[BSD] ldaps auth problemak

Andras POTOCZKY andras-ml at grendsystem.hu
2013. Okt. 14., H, 11:55:54 CEST 

szia

Ezt irja tobbek kozott az openssl kerdezeskor a szerver:

New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
     Protocol  : TLSv1



sssd-vel nincs semmi bajom, csak nem jutottam el addig hogy foglalkozzak 
vele.

koszi,
Andras


On 2013.10.14. 11:45, Attila Bardi wrote:
> Szia,
>
> akkor ez valasz is volt a HalaszG levelere. Nalad nem ssl volt akkor 
> felkonfiguralva a server oldalon, hanem startls. Ezert nem tudtal a 
> 636-os portra csatlakozni, csak a 389-esre.
>
> Nekem ilyenek vannak a linux-os pam_ldap.conf-ban:
>
> tls_checkpeer no
> uri ldap://ldapserver.example.com/ <http://ldapserver.example.com/>
> ssl start_tls
> tls_cacertdir /etc/openldap/cacerts
>
> Az sssd-t meg lehet szeretni, meg nem szeretni, de ugy nez ki, hogy az 
> iranyba tartanak a rendszerek, tehat erdemes mielobb kepbe kerulni vele.
>
> Udv,
> battila
>
>
> 2013/10/14 Andras POTOCZKY <andras-ml at grendsystem.hu 
> <mailto:andras-ml at grendsystem.hu>>
>
>     hello
>
>     Vegulis kiegyezek a start tls-sel es elhelyeztem a root ca-t is,
>     igy mar egeszen jol megy az ldapsearch titkositva. Mar csak az
>     nss-t kell rabirni hogy az is hasznalja.
>
>     Egyebkent amit irtal, hogy user szinten olvashatova kene tenni az
>     ldap.conf fajlt, nos ez igaz, amint megadtam neki a 644-es jogot,
>     egybol ment az ldapsearch.
>
>     az sssd-t meg nem probaltam ki, de majd beszamolok, gondolom menni
>     fog vele.
>
>     Koszi,
>
>     Andras
>
>
>     On 2013.10.13. 21 <tel:2013.10.13.%2021>:06, Attila Bardi wrote:
>>
>>     Szia
>>
>>     installalva van a rootca? Cache-re en lehet, hogy az sssd-t
>>     hasznalnam.
>>     Vannak olyan ldap implementaciok, ahol a peldaul az ldap conf-nak
>>     olvashatonak kell lennie a userek reszere (meg redhat 5-on
>>     talalkoztam vele), erdemes lenne ezt is ellenorizni.
>>
>>     Udv,
>>     battila
>>
>>     On Oct 13, 2013 8:41 PM, "Andras POTOCZKY"
>>     <andras-ml at grendsystem.hu <mailto:andras-ml at grendsystem.hu>> wrote:
>>
>>         hello
>>
>>         Ldaps authentikacioval kuzdok. Nem tudom hasznaltok-e.
>>         Regebben gondolkodtam rajta, akkor ugy dontottem, hogy nem
>>         kell nekem, de vegul mostanra ugy  megis be akarok minden
>>         altalam kezelt szervert pakolni ldap authentikacio ala ssl-en
>>         keresztul.
>>         Jelenleg ott tartok, hogy van egy dedikalt ldap szerverem
>>         (linux), illetve minden linux klienst szepen be tudtam rakni
>>         ldaps kapcsolattal, tokeletesen mukodik a belepes, csoportok
>>         /userek lekerdezese, titkositott kapcsolat, cache... stb.
>>
>>         Sajnos a FreeBSD hostoknal elakadtam. Ebbol van tobb, igy
>>         mindenkeppen megoldando feladat :)
>>
>>         Egyenlore egy teszt szerveren kuzdok es az ldap auth
>>         tokeletesen megy is, viszont ssl mogott nem tudom rabirni a
>>         kapcsolatra. Az ami linux alatt megy (uri ldaps://<ldap srv
>>         address>:636/) tokeletesen azonositja a szervert es mukodik a
>>         kapcsolat titkositva.
>>         Ugyanezt a freebsd nem eszi meg. Ha ldaps-t allitok be, mar
>>         nem talalja a szervert.
>>
>>         Van valakinek mukodo ldap+ssl megoldasa?
>>
>>         Masik ket problema ehhez kepest jelentektelen:
>>         - Linux alatt nscd,nslcd-t (meg 1-2 egyeb csomag) hasznalok
>>         az ldap cache-hez. Ezek a csomagok nem leteznek freebsd-re.
>>         Valamelyik csomag resze lehet, vagy forrasbol kene forditgatnom?
>>         - Ha kiadok egy whoami parancsot, akkor szepen visszaadja
>>         linuxon hogy usernev, mig freebsd-n ugyanazon beallitassal
>>         visszaadja az uid number-t. Erre vajon mi lehet a beallitas?
>>
>>         Sajnos google nem volt a jobaratom, 1 napi keresgeles utan
>>         sem talaltam ezen 3 kerdeshez megfelelo valaszt. Az utolso
>>         ketto nelkul meg tudnek elni, de titkositas nelkul nem akarom
>>         hasznalni az ldap-ot.
>>         Nem vagyok nagy hacker, de egy probat tettem,
>>         tcpdump-olgattam kicsit es igen gyorsan megszerezheto volt a
>>         jelszo, szoval mindenkeppen ssl moge akarom bujtatni.
>>
>>         Van esetleg valaki aki mar szivatta magat ilyennel? :)
>>
>>         koszi,
>>         Andras
>>
>>         --
>>         Magyar BSD Levelezőlista
>>
>>
>>
>>     --
>>     Magyar BSD Levelezőlista
>
>
>     --
>     Magyar BSD Levelezőlista
>
>
>
>
> --
> Magyar BSD Levelezőlista

--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://datacast.hu/pipermail/bsd/attachments/20131014/3f1cc812/attachment.html>

További információk a(z) BSD levelezőlistáról