* [Comm] LDAP. секурити
@ 2005-04-18 6:25 Anton Gorlov
2005-04-18 9:32 ` Alexey Borovskoy
0 siblings, 1 reply; 25+ messages in thread
From: Anton Gorlov @ 2005-04-18 6:25 UTC (permalink / raw)
To: community
Здравствуйте, community.
Вот наконец-то дошли руки до секурных проблем лдапа. Вопрос -чем
сгенерить сертефикат (TLSCACertificateFile,TLSCertificateFile,
TLSCertificateKeyFile)?
и что нужно будет ещё cгенерить?
--
С уважением,
Anton mailto:Pnz.Stalker@mail.ru
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Comm] LDAP. секурити
2005-04-18 6:25 [Comm] LDAP. секурити Anton Gorlov
@ 2005-04-18 9:32 ` Alexey Borovskoy
2005-04-18 10:51 ` Re[2]: " Anton Gorlov
0 siblings, 1 reply; 25+ messages in thread
From: Alexey Borovskoy @ 2005-04-18 9:32 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 366 bytes --]
* Понедельник 18 Апрель 2005 19:25 Anton Gorlov
> Здравствуйте, community.
>
> Вот наконец-то дошли руки до секурных проблем лдапа. Вопрос
> -чем сгенерить сертефикат
> (TLSCACertificateFile,TLSCertificateFile,
> TLSCertificateKeyFile)?
Можно с помощью tinyca. Есть в backports.
--
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63 2753 E37A 9E3F 11F3 BDE1
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re[2]: [Comm] LDAP. секурити
2005-04-18 9:32 ` Alexey Borovskoy
@ 2005-04-18 10:51 ` Anton Gorlov
2005-04-19 4:10 ` Alexey Borovskoy
0 siblings, 1 reply; 25+ messages in thread
From: Anton Gorlov @ 2005-04-18 10:51 UTC (permalink / raw)
To: community
Здравствуйте, Alexey.
Вы писали 18 апреля 2005 г., 13:32:27:
>> Вот наконец-то дошли руки до секурных проблем лдапа. Вопрос
>> -чем сгенерить сертефикат
>> (TLSCACertificateFile,TLSCertificateFile,
>> TLSCertificateKeyFile)?
> Можно с помощью tinyca. Есть в backports.
Ща посмотрю...
А нужен ли вообще клиентский сертификат? Может быть достаточно
серверного (который живёт на сервере)? Что скажут гуру?
--
С уважением,
Anton mailto:Pnz.Stalker@mail.ru
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Comm] LDAP. секурити
2005-04-18 10:51 ` Re[2]: " Anton Gorlov
@ 2005-04-19 4:10 ` Alexey Borovskoy
2005-04-19 5:39 ` Re[2]: " Anton Gorlov
2005-04-19 7:09 ` Boldin Pavel
0 siblings, 2 replies; 25+ messages in thread
From: Alexey Borovskoy @ 2005-04-19 4:10 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 715 bytes --]
* Понедельник 18 Апрель 2005 23:51 Anton Gorlov
> Здравствуйте, Alexey.
>
> Вы писали 18 апреля 2005 г., 13:32:27:
> >> Вот наконец-то дошли руки до секурных проблем лдапа. Вопрос
> >> -чем сгенерить сертефикат
> >> (TLSCACertificateFile,TLSCertificateFile,
> >> TLSCertificateKeyFile)?
> >
> > Можно с помощью tinyca. Есть в backports.
>
> Ща посмотрю...
>
> А нужен ли вообще клиентский сертификат? Может быть достаточно
> серверного (который живёт на сервере)? Что скажут гуру?
Я думаю что нужен. Например, пришел дядя с ноутбуком и давай по
лдапу шариться.
В случае связки CA+server cert+client cert дядя обломится сразу.
--
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63 2753 E37A 9E3F 11F3 BDE1
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re[2]: [Comm] LDAP. секурити
2005-04-19 4:10 ` Alexey Borovskoy
@ 2005-04-19 5:39 ` Anton Gorlov
2005-04-19 6:42 ` Boldin Pavel
2005-04-19 6:58 ` Alexey Borovskoy
2005-04-19 7:09 ` Boldin Pavel
1 sibling, 2 replies; 25+ messages in thread
From: Anton Gorlov @ 2005-04-19 5:39 UTC (permalink / raw)
To: community
Здравствуйте, Alexey.
Вы писали 19 апреля 2005 г., 8:10:55:
>> >> Вот наконец-то дошли руки до секурных проблем лдапа. Вопрос
>> >> -чем сгенерить сертефикат
>> >> (TLSCACertificateFile,TLSCertificateFile,
>> >> TLSCertificateKeyFile)?
