[BSD] ldaps auth problemak

Attila Bardi battila at battila.hu
2013. Okt. 14., H, 11:45:48 CEST


Szia,

akkor ez valasz is volt a HalaszG levelere. Nalad nem ssl volt akkor
felkonfiguralva a server oldalon, hanem startls. Ezert nem tudtal a 636-os
portra csatlakozni, csak a 389-esre.

Nekem ilyenek vannak a linux-os pam_ldap.conf-ban:

tls_checkpeer no
uri ldap://ldapserver.example.com/
ssl start_tls
tls_cacertdir /etc/openldap/cacerts

Az sssd-t meg lehet szeretni, meg nem szeretni, de ugy nez ki, hogy az
iranyba tartanak a rendszerek, tehat erdemes mielobb kepbe kerulni vele.

Udv,
battila


2013/10/14 Andras POTOCZKY <andras-ml at grendsystem.hu>

>  hello
>
> Vegulis kiegyezek a start tls-sel es elhelyeztem a root ca-t is, igy mar
> egeszen jol megy az ldapsearch titkositva. Mar csak az nss-t kell rabirni
> hogy az is hasznalja.
>
> Egyebkent amit irtal, hogy user szinten olvashatova kene tenni az
> ldap.conf fajlt, nos ez igaz, amint megadtam neki a 644-es jogot, egybol
> ment az ldapsearch.
>
> az sssd-t meg nem probaltam ki, de majd beszamolok, gondolom menni fog
> vele.
>
> Koszi,
>
> Andras
>
>
> On 2013.10.13. 21:06, Attila Bardi wrote:
>
> Szia
>
> installalva van a rootca? Cache-re en lehet, hogy az sssd-t hasznalnam.
> Vannak olyan ldap implementaciok, ahol a peldaul az ldap conf-nak
> olvashatonak kell lennie a userek reszere (meg redhat 5-on talalkoztam
> vele), erdemes lenne ezt is ellenorizni.
>
> Udv,
> battila
> On Oct 13, 2013 8:41 PM, "Andras POTOCZKY" <andras-ml at grendsystem.hu>
> wrote:
>
>> hello
>>
>> Ldaps authentikacioval kuzdok. Nem tudom hasznaltok-e. Regebben
>> gondolkodtam rajta, akkor ugy dontottem, hogy nem kell nekem, de vegul
>> mostanra ugy  megis be akarok minden altalam kezelt szervert pakolni ldap
>> authentikacio ala ssl-en keresztul.
>> Jelenleg ott tartok, hogy van egy dedikalt ldap szerverem (linux),
>> illetve minden linux klienst szepen be tudtam rakni ldaps kapcsolattal,
>> tokeletesen mukodik a belepes, csoportok /userek lekerdezese, titkositott
>> kapcsolat, cache... stb.
>>
>> Sajnos a FreeBSD hostoknal elakadtam. Ebbol van tobb, igy mindenkeppen
>> megoldando feladat :)
>>
>> Egyenlore egy teszt szerveren kuzdok es az ldap auth tokeletesen megy is,
>> viszont ssl mogott nem tudom rabirni a kapcsolatra. Az ami linux alatt megy
>> (uri ldaps://<ldap srv address>:636/) tokeletesen azonositja a szervert
>> es mukodik a kapcsolat titkositva.
>> Ugyanezt a freebsd nem eszi meg. Ha ldaps-t allitok be, mar nem talalja a
>> szervert.
>>
>> Van valakinek mukodo ldap+ssl megoldasa?
>>
>> Masik ket problema ehhez kepest jelentektelen:
>> - Linux alatt nscd,nslcd-t (meg 1-2 egyeb csomag) hasznalok az ldap
>> cache-hez. Ezek a csomagok nem leteznek freebsd-re. Valamelyik csomag resze
>> lehet, vagy forrasbol kene forditgatnom?
>> - Ha kiadok egy whoami parancsot, akkor szepen visszaadja linuxon hogy
>> usernev, mig freebsd-n ugyanazon beallitassal visszaadja az uid number-t.
>> Erre vajon mi lehet a beallitas?
>>
>> Sajnos google nem volt a jobaratom, 1 napi keresgeles utan sem talaltam
>> ezen 3 kerdeshez megfelelo valaszt. Az utolso ketto nelkul meg tudnek elni,
>> de titkositas nelkul nem akarom hasznalni az ldap-ot.
>> Nem vagyok nagy hacker, de egy probat tettem, tcpdump-olgattam kicsit es
>> igen gyorsan megszerezheto volt a jelszo, szoval mindenkeppen ssl moge
>> akarom bujtatni.
>>
>> Van esetleg valaki aki mar szivatta magat ilyennel? :)
>>
>> koszi,
>> Andras
>>
>> --
>> Magyar BSD Levelezőlista
>>
>
>
> --
> Magyar BSD Levelezőlista
>
>
>
> --
> Magyar BSD Levelezőlista
>
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://datacast.hu/pipermail/bsd/attachments/20131014/c9bd2a30/attachment.html>


További információk a(z) BSD levelezőlistáról