[BSD] ldaps auth problemak
Andras POTOCZKY
andras-ml at grendsystem.hu
2013. Okt. 14., H, 22:35:16 CEST
Hello,
Vegul csak kellett az ldap szerveren is allitani, hiaba volt jo a
linuxokkal. Most mar megy rendesen es gyorsan.
Koszi megegyszer a segitseget, ez az olvasasi jog allitas nelkul nem
ment volna. Mivel van az ldap.conf-ban egy bindpw, automatikusan 600-ra
allitottam a jogot, de ugy volt jo.
Felvettem egy readonly managert az ldap-ba mindenfele kulonosebb jog
nelkul es igy nem fog kockazatot jelenteni meg az sem ha megis kiolvassa
valaki a jelszot. Egyebkent tuzfalon filterezve van fix ipkre az ssh,
ugyhogy kockazat azt hiszem nem maradt.
Megy az ldap cache es a userek, groupok kilvasasa es 'felismerese' is.
udv,
Andras
On 2013.10.14. 12:03, Attila Bardi wrote:
> Szia,
>
>
> az sssd-t azert irtam, mert a kiprobalasa soran kialakulhat barmilyen
> velemeny rola.
>
> A kiirasbol en csak nehany dolgot tudok kiszemezni, amin esetleg
> javithatsz:
> tlsv1 ami ugyanaz, mint az sslv3. Ez volt a TLS elso verzioja,
> nagyjabol itt kezdodott a szetvallas.
> Mint gyanitod, ez nem mostanaban volt, es szamos gyengesege van.
> Manapsag a kulcsok generalasahoz a gnutls-t javasoljak, ami titkositas
> szempontjabol talan szerencsesebb valasztas: http://www.gnutls.org/
>
> A Cipher-ekben meg nem melyedtem el, hogy melyek a megbizhatoak. Abban
> talan mas tud segiteni.
>
> Udv,
> battila
>
>
> 2013/10/14 Andras POTOCZKY <andras-ml at grendsystem.hu
> <mailto:andras-ml at grendsystem.hu>>
>
> szia
>
> Ezt irja tobbek kozott az openssl kerdezeskor a szerver:
>
> New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
> Server public key is 1024 bit
> Secure Renegotiation IS supported
> Compression: NONE
> Expansion: NONE
> SSL-Session:
> Protocol : TLSv1
>
>
>
> sssd-vel nincs semmi bajom, csak nem jutottam el addig hogy
> foglalkozzak vele.
>
> koszi,
> Andras
>
>
>
> On 2013.10.14. 11 <tel:2013.10.14.%2011>:45, Attila Bardi wrote:
>> Szia,
>>
>> akkor ez valasz is volt a HalaszG levelere. Nalad nem ssl volt
>> akkor felkonfiguralva a server oldalon, hanem startls. Ezert nem
>> tudtal a 636-os portra csatlakozni, csak a 389-esre.
>>
>> Nekem ilyenek vannak a linux-os pam_ldap.conf-ban:
>>
>> tls_checkpeer no
>> uri ldap://ldapserver.example.com/ <http://ldapserver.example.com/>
>> ssl start_tls
>> tls_cacertdir /etc/openldap/cacerts
>>
>> Az sssd-t meg lehet szeretni, meg nem szeretni, de ugy nez ki,
>> hogy az iranyba tartanak a rendszerek, tehat erdemes mielobb
>> kepbe kerulni vele.
>>
>> Udv,
>> battila
>>
>>
>> 2013/10/14 Andras POTOCZKY <andras-ml at grendsystem.hu
>> <mailto:andras-ml at grendsystem.hu>>
>>
>> hello
>>
>> Vegulis kiegyezek a start tls-sel es elhelyeztem a root ca-t
>> is, igy mar egeszen jol megy az ldapsearch titkositva. Mar
>> csak az nss-t kell rabirni hogy az is hasznalja.
>>
>> Egyebkent amit irtal, hogy user szinten olvashatova kene
>> tenni az ldap.conf fajlt, nos ez igaz, amint megadtam neki a
>> 644-es jogot, egybol ment az ldapsearch.
>>
>> az sssd-t meg nem probaltam ki, de majd beszamolok, gondolom
>> menni fog vele.