>> > Можно с помощью tinyca. Есть в backports.
>> Ща посмотрю...
>> А нужен ли вообще клиентский сертификат? Может быть достаточно
>> серверного (который живёт на сервере)? Что скажут гуру?
> Я думаю что нужен. Например, пришел дядя с ноутбуком и давай по
> лдапу шариться.
А простого шифрования на этот случай не хватит?
Ведь например при работе с тем же gmail.com мне (как клиентк)
предьявляется серверный сертефикат и вперёд и с песней (в смысле с
шифрованием)
> В случае связки CA+server cert+client cert дядя обломится сразу.
а CA как получить?
--
С уважением,
Anton mailto:Pnz.Stalker@mail.ru
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Comm] LDAP. секурити
2005-04-19 5:39 ` Re[2]: " Anton Gorlov
@ 2005-04-19 6:42 ` Boldin Pavel
2005-04-19 6:50 ` Re[2]: " Anton Gorlov
` (2 more replies)
2005-04-19 6:58 ` Alexey Borovskoy
1 sibling, 3 replies; 25+ messages in thread
From: Boldin Pavel @ 2005-04-19 6:42 UTC (permalink / raw)
To: community
Anton Gorlov пишет:
> Здравствуйте, Alexey.
>
> Вы писали 19 апреля 2005 г., 8:10:55:
>
>
>>>>>Вот наконец-то дошли руки до секурных проблем лдапа. Вопрос
>>>>>-чем сгенерить сертефикат
>>>>>(TLSCACertificateFile,TLSCertificateFile,
>>>>>TLSCertificateKeyFile)?
>>>>
>>>>Можно с помощью tinyca. Есть в backports.
>>>
>>>Ща посмотрю...
>>>А нужен ли вообще клиентский сертификат? Может быть достаточно
>>>серверного (который живёт на сервере)? Что скажут гуру?
>>
>>Я думаю что нужен. Например, пришел дядя с ноутбуком и давай по
>>лдапу шариться.
>
>
> А простого шифрования на этот случай не хватит?
> Ведь например при работе с тем же gmail.com мне (как клиентк)
> предьявляется серверный сертефикат и вперёд и с песней (в смысле с
> шифрованием)
>
>
>>В случае связки CA+server cert+client cert дядя обломится сразу.
>
> а CA как получить?
# apt-get install tinyca
очень удобно и просто, но только для client cert нужно скорее всего
пароль вырубить (-nodes)
--
Болдин Павел aka davinchi
ldavinchi@inbox.ru or davinchi@zu.org.ru
ZU - Zagovor Unixoidov. SSAU 303.
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re[2]: [Comm] LDAP. секурити
2005-04-19 6:42 ` Boldin Pavel
@ 2005-04-19 6:50 ` Anton Gorlov
2005-04-19 7:17 ` Boldin Pavel
2005-04-19 7:19 ` Anton Gorlov
2 siblings, 0 replies; 25+ messages in thread
From: Anton Gorlov @ 2005-04-19 6:50 UTC (permalink / raw)
To: community
Здравствуйте, Boldin.
Вы писали 19 апреля 2005 г., 10:42:03:
>>>>Ща посмотрю...
>>>>А нужен ли вообще клиентский сертификат? Может быть достаточно
>>>>серверного (который живёт на сервере)? Что скажут гуру?
>>>
>>>Я думаю что нужен. Например, пришел дядя с ноутбуком и давай по
>>>лдапу шариться.
>> А простого шифрования на этот случай не хватит?
>> Ведь например при работе с тем же gmail.com мне (как клиентк)
>> предьявляется серверный сертефикат и вперёд и с песней (в смысле с
>> шифрованием)
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Добавлю - что у меня никакого клиентского сертефиката нет.
>>>В случае связки CA+server cert+client cert дядя обломится сразу.
>> а CA как получить?
> # apt-get install tinyca
> очень удобно и просто, но только для client cert нужно скорее всего
> пароль вырубить (-nodes)
Угу...
А где ответ по поводу подчёркнутого?
--
С уважением,
Anton mailto:Pnz.Stalker@mail.ru
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Comm] LDAP. секурити
2005-04-19 5:39 ` Re[2]: " Anton Gorlov
2005-04-19 6:42 ` Boldin Pavel
@ 2005-04-19 6:58 ` Alexey Borovskoy
2005-04-19 9:14 ` Re[2]: " Anton Gorlov
2005-04-19 13:24 ` [Comm] " Boldin Pavel
1 sibling, 2 replies; 25+ messages in thread
From: Alexey Borovskoy @ 2005-04-19 6:58 UTC (permalink / raw)
To: community
[-- Attachment #1: Type: text/plain, Size: 1321 bytes --]
* Вторник 19 Апрель 2005 18:39 Anton Gorlov
> Здравствуйте, Alexey.
