<div dir="ltr"><div><div><div><div><div><div>Szia,<br><br><br></div>az sssd-t azert irtam, mert a kiprobalasa soran kialakulhat barmilyen velemeny rola.<br><br></div>A kiirasbol en csak nehany dolgot tudok kiszemezni, amin esetleg javithatsz:<br>
</div>tlsv1 ami ugyanaz, mint az sslv3. Ez volt a TLS elso verzioja, nagyjabol itt kezdodott a szetvallas.<br></div>Mint gyanitod, ez nem mostanaban volt, es szamos gyengesege van. Manapsag a kulcsok generalasahoz a gnutls-t javasoljak, ami titkositas szempontjabol talan szerencsesebb valasztas: <a href="http://www.gnutls.org/">http://www.gnutls.org/</a><br>
<br></div>A Cipher-ekben meg nem melyedtem el, hogy melyek a megbizhatoak. Abban talan mas tud segiteni.<br><br></div>Udv,<br>battila<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/10/14 Andras POTOCZKY <span dir="ltr"><<a href="mailto:andras-ml@grendsystem.hu" target="_blank">andras-ml@grendsystem.hu</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div text="#000000" bgcolor="#FFFFFF">
    <div>szia<br>
      <br>
      Ezt irja tobbek kozott az openssl kerdezeskor a szerver:<br>
      <br>
      New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA<br>
      Server public key is 1024 bit<br>
      Secure Renegotiation IS supported<br>
      Compression: NONE<br>
      Expansion: NONE<br>
      SSL-Session:<br>
          Protocol  : TLSv1<br>
      <br>
      <br>
      <br>
      sssd-vel nincs semmi bajom, csak nem jutottam el addig hogy
      foglalkozzak vele.<br>
      <br>
      koszi,<br>
      Andras<div><div class="h5"><br>
      <br>
      <br>
      On <a href="tel:2013.10.14.%2011" value="+12013101411" target="_blank">2013.10.14. 11</a>:45, Attila Bardi wrote:<br>
    </div></div></div>
    <blockquote type="cite"><div><div class="h5">
      <div dir="ltr">
        <div>
          <div>
            <div>
              <div>Szia,<br>
                <br>
                akkor ez valasz is volt a HalaszG levelere. Nalad nem
                ssl volt akkor felkonfiguralva a server oldalon, hanem
                startls. Ezert nem tudtal a 636-os portra csatlakozni,
                csak a 389-esre.<br>
              </div>
              <br>
            </div>
            Nekem ilyenek vannak a linux-os pam_ldap.conf-ban:<br>
            <br>
            tls_checkpeer no<br>
            uri <a>ldap://</a><a href="http://ldapserver.example.com/" target="_blank">ldapserver.example.com/</a><br>
            ssl start_tls<br>
            tls_cacertdir /etc/openldap/cacerts<br>
            <br>
          </div>
          Az sssd-t meg lehet szeretni, meg nem szeretni, de ugy nez ki,
          hogy az iranyba tartanak a rendszerek, tehat erdemes mielobb
          kepbe kerulni vele.<br>
          <br>
        </div>
        Udv,<br>
        battila<br>
      </div>
      <div class="gmail_extra"><br>
        <br>
        <div class="gmail_quote">2013/10/14 Andras POTOCZKY <span dir="ltr"><<a href="mailto:andras-ml@grendsystem.hu" target="_blank">andras-ml@grendsystem.hu</a>></span><br>
          <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
            <div text="#000000" bgcolor="#FFFFFF">
              <div>hello<br>
                <br>
                Vegulis kiegyezek a start tls-sel es elhelyeztem a root
                ca-t is, igy mar egeszen jol megy az ldapsearch
                titkositva. Mar csak az nss-t kell rabirni hogy az is
                hasznalja.<br>
                <br>
                Egyebkent amit irtal, hogy user szinten olvashatova kene
                tenni az ldap.conf fajlt, nos ez igaz, amint megadtam
                neki a 644-es jogot, egybol ment az ldapsearch.<br>
                <br>
                az sssd-t meg nem probaltam ki, de majd beszamolok,
                gondolom menni fog vele.<br>
                <br>
                Koszi,
                <div><br>
                  Andras<br>
                  <br>
                  <br>
                  On <a href="tel:2013.10.13.%2021" value="+12013101321" target="_blank">2013.10.13. 21</a>:06, Attila Bardi
                  wrote:<br>
                </div>
              </div>
              <blockquote type="cite">
                <div>
                  <div>
                    <p dir="ltr">Szia</p>
                    <p dir="ltr">installalva van a rootca? Cache-re en
                      lehet, hogy az sssd-t hasznalnam.<br>
                      Vannak olyan ldap implementaciok, ahol a peldaul
                      az ldap conf-nak olvashatonak kell lennie a userek
                      reszere (meg redhat 5-on talalkoztam vele),
