[Comm] LDAP. секурити

[Comm] LDAP. секурити

[Anton Gorlov]

Здравствуйте, community.

Вот наконец-то дошли руки до секурных проблем лдапа. Вопрос -чем
сгенерить сертефикат (TLSCACertificateFile,TLSCertificateFile,
TLSCertificateKeyFile)?
и что нужно будет ещё cгенерить?

-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru

Re: [Comm] LDAP. секурити

[Alexey Borovskoy]

[-- Attachment #1: Type: text/plain, Size: 366 bytes --]

* Понедельник 18 Апрель 2005 19:25 Anton Gorlov

> Здравствуйте, community.
>
> Вот наконец-то дошли руки до секурных проблем лдапа. Вопрос
> -чем сгенерить сертефикат
> (TLSCACertificateFile,TLSCertificateFile,
> TLSCertificateKeyFile)?

Можно с помощью tinyca. Есть в backports.

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re[2]: [Comm] LDAP. секурити

[Anton Gorlov]

Здравствуйте, Alexey.

Вы писали 18 апреля 2005 г., 13:32:27:

>> Вот наконец-то дошли руки до секурных проблем лдапа. Вопрос
>> -чем сгенерить сертефикат
>> (TLSCACertificateFile,TLSCertificateFile,
>> TLSCertificateKeyFile)?
> Можно с помощью tinyca. Есть в backports.

Ща посмотрю...

А нужен ли вообще клиентский сертификат? Может быть достаточно
серверного (который живёт на сервере)? Что скажут гуру?




-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru

Re: [Comm] LDAP. секурити

[Alexey Borovskoy]

[-- Attachment #1: Type: text/plain, Size: 715 bytes --]

* Понедельник 18 Апрель 2005 23:51 Anton Gorlov

> Здравствуйте, Alexey.
>
> Вы писали 18 апреля 2005 г., 13:32:27:
> >> Вот наконец-то дошли руки до секурных проблем лдапа. Вопрос
> >> -чем сгенерить сертефикат
> >> (TLSCACertificateFile,TLSCertificateFile,
> >> TLSCertificateKeyFile)?
> >
> > Можно с помощью tinyca. Есть в backports.
>
> Ща посмотрю...
>
> А нужен ли вообще клиентский сертификат? Может быть достаточно
> серверного (который живёт на сервере)? Что скажут гуру?

Я думаю что нужен. Например, пришел дядя с ноутбуком и давай по 
лдапу шариться.

В случае связки CA+server cert+client cert дядя обломится сразу.

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re[2]: [Comm] LDAP. секурити

[Anton Gorlov]

Здравствуйте, Alexey.

Вы писали 19 апреля 2005 г., 8:10:55:

>> >> Вот наконец-то дошли руки до секурных проблем лдапа. Вопрос
>> >> -чем сгенерить сертефикат
>> >> (TLSCACertificateFile,TLSCertificateFile,
>> >> TLSCertificateKeyFile)?
>> > Можно с помощью tinyca. Есть в backports.
>> Ща посмотрю...
>> А нужен ли вообще клиентский сертификат? Может быть достаточно
>> серверного (который живёт на сервере)? Что скажут гуру?
> Я думаю что нужен. Например, пришел дядя с ноутбуком и давай по
> лдапу шариться.

А простого шифрования на этот случай не хватит?
Ведь например при работе с тем же gmail.com мне (как клиентк)
предьявляется серверный сертефикат и вперёд и с песней (в смысле с
шифрованием)

> В случае связки CA+server cert+client cert дядя обломится сразу.
а CA как получить?




-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru

Re: [Comm] LDAP. секурити

[Boldin Pavel]

Anton Gorlov пишет:
> Здравствуйте, Alexey.
> 
> Вы писали 19 апреля 2005 г., 8:10:55:
> 
> 
>>>>>Вот наконец-то дошли руки до секурных проблем лдапа. Вопрос
>>>>>-чем сгенерить сертефикат
>>>>>(TLSCACertificateFile,TLSCertificateFile,
>>>>>TLSCertificateKeyFile)?
>>>>
>>>>Можно с помощью tinyca. Есть в backports.
>>>
>>>Ща посмотрю...
>>>А нужен ли вообще клиентский сертификат? Может быть достаточно
>>>серверного (который живёт на сервере)? Что скажут гуру?
>>
>>Я думаю что нужен. Например, пришел дядя с ноутбуком и давай по
>>лдапу шариться.
> 
> 
> А простого шифрования на этот случай не хватит?
> Ведь например при работе с тем же gmail.com мне (как клиентк)
> предьявляется серверный сертефикат и вперёд и с песней (в смысле с
> шифрованием)
> 
> 
>>В случае связки CA+server cert+client cert дядя обломится сразу.
> 
> а CA как получить?