>
> Вы писали 19 апреля 2005 г., 8:10:55:
> >> >> Вот наконец-то дошли руки до секурных проблем лдапа.
> >> >> Вопрос -чем сгенерить сертефикат
> >> >> (TLSCACertificateFile,TLSCertificateFile,
> >> >> TLSCertificateKeyFile)?
> >> >
> >> > Можно с помощью tinyca. Есть в backports.
> >>
> >> Ща посмотрю...
> >> А нужен ли вообще клиентский сертификат? Может быть
> >> достаточно серверного (который живёт на сервере)? Что
> >> скажут гуру?
> >
> > Я думаю что нужен. Например, пришел дядя с ноутбуком и давай
> > по лдапу шариться.
>
> А простого шифрования на этот случай не хватит?
У дяди клиентского сертификата нет? Нет.
Лдап-сервер дядю пустит? Пустит.
Ну и будет дядя шарится по лдапу через шифрованное соединение.
> Ведь например при работе с тем же gmail.com мне (как клиентк)
> предьявляется серверный сертефикат и вперёд и с песней (в
> смысле с шифрованием)
Но ведь сервер в этом случае не сможет определить имеет ли право
клиент к нему подключится.
>
> > В случае связки CA+server cert+client cert дядя обломится
> > сразу.
>
> а CA как получить?
Устанавливаете tinyca. Запускаете. Если CA нет, то будет
предложено его создать или импортировать.
--
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63 2753 E37A 9E3F 11F3 BDE1
[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Comm] LDAP. секурити
2005-04-19 4:10 ` Alexey Borovskoy
2005-04-19 5:39 ` Re[2]: " Anton Gorlov
@ 2005-04-19 7:09 ` Boldin Pavel
1 sibling, 0 replies; 25+ messages in thread
From: Boldin Pavel @ 2005-04-19 7:09 UTC (permalink / raw)
To: community
Alexey Borovskoy пишет:
> * Понедельник 18 Апрель 2005 23:51 Anton Gorlov
>
>
>>Здравствуйте, Alexey.
>>
>>Вы писали 18 апреля 2005 г., 13:32:27:
>>
>>Ща посмотрю...
>>
>>А нужен ли вообще клиентский сертификат? Может быть достаточно
>>серверного (который живёт на сервере)? Что скажут гуру?
>
>
> Я думаю что нужен. Например, пришел дядя с ноутбуком и давай по
> лдапу шариться.
ну для этого ему надо знать пароль на ldap и еще кучу вещей :), то есть
просто скопировать весь нормально настроенный ldap он не сможет, а вот
посмотреть public-info может запросто :)
поищите ldapv3 howto и там есть весьма не плохой acl для ldap...
>
> В случае связки CA+server cert+client cert дядя обломится сразу.
>
и даже в этом случае дядя не обломится, если сможет слушать всю сетку :)
если дядя крут, то у него даже это получится...
есть другой выход - krb5 + sasl.. настроити сами раскажете как настроили...
--
Болдин Павел aka davinchi
ldavinchi@inbox.ru or davinchi@zu.org.ru
ZU - Zagovor Unixoidov. SSAU 303.
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Comm] LDAP. секурити
2005-04-19 6:42 ` Boldin Pavel
2005-04-19 6:50 ` Re[2]: " Anton Gorlov
@ 2005-04-19 7:17 ` Boldin Pavel
2005-04-19 8:19 ` Re[2]: " Anton Gorlov
2005-04-19 7:19 ` Anton Gorlov
2 siblings, 1 reply; 25+ messages in thread
From: Boldin Pavel @ 2005-04-19 7:17 UTC (permalink / raw)
To: community
Boldin Pavel пишет:
> Anton Gorlov пишет:
>
>> Здравствуйте, Alexey.
>>
>> Вы писали 19 апреля 2005 г., 8:10:55:
>>
>>
>>>>>> Вот наконец-то дошли руки до секурных проблем лдапа. Вопрос
>>>>>> -чем сгенерить сертефикат
>>>>>> (TLSCACertificateFile,TLSCertificateFile,
>>>>>> TLSCertificateKeyFile)?
>>>>>
>>>>>
>>>>> Можно с помощью tinyca. Есть в backports.
>>>>
>>>>
>>>> Ща посмотрю...
>>>> А нужен ли вообще клиентский сертификат? Может быть достаточно
>>>> серверного (который живёт на сервере)? Что скажут гуру?
>>>
>>>
>>> Я думаю что нужен. Например, пришел дядя с ноутбуком и давай по
>>> лдапу шариться.
>>
>>
>>
>> А простого шифрования на этот случай не хватит?
