Suggerimento su un buon server di autenticazione

[miki92]

Salve e buona domenica a tutti.
Ho bisogno di un consiglio riguardo un sistema/server per l'autenticazione da adoperare.

Il mio intento è unire in un solo login (o comunque avere in un solo server) tutti i dati degli utenti per poi permettere a sistemi esterni (script php, joomla, wordpress, prestashop) di interfacciarsi con questo mio sistema/server in modo che un utente registrato al SITO_A sia disponibile su poi tutte le piattaforme.

Il server centrale (chiamiamolo così) dovrà avere un numero infinito e modificabile di campi. I server secondari o piattaforme dovranno semplicemente collegarsi al server centrale e ricevere/aggiornare o solo autenticare l'utente.

Non so se sono stato chiaro... nel caso di maggiori delucidazioni chiedete pure.

Aspetto i vostri commenti

Ciao,ciao
vediamo,hai bisogno di un consiglio riguardo un sistema/server per l'autenticazione da adoperare,potresti usare Radius(Remote Authentication Dial-In User Service).Questo e il sunto del pdf scaricato:
In pratica RADIUS è un protocollo che utilizza pacchettiUDP per trasportare informazioni di autenticazione e configurazione tra l'autenticatore e il server RADIUS.L’autenticazione è basata su username, password e, opzionalmente, una risposta a una richiesta di riconoscimento (una sorta di “parola d’ordine”). Se l'autenticazione ha successo, il server RADIUS invia le informazioni di configurazione al client, inclusi i valori necessari a soddisfare il servizio richiesto, come un indirizzo IP e una maschera di sottorete o un numero di porta TCP per telnet,l’autenticazione è basata esclusivamente su password: la password è trasmessa o in forma hash (utilizzando l’algoritmo di hashing MD5), oppure sotto forma di risposta a una richiesta di identificazione (CHAP-password). L’Extensible Authentication Protocol (EAP) rende RADIUS capace di lavorare con una varietà di schemi di autenticazione, inclusi chiave pubblica, Kerberos e smart card.L’access point, ad esempio, agisce da traduttore EAP-RADIUS tra il client wireless e il RADIUS server, utilizzando il protocollo EAP per la comunicazione con il client e il protocollo RADIUS per la comunicazione con il server RADIUS. L’access point incapsula quindi le informazioni (come lo username o la chiave pubblica) in un pacchetto RADIUS che inoltra al server RADIUS. Quando il server rimanda una delle possibili risposte (Access-Accept/Reject/Challenge), l’access point spacchetta il pacchetto RADIUS ed inoltra la risposta al client in un pacchetto EAP.RADIUS offre anche la possibilità di eseguire l’autenticazione di utenti remoti anche per particolari siti web e applicativi che richiedono la protezione dall’accesso del pubblico generale. In pratica c’è un modulo che prevede l’integrazione con il server webApache, ovviando all’uso dei file.htaccess e.htpasswd con le istruzioni Allow e Deny, che rende l’accesso alle risorse web protetto con le caratteristiche viste prima.Il modulo è stato sviluppato per Apache e si chiama mod_auth_radius. In questo modo Apache diventa un client del server RADIUS, sostituendosi al NAS nell’usuale schema di autenticazione, e dando in out-sourcing la gestione dell’autorizzazione e dell’accounting.Il server riceve il pacchetto Access-Request e verifica di possedere la chiave segreta per il client. In caso negativo, il pacchetto viene silenziosamente ignorato. Poiché anche il server è in possesso del segreto condiviso, è possibile utilizzare una versione modificata del processo di protezione del client per ottenere la password in chiaro. Quindi il server consulta il database per convalidare username e password; se la password è valida, il server crea un pacchetto 'Access-Accept' da rimandare al client. In caso contrario, crea un pacchetto 'Access-Reject' e lo invia al client.Quando il client riceve un pacchetto di risposta, si accerta che esso combaci con una precedente richiesta utilizzando il campo identificatore. Se non esiste alcuna richiesta con lo stesso identificatore, la risposta è silenziosamente ignorata. Quindi il client verifica la Response Authenticator utilizzando lo stesso calcolo effettuato dal server, ed infine comparando il risultato con il campo Authenticator. Se la Response Authenticator non coincide, il pacchetto è silenziosamente ignorato.Se il client riceve un pacchetto Access-Accept verificato, username e password sono considerati corretti, e l’utente è autenticato. Se invece riceve un pacchetto Access-Reject verificato, username e password sono scorretti, e di conseguenza l’utente non è autenticato.
In fine questo è il sunto delle applicazioni:
Radius viene usato anche per dispositivi di rete integrati come router, server modem, switch ecc., per svariate ragioni:
I sistemi integrati generalmente non riescono a gestire un gran numero di utenti con informazioni di autenticazione distinte, poiché questo richiederebbe molta più memoria di massa di quanta ne possiedano la maggior parte di essi.
RADIUS facilita l’amministrazione utente centralizzata, che è importante per diverse applicazioni. Molti ISP hanno decine di migliaia, centinaia di migliaia o anche milioni di utenti, aggiunti e cancellati di continuo, e le informazioni di autenticazione cambiano costantemente. L’amministrazione centralizzata degli utenti è un requisito operativo.
RADIUS fornisce alcuni livelli di protezione contro attacchi attivi e di sniffing. Altri protocolli di autenticazione remota offrono una protezione intermittente, inadeguata o addirittura inesistente.
Un supporto RADIUS è quasi onnipresente. Altri protocolli di autenticazione remota non hanno un consistente supporto da parte dei fornitori di hardware, quando invece RADIUS è uniformemente supportato. Poiché le piattaforme sulle quali è implementato RADIUS sono spesso sistemi integrati, vi sono limitate possibilità di supportare protocolli addizionali. Qualsiasi cambiamento al protocollo RADIUS dovrebbe quantomeno avere una compatibilità minima con client e server RADIUS preesistenti (e non modificati).
Nonostante ciò, è stato messo a punto un nuovo protocollo, DIAMETER, candidato a rimpiazzare RADIUS: utilizza infatti TCP anziché UDP ed è di conseguenza considerato più sicuro ed affidabile.
Questo è il sito di Radius server.Ciao

[miki92]

Ciao studiowebinfo. Grazie per il mal di testa causato dal tuo enorme post
Secondo te uno che lavora con gli hotspot AAA e che possiede un QNAP non conosceva già il Radius? E se anche fosse non bastava suggerire che tipo di server fosse?

Purtroppo il RADIUS non fa al mio caso. Mi occorre qualche cosa di più e a questo punto temo di dovermelo sviluppare io in PHP sotto SSL o in JSP.

LDAP credo che sia comunque abbastanza limitato da quanto ho capito :/

Ciao,
Questo è il pdf scaricato dal sito del mac,viene suggerito questo Radius insieme al sistema versione server.Se usi windows ci saranno altri sistemi server da adoperare,no?Inoltre questo e solo un consiglio riguardo un sistema server per l'autenticazione,non ho scritto che devi usare Radius,puoi usare il sistema server che vuoi,Ok?ciao

LDAP credo che sia comunque abbastanza limitato da quanto ho capito :/

LDAP è una versione ridotta di DAP,offre funzionalità multipiattaforma e consente di risparmiare risorse,l'utilizzo del protocollo TCP/IP rende sostanzialmente più semplice la definizione di interfacce tra un'applicazione docking e il servizio LDAP.Per esempio un server LDAP indipendente,amministra le informazioni sugli oggetti in un database basato su BerkeleyDB,viene usato per lo più su sistemi linux.Ciao