# apt-get install tinyca

очень удобно и просто, но только для client cert нужно скорее всего 
пароль вырубить (-nodes)

-- 

Болдин Павел aka davinchi

     ldavinchi@inbox.ru or davinchi@zu.org.ru

     ZU - Zagovor Unixoidov. SSAU 303.

Re[2]: [Comm] LDAP. секурити

[Anton Gorlov]

Здравствуйте, Boldin.

Вы писали 19 апреля 2005 г., 10:42:03:


>>>>Ща посмотрю...
>>>>А нужен ли вообще клиентский сертификат? Может быть достаточно
>>>>серверного (который живёт на сервере)? Что скажут гуру?
>>>
>>>Я думаю что нужен. Например, пришел дядя с ноутбуком и давай по
>>>лдапу шариться.

>> А простого шифрования на этот случай не хватит?
>> Ведь например при работе с тем же gmail.com мне (как клиентк)
>> предьявляется серверный сертефикат и вперёд и с песней (в смысле с
>> шифрованием)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Добавлю - что у меня никакого клиентского сертефиката нет.

>>>В случае связки CA+server cert+client cert дядя обломится сразу.
>> а CA как получить?
> # apt-get install tinyca
> очень удобно и просто, но только для client cert нужно скорее всего
> пароль вырубить (-nodes)

Угу...
А где ответ по поводу подчёркнутого?




-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru

Re: [Comm] LDAP. секурити

[Boldin Pavel]

Boldin Pavel пишет:
> Anton Gorlov пишет:
> 
>> Здравствуйте, Alexey.
>>
>> Вы писали 19 апреля 2005 г., 8:10:55:
>>
>>
>>>>>> Вот наконец-то дошли руки до секурных проблем лдапа. Вопрос
>>>>>> -чем сгенерить сертефикат
>>>>>> (TLSCACertificateFile,TLSCertificateFile,
>>>>>> TLSCertificateKeyFile)?
>>>>>
>>>>>
>>>>> Можно с помощью tinyca. Есть в backports.
>>>>
>>>>
>>>> Ща посмотрю...
>>>> А нужен ли вообще клиентский сертификат? Может быть достаточно
>>>> серверного (который живёт на сервере)? Что скажут гуру?
>>>
>>>
>>> Я думаю что нужен. Например, пришел дядя с ноутбуком и давай по
>>> лдапу шариться.
>>
>>
>>
>> А простого шифрования на этот случай не хватит?
>> Ведь например при работе с тем же gmail.com мне (как клиентк)
>> предьявляется серверный сертефикат и вперёд и с песней (в смысле с
>> шифрованием)
>>

все мы здесь параноики :)
клиентский нужен чтобы _сервер_ проверял _клиентов_ которые к нему 
подключаются...

для этого надо выставить на сервере

TLSVerifyClient demand

создать сертификат для клиента и прописать его в /etc/openldap/ldap.conf

TLS_CERT /etc/openldap/ssl/vs01_cert.pem
TLS_KEY	/etc/openldap/ssl/vs01_key.pem

а сервер должен знать CA который выдал клиенту сертификат (то есть иметь 
в списках CA cert)

для каждой отдельной программы настраивается по-разному


>>
>>> В случае связки CA+server cert+client cert дядя обломится сразу.
>>
>>
>> а CA как получить?
> 
> 


-- 

Болдин Павел aka davinchi

     ldavinchi@inbox.ru or davinchi@zu.org.ru

     ZU - Zagovor Unixoidov. SSAU 303.

Re[2]: [Comm] LDAP. секурити

[Anton Gorlov]

Здравствуйте, Boldin.