>> Ведь например при работе с тем же gmail.com мне (как клиентк)
>> предьявляется серверный сертефикат и вперёд и с песней (в смысле с
>> шифрованием)
>>
все мы здесь параноики :)
клиентский нужен чтобы _сервер_ проверял _клиентов_ которые к нему
подключаются...
для этого надо выставить на сервере
TLSVerifyClient demand
создать сертификат для клиента и прописать его в /etc/openldap/ldap.conf
TLS_CERT /etc/openldap/ssl/vs01_cert.pem
TLS_KEY /etc/openldap/ssl/vs01_key.pem
а сервер должен знать CA который выдал клиенту сертификат (то есть иметь
в списках CA cert)
для каждой отдельной программы настраивается по-разному
>>
>>> В случае связки CA+server cert+client cert дядя обломится сразу.
>>
>>
>> а CA как получить?
>
>
--
Болдин Павел aka davinchi
ldavinchi@inbox.ru or davinchi@zu.org.ru
ZU - Zagovor Unixoidov. SSAU 303.
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re[2]: [Comm] LDAP. секурити
2005-04-19 6:42 ` Boldin Pavel
2005-04-19 6:50 ` Re[2]: " Anton Gorlov
2005-04-19 7:17 ` Boldin Pavel
@ 2005-04-19 7:19 ` Anton Gorlov
2005-04-19 7:38 ` Boldin Pavel
2 siblings, 1 reply; 25+ messages in thread
From: Anton Gorlov @ 2005-04-19 7:19 UTC (permalink / raw)
To: community
Здравствуйте, Boldin.
Вы писали 19 апреля 2005 г., 10:42:03:
> # apt-get install tinyca
> очень удобно и просто, но только для client cert нужно скорее всего
> пароль вырубить (-nodes)
ха-ха.. Ему судя по всему нужны иксы, а я сижу по ssh.
--
С уважением,
Anton mailto:Pnz.Stalker@mail.ru
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Comm] LDAP. секурити
2005-04-19 7:19 ` Anton Gorlov
@ 2005-04-19 7:38 ` Boldin Pavel
2005-04-19 8:21 ` Re[2]: " Anton Gorlov
0 siblings, 1 reply; 25+ messages in thread
From: Boldin Pavel @ 2005-04-19 7:38 UTC (permalink / raw)
To: community
Anton Gorlov пишет:
> Здравствуйте, Boldin.
>
> Вы писали 19 апреля 2005 г., 10:42:03:
>
>
>
>># apt-get install tinyca
>>очень удобно и просто, но только для client cert нужно скорее всего
>>пароль вырубить (-nodes)
>
>
> ха-ха.. Ему судя по всему нужны иксы, а я сижу по ssh.
>
>
можно на другой машине создавать сертификаты :)
у вас ведь desktop с gnu/linux есть? ну вот там и создавайте!
--
Болдин Павел aka davinchi
ldavinchi@inbox.ru or davinchi@zu.org.ru
ZU - Zagovor Unixoidov. SSAU 303.
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re[2]: [Comm] LDAP. секурити
2005-04-19 7:17 ` Boldin Pavel
@ 2005-04-19 8:19 ` Anton Gorlov
0 siblings, 0 replies; 25+ messages in thread
From: Anton Gorlov @ 2005-04-19 8:19 UTC (permalink / raw)
To: community
Здравствуйте, Boldin.
Вы писали 19 апреля 2005 г., 11:17:52:
>>>>>>> Вот наконец-то дошли руки до секурных проблем лдапа. Вопрос
>>>>>>> -чем сгенерить сертефикат
>>>>>>> (TLSCACertificateFile,TLSCertificateFile,
>>>>>>> TLSCertificateKeyFile)?
>>>>>> Можно с помощью tinyca. Есть в backports.
>>>>> Ща посмотрю...
>>>>> А нужен ли вообще клиентский сертификат? Может быть достаточно
>>>>> серверного (который живёт на сервере)? Что скажут гуру?
>>>> Я думаю что нужен. Например, пришел дядя с ноутбуком и давай по
>>>> лдапу шариться.
>>> А простого шифрования на этот случай не хватит?
>>> Ведь например при работе с тем же gmail.com мне (как клиентк)
>>> предьявляется серверный сертефикат и вперёд и с песней (в смысле с
>>> шифрованием)
>>>
> все мы здесь параноики :)
Угу. Мне это же неоднократно говрили...
> клиентский нужен чтобы _сервер_ проверял _клиентов_ которые к нему
> подключаются...
Но ведь шифрование будет и без клиентского ключа?
Я так думаю этого для начала будет достаточно, бо время пожимает..
