Con l’avvento di Windows 7 alcuni concetti e procedure di accesso ad altri dispositivi è leggermente cambiato creando a volte dei grattacapi per svolgere delle semplici procedure che con altri sistemi (Windows XP ad esempio) non si erano mai verificati.

Con la naturale evoluzione della tecnologia, mantenere il più alto livello di compatibilità con sistemi precedenti è una sfida molto impegnativa ma lascia aperte delle strade per ovviare a possibili inconvenienti.

Il problema si è presentato una volta installato Windows 7 sulla macchina di controllo della rete. Nel tentativo di accedere ad uno storage NAS con il metodo classico \\nas-server\share, una volta digitati username e password, il sistema rifiutava costantemente la connessione visualizzando il messaggio riportato in figura:

Per risolvere il problema bisogna modificare il parametro in LAN Manager authentication level, che per default non è definito.

Si accede da Administrative Tools -> Local Security Policy –> Security Options.

Questa impostazione determina quale protocollo di autenticazione challenge/response viene utilizzato per effettuare il logon alla rete. Maggiori informazioni possono essere trovate nel sito http://support.microsoft.com/kb/823659.

I parametri di default per il mondo Windows sono i seguenti:

• Windows 95/98: non supportano l’autenticazione NTLM
• Windows 2000/XP: Send LM & NTLM responses
• Windows Server 2003: Send NTLM response only
• Windows Vista/7, Windows Server 2008/R2: Send NTLMv2 response only

Il problema di autenticazione con alcuni dispositivi (NAS ad esempio) sono dovuti proprio all’incompatibilità con i parametri impostati per default.

Impostando l’authentication level a Send LM & NTLM responses il problema viene risolto.

Riprovando la connessione con il NAS, questa volta la connessione viene stabilita.

Ovviamente le macchine più recenti accettano i protocolli di autenticazione più evoluti e sicuri ma difficilmente in una rete tutti i dispositivi risulteranno compatibili.

Hai già letto questi articoli?

• Mettere in sicurezza il logon di Windows 7
• Autenticazione tramite Public key in Linux

Un ulteriore modo per rafforzare la sicurezza di un sistema Linux contro accessi non autorizzati è l’utilizzo della chiave pubblica (public key) durante la fase di login. L’utilizzo delle PKI è la soluzione attualmente più efficacie su cui si basano le protezioni e le autenticazioni dei sistemi che necessitano standard di sicurezza molto elevati.

Vantaggi

• Elevato grado di sicurezza nel processo di autenticazione.
• Solo gli utenti con la chiave corretta possono autenticarsi nel sistema.
• Ogni chiave può essere protetta da password (ulteriore protezione).

Svantaggi

• Senza la giusta chiave non c’è modo di autenticarsi e quindi di accedere al sistema.
• La gestione delle chiavi può risultare laboriosa.

1. PROCEDURA

- generare la coppia di chiavi pubblica e privata.
# ssh-keygen -t rsa

La chiave privata viene salvata nel file id_rsa.
La chiave pubblica viene salvata nel file id_rsa.pub.

- creare la directory nascosta .ssh nella home user.
# mkdir ~/.ssh

- copiare la chiave pubblica nel file authorized_keys.
# cat id.rsa.pub > ~/.ssh/authorized_keys

- impostare i permessi sul file per evitare che altri utenti possano leggere i dati della chiave.
#chmod go-w ~/
# chmod 700 ~/.ssh
# chmod go-rwx ~/.ssh

- editare il file sshd_conf (deve essere effettuato come root).
# su -
# vi /ets/ssh/sshd_conf

- identificare e modificare i parametri come indicato.

PubkeyAuthentication         yes
AuthorizedKeysFile              .ssh/authorized_keys
PasswordAuthentication     no

- riavviare il servizio ssh per attivare la nuova configurazione
# service sshd restart

Una volta effettuato il restart del servizio ssh, l’unico modo per effettuare un login remoto è tramite l’utilizzo delle chiavi generate.

Per generare la chiave pubblica e privata è possibile utilizzare anche altri tools come ad esempio puttygen, membro della famiglia puTTY e soggetto a licenza MIT compatibile con la GNU GPL.

Hai già letto questi articoli?

• Mettere in sicurezza un sistema Linux
• KittY un’ alternativa al client PuttY per Windows
• Visualizzare il nome utente in una pagina web con IIS 7.5 in Windows 2008
• Mettere in sicurezza il logon di Windows 7