Вы писали 19 апреля 2005 г., 11:17:52:

>>>>>>> Вот наконец-то дошли руки до секурных проблем лдапа. Вопрос
>>>>>>> -чем сгенерить сертефикат
>>>>>>> (TLSCACertificateFile,TLSCertificateFile,
>>>>>>> TLSCertificateKeyFile)?
>>>>>> Можно с помощью tinyca. Есть в backports.
>>>>> Ща посмотрю...
>>>>> А нужен ли вообще клиентский сертификат? Может быть достаточно
>>>>> серверного (который живёт на сервере)? Что скажут гуру?
>>>> Я думаю что нужен. Например, пришел дядя с ноутбуком и давай по
>>>> лдапу шариться.
>>> А простого шифрования на этот случай не хватит?
>>> Ведь например при работе с тем же gmail.com мне (как клиентк)
>>> предьявляется серверный сертефикат и вперёд и с песней (в смысле с
>>> шифрованием)
>>>
> все мы здесь параноики :)

Угу. Мне это же неоднократно говрили...

> клиентский нужен чтобы _сервер_ проверял _клиентов_ которые к нему 
> подключаются...

Но ведь шифрование будет и без клиентского ключа?
Я так думаю этого для начала будет достаточно, бо время пожимает..

> для этого надо выставить на сервере
> TLSVerifyClient demand
> создать сертификат для клиента и прописать его в /etc/openldap/ldap.conf
> TLS_CERT /etc/openldap/ssl/vs01_cert.pem
> TLS_KEY /etc/openldap/ssl/vs01_key.pem

Угу.

> а сервер должен знать CA который выдал клиенту сертификат (то есть иметь
> в списках CA cert)

> для каждой отдельной программы настраивается по-разному
Ну у меня сервер один -лдап.. Остальные клиенты, которые как оказалось
будут несколько разбросаны по сети, относительно лдапа. Вот и нужно
сделать хотя бы шифрование.


>>>> В случае связки CA+server cert+client cert дядя обломится сразу.
>>> а CA как получить?


-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru

Re[2]: [Comm] LDAP. секурити

[Anton Gorlov]

Здравствуйте, Boldin.

Вы писали 19 апреля 2005 г., 10:42:03:


> # apt-get install tinyca
> очень удобно и просто, но только для client cert нужно скорее всего
> пароль вырубить (-nodes)

ха-ха.. Ему судя по всему нужны иксы, а  я сижу по ssh.




-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru

Re: [Comm] LDAP. секурити

[Boldin Pavel]

Anton Gorlov пишет:
> Здравствуйте, Boldin.
> 
> Вы писали 19 апреля 2005 г., 10:42:03:
> 
> 
> 
>># apt-get install tinyca
>>очень удобно и просто, но только для client cert нужно скорее всего
>>пароль вырубить (-nodes)
> 
> 
> ха-ха.. Ему судя по всему нужны иксы, а  я сижу по ssh.
> 
> 

можно на другой машине создавать сертификаты :)
у вас ведь desktop с gnu/linux есть? ну вот там и создавайте!

-- 

Болдин Павел aka davinchi

     ldavinchi@inbox.ru or davinchi@zu.org.ru

     ZU - Zagovor Unixoidov. SSAU 303.

Re[2]: [Comm] LDAP. секурити

[Anton Gorlov]

Здравствуйте, Boldin.

Вы писали 19 апреля 2005 г., 11:38:07:

>>># apt-get install tinyca
>>>очень удобно и просто, но только для client cert нужно скорее всего
>>>пароль вырубить (-nodes)
>> ха-ха.. Ему судя по всему нужны иксы, а  я сижу по ssh.
> можно на другой машине создавать сертификаты :)

То есть они создаются без привязки к конкретному хосту. Создавались?

> у вас ведь desktop с gnu/linux есть? ну вот там и создавайте!

Единственный, под которым можно хоть как-то работать в иксах -это под
вмварью. А так --60 гц и 1280 на сколько-то.там... Настроить что-то
порядочное на i845g не получилось.




-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru

Re: [Comm] LDAP. секурити

[Alexey Borovskoy]

[-- Attachment #1: Type: text/plain, Size: 1321 bytes --]

* Вторник 19 Апрель 2005 18:39 Anton Gorlov

> Здравствуйте, Alexey.
>
> Вы писали 19 апреля 2005 г., 8:10:55:
> >> >> Вот наконец-то дошли руки до секурных проблем лдапа.
> >> >> Вопрос -чем сгенерить сертефикат
> >> >> (TLSCACertificateFile,TLSCertificateFile,
> >> >> TLSCertificateKeyFile)?
> >> >
> >> > Можно с помощью tinyca. Есть в backports.
> >>
> >> Ща посмотрю...
> >> А нужен ли вообще клиентский сертификат? Может быть
> >> достаточно серверного (который живёт на сервере)? Что
> >> скажут гуру?
> >
> > Я думаю что нужен. Например, пришел дядя с ноутбуком и давай
> > по лдапу шариться.
>
> А простого шифрования на этот случай не хватит?