> для этого надо выставить на сервере
> TLSVerifyClient demand
> создать сертификат для клиента и прописать его в /etc/openldap/ldap.conf
> TLS_CERT /etc/openldap/ssl/vs01_cert.pem
> TLS_KEY /etc/openldap/ssl/vs01_key.pem
Угу.
> а сервер должен знать CA который выдал клиенту сертификат (то есть иметь
> в списках CA cert)
> для каждой отдельной программы настраивается по-разному
Ну у меня сервер один -лдап.. Остальные клиенты, которые как оказалось
будут несколько разбросаны по сети, относительно лдапа. Вот и нужно
сделать хотя бы шифрование.
>>>> В случае связки CA+server cert+client cert дядя обломится сразу.
>>> а CA как получить?
--
С уважением,
Anton mailto:Pnz.Stalker@mail.ru
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re[2]: [Comm] LDAP. секурити
2005-04-19 7:38 ` Boldin Pavel
@ 2005-04-19 8:21 ` Anton Gorlov
0 siblings, 0 replies; 25+ messages in thread
From: Anton Gorlov @ 2005-04-19 8:21 UTC (permalink / raw)
To: community
Здравствуйте, Boldin.
Вы писали 19 апреля 2005 г., 11:38:07:
>>># apt-get install tinyca
>>>очень удобно и просто, но только для client cert нужно скорее всего
>>>пароль вырубить (-nodes)
>> ха-ха.. Ему судя по всему нужны иксы, а я сижу по ssh.
> можно на другой машине создавать сертификаты :)
То есть они создаются без привязки к конкретному хосту. Создавались?
> у вас ведь desktop с gnu/linux есть? ну вот там и создавайте!
Единственный, под которым можно хоть как-то работать в иксах -это под
вмварью. А так --60 гц и 1280 на сколько-то.там... Настроить что-то
порядочное на i845g не получилось.
--
С уважением,
Anton mailto:Pnz.Stalker@mail.ru
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re[2]: [Comm] LDAP. секурити
2005-04-19 6:58 ` Alexey Borovskoy
@ 2005-04-19 9:14 ` Anton Gorlov
2005-04-19 13:09 ` Boldin Pavel
2005-04-19 13:24 ` [Comm] " Boldin Pavel
1 sibling, 1 reply; 25+ messages in thread
From: Anton Gorlov @ 2005-04-19 9:14 UTC (permalink / raw)
To: community
Здравствуйте, Alexey.
Вы писали 19 апреля 2005 г., 10:58:07:
>> >> Ща посмотрю...
>> >> А нужен ли вообще клиентский сертификат? Может быть
>> >> достаточно серверного (который живёт на сервере)? Что
>> >> скажут гуру?
>> > Я думаю что нужен. Например, пришел дядя с ноутбуком и давай
>> > по лдапу шариться.
>> А простого шифрования на этот случай не хватит?
> У дяди клиентского сертификата нет? Нет.
> Лдап-сервер дядю пустит? Пустит.
Но так как у него нет пароля --то он сможет увидить только то что
публично (грязно выругался) в лдапе.. Но траффик засниферить он уже не
сможет,так как шифрование.. Мне нужно сделать защиту от сниферов, а
остальное потом. Вот.
> Ну и будет дядя шарится по лдапу через шифрованное соединение.
Но он не сможет засниферить то что гуляет по сети.
>> Ведь например при работе с тем же gmail.com мне (как клиентк)
>> предьявляется серверный сертефикат и вперёд и с песней (в
>> смысле с шифрованием)
> Но ведь сервер в этом случае не сможет определить имеет ли право
> клиент к нему подключится.
Так мне не это пока надо, мне надо от сниферства прикрыться.
>>
>> > В случае связки CA+server cert+client cert дядя обломится
>> > сразу.
>>
>> а CA как получить?
> Устанавливаете tinyca. Запускаете. Если CA нет, то будет
> предложено его создать или импортировать.
--
С уважением,
Anton mailto:Pnz.Stalker@mail.ru
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Comm] LDAP. секурити
2005-04-19 9:14 ` Re[2]: " Anton Gorlov
@ 2005-04-19 13:09 ` Boldin Pavel
2005-04-19 13:10 ` Re[2]: " Anton Gorlov
2005-04-19 14:33 ` [Comm] " Michael Shigorin
0 siblings, 2 replies; 25+ messages in thread
From: Boldin Pavel @ 2005-04-19 13:09 UTC (permalink / raw)
To: community
Anton Gorlov пишет:
> Здравствуйте, Alexey.
>
> Вы писали 19 апреля 2005 г., 10:58:07:
>
>
>
>
>>>Ведь например при работе с тем же gmail.com мне (как клиентк)
>>>предьявляется серверный сертефикат и вперёд и с песней (в
>>>смысле с шифрованием)
>>
>>Но ведь сервер в этом случае не сможет определить имеет ли право
>>клиент к нему подключится.
