<div dir="ltr"><div><div><div><div>Szia,<br><br>akkor ez valasz is volt a HalaszG levelere. Nalad nem ssl volt akkor felkonfiguralva a server oldalon, hanem startls. Ezert nem tudtal a 636-os portra csatlakozni, csak a 389-esre.<br>
</div><br></div>Nekem ilyenek vannak a linux-os pam_ldap.conf-ban:<br><br>tls_checkpeer no<br>uri ldap://<a href="http://ldapserver.example.com/">ldapserver.example.com/</a><br>ssl start_tls<br>tls_cacertdir /etc/openldap/cacerts<br>
<br></div>Az sssd-t meg lehet szeretni, meg nem szeretni, de ugy nez ki, hogy az iranyba tartanak a rendszerek, tehat erdemes mielobb kepbe kerulni vele.<br><br></div>Udv,<br>battila<br></div><div class="gmail_extra"><br>
<br><div class="gmail_quote">2013/10/14 Andras POTOCZKY <span dir="ltr"><<a href="mailto:andras-ml@grendsystem.hu" target="_blank">andras-ml@grendsystem.hu</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

  
    
  
  <div text="#000000" bgcolor="#FFFFFF">
    <div>hello<br>
      <br>
      Vegulis kiegyezek a start tls-sel es elhelyeztem a root ca-t is,
      igy mar egeszen jol megy az ldapsearch titkositva. Mar csak az
      nss-t kell rabirni hogy az is hasznalja.<br>
      <br>
      Egyebkent amit irtal, hogy user szinten olvashatova kene tenni az
      ldap.conf fajlt, nos ez igaz, amint megadtam neki a 644-es jogot,
      egybol ment az ldapsearch.<br>
      <br>
      az sssd-t meg nem probaltam ki, de majd beszamolok, gondolom menni
      fog vele.<br>
      <br>
      Koszi,<div class="im"><br>
      Andras<br>
      <br>
      <br>
      On <a href="tel:2013.10.13.%2021" value="+12013101321" target="_blank">2013.10.13. 21</a>:06, Attila Bardi wrote:<br>
    </div></div>
    <blockquote type="cite"><div><div class="h5">
      <p dir="ltr">Szia</p>
      <p dir="ltr">installalva van a rootca? Cache-re en lehet, hogy az
        sssd-t hasznalnam.<br>
        Vannak olyan ldap implementaciok, ahol a peldaul az ldap
        conf-nak olvashatonak kell lennie a userek reszere (meg redhat
        5-on talalkoztam vele), erdemes lenne ezt is ellenorizni.</p>
      <p dir="ltr">Udv,<br>
        battila</p>
      <div class="gmail_quote">On Oct 13, 2013 8:41 PM, "Andras
        POTOCZKY" <<a href="mailto:andras-ml@grendsystem.hu" target="_blank">andras-ml@grendsystem.hu</a>>
        wrote:<br type="attribution">
        <blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
          hello<br>
          <br>
          Ldaps authentikacioval kuzdok. Nem tudom hasznaltok-e.
          Regebben gondolkodtam rajta, akkor ugy dontottem, hogy nem
          kell nekem, de vegul mostanra ugy  megis be akarok minden
          altalam kezelt szervert pakolni ldap authentikacio ala ssl-en
          keresztul.<br>
          Jelenleg ott tartok, hogy van egy dedikalt ldap szerverem
          (linux), illetve minden linux klienst szepen be tudtam rakni
          ldaps kapcsolattal, tokeletesen mukodik a belepes, csoportok
          /userek lekerdezese, titkositott kapcsolat, cache... stb.<br>
          <br>
          Sajnos a FreeBSD hostoknal elakadtam. Ebbol van tobb, igy
          mindenkeppen megoldando feladat :)<br>
          <br>
          Egyenlore egy teszt szerveren kuzdok es az ldap auth
          tokeletesen megy is, viszont ssl mogott nem tudom rabirni a
          kapcsolatra. Az ami linux alatt megy (uri <a>ldaps://</a><ldap srv
          address>:636/) tokeletesen azonositja a szervert es mukodik
          a kapcsolat titkositva.<br>
          Ugyanezt a freebsd nem eszi meg. Ha ldaps-t allitok be, mar
          nem talalja a szervert.<br>
          <br>
          Van valakinek mukodo ldap+ssl megoldasa?<br>
          <br>
          Masik ket problema ehhez kepest jelentektelen:<br>
          - Linux alatt nscd,nslcd-t (meg 1-2 egyeb csomag) hasznalok az
          ldap cache-hez. Ezek a csomagok nem leteznek freebsd-re.
          Valamelyik csomag resze lehet, vagy forrasbol kene
          forditgatnom?<br>
          - Ha kiadok egy whoami parancsot, akkor szepen visszaadja
          linuxon hogy usernev, mig freebsd-n ugyanazon beallitassal
          visszaadja az uid number-t. Erre vajon mi lehet a beallitas?<br>
          <br>
          Sajnos google nem volt a jobaratom, 1 napi keresgeles utan sem
          talaltam ezen 3 kerdeshez megfelelo valaszt. Az utolso ketto
          nelkul meg tudnek elni, de titkositas nelkul nem akarom
          hasznalni az ldap-ot.<br>
          Nem vagyok nagy hacker, de egy probat tettem, tcpdump-olgattam
          kicsit es igen gyorsan megszerezheto volt a jelszo, szoval
          mindenkeppen ssl moge akarom bujtatni.<br>
          <br>
          Van esetleg valaki aki mar szivatta magat ilyennel? :)<br>
          <br>
          koszi,<br>
          Andras<br>
          <br>
          --<br>
          Magyar BSD Levelezőlista<br>
        </blockquote>
      </div>
      <br>
      <fieldset></fieldset>
      <br>
      </div></div><span class="HOEnZb"><font color="#888888"><pre>--
Magyar BSD Levelezőlista</pre>
    </font></span></blockquote>
    <br>
  </div>

<br>--<br>
Magyar BSD Levelezőlista<br></blockquote></div><br></div>