У дяди клиентского сертификата нет? Нет.
Лдап-сервер дядю пустит? Пустит.

Ну и будет дядя шарится по лдапу через шифрованное соединение.

> Ведь например при работе с тем же gmail.com мне (как клиентк)
> предьявляется серверный сертефикат и вперёд и с песней (в
> смысле с шифрованием)

Но ведь сервер в этом случае не сможет определить имеет ли право 
клиент к нему подключится.

>
> > В случае связки CA+server cert+client cert дядя обломится
> > сразу.
>
> а CA как получить?

Устанавливаете tinyca. Запускаете. Если CA нет, то будет 
предложено его создать или импортировать.

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re[2]: [Comm] LDAP. секурити

[Anton Gorlov]

Здравствуйте, Alexey.

Вы писали 19 апреля 2005 г., 10:58:07:



>> >> Ща посмотрю...
>> >> А нужен ли вообще клиентский сертификат? Может быть
>> >> достаточно серверного (который живёт на сервере)? Что
>> >> скажут гуру?
>> > Я думаю что нужен. Например, пришел дядя с ноутбуком и давай
>> > по лдапу шариться.
>> А простого шифрования на этот случай не хватит?
> У дяди клиентского сертификата нет? Нет.
> Лдап-сервер дядю пустит? Пустит.

Но так как у него нет пароля --то он сможет увидить только то что
публично (грязно выругался) в лдапе.. Но траффик засниферить он уже не
сможет,так как шифрование.. Мне нужно сделать защиту от сниферов, а
остальное потом. Вот.

> Ну и будет дядя шарится по лдапу через шифрованное соединение.
Но он не сможет засниферить то что гуляет по сети.

>> Ведь например при работе с тем же gmail.com мне (как клиентк)
>> предьявляется серверный сертефикат и вперёд и с песней (в
>> смысле с шифрованием)
> Но ведь сервер в этом случае не сможет определить имеет ли право
> клиент к нему подключится.

Так мне не это пока надо, мне надо от сниферства прикрыться.

>>
>> > В случае связки CA+server cert+client cert дядя обломится
>> > сразу.
>>
>> а CA как получить?
> Устанавливаете tinyca. Запускаете. Если CA нет, то будет
> предложено его создать или импортировать.




-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru

Re: [Comm] LDAP. секурити

[Boldin Pavel]

Anton Gorlov пишет:
> Здравствуйте, Alexey.
> 
> Вы писали 19 апреля 2005 г., 10:58:07:
> 
> 
> 
> 
>>>Ведь например при работе с тем же gmail.com мне (как клиентк)
>>>предьявляется серверный сертефикат и вперёд и с песней (в
>>>смысле с шифрованием)
>>
>>Но ведь сервер в этом случае не сможет определить имеет ли право
>>клиент к нему подключится.
> 
> 
> Так мне не это пока надо, мне надо от сниферства прикрыться.

тогда просто шифруйте и все :)..... пока хватит:)

я вот тут gssapi + ldap + sasl настроил :)

на wiki как-нибудь расскажу


-- 

Болдин Павел aka davinchi

     ldavinchi@inbox.ru or davinchi@zu.org.ru

     ZU - Zagovor Unixoidov. SSAU 303.

Re[2]: [Comm] LDAP. секурити

[Anton Gorlov]

Здравствуйте, Boldin.

Вы писали 19 апреля 2005 г., 17:09:18:

>>>>Ведь например при работе с тем же gmail.com мне (как клиентк)
>>>>предьявляется серверный сертефикат и вперёд и с песней (в
>>>>смысле с шифрованием)
>>>Но ведь сервер в этом случае не сможет определить имеет ли право
>>>клиент к нему подключится.
>> Так мне не это пока надо, мне надо от сниферства прикрыться.
> тогда просто шифруйте и все :).....
Так мы и шифруемся... нет здесь никого.

>  пока хватит:)
угу. А посторонний -он отвалится ещё на роутере. но следующим этапом
сделаю и это.

> я вот тут gssapi + ldap + sasl настроил :)
> на wiki как-нибудь расскажу

Эх... А у меня никак не получается сквид (squid_auth_ldap) TLS делать.
В логе пишет что не может начать TLS. В логе лдапа пишется всего 2
строки -1 что типа коннект тет-то туда-то (всё похоже на правду)
и 2 строкой connect closed. Никак не пойму чего им не хватает.