>
>
> Так мне не это пока надо, мне надо от сниферства прикрыться.
тогда просто шифруйте и все :)..... пока хватит:)
я вот тут gssapi + ldap + sasl настроил :)
на wiki как-нибудь расскажу
--
Болдин Павел aka davinchi
ldavinchi@inbox.ru or davinchi@zu.org.ru
ZU - Zagovor Unixoidov. SSAU 303.
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re[2]: [Comm] LDAP. секурити
2005-04-19 13:09 ` Boldin Pavel
@ 2005-04-19 13:10 ` Anton Gorlov
2005-04-19 13:19 ` Boldin Pavel
2005-04-19 14:33 ` [Comm] " Michael Shigorin
1 sibling, 1 reply; 25+ messages in thread
From: Anton Gorlov @ 2005-04-19 13:10 UTC (permalink / raw)
To: community
Здравствуйте, Boldin.
Вы писали 19 апреля 2005 г., 17:09:18:
>>>>Ведь например при работе с тем же gmail.com мне (как клиентк)
>>>>предьявляется серверный сертефикат и вперёд и с песней (в
>>>>смысле с шифрованием)
>>>Но ведь сервер в этом случае не сможет определить имеет ли право
>>>клиент к нему подключится.
>> Так мне не это пока надо, мне надо от сниферства прикрыться.
> тогда просто шифруйте и все :).....
Так мы и шифруемся... нет здесь никого.
> пока хватит:)
угу. А посторонний -он отвалится ещё на роутере. но следующим этапом
сделаю и это.
> я вот тут gssapi + ldap + sasl настроил :)
> на wiki как-нибудь расскажу
Эх... А у меня никак не получается сквид (squid_auth_ldap) TLS делать.
В логе пишет что не может начать TLS. В логе лдапа пишется всего 2
строки -1 что типа коннект тет-то туда-то (всё похоже на правду)
и 2 строкой connect closed. Никак не пойму чего им не хватает.
--
С уважением,
Anton mailto:Pnz.Stalker@mail.ru
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Comm] LDAP. секурити
2005-04-19 13:10 ` Re[2]: " Anton Gorlov
@ 2005-04-19 13:19 ` Boldin Pavel
2005-04-19 13:27 ` Re[2]: " Anton Gorlov
0 siblings, 1 reply; 25+ messages in thread
From: Boldin Pavel @ 2005-04-19 13:19 UTC (permalink / raw)
To: community
Anton Gorlov пишет:
> Здравствуйте, Boldin.
>
> Вы писали 19 апреля 2005 г., 17:09:18:
>
>
>>>>>Ведь например при работе с тем же gmail.com мне (как клиентк)
>>>>>предьявляется серверный сертефикат и вперёд и с песней (в
>>>>>смысле с шифрованием)
>>>>
>>>>Но ведь сервер в этом случае не сможет определить имеет ли право
>>>>клиент к нему подключится.
>>>
>>>Так мне не это пока надо, мне надо от сниферства прикрыться.
>>
>>тогда просто шифруйте и все :).....
>
> Так мы и шифруемся... нет здесь никого.
>
>
>> пока хватит:)
>
> угу. А посторонний -он отвалится ещё на роутере. но следующим этапом
> сделаю и это.
>
>
>>я вот тут gssapi + ldap + sasl настроил :)
>>на wiki как-нибудь расскажу
>
>
> Эх... А у меня никак не получается сквид (squid_auth_ldap) TLS делать.
> В логе пишет что не может начать TLS. В логе лдапа пишется всего 2
> строки -1 что типа коннект тет-то туда-то (всё похоже на правду)
> и 2 строкой connect closed. Никак не пойму чего им не хватает.
>
>
# slapd -u ldap -r /var/lib/ldap -d -1 2>&1 | tee -a ~/LogToDavinchi;
# ....
# bzip2 ~/LogToDavinchi
и мне его пошлите :)
--
Болдин Павел aka davinchi
ldavinchi@inbox.ru or davinchi@zu.org.ru
ZU - Zagovor Unixoidov. SSAU 303.
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Comm] LDAP. секурити
2005-04-19 6:58 ` Alexey Borovskoy
2005-04-19 9:14 ` Re[2]: " Anton Gorlov
@ 2005-04-19 13:24 ` Boldin Pavel
2005-04-19 13:31 ` Re[2]: " Anton Gorlov
2005-04-19 13:58 ` Anton Gorlov
1 sibling, 2 replies; 25+ messages in thread
From: Boldin Pavel @ 2005-04-19 13:24 UTC (permalink / raw)
To: community
Alexey Borovskoy пишет:
> * Вторник 19 Апрель 2005 18:39 Anton Gorlov
>
>
>>Здравствуйте, Alexey.
