* [sisyphus] SSH +ldap
@ 2005-04-16 11:48 Anton Gorlov aka stalker
2005-04-16 12:15 ` Boldin Pavel
` (2 more replies)
0 siblings, 3 replies; 37+ messages in thread
From: Anton Gorlov aka stalker @ 2005-04-16 11:48 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
Здравствуйте, ALT.
Хм.. а у кого-нибудь из этой рассылки работает sshd(+pam) с
аутентификацией пользователей из файлов и лдапа?
--
С уважением,
Anton mailto:pnz37@mail.ru
^ permalink raw reply [flat|nested] 37+ messages in thread* Re: [sisyphus] SSH +ldap 2005-04-16 11:48 [sisyphus] SSH +ldap Anton Gorlov aka stalker @ 2005-04-16 12:15 ` Boldin Pavel 2005-04-16 12:16 ` Re[2]: " Anton Gorlov aka stalker 2005-04-16 13:00 ` Boldin Pavel 2005-04-17 15:13 ` [sisyphus] " Michael Shigorin 2 siblings, 1 reply; 37+ messages in thread From: Boldin Pavel @ 2005-04-16 12:15 UTC (permalink / raw) To: Anton Gorlov aka stalker, ALT Linux Sisyphus discussion list Anton Gorlov aka stalker пишет: > Здравствуйте, ALT. > > Хм.. а у кого-нибудь из этой рассылки работает sshd(+pam) с > аутентификацией пользователей из файлов и лдапа? > да... у меня, делается так, после pam_userpass вписывается сткрока с ldap auth sufficient /lib/security/pam_ldap.so use_first_pass вот так кажется. про ssh + pam_mkhomedir писалось раньше -- Болдин Павел aka davinchi ldavinchi@inbox.ru or davinchi@zu.org.ru ZU - Zagovor Unixoidov. SSAU 303. ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re[2]: [sisyphus] SSH +ldap 2005-04-16 12:15 ` Boldin Pavel @ 2005-04-16 12:16 ` Anton Gorlov aka stalker 2005-04-16 12:28 ` Boldin Pavel 2005-04-16 12:30 ` Boldin Pavel 0 siblings, 2 replies; 37+ messages in thread From: Anton Gorlov aka stalker @ 2005-04-16 12:16 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Здравствуйте, Boldin. Вы писали 16 апреля 2005 г., 16:15:46: >> Хм.. а у кого-нибудь из этой рассылки работает sshd(+pam) с >> аутентификацией пользователей из файлов и лдапа? > да... у меня, > делается так, после pam_userpass вписывается сткрока с ldap > auth sufficient /lib/security/pam_ldap.so use_first_pass > вот так кажется. Хм.. У меня вот при таком конфиге (см чуть ниже) пускает всех по любому паролю. То есть даже по не правильному. #%PAM-1.0 auth sufficient pam_ldap.so auth required pam_userpass.so auth sufficient pam_tcb.so shadow fork prefix=$2a$ count=8 nullok nodelay blank_nolog use_first_pass auth required pam_nologin.so account sufficient pam_ldap.so account include system-auth password sufficient pam_ldap.so password include system-auth session sufficient pam_ldap.so session include system-auth Сейчас попробую их местами поменять.. но что-то подсказывает что не в этом дело... > про ssh + pam_mkhomedir писалось раньше Да это я знаю.. у меня более другая проблема, на которой сильно забуксовал. -- С уважением, Anton mailto:pnz37@mail.ru ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re: [sisyphus] SSH +ldap 2005-04-16 12:16 ` Re[2]: " Anton Gorlov aka stalker @ 2005-04-16 12:28 ` Boldin Pavel 2005-04-16 12:45 ` Re[2]: " Anton Gorlov aka stalker 2005-04-16 12:30 ` Boldin Pavel 1 sibling, 1 reply; 37+ messages in thread From: Boldin Pavel @ 2005-04-16 12:28 UTC (permalink / raw) To: Anton Gorlov aka stalker, ALT Linux Sisyphus discussion list Anton Gorlov aka stalker пишет: > Здравствуйте, Boldin. > > Вы писали 16 апреля 2005 г., 16:15:46: > > > >>>Хм.. а у кого-нибудь из этой рассылки работает sshd(+pam) с >>>аутентификацией пользователей из файлов и лдапа? >> >>да... у меня, >>делается так, после pam_userpass вписывается сткрока с ldap >>auth sufficient /lib/security/pam_ldap.so use_first_pass >>вот так кажется. > > > > Хм.. У меня вот