS (tam gdzie certyfikat dla kazdego klienta trzeba generowac.)
No o to mi chodziło zeby odpuścić to gdzie kazdy user ma osobny cert.
Zas 802.1x + EAP-(PEAP/EAP-MSCHAPv2) to podstawa dzisiejszych bezpiecznych sieci ethernet (czyli jak piszesz po ludzku login i haslo dla klienta, certyfikat tylko dla serwera) Uwaga na nazewnictwo bo EAP-TLS to nie to samo co EAP-TTLS, sa jeszcze inne np EAP-MD5 ale nie zalecane bo nie sa bezpieczne dlatego nie pisałem o nich, skupiłbym więc tylko na:
po mac adresie bo to sie o dziwo może niektórym jeszcze przydać
802.1x + EAP-(PEAP/EAP-MSCHAPv2) lub 802.1x+EAP-TTLS bo to bardzo
podobne jedno
No tak bo punkt drugi mowi tak naprawde o zabezpieczeniach dla ethernetu i wireless w warstwie dostepu do łącza o ile sie nie myle ;), w takim razie jak chcemy juz tak rozdzielac, to trzeba by zrobic osobny punkt dla PPPoE, bo tam niestety nie ma certyfikatów NASa ;) Ja się na 802.1x nie znam dobrze, próbowałem tego kiedys ale było wtedy jeszcze słabe wsparcie sprzętu klienckiego, wiec skupiłem się na pppoe.
Pozdrawiam
_______________________________________________ lms mailing list lms@lists.lms.org.pl http://lists.lms.org.pl/mailman/listinfo/lms
!DSPAM:48075ba9188548980171022!