>>
>>Вы писали 19 апреля 2005 г., 8:10:55:
>>
>
> У дяди клиентского сертификата нет? Нет.
> Лдап-сервер дядю пустит? Пустит.
>
> Ну и будет дядя шарится по лдапу через шифрованное соединение.
>
главное acl настроить...
--
Болдин Павел aka davinchi
ldavinchi@inbox.ru or davinchi@zu.org.ru
ZU - Zagovor Unixoidov. SSAU 303.
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re[2]: [Comm] LDAP. секурити
2005-04-19 13:19 ` Boldin Pavel
@ 2005-04-19 13:27 ` Anton Gorlov
2005-04-19 18:20 ` Boldin Pavel
0 siblings, 1 reply; 25+ messages in thread
From: Anton Gorlov @ 2005-04-19 13:27 UTC (permalink / raw)
To: community
Здравствуйте, Boldin.
Вы писали 19 апреля 2005 г., 17:19:31:
>>>я вот тут gssapi + ldap + sasl настроил :)
>>>на wiki как-нибудь расскажу
sasl в смысле cyrus-sasl?
>> Эх... А у меня никак не получается сквид (squid_auth_ldap) TLS делать.
>> В логе пишет что не может начать TLS. В логе лдапа пишется всего 2
>> строки -1 что типа коннект тет-то туда-то (всё похоже на правду)
>> и 2 строкой connect closed. Никак не пойму чего им не хватает.
> # slapd -u ldap -r /var/lib/ldap -d -1 2>&1 | tee -a ~/LogToDavinchi;
> # ....
> # bzip2 ~/LogToDavinchi
> и мне его пошлите :)
Отсылаю, для себя там ничего не откопал, что бы вразумило несколько.
--
С уважением,
Anton mailto:Pnz.Stalker@mail.ru
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re[2]: [Comm] LDAP. секурити
2005-04-19 13:24 ` [Comm] " Boldin Pavel
@ 2005-04-19 13:31 ` Anton Gorlov
2005-04-19 13:58 ` Anton Gorlov
1 sibling, 0 replies; 25+ messages in thread
From: Anton Gorlov @ 2005-04-19 13:31 UTC (permalink / raw)
To: community
Здравствуйте, Boldin.
Вы писали 19 апреля 2005 г., 17:24:09:
>>>Вы писали 19 апреля 2005 г., 8:10:55:
>> У дяди клиентского сертификата нет? Нет.
>> Лдап-сервер дядю пустит? Пустит.
>> Ну и будет дядя шарится по лдапу через шифрованное соединение.
> главное acl настроить...
Согласен. Сейчас у меня на тестовом стенде есть потенциальная дыра
--поле userpassword доступно для аннонимной аутентифкации. Когда буду
это вживлять в реальность для каждого клиента, работающего с лдапом
заведу что-то типа своей учётной записи и они будут ходить к лдапу не
анонимно... Хотя сейчас анонимно доступна только аутентификация и по
мелочи -типа стутс аккаунта,имя....
--
С уважением,
Anton mailto:Pnz.Stalker@mail.ru
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re[2]: [Comm] LDAP. секурити
2005-04-19 13:24 ` [Comm] " Boldin Pavel
2005-04-19 13:31 ` Re[2]: " Anton Gorlov
@ 2005-04-19 13:58 ` Anton Gorlov
1 sibling, 0 replies; 25+ messages in thread
From: Anton Gorlov @ 2005-04-19 13:58 UTC (permalink / raw)
To: community
Здравствуйте, Boldin.
Кстати -я уже даже попробовал сгенерить сертефикат и ключ с помощью
tinyca. Тожесамое по томуже месту.
--
С уважением,
Anton mailto:Pnz.Stalker@mail.ru
^ permalink raw reply [flat|nested] 25+ messages in thread
* [Comm] Re: LDAP. секурити
2005-04-19 13:09 ` Boldin Pavel
2005-04-19 13:10 ` Re[2]: " Anton Gorlov
@ 2005-04-19 14:33 ` Michael Shigorin
1 sibling, 0 replies; 25+ messages in thread
From: Michael Shigorin @ 2005-04-19 14:33 UTC (permalink / raw)
To: community
On Tue, Apr 19, 2005 at 06:09:18PM +0500, Boldin Pavel wrote:
> я вот тут gssapi + ldap + sasl настроил :)
> на wiki как-нибудь расскажу
Лучше не "как-нибудь" (читай никогда), а прямщаспокапомнится.
Поскольку через год-два, когда помниться не будет, а понадобится
-- по закону Мерфи посмотреть рабочие конфиги не выйдет.