при таком конфиге (см чуть ниже) пускает всех по > любому паролю. То есть даже по не правильному. > > #%PAM-1.0 > auth sufficient pam_ldap.so > auth required pam_userpass.so > auth sufficient pam_tcb.so shadow fork prefix=$2a$ > count=8 nullok nodelay blank_nolog use_first_pass > auth required pam_nologin.so > account sufficient pam_ldap.so > account include system-auth > password sufficient pam_ldap.so > password include system-auth > session sufficient pam_ldap.so > session include system-auth > > Сейчас попробую их местами поменять.. но что-то подсказывает что не в > этом дело... > дело как раз в этом... ALT использует для auth pam_userpass и не забудьте use_first_pass добавить а еще pam_ldap.so для account,passwd и session можно в system-auth добавить -- Болдин Павел aka davinchi ldavinchi@inbox.ru or davinchi@zu.org.ru ZU - Zagovor Unixoidov. SSAU 303. ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re[2]: [sisyphus] SSH +ldap 2005-04-16 12:28 ` Boldin Pavel @ 2005-04-16 12:45 ` Anton Gorlov aka stalker 2005-04-16 12:57 ` Boldin Pavel 0 siblings, 1 reply; 37+ messages in thread From: Anton Gorlov aka stalker @ 2005-04-16 12:45 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Здравствуйте, Boldin. Вы писали 16 апреля 2005 г., 16:28:29: >>>да... у меня, >>>делается так, после pam_userpass вписывается сткрока с ldap >>>auth sufficient /lib/security/pam_ldap.so use_first_pass >>>вот так кажется. >> Хм.. У меня вот при таком конфиге (см чуть ниже) пускает всех по >> любому паролю. То есть даже по не правильному. >> #%PAM-1.0 >> auth sufficient pam_ldap.so >> auth required pam_userpass.so >> auth sufficient pam_tcb.so shadow fork prefix=$2a$ >> count=8 nullok nodelay blank_nolog use_first_pass >> auth required pam_nologin.so >> account sufficient pam_ldap.so >> account include system-auth >> password sufficient pam_ldap.so >> password include system-auth >> session sufficient pam_ldap.so >> session include system-auth >> Сейчас попробую их местами поменять.. но что-то подсказывает что не в >> этом дело... > дело как раз в этом... ALT использует для auth pam_userpass Э... > и не забудьте use_first_pass добавить не забыл. > а еще pam_ldap.so для account,passwd и session можно в system-auth добавить Это я добавил, причём давно. У меня щас работало всё кроме sshd. Вернул назад оригинальный конфиг +добавил то что вы посоветовали и оно заработало. Спасибо. Прям таки выручили. А насчёт создания домашней папки -там вроде нужно более свежую сборку из сизифа взять, если я не забыл этот тред. -- С уважением, Anton mailto:pnz37@mail.ru ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re: [sisyphus] SSH +ldap 2005-04-16 12:45 ` Re[2]: " Anton Gorlov aka stalker @ 2005-04-16 12:57 ` Boldin Pavel 0 siblings, 0 replies; 37+ messages in thread From: Boldin Pavel @ 2005-04-16 12:57 UTC (permalink / raw) To: Anton Gorlov aka stalker, ALT Linux Sisyphus discussion list Anton Gorlov aka stalker пишет: > Здравствуйте, Boldin. > > Вы писали 16 апреля 2005 г., 16:28:29: > > > >>>>да... у меня, >>>>делается так, после pam_userpass вписывается сткрока с ldap >>>>auth sufficient /lib/security/pam_ldap.so use_first_pass >>>>вот так кажется. >>> >>>Хм.. У меня вот при таком конфиге (см чуть ниже) пускает всех по >>>любому паролю. То есть даже по не правильному. >>>#%PAM-1.0 >>>auth sufficient pam_ldap.so >>>auth required pam_userpass.so >>>auth sufficient pam_tcb.so shadow fork prefix=$2a$ >>> count=8 nullok nodelay blank_nolog use_first_pass >>>auth required pam_nologin.so >>>account sufficient pam_ldap.so >>>account include system-auth >>>password sufficient pam_ldap.so >>>password include