<html>
<head>
<meta content="text/html; charset=ISO-8859-2"
http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<div class="moz-cite-prefix">Hello,<br>
<br>
Vegul csak kellett az ldap szerveren is allitani, hiaba volt jo a
linuxokkal. Most mar megy rendesen es gyorsan.<br>
<br>
Koszi megegyszer a segitseget, ez az olvasasi jog allitas nelkul
nem ment volna. Mivel van az ldap.conf-ban egy bindpw,
automatikusan 600-ra allitottam a jogot, de ugy volt jo.<br>
Felvettem egy readonly managert az ldap-ba mindenfele kulonosebb
jog nelkul es igy nem fog kockazatot jelenteni meg az sem ha megis
kiolvassa valaki a jelszot. Egyebkent tuzfalon filterezve van fix
ipkre az ssh, ugyhogy kockazat azt hiszem nem maradt.<br>
Megy az ldap cache es a userek, groupok kilvasasa es 'felismerese'
is.<br>
<br>
udv,<br>
Andras<br>
<br>
<br>
On 2013.10.14. 12:03, Attila Bardi wrote:<br>
</div>
<blockquote
cite="mid:CAMvE0GFA9RGsEsU+fWN_hZefjWB96SyWVk9CrMp+q09SM51rhA@mail.gmail.com"
type="cite">
<div dir="ltr">
<div>
<div>
<div>
<div>
<div>
<div>Szia,<br>
<br>
<br>
</div>
az sssd-t azert irtam, mert a kiprobalasa soran
kialakulhat barmilyen velemeny rola.<br>
<br>
</div>
A kiirasbol en csak nehany dolgot tudok kiszemezni, amin
esetleg javithatsz:<br>
</div>
tlsv1 ami ugyanaz, mint az sslv3. Ez volt a TLS elso
verzioja, nagyjabol itt kezdodott a szetvallas.<br>
</div>
Mint gyanitod, ez nem mostanaban volt, es szamos gyengesege
van. Manapsag a kulcsok generalasahoz a gnutls-t javasoljak,
ami titkositas szempontjabol talan szerencsesebb valasztas:
<a moz-do-not-send="true" href="http://www.gnutls.org/">http://www.gnutls.org/</a><br>
<br>
</div>
A Cipher-ekben meg nem melyedtem el, hogy melyek a
megbizhatoak. Abban talan mas tud segiteni.<br>
<br>
</div>
Udv,<br>
battila<br>
</div>
<div class="gmail_extra"><br>
<br>
<div class="gmail_quote">2013/10/14 Andras POTOCZKY <span
dir="ltr"><<a moz-do-not-send="true"
href="mailto:andras-ml@grendsystem.hu" target="_blank">andras-ml@grendsystem.hu</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">
<div text="#000000" bgcolor="#FFFFFF">
<div>szia<br>
<br>
Ezt irja tobbek kozott az openssl kerdezeskor a szerver:<br>
<br>
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA<br>
Server public key is 1024 bit<br>
Secure Renegotiation IS supported<br>
Compression: NONE<br>
Expansion: NONE<br>
SSL-Session:<br>
Protocol : TLSv1<br>
<br>
<br>
<br>
sssd-vel nincs semmi bajom, csak nem jutottam el addig
hogy foglalkozzak vele.<br>
<br>
koszi,<br>
Andras
<div>
<div class="h5"><br>
<br>
<br>
On <a moz-do-not-send="true"
href="tel:2013.10.14.%2011" value="+12013101411"
target="_blank">2013.10.14. 11</a>:45, Attila
Bardi wrote:<br>
</div>
</div>
</div>
<blockquote type="cite">
<div>
<div class="h5">
<div dir="ltr">
<div>
<div>
<div>
<div>Szia,<br>
<br>
akkor ez valasz is volt a HalaszG
levelere. Nalad nem ssl volt akkor
felkonfiguralva a server oldalon, hanem
startls. Ezert nem tudtal a 636-os portra
csatlakozni, csak a 389-esre.<br>
</div>
<br>
</div>
Nekem ilyenek vannak a linux-os
pam_ldap.conf-ban:<br>
<br>
tls_checkpeer no<br>
uri <a moz-do-not-send="true">ldap://</a><a
moz-do-not-send="true"
href="http://ldapserver.example.com/"
target="_blank">ldapserver.example.com/</a><br>
ssl start_tls<br>
tls_cacertdir /etc/openldap/cacerts<br>
<br>
</div>
Az sssd-t meg lehet szeretni, meg nem szeretni,
de ugy nez ki, hogy az iranyba tartanak a
rendszerek, tehat erdemes mielobb kepbe kerulni
vele.<br>
<br>
</div>
Udv,<br>
battila<br>
</div>
<div class="gmail_extra"><br>
<br>
<div class="gmail_quote">2013/10/14 Andras
POTOCZKY <span dir="ltr"><<a
moz-do-not-send="true"
href="mailto:andras-ml@grendsystem.hu"
target="_blank">andras-ml@grendsystem.hu</a>></span><br>
<blockquote class="gmail_quote" style="margin:0
0 0 .8ex;border-left:1px #ccc
solid;padding-left:1ex">
<div text="#000000" bgcolor="#FFFFFF">
<div>hello<br>
<br>
Vegulis kiegyezek a start tls-sel es
elhelyeztem a root ca-t is, igy mar
egeszen jol megy az ldapsearch titkositva.