Проверено...
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re: [Comm] LDAP. секурити
2005-04-19 13:27 ` Re[2]: " Anton Gorlov
@ 2005-04-19 18:20 ` Boldin Pavel
2005-04-19 19:00 ` Re[2]: " Anton Gorlov
0 siblings, 1 reply; 25+ messages in thread
From: Boldin Pavel @ 2005-04-19 18:20 UTC (permalink / raw)
To: community
Anton Gorlov пишет:
> Здравствуйте, Boldin.
>
> Вы писали 19 апреля 2005 г., 17:19:31:
>
>
>
>>>>я вот тут gssapi + ldap + sasl настроил :)
>>>>на wiki как-нибудь расскажу
>
>
> sasl в смысле cyrus-sasl?
>
>
>>>Эх... А у меня никак не получается сквид (squid_auth_ldap) TLS делать.
>>>В логе пишет что не может начать TLS. В логе лдапа пишется всего 2
>>>строки -1 что типа коннект тет-то туда-то (всё похоже на правду)
>>>и 2 строкой connect closed. Никак не пойму чего им не хватает.
>>
>># slapd -u ldap -r /var/lib/ldap -d -1 2>&1 | tee -a ~/LogToDavinchi;
>># ....
>># bzip2 ~/LogToDavinchi
>>и мне его пошлите :)
>
>
> Отсылаю, для себя там ничего не откопал, что бы вразумило несколько.
>
если можно для чистоты эксперимента только сессию с squid (без smb)
plz..
--
Болдин Павел aka davinchi
ldavinchi@inbox.ru or davinchi@zu.org.ru
ZU - Zagovor Unixoidov. SSAU 303.
^ permalink raw reply [flat|nested] 25+ messages in thread
* Re[2]: [Comm] LDAP. секурити
2005-04-19 18:20 ` Boldin Pavel
@ 2005-04-19 19:00 ` Anton Gorlov
0 siblings, 0 replies; 25+ messages in thread
From: Anton Gorlov @ 2005-04-19 19:00 UTC (permalink / raw)
To: community
Здравствуйте, Boldin.
Вы писали 19 апреля 2005 г., 22:20:39:
>>>>>я вот тут gssapi + ldap + sasl настроил :)
>>>>>на wiki как-нибудь расскажу
>> sasl в смысле cyrus-sasl?
[skip]
>>># slapd -u ldap -r /var/lib/ldap -d -1 2>&1 | tee -a ~/LogToDavinchi;
>>># ....
>>># bzip2 ~/LogToDavinchi
>>>и мне его пошлите :)
>> Отсылаю, для себя там ничего не откопал, что бы вразумило несколько.
> если можно для чистоты эксперимента только сессию с squid (без smb)
Хм. Предлагаешь на некоторое время уронить самбу? лады. Завтра тогда с
работы отправлю это дело.
--
С уважением,
Anton mailto:Pnz.Stalker@mail.ru
^ permalink raw reply [flat|nested] 25+ messages in thread
end of thread, other threads:[~2005-04-19 19:00 UTC | newest]
Thread overview: 25+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-04-18 6:25 [Comm] LDAP. секурити Anton Gorlov
2005-04-18 9:32 ` Alexey Borovskoy
2005-04-18 10:51 ` Re[2]: " Anton Gorlov
2005-04-19 4:10 ` Alexey Borovskoy
2005-04-19 5:39 ` Re[2]: " Anton Gorlov
2005-04-19 6:42 ` Boldin Pavel
2005-04-19 6:50 ` Re[2]: " Anton Gorlov
2005-04-19 7:17 ` Boldin Pavel
2005-04-19 8:19 ` Re[2]: " Anton Gorlov
2005-04-19 7:19 ` Anton Gorlov
2005-04-19 7:38 ` Boldin Pavel
2005-04-19 8:21 ` Re[2]: " Anton Gorlov
2005-04-19 6:58 ` Alexey Borovskoy
2005-04-19 9:14 ` Re[2]: " Anton Gorlov
2005-04-19 13:09 ` Boldin Pavel
2005-04-19 13:10 ` Re[2]: " Anton Gorlov
2005-04-19 13:19 ` Boldin Pavel
2005-04-19 13:27 ` Re[2]: " Anton Gorlov
2005-04-19 18:20 ` Boldin Pavel
2005-04-19 19:00 ` Re[2]: " Anton Gorlov
2005-04-19 14:33 ` [Comm] " Michael Shigorin
2005-04-19 13:24 ` [Comm] " Boldin Pavel
2005-04-19 13:31 ` Re[2]: " Anton Gorlov
2005-04-19 13:58 ` Anton Gorlov
2005-04-19 7:09 ` Boldin Pavel
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git