[BSD] ldaps auth problemak
gabor at zahemszky.hu
gabor at zahemszky.hu
2013. Okt. 13., V, 21:06:25 CEST
2013-10-13 20:39 időpontban Andras POTOCZKY ezt írta:
> hello
>
> Ldaps authentikacioval kuzdok. Nem tudom hasznaltok-e. Regebben
> gondolkodtam rajta, akkor ugy dontottem, hogy nem kell nekem, de
> vegul
> mostanra ugy megis be akarok minden altalam kezelt szervert pakolni
> ldap authentikacio ala ssl-en keresztul.
> Jelenleg ott tartok, hogy van egy dedikalt ldap szerverem (linux),
> illetve minden linux klienst szepen be tudtam rakni ldaps
> kapcsolattal, tokeletesen mukodik a belepes, csoportok /userek
> lekerdezese, titkositott kapcsolat, cache... stb.
>
> Sajnos a FreeBSD hostoknal elakadtam. Ebbol van tobb, igy
> mindenkeppen megoldando feladat :)
>
> Egyenlore egy teszt szerveren kuzdok es az ldap auth tokeletesen megy
> is, viszont ssl mogott nem tudom rabirni a kapcsolatra. Az ami linux
> alatt megy (uri ldaps://<ldap srv address>:636/) tokeletesen
> azonositja a szervert es mukodik a kapcsolat titkositva.
> Ugyanezt a freebsd nem eszi meg. Ha ldaps-t allitok be, mar nem
> talalja a szervert.
>
> Van valakinek mukodo ldap+ssl megoldasa?
>
> Masik ket problema ehhez kepest jelentektelen:
> - Linux alatt nscd,nslcd-t (meg 1-2 egyeb csomag) hasznalok az ldap
> cache-hez. Ezek a csomagok nem leteznek freebsd-re. Valamelyik csomag
> resze lehet, vagy forrasbol kene forditgatnom?
> - Ha kiadok egy whoami parancsot, akkor szepen visszaadja linuxon
> hogy usernev, mig freebsd-n ugyanazon beallitassal visszaadja az uid
> number-t. Erre vajon mi lehet a beallitas?
>
> Sajnos google nem volt a jobaratom, 1 napi keresgeles utan sem
> talaltam ezen 3 kerdeshez megfelelo valaszt. Az utolso ketto nelkul
> meg tudnek elni, de titkositas nelkul nem akarom hasznalni az
> ldap-ot.
> Nem vagyok nagy hacker, de egy probat tettem, tcpdump-olgattam kicsit
> es igen gyorsan megszerezheto volt a jelszo, szoval mindenkeppen ssl
> moge akarom bujtatni.
>
> Van esetleg valaki aki mar szivatta magat ilyennel? :)
Szia!
En ezer eve bohockodtam FreeBSD + LDAP parositasal. Sok szempontbol
eltert az altalad most
vazolttol (eleve tinyldap-pal jatszottam es nem
openldap/opendj/akarmi-ma-jellemzo-ldap-server)
meg lokalis gepen jatszottam, de mukodnie kell.
1) nscd ha nem is ezer eve, de egy jo ideje van nativan FreeBSD-n,
/usr/sbin/nscd
2) szerintem ha az uri ldaps-sel kezdodik, akkor mar nem kell a
port-szamot is beleirnod.
Raadasul rohadtul nem mindegy, hogy ldap+ssl (ez van tudtommal a 636-os
porton), vagy pedig ldap+tls
(ez viszont a standard 389-es porton csucsul). Eloszor ezt hatarozd meg
- azaz ez a szerverkonfigon
mulik, hogy mit hasznalsz.
3) gondolom valamilyen pam-ldap, nss-ldap csomagot felraktal es
bekonfiguraltad, mert tudtommal ezek
kellenek hozza
4) amig parancssorbol nem megy a kliens ldapsearch a megfelelo uri-val,
addig fenti pam+nss konfiguralasa
total onszopatas.
Szoval fenti pontok alapjan kene elindulnod.
Zahy < Gabor at Zahemszky dot HU >
További információk a(z) BSD levelezőlistáról