system-auth >>>session sufficient pam_ldap.so >>>session include system-auth >>>Сейчас попробую их местами поменять.. но что-то подсказывает что не в >>>этом дело... >> >>дело как раз в этом... ALT использует для auth pam_userpass > > > Э... > > >>и не забудьте use_first_pass добавить > > не забыл. > > >>а еще pam_ldap.so для account,passwd и session можно в system-auth добавить > > Это я добавил, причём давно. У меня щас работало всё кроме sshd. > Вернул назад оригинальный конфиг +добавил то что вы посоветовали и оно > заработало. Спасибо. Прям таки выручили. А насчёт создания домашней > папки -там вроде нужно более свежую сборку из сизифа взять, если я не > забыл этот тред. нет, помоему в sisyphus его не влили, там patch не секьюрный... зато рабочий -- Болдин Павел aka davinchi ldavinchi@inbox.ru or davinchi@zu.org.ru ZU - Zagovor Unixoidov. SSAU 303. ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re: [sisyphus] SSH +ldap 2005-04-16 12:16 ` Re[2]: " Anton Gorlov aka stalker 2005-04-16 12:28 ` Boldin Pavel @ 2005-04-16 12:30 ` Boldin Pavel 2005-04-16 12:47 ` Re[2]: " Anton Gorlov aka stalker 1 sibling, 1 reply; 37+ messages in thread From: Boldin Pavel @ 2005-04-16 12:30 UTC (permalink / raw) To: Anton Gorlov aka stalker, ALT Linux Sisyphus discussion list Anton Gorlov aka stalker пишет: еще надо /etc/nsswitch.conf подправить и /etc/ldap.conf /etc/nsswitch: passwd: files ldap shadow: tcb files ldap еще можно поставить nscd -- Болдин Павел aka davinchi ldavinchi@inbox.ru or davinchi@zu.org.ru ZU - Zagovor Unixoidov. SSAU 303. ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re[2]: [sisyphus] SSH +ldap 2005-04-16 12:30 ` Boldin Pavel @ 2005-04-16 12:47 ` Anton Gorlov aka stalker 0 siblings, 1 reply; 37+ messages in thread From: Anton Gorlov aka stalker @ 2005-04-16 12:47 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Здравствуйте, Boldin. Вы писали 16 апреля 2005 г., 16:30:02: > еще надо /etc/nsswitch.conf подправить и /etc/ldap.conf > /etc/nsswitch: > passwd: files ldap > shadow: tcb files ldap У меня это было давно сделано --пользователи спокойно логинились, входили в домен,сквид теперь тоже работает с лдапом. Единственная проблема была -ssh. > еще можно поставить nscd Хм. если его запустить то всё отваливается, но тут на сколько я помню из сосоедней рассылки нужно скрипт подправить запускающий nscd. -- С уважением, Anton mailto:pnz37@mail.ru ^ permalink raw reply [flat|nested] 37+ messages in thread
[parent not found: <42610BF3.9030800@inbox.ru>]
* Re[2]: [sisyphus] SSH +ldap @ 2005-04-16 13:55 ` Anton Gorlov aka stalker 2005-04-16 14:00 ` Boldin Pavel 0 siblings, 1 reply; 37+ messages in thread From: Anton Gorlov aka stalker @ 2005-04-16 13:55 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Здравствуйте, Boldin. Вы писали 16 апреля 2005 г., 16:58:27: >> У меня это было давно сделано --пользователи спокойно логинились, >> входили в домен,сквид теперь тоже работает с лдапом. Единственная >> проблема была -ssh. > а вот по поводу squid и входа в домен - по подробнее! А что именно по конкретней? ПРосто сквид кушает логин\пароль из того же места что и всё остальное. + ещё несколько полей для проверки на доступ к инету,почте,/etc -- С уважением, Anton mailto:pnz37@mail.ru ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re: [sisyphus] SSH +ldap 2005-04-16 13:55 ` Anton Gorlov aka stalker @ 2005-04-16 14:00 ` Boldin Pavel 2005-04-16 13:57 ` Re[2]: " Anton Gorlov aka stalker 0 siblings, 1 reply; 37+ messages in thread From: Boldin Pavel @ 2005-04-16 14:00 UTC (permalink / raw) To: Anton Gorlov aka stalker, ALT Linux Sisyphus discussion list Anton Gorlov aka