<html>
<head>
<meta content="text/html; charset=ISO-8859-2"
http-equiv="Content-Type">
</head>
<body text="#000000" bgcolor="#FFFFFF">
<div class="moz-cite-prefix">szia<br>
<br>
Ezt irja tobbek kozott az openssl kerdezeskor a szerver:<br>
<br>
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA<br>
Server public key is 1024 bit<br>
Secure Renegotiation IS supported<br>
Compression: NONE<br>
Expansion: NONE<br>
SSL-Session:<br>
Protocol : TLSv1<br>
<br>
<br>
<br>
sssd-vel nincs semmi bajom, csak nem jutottam el addig hogy
foglalkozzak vele.<br>
<br>
koszi,<br>
Andras<br>
<br>
<br>
On 2013.10.14. 11:45, Attila Bardi wrote:<br>
</div>
<blockquote
cite="mid:CAMvE0GF_Z1mfj_adQg9O==jTbeW1Kniy_5Z4qqRYL7LCcAPgPQ@mail.gmail.com"
type="cite">
<div dir="ltr">
<div>
<div>
<div>
<div>Szia,<br>
<br>
akkor ez valasz is volt a HalaszG levelere. Nalad nem
ssl volt akkor felkonfiguralva a server oldalon, hanem
startls. Ezert nem tudtal a 636-os portra csatlakozni,
csak a 389-esre.<br>
</div>
<br>
</div>
Nekem ilyenek vannak a linux-os pam_ldap.conf-ban:<br>
<br>
tls_checkpeer no<br>
uri <a class="moz-txt-link-freetext" href="ldap://">ldap://</a><a moz-do-not-send="true"
href="http://ldapserver.example.com/">ldapserver.example.com/</a><br>
ssl start_tls<br>
tls_cacertdir /etc/openldap/cacerts<br>
<br>
</div>
Az sssd-t meg lehet szeretni, meg nem szeretni, de ugy nez ki,
hogy az iranyba tartanak a rendszerek, tehat erdemes mielobb
kepbe kerulni vele.<br>
<br>
</div>
Udv,<br>
battila<br>
</div>
<div class="gmail_extra"><br>
<br>
<div class="gmail_quote">2013/10/14 Andras POTOCZKY <span
dir="ltr"><<a moz-do-not-send="true"
href="mailto:andras-ml@grendsystem.hu" target="_blank">andras-ml@grendsystem.hu</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">
<div text="#000000" bgcolor="#FFFFFF">
<div>hello<br>
<br>
Vegulis kiegyezek a start tls-sel es elhelyeztem a root
ca-t is, igy mar egeszen jol megy az ldapsearch
titkositva. Mar csak az nss-t kell rabirni hogy az is
hasznalja.<br>
<br>
Egyebkent amit irtal, hogy user szinten olvashatova kene
tenni az ldap.conf fajlt, nos ez igaz, amint megadtam
neki a 644-es jogot, egybol ment az ldapsearch.<br>
<br>
az sssd-t meg nem probaltam ki, de majd beszamolok,
gondolom menni fog vele.<br>
<br>
Koszi,
<div class="im"><br>
Andras<br>
<br>
<br>
On <a moz-do-not-send="true"
href="tel:2013.10.13.%2021" value="+12013101321"
target="_blank">2013.10.13. 21</a>:06, Attila Bardi
wrote:<br>
</div>
</div>
<blockquote type="cite">
<div>
<div class="h5">
<p dir="ltr">Szia</p>
<p dir="ltr">installalva van a rootca? Cache-re en
lehet, hogy az sssd-t hasznalnam.<br>
Vannak olyan ldap implementaciok, ahol a peldaul
az ldap conf-nak olvashatonak kell lennie a userek
reszere (meg redhat 5-on talalkoztam vele),
erdemes lenne ezt is ellenorizni.</p>
<p dir="ltr">Udv,<br>
battila</p>
<div class="gmail_quote">On Oct 13, 2013 8:41 PM,
"Andras POTOCZKY" <<a moz-do-not-send="true"
href="mailto:andras-ml@grendsystem.hu"
target="_blank">andras-ml@grendsystem.hu</a>>
wrote:<br type="attribution">
<blockquote class="gmail_quote" style="margin:0 0
0 .8ex;border-left:1px #ccc
solid;padding-left:1ex"> hello<br>
<br>
Ldaps authentikacioval kuzdok. Nem tudom
hasznaltok-e. Regebben gondolkodtam rajta, akkor
ugy dontottem, hogy nem kell nekem, de vegul
mostanra ugy megis be akarok minden altalam
kezelt szervert pakolni ldap authentikacio ala
ssl-en keresztul.<br>
Jelenleg ott tartok, hogy van egy dedikalt ldap
szerverem (linux), illetve minden linux klienst
szepen be tudtam rakni ldaps kapcsolattal,
tokeletesen mukodik a belepes, csoportok /userek
lekerdezese, titkositott kapcsolat, cache...
stb.<br>
<br>
Sajnos a FreeBSD hostoknal elakadtam. Ebbol van
tobb, igy mindenkeppen megoldando feladat :)<br>
<br>
Egyenlore egy teszt szerveren kuzdok es az ldap
auth tokeletesen megy is, viszont ssl mogott nem
tudom rabirni a kapcsolatra. Az ami linux alatt
megy (uri <a moz-do-not-send="true">ldaps://</a><ldap
srv address>:636/) tokeletesen azonositja a
szervert es mukodik a kapcsolat titkositva.<br>
Ugyanezt a freebsd nem eszi meg. Ha ldaps-t
allitok be, mar nem talalja a szervert.<br>
<br>
Van valakinek mukodo ldap+ssl megoldasa?<br>
<br>
Masik ket problema ehhez kepest jelentektelen:<br>
- Linux alatt nscd,nslcd-t (meg 1-2 egyeb
csomag) hasznalok az ldap cache-hez. Ezek a
csomagok nem leteznek freebsd-re. Valamelyik
csomag resze lehet, vagy forrasbol kene
forditgatnom?<br>
- Ha kiadok egy whoami parancsot, akkor szepen
visszaadja linuxon hogy usernev, mig freebsd-n
ugyanazon beallitassal visszaadja az uid
number-t. Erre vajon mi lehet a beallitas?<br>
<br>
Sajnos google nem volt a jobaratom, 1 napi
keresgeles utan sem talaltam ezen 3 kerdeshez
megfelelo valaszt. Az utolso ketto nelkul meg
tudnek elni, de titkositas nelkul nem akarom
hasznalni az ldap-ot.<br>
Nem vagyok nagy hacker, de egy probat tettem,
tcpdump-olgattam kicsit es igen gyorsan
megszerezheto volt a jelszo, szoval mindenkeppen
ssl moge akarom bujtatni.<br>
<br>
Van esetleg valaki aki mar szivatta magat
ilyennel? :)<br>
<br>
koszi,<br>
Andras<br>
<br>
--<br>
Magyar BSD Levelezőlista<br>
</blockquote>
</div>
<br>
<fieldset></fieldset>
<br>
</div>
</div>
<span class="HOEnZb"><font color="#888888">
<pre>--
Magyar BSD Levelezőlista</pre>
</font></span></blockquote>
<br>
</div>
<br>
--<br>
Magyar BSD Levelezőlista<br>
</blockquote>
</div>
<br>
</div>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<br>
<pre wrap="">--
Magyar BSD Levelezőlista</pre>
</blockquote>
<br>
</body>
</html>