Mar csak az nss-t kell rabirni hogy az is
hasznalja.<br>
<br>
Egyebkent amit irtal, hogy user szinten
olvashatova kene tenni az ldap.conf fajlt,
nos ez igaz, amint megadtam neki a 644-es
jogot, egybol ment az ldapsearch.<br>
<br>
az sssd-t meg nem probaltam ki, de majd
beszamolok, gondolom menni fog vele.<br>
<br>
Koszi,
<div><br>
Andras<br>
<br>
<br>
On <a moz-do-not-send="true"
href="tel:2013.10.13.%2021"
value="+12013101321" target="_blank">2013.10.13.
21</a>:06, Attila Bardi wrote:<br>
</div>
</div>
<blockquote type="cite">
<div>
<div>
<p dir="ltr">Szia</p>
<p dir="ltr">installalva van a rootca?
Cache-re en lehet, hogy az sssd-t
hasznalnam.<br>
Vannak olyan ldap implementaciok,
ahol a peldaul az ldap conf-nak
olvashatonak kell lennie a userek
reszere (meg redhat 5-on talalkoztam
vele), erdemes lenne ezt is
ellenorizni.</p>
<p dir="ltr">Udv,<br>
battila</p>
<div class="gmail_quote">On Oct 13,
2013 8:41 PM, "Andras POTOCZKY" <<a
moz-do-not-send="true"
href="mailto:andras-ml@grendsystem.hu"
target="_blank">andras-ml@grendsystem.hu</a>>
wrote:<br type="attribution">
<blockquote class="gmail_quote"
style="margin:0 0 0
.8ex;border-left:1px #ccc
solid;padding-left:1ex"> hello<br>
<br>
Ldaps authentikacioval kuzdok. Nem
tudom hasznaltok-e. Regebben
gondolkodtam rajta, akkor ugy
dontottem, hogy nem kell nekem, de
vegul mostanra ugy megis be
akarok minden altalam kezelt
szervert pakolni ldap
authentikacio ala ssl-en
keresztul.<br>
Jelenleg ott tartok, hogy van egy
dedikalt ldap szerverem (linux),
illetve minden linux klienst
szepen be tudtam rakni ldaps
kapcsolattal, tokeletesen mukodik
a belepes, csoportok /userek
lekerdezese, titkositott
kapcsolat, cache... stb.<br>
<br>
Sajnos a FreeBSD hostoknal
elakadtam. Ebbol van tobb, igy
mindenkeppen megoldando feladat :)<br>
<br>
Egyenlore egy teszt szerveren
kuzdok es az ldap auth tokeletesen
megy is, viszont ssl mogott nem
tudom rabirni a kapcsolatra. Az
ami linux alatt megy (uri <a
moz-do-not-send="true">ldaps://</a><ldap
srv address>:636/) tokeletesen
azonositja a szervert es mukodik a
kapcsolat titkositva.<br>
Ugyanezt a freebsd nem eszi meg.
Ha ldaps-t allitok be, mar nem
talalja a szervert.<br>
<br>
Van valakinek mukodo ldap+ssl
megoldasa?<br>
<br>
Masik ket problema ehhez kepest
jelentektelen:<br>
- Linux alatt nscd,nslcd-t (meg
1-2 egyeb csomag) hasznalok az
ldap cache-hez. Ezek a csomagok
nem leteznek freebsd-re.
Valamelyik csomag resze lehet,
vagy forrasbol kene forditgatnom?<br>
- Ha kiadok egy whoami parancsot,
akkor szepen visszaadja linuxon
hogy usernev, mig freebsd-n
ugyanazon beallitassal visszaadja
az uid number-t. Erre vajon mi
lehet a beallitas?<br>
<br>
Sajnos google nem volt a
jobaratom, 1 napi keresgeles utan
sem talaltam ezen 3 kerdeshez
megfelelo valaszt. Az utolso ketto
nelkul meg tudnek elni, de
titkositas nelkul nem akarom
hasznalni az ldap-ot.<br>
Nem vagyok nagy hacker, de egy
probat tettem, tcpdump-olgattam
kicsit es igen gyorsan
megszerezheto volt a jelszo,
szoval mindenkeppen ssl moge
akarom bujtatni.<br>
<br>
Van esetleg valaki aki mar
szivatta magat ilyennel? :)<br>
<br>
koszi,<br>
Andras<br>
<br>
--<br>
Magyar BSD Levelezőlista<br>
</blockquote>
</div>
<br>
<fieldset></fieldset>
<br>
</div>
</div>
<span><font color="#888888">
<pre>--
Magyar BSD Levelezőlista</pre>
</font></span></blockquote>
<br>
</div>
<br>
--<br>
Magyar BSD Levelezőlista<br>
</blockquote>
</div>
<br>
</div>
<br>
<fieldset></fieldset>
<br>
</div>
</div>
<span class="HOEnZb"><font color="#888888">
<pre>--
Magyar BSD Levelezőlista</pre>
</font></span></blockquote>
<br>
</div>
<br>
--<br>
Magyar BSD Levelezőlista<br>
</blockquote>
</div>
<br>
</div>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<br>
<pre wrap="">--
Magyar BSD Levelezőlista</pre>
</blockquote>
<br>
</body>
</html>