[BSD] ldaps auth problemak
Attila Bardi
battila at battila.hu
2013. Okt. 14., H, 12:03:56 CEST
Szia,
az sssd-t azert irtam, mert a kiprobalasa soran kialakulhat barmilyen
velemeny rola.
A kiirasbol en csak nehany dolgot tudok kiszemezni, amin esetleg javithatsz:
tlsv1 ami ugyanaz, mint az sslv3. Ez volt a TLS elso verzioja, nagyjabol
itt kezdodott a szetvallas.
Mint gyanitod, ez nem mostanaban volt, es szamos gyengesege van. Manapsag a
kulcsok generalasahoz a gnutls-t javasoljak, ami titkositas szempontjabol
talan szerencsesebb valasztas: http://www.gnutls.org/
A Cipher-ekben meg nem melyedtem el, hogy melyek a megbizhatoak. Abban
talan mas tud segiteni.
Udv,
battila
2013/10/14 Andras POTOCZKY <andras-ml at grendsystem.hu>
> szia
>
> Ezt irja tobbek kozott az openssl kerdezeskor a szerver:
>
> New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
> Server public key is 1024 bit
> Secure Renegotiation IS supported
> Compression: NONE
> Expansion: NONE
> SSL-Session:
> Protocol : TLSv1
>
>
>
> sssd-vel nincs semmi bajom, csak nem jutottam el addig hogy foglalkozzak
> vele.
>
> koszi,
> Andras
>
>
>
> On 2013.10.14. 11:45, Attila Bardi wrote:
>
> Szia,
>
> akkor ez valasz is volt a HalaszG levelere. Nalad nem ssl volt akkor
> felkonfiguralva a server oldalon, hanem startls. Ezert nem tudtal a 636-os
> portra csatlakozni, csak a 389-esre.
>
> Nekem ilyenek vannak a linux-os pam_ldap.conf-ban:
>
> tls_checkpeer no
> uri ldap://ldapserver.example.com/
> ssl start_tls
> tls_cacertdir /etc/openldap/cacerts
>
> Az sssd-t meg lehet szeretni, meg nem szeretni, de ugy nez ki, hogy az
> iranyba tartanak a rendszerek, tehat erdemes mielobb kepbe kerulni vele.
>
> Udv,
> battila
>
>
> 2013/10/14 Andras POTOCZKY <andras-ml at grendsystem.hu>
>
>> hello
>>
>> Vegulis kiegyezek a start tls-sel es elhelyeztem a root ca-t is, igy mar
>> egeszen jol megy az ldapsearch titkositva. Mar csak az nss-t kell rabirni
>> hogy az is hasznalja.
>>
>> Egyebkent amit irtal, hogy user szinten olvashatova kene tenni az
>> ldap.conf fajlt, nos ez igaz, amint megadtam neki a 644-es jogot, egybol
>> ment az ldapsearch.
>>
>> az sssd-t meg nem probaltam ki, de majd beszamolok, gondolom menni fog
>> vele.
>>
>> Koszi,
>>
>> Andras
>>
>>
>> On 2013.10.13. 21:06, Attila Bardi wrote:
>>
>> Szia
>>
>> installalva van a rootca? Cache-re en lehet, hogy az sssd-t hasznalnam.
>> Vannak olyan ldap implementaciok, ahol a peldaul az ldap conf-nak
>> olvashatonak kell lennie a userek reszere (meg redhat 5-on talalkoztam
>> vele), erdemes lenne ezt is ellenorizni.
>>
>> Udv,
>> battila
>> On Oct 13, 2013 8:41 PM, "Andras POTOCZKY" <andras-ml at grendsystem.hu>
>> wrote:
>>
>>> hello
>>>
>>> Ldaps authentikacioval kuzdok. Nem tudom hasznaltok-e. Regebben
>>> gondolkodtam rajta, akkor ugy dontottem, hogy nem kell nekem, de vegul
>>> mostanra ugy megis be akarok minden altalam kezelt szervert pakolni ldap
>>> authentikacio ala ssl-en keresztul.
>>> Jelenleg ott tartok, hogy van egy dedikalt ldap szerverem (linux),
>>> illetve minden linux klienst szepen be tudtam rakni ldaps kapcsolattal,
>>> tokeletesen mukodik a belepes, csoportok /userek lekerdezese, titkositott
>>> kapcsolat, cache... stb.
>>>
>>> Sajnos a FreeBSD hostoknal elakadtam. Ebbol van tobb, igy mindenkeppen
>>> megoldando feladat :)
>>>
>>> Egyenlore egy teszt szerveren kuzdok es az ldap auth tokeletesen megy
>>> is, viszont ssl mogott nem tudom rabirni a kapcsolatra. Az ami linux alatt
>>> megy (uri ldaps://<ldap srv address>:636/) tokeletesen azonositja a
>>> szervert es mukodik a kapcsolat titkositva.
>>> Ugyanezt a freebsd nem eszi meg. Ha ldaps-t allitok be, mar nem talalja
>>> a szervert.
>>>
>>> Van valakinek mukodo ldap+ssl megoldasa?
>>>
>>> Masik ket problema ehhez kepest jelentektelen:
>>> - Linux alatt nscd,nslcd-t (meg 1-2 egyeb csomag) hasznalok az ldap
>>> cache-hez. Ezek a csomagok nem leteznek freebsd-re. Valamelyik csomag resze
>>> lehet, vagy forrasbol kene forditgatnom?
>>> - Ha kiadok egy whoami parancsot, akkor szepen visszaadja linuxon hogy
>>> usernev, mig freebsd-n ugyanazon beallitassal visszaadja az uid number-t.
>>> Erre vajon mi lehet a beallitas?
>>>
>>> Sajnos google nem volt a jobaratom, 1 napi keresgeles utan sem talaltam
>>> ezen 3 kerdeshez megfelelo valaszt. Az utolso ketto nelkul meg tudnek elni,
>>> de titkositas nelkul nem akarom hasznalni az ldap-ot.
>>> Nem vagyok nagy hacker, de egy probat tettem, tcpdump-olgattam kicsit es
>>> igen gyorsan megszerezheto volt a jelszo, szoval mindenkeppen ssl moge
>>> akarom bujtatni.
>>>
>>> Van esetleg valaki aki mar szivatta magat ilyennel? :)
>>>
>>> koszi,
>>> Andras
>>>
>>> --
>>> Magyar BSD Levelezőlista
>>>
>>
>>
>> --
>> Magyar BSD Levelezőlista
>>
>>
>>
>> --
>> Magyar BSD Levelezőlista
>>
>
>
>
> --
> Magyar BSD Levelezőlista
>
>
>
> --
> Magyar BSD Levelezőlista
>
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://datacast.hu/pipermail/bsd/attachments/20131014/12ae7baf/attachment.html>
További információk a(z) BSD levelezőlistáról