>>
>> Koszi,
>>
>> Andras
>>
>>
>> On 2013.10.13. 21 <tel:2013.10.13.%2021>:06, Attila Bardi wrote:
>>>
>>> Szia
>>>
>>> installalva van a rootca? Cache-re en lehet, hogy az sssd-t
>>> hasznalnam.
>>> Vannak olyan ldap implementaciok, ahol a peldaul az ldap
>>> conf-nak olvashatonak kell lennie a userek reszere (meg
>>> redhat 5-on talalkoztam vele), erdemes lenne ezt is ellenorizni.
>>>
>>> Udv,
>>> battila
>>>
>>> On Oct 13, 2013 8:41 PM, "Andras POTOCZKY"
>>> <andras-ml at grendsystem.hu <mailto:andras-ml at grendsystem.hu>>
>>> wrote:
>>>
>>> hello
>>>
>>> Ldaps authentikacioval kuzdok. Nem tudom hasznaltok-e.
>>> Regebben gondolkodtam rajta, akkor ugy dontottem, hogy
>>> nem kell nekem, de vegul mostanra ugy megis be akarok
>>> minden altalam kezelt szervert pakolni ldap
>>> authentikacio ala ssl-en keresztul.
>>> Jelenleg ott tartok, hogy van egy dedikalt ldap
>>> szerverem (linux), illetve minden linux klienst szepen
>>> be tudtam rakni ldaps kapcsolattal, tokeletesen mukodik
>>> a belepes, csoportok /userek lekerdezese, titkositott
>>> kapcsolat, cache... stb.
>>>
>>> Sajnos a FreeBSD hostoknal elakadtam. Ebbol van tobb,
>>> igy mindenkeppen megoldando feladat :)
>>>
>>> Egyenlore egy teszt szerveren kuzdok es az ldap auth
>>> tokeletesen megy is, viszont ssl mogott nem tudom
>>> rabirni a kapcsolatra. Az ami linux alatt megy (uri
>>> ldaps://<ldap srv address>:636/) tokeletesen azonositja
>>> a szervert es mukodik a kapcsolat titkositva.
>>> Ugyanezt a freebsd nem eszi meg. Ha ldaps-t allitok be,
>>> mar nem talalja a szervert.
>>>
>>> Van valakinek mukodo ldap+ssl megoldasa?
>>>
>>> Masik ket problema ehhez kepest jelentektelen:
>>> - Linux alatt nscd,nslcd-t (meg 1-2 egyeb csomag)
>>> hasznalok az ldap cache-hez. Ezek a csomagok nem
>>> leteznek freebsd-re. Valamelyik csomag resze lehet, vagy
>>> forrasbol kene forditgatnom?
>>> - Ha kiadok egy whoami parancsot, akkor szepen
>>> visszaadja linuxon hogy usernev, mig freebsd-n ugyanazon
>>> beallitassal visszaadja az uid number-t. Erre vajon mi
>>> lehet a beallitas?
>>>
>>> Sajnos google nem volt a jobaratom, 1 napi keresgeles
>>> utan sem talaltam ezen 3 kerdeshez megfelelo valaszt. Az
>>> utolso ketto nelkul meg tudnek elni, de titkositas
>>> nelkul nem akarom hasznalni az ldap-ot.
>>> Nem vagyok nagy hacker, de egy probat tettem,
>>> tcpdump-olgattam kicsit es igen gyorsan megszerezheto
>>> volt a jelszo, szoval mindenkeppen ssl moge akarom bujtatni.
>>>
>>> Van esetleg valaki aki mar szivatta magat ilyennel? :)
>>>
>>> koszi,
>>> Andras
>>>
>>> --
>>> Magyar BSD Levelezőlista
>>>
>>>
>>>
>>> --
>>> Magyar BSD Levelezőlista
>>
>>
>> --
>> Magyar BSD Levelezőlista
>>
>>
>>
>>
>> --
>> Magyar BSD Levelezőlista
>
>
> --
> Magyar BSD Levelezőlista
>
>
>
>
> --
> Magyar BSD Levelezőlista
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://datacast.hu/pipermail/bsd/attachments/20131014/879dbcb8/attachment-0001.html>
További információk a(z) BSD levelezőlistáról