|
![]() |
|||||||||||||||||||
SIMOIT diskutiert die SchnittstellenDas erste Projektdrittel wurde jetzt erfolgreich abgeschlossen. AP1 und AP2 wurden komplett abgeschlossen und stehen intern zur Verfügung. Zur besseren Dokumentation wurde für die Entwicklung ein Wiki-Server aufgesetzt, der nur angemeldete Benutzer unterstützt. Des Weiteren wurde ein Repository-Server installiert, der eine effektive Versionskontrolle ermöglichen wird. Auf dem aktuellen Projektmeeting wurden ebenfalls die verschiedenen Bereiche RAS-Server und Schnittstellen ausführlich besprochen sowie die weitere Vorgehensweise.Ein Remote Access Server (RAS) wurde von der DECOIT GmbH aufgesetzt, um dort die relevanten Bereiche zu installieren und zu testen. Dies betrifft insbesondere den LDAP-Verzeichnisdienst, Radius-Dienst, iptables Firewall, VPN-Funktionalität (OpenVPN, OpenSwan) und SSL-Server-/Client-Zertifikate. Zur Diskussion stand, ob ein zweiter Radius-Server in der DMZ installiert werden sollte oder der bereits existierende interne Radius-Server ausschließlich genutzt werden sollte. Die Projektgruppe sprach sich aus Sicherheitsgründen für die Radius-DMZ-Variante aus. Ein Vergleich zwischen FreeRadius und Microsoft IAS endete ebenfalls unentschieden. FreeRadius bietet auf jeden Fall die gesamte gewünschte Funktionalität ab und kann bedenkenlos eingesetzt werden. Die Konfiguration ist beim IAS über die GUI allerdings einfacher. Schnittstellenmöglichkeiten zwischen beiden Systemen sind aber vorhanden, so dass beide Systeme nebeneinander zum Einsatz kommen können. Aktuell ist eine Entwicklungsplattform aufgesetzt worden, auf die alle Partner direkten VPN-Zugriff haben. Dabei kommen folgende Schnittstellen zum Einsatz, die auch in der obigen Abbildung dargestellt werden:
Die Projektpartner müssen jetzt erst einmal ihre jeweiligen Module zum laufen bringen, um die Schnittstellen testen zu können. Bei der Festlegung der Authentifizierungsparameter hat man sich auf zwei Stufen geeinigt: der Benutzer sollte sich persönlich authentifizieren (kein einfaches Login) und eine Hardware-Erkennung sollte einbezogen werden. Wie dies umgesetzt wird, muss noch durch die Implementierung selbst abgeschätzt werden.
|
![]() ![]() |