Simoit Logo  

SIMOIT diskutiert die Schnittstellen 

Das erste Projektdrittel wurde jetzt erfolgreich abgeschlossen. AP1 und AP2 wurden komplett abgeschlossen und stehen intern zur Verfügung. Zur besseren Dokumentation wurde für die Entwicklung ein Wiki-Server aufgesetzt, der nur angemeldete Benutzer unterstützt. Des Weiteren wurde ein Repository-Server installiert, der eine effektive Versionskontrolle ermöglichen wird. Auf dem aktuellen Projektmeeting wurden ebenfalls die verschiedenen Bereiche RAS-Server und Schnittstellen ausführlich besprochen sowie die weitere Vorgehensweise.

Ein Remote Access Server (RAS) wurde von der DECOIT GmbH aufgesetzt, um dort die relevanten Bereiche zu installieren und zu testen. Dies betrifft insbesondere den LDAP-Verzeichnisdienst, Radius-Dienst, iptables Firewall, VPN-Funktionalität (OpenVPN, OpenSwan) und SSL-Server-/Client-Zertifikate. Zur Diskussion stand, ob ein zweiter Radius-Server in der DMZ installiert werden sollte oder der bereits existierende interne Radius-Server ausschließlich genutzt werden sollte. Die Projektgruppe sprach sich aus Sicherheitsgründen für die Radius-DMZ-Variante aus.

Ein Vergleich zwischen FreeRadius und Microsoft IAS endete ebenfalls unentschieden. FreeRadius bietet auf jeden Fall die gesamte gewünschte Funktionalität ab und kann bedenkenlos eingesetzt werden. Die Konfiguration ist beim IAS über die GUI allerdings einfacher. Schnittstellenmöglichkeiten zwischen beiden Systemen sind aber vorhanden, so dass beide Systeme nebeneinander zum Einsatz kommen können.

Hauptschnittstellen im SIMOIT-Projekt

Aktuell ist eine Entwicklungsplattform aufgesetzt worden, auf die alle Partner direkten VPN-Zugriff haben. Dabei kommen folgende Schnittstellen zum Einsatz, die auch in der obigen Abbildung dargestellt werden:

  • Inventory: Daten können aus einer Oracle-Datenbank direkt bereitgestellt werden (Push)
  • Verzeichnisdienst ADS: Kopplung mit LDAP
  • Policy Enforcement Point (PEP)
  • Policy Decision Point (PDP)

Die Projektpartner müssen jetzt erst einmal ihre jeweiligen Module zum laufen bringen, um die Schnittstellen testen zu können. Bei der Festlegung der Authentifizierungsparameter hat man sich auf zwei Stufen geeinigt: der Benutzer sollte sich persönlich authentifizieren (kein einfaches Login) und eine Hardware-Erkennung sollte einbezogen werden. Wie dies umgesetzt wird, muss noch durch die Implementierung selbst abgeschätzt werden.

 

Zufallsbild