-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru

Re: [Comm] LDAP. секурити

[Boldin Pavel]

Anton Gorlov пишет:
> Здравствуйте, Boldin.
> 
> Вы писали 19 апреля 2005 г., 17:09:18:
> 
> 
>>>>>Ведь например при работе с тем же gmail.com мне (как клиентк)
>>>>>предьявляется серверный сертефикат и вперёд и с песней (в
>>>>>смысле с шифрованием)
>>>>
>>>>Но ведь сервер в этом случае не сможет определить имеет ли право
>>>>клиент к нему подключится.
>>>
>>>Так мне не это пока надо, мне надо от сниферства прикрыться.
>>
>>тогда просто шифруйте и все :).....
> 
> Так мы и шифруемся... нет здесь никого.
> 
> 
>> пока хватит:)
> 
> угу. А посторонний -он отвалится ещё на роутере. но следующим этапом
> сделаю и это.
> 
> 
>>я вот тут gssapi + ldap + sasl настроил :)
>>на wiki как-нибудь расскажу
> 
> 
> Эх... А у меня никак не получается сквид (squid_auth_ldap) TLS делать.
> В логе пишет что не может начать TLS. В логе лдапа пишется всего 2
> строки -1 что типа коннект тет-то туда-то (всё похоже на правду)
> и 2 строкой connect closed. Никак не пойму чего им не хватает.
> 
> 

# slapd -u ldap -r /var/lib/ldap -d -1 2>&1 | tee -a ~/LogToDavinchi;
# ....
# bzip2 ~/LogToDavinchi

и мне его пошлите :)

-- 

Болдин Павел aka davinchi

     ldavinchi@inbox.ru or davinchi@zu.org.ru

     ZU - Zagovor Unixoidov. SSAU 303.

Re[2]: [Comm] LDAP. секурити

[Anton Gorlov]

Здравствуйте, Boldin.

Вы писали 19 апреля 2005 г., 17:19:31:


>>>я вот тут gssapi + ldap + sasl настроил :)
>>>на wiki как-нибудь расскажу

sasl в смысле cyrus-sasl?

>> Эх... А у меня никак не получается сквид (squid_auth_ldap) TLS делать.
>> В логе пишет что не может начать TLS. В логе лдапа пишется всего 2
>> строки -1 что типа коннект тет-то туда-то (всё похоже на правду)
>> и 2 строкой connect closed. Никак не пойму чего им не хватает.
> # slapd -u ldap -r /var/lib/ldap -d -1 2>&1 | tee -a ~/LogToDavinchi;
> # ....
> # bzip2 ~/LogToDavinchi
> и мне его пошлите :)

Отсылаю, для себя там ничего не откопал, что бы вразумило несколько.




-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru

Re: [Comm] LDAP. секурити

[Boldin Pavel]

Anton Gorlov пишет:
> Здравствуйте, Boldin.
> 
> Вы писали 19 апреля 2005 г., 17:19:31:
> 
> 
> 
>>>>я вот тут gssapi + ldap + sasl настроил :)
>>>>на wiki как-нибудь расскажу
> 
> 
> sasl в смысле cyrus-sasl?
> 
> 
>>>Эх... А у меня никак не получается сквид (squid_auth_ldap) TLS делать.
>>>В логе пишет что не может начать TLS. В логе лдапа пишется всего 2
>>>строки -1 что типа коннект тет-то туда-то (всё похоже на правду)
>>>и 2 строкой connect closed. Никак не пойму чего им не хватает.
>>
>># slapd -u ldap -r /var/lib/ldap -d -1 2>&1 | tee -a ~/LogToDavinchi;
>># ....
>># bzip2 ~/LogToDavinchi
>>и мне его пошлите :)
> 
> 
> Отсылаю, для себя там ничего не откопал, что бы вразумило несколько.
> 

если можно для чистоты эксперимента только сессию с squid (без smb)

plz..

-- 

Болдин Павел aka davinchi

     ldavinchi@inbox.ru or davinchi@zu.org.ru

     ZU - Zagovor Unixoidov. SSAU 303.

Re[2]: [Comm] LDAP. секурити

[Anton Gorlov]

Здравствуйте, Boldin.

Вы писали 19 апреля 2005 г., 22:20:39:


>>>>>я вот тут gssapi + ldap + sasl настроил :)
>>>>>на wiki как-нибудь расскажу
>> sasl в смысле cyrus-sasl?