                      erdemes lenne ezt is ellenorizni.</p>
                    <p dir="ltr">Udv,<br>
                      battila</p>
                    <div class="gmail_quote">On Oct 13, 2013 8:41 PM,
                      "Andras POTOCZKY" <<a href="mailto:andras-ml@grendsystem.hu" target="_blank">andras-ml@grendsystem.hu</a>>
                      wrote:<br type="attribution">
                      <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> hello<br>
                        <br>
                        Ldaps authentikacioval kuzdok. Nem tudom
                        hasznaltok-e. Regebben gondolkodtam rajta, akkor
                        ugy dontottem, hogy nem kell nekem, de vegul
                        mostanra ugy  megis be akarok minden altalam
                        kezelt szervert pakolni ldap authentikacio ala
                        ssl-en keresztul.<br>
                        Jelenleg ott tartok, hogy van egy dedikalt ldap
                        szerverem (linux), illetve minden linux klienst
                        szepen be tudtam rakni ldaps kapcsolattal,
                        tokeletesen mukodik a belepes, csoportok /userek
                        lekerdezese, titkositott kapcsolat, cache...
                        stb.<br>
                        <br>
                        Sajnos a FreeBSD hostoknal elakadtam. Ebbol van
                        tobb, igy mindenkeppen megoldando feladat :)<br>
                        <br>
                        Egyenlore egy teszt szerveren kuzdok es az ldap
                        auth tokeletesen megy is, viszont ssl mogott nem
                        tudom rabirni a kapcsolatra. Az ami linux alatt
                        megy (uri <a>ldaps://</a><ldap
                        srv address>:636/) tokeletesen azonositja a
                        szervert es mukodik a kapcsolat titkositva.<br>
                        Ugyanezt a freebsd nem eszi meg. Ha ldaps-t
                        allitok be, mar nem talalja a szervert.<br>
                        <br>
                        Van valakinek mukodo ldap+ssl megoldasa?<br>
                        <br>
                        Masik ket problema ehhez kepest jelentektelen:<br>
                        - Linux alatt nscd,nslcd-t (meg 1-2 egyeb
                        csomag) hasznalok az ldap cache-hez. Ezek a
                        csomagok nem leteznek freebsd-re. Valamelyik
                        csomag resze lehet, vagy forrasbol kene
                        forditgatnom?<br>
                        - Ha kiadok egy whoami parancsot, akkor szepen
                        visszaadja linuxon hogy usernev, mig freebsd-n
                        ugyanazon beallitassal visszaadja az uid
                        number-t. Erre vajon mi lehet a beallitas?<br>
                        <br>
                        Sajnos google nem volt a jobaratom, 1 napi
                        keresgeles utan sem talaltam ezen 3 kerdeshez
                        megfelelo valaszt. Az utolso ketto nelkul meg
                        tudnek elni, de titkositas nelkul nem akarom
                        hasznalni az ldap-ot.<br>
                        Nem vagyok nagy hacker, de egy probat tettem,
                        tcpdump-olgattam kicsit es igen gyorsan
                        megszerezheto volt a jelszo, szoval mindenkeppen
                        ssl moge akarom bujtatni.<br>
                        <br>
                        Van esetleg valaki aki mar szivatta magat
                        ilyennel? :)<br>
                        <br>
                        koszi,<br>
                        Andras<br>
                        <br>
                        --<br>
                        Magyar BSD Levelezőlista<br>
                      </blockquote>
                    </div>
                    <br>
                    <fieldset></fieldset>
                    <br>
                  </div>
                </div>
                <span><font color="#888888">
                    <pre>--
Magyar BSD Levelezőlista</pre>
                  </font></span></blockquote>
              <br>
            </div>
            <br>
            --<br>
            Magyar BSD Levelezőlista<br>
          </blockquote>
        </div>
        <br>
      </div>
      <br>
      <fieldset></fieldset>
      <br>
      </div></div><span class="HOEnZb"><font color="#888888"><pre>--
Magyar BSD Levelezőlista</pre>
    </font></span></blockquote>
    <br>
  </div>

<br>--<br>
Magyar BSD Levelezőlista<br></blockquote></div><br></div>