[skip]
>>># slapd -u ldap -r /var/lib/ldap -d -1 2>&1 | tee -a ~/LogToDavinchi;
>>># ....
>>># bzip2 ~/LogToDavinchi
>>>и мне его пошлите :)
>> Отсылаю, для себя там ничего не откопал, что бы вразумило несколько.
> если можно для чистоты эксперимента только сессию с squid (без smb)

Хм. Предлагаешь на некоторое время уронить самбу? лады. Завтра тогда с
работы отправлю это дело.



-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru

[Comm] Re: LDAP. секурити

[Michael Shigorin]

On Tue, Apr 19, 2005 at 06:09:18PM +0500, Boldin Pavel wrote:
> я вот тут gssapi + ldap + sasl настроил :)
> на wiki как-нибудь расскажу

Лучше не "как-нибудь" (читай никогда), а прямщаспокапомнится.
Поскольку через год-два, когда помниться не будет, а понадобится
-- по закону Мерфи посмотреть рабочие конфиги не выйдет.

Проверено...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] LDAP. секурити

[Boldin Pavel]

Alexey Borovskoy пишет:
> * Вторник 19 Апрель 2005 18:39 Anton Gorlov
> 
> 
>>Здравствуйте, Alexey.
>>
>>Вы писали 19 апреля 2005 г., 8:10:55:
>>
> 
> У дяди клиентского сертификата нет? Нет.
> Лдап-сервер дядю пустит? Пустит.
> 
> Ну и будет дядя шарится по лдапу через шифрованное соединение.
> 

главное acl настроить...

-- 

Болдин Павел aka davinchi

     ldavinchi@inbox.ru or davinchi@zu.org.ru

     ZU - Zagovor Unixoidov. SSAU 303.

Re[2]: [Comm] LDAP. секурити

[Anton Gorlov]

Здравствуйте, Boldin.

Вы писали 19 апреля 2005 г., 17:24:09:

>>>Вы писали 19 апреля 2005 г., 8:10:55:
>> У дяди клиентского сертификата нет? Нет.
>> Лдап-сервер дядю пустит? Пустит.
>> Ну и будет дядя шарится по лдапу через шифрованное соединение.
> главное acl настроить...

Согласен. Сейчас у меня на тестовом стенде есть потенциальная дыра
--поле userpassword доступно для аннонимной аутентифкации. Когда буду
это вживлять в реальность для каждого клиента, работающего с лдапом
заведу что-то типа своей учётной записи и они будут ходить к лдапу не
анонимно... Хотя сейчас анонимно доступна только аутентификация и по
мелочи -типа стутс аккаунта,имя....




-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru

Re[2]: [Comm] LDAP. секурити

[Anton Gorlov]

Здравствуйте, Boldin.

Кстати -я уже даже попробовал сгенерить сертефикат и ключ с помощью
tinyca. Тожесамое по томуже месту.

-- 
С уважением,
 Anton                          mailto:Pnz.Stalker@mail.ru

Re: [Comm] LDAP. секурити

[Boldin Pavel]

Alexey Borovskoy пишет:
> * Понедельник 18 Апрель 2005 23:51 Anton Gorlov
> 
> 
>>Здравствуйте, Alexey.
>>
>>Вы писали 18 апреля 2005 г., 13:32:27:
>>
>>Ща посмотрю...
>>
>>А нужен ли вообще клиентский сертификат? Может быть достаточно
>>серверного (который живёт на сервере)? Что скажут гуру?
> 
> 
> Я думаю что нужен. Например, пришел дядя с ноутбуком и давай по 
> лдапу шариться.

ну для этого ему надо знать пароль на ldap и еще кучу вещей :), то есть 
просто скопировать весь нормально настроенный ldap он не сможет, а вот 
посмотреть public-info может запросто :)

поищите ldapv3 howto и там есть весьма не плохой acl для ldap...


> 
> В случае связки CA+server cert+client cert дядя обломится сразу.
> 

и даже в этом случае дядя не обломится, если сможет слушать всю сетку :)
если дядя крут, то у него даже это получится...

есть другой выход - krb5 + sasl.. настроити сами раскажете как настроили...


-- 

Болдин Павел aka davinchi

     ldavinchi@inbox.ru or davinchi@zu.org.ru

     ZU - Zagovor Unixoidov. SSAU 303.