stalker пишет: > Здравствуйте, Boldin. > > Вы писали 16 апреля 2005 г., 16:58:27: > > > >>>У меня это было давно сделано --пользователи спокойно логинились, >>>входили в домен,сквид теперь тоже работает с лдапом. Единственная >>>проблема была -ssh. >> >>а вот по поводу squid и входа в домен - по подробнее! > > > А что именно по конкретней? ПРосто сквид кушает логин\пароль из того > же места что и всё остальное. + ещё несколько полей для проверки на > доступ к инету,почте,/etc > смотрите ниже.... у вас ssl/tls настроен? -- Болдин Павел aka davinchi ldavinchi@inbox.ru or davinchi@zu.org.ru ZU - Zagovor Unixoidov. SSAU 303. ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re[2]: [sisyphus] SSH +ldap 2005-04-16 14:00 ` Boldin Pavel @ 2005-04-16 13:57 ` Anton Gorlov aka stalker 0 siblings, 0 replies; 37+ messages in thread From: Anton Gorlov aka stalker @ 2005-04-16 13:57 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Здравствуйте, Boldin. Вы писали 16 апреля 2005 г., 18:00:18: > Anton Gorlov aka stalker пишет: >> Здравствуйте, Boldin. >> >> Вы писали 16 апреля 2005 г., 16:58:27: >> >> >> >>>>У меня это было давно сделано --пользователи спокойно логинились, >>>>входили в домен,сквид теперь тоже работает с лдапом. Единственная >>>>проблема была -ssh. >>> >>>а вот по поводу squid и входа в домен - по подробнее! >> >> >> А что именно по конкретней? ПРосто сквид кушает логин\пароль из того >> же места что и всё остальное. + ещё несколько полей для проверки на >> доступ к инету,почте,/etc > смотрите ниже.... у вас ssl/tls настроен? Пока не занимался этим... Да и смысл это делать если лдап,сквид,самба,почта крутятся на одной машине? -- С уважением, Anton mailto:pnz37@mail.ru ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re: [sisyphus] SSH +ldap 2005-04-16 11:48 [sisyphus] SSH +ldap Anton Gorlov aka stalker 2005-04-16 12:15 ` Boldin Pavel @ 2005-04-16 13:00 ` Boldin Pavel 2005-04-16 13:56 ` Re[2]: " Anton Gorlov aka stalker 2005-04-17 15:13 ` [sisyphus] " Michael Shigorin 2 siblings, 1 reply; 37+ messages in thread From: Boldin Pavel @ 2005-04-16 13:00 UTC (permalink / raw) To: Anton Gorlov aka stalker, ALT Linux Sisyphus discussion list Anton Gorlov aka stalker пишет: > Здравствуйте, ALT. > > Хм.. а у кого-нибудь из этой рассылки работает sshd(+pam) с > аутентификацией пользователей из файлов и лдапа? > ДА!! У ВАС TLS/SSL РАБОТАЮТ??? Если нет - крайне советую шифровать пароль (хэшировать) на стороне клиента! а еще лучше - настроить TLS или SSL (еще лучше SASL, но у меня пока не получалось :() -- Болдин Павел aka davinchi ldavinchi@inbox.ru or davinchi@zu.org.ru ZU - Zagovor Unixoidov. SSAU 303. ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re[2]: [sisyphus] SSH +ldap 2005-04-16 13:00 ` Boldin Pavel @ 2005-04-16 13:56 ` Anton Gorlov aka stalker 0 siblings, 0 replies; 37+ messages in thread From: Anton Gorlov aka stalker @ 2005-04-16 13:56 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Здравствуйте, Boldin. Вы писали 16 апреля 2005 г., 17:00:09: > Anton Gorlov aka stalker пишет: >> Здравствуйте, ALT. >> >> Хм.. а у кого-нибудь из этой рассылки работает sshd(+pam) с >> аутентификацией пользователей из файлов и лдапа? >> > ДА!! У ВАС TLS/SSL РАБОТАЮТ??? > Если нет - крайне советую шифровать пароль (хэшировать) на стороне клиента! В смысле? > а еще лучше - настроить TLS или SSL (еще лучше SASL, но у меня пока не > получалось :() -- С уважением, Anton mailto:pnz37@mail.ru ^ permalink raw reply [flat|nested] 37+ messages in thread
* [sisyphus] Re: SSH +ldap 2005-04-16 11:48 [sisyphus] SSH +ldap Anton Gorlov aka stalker 2005-04-16 12:15 ` Boldin Pavel 2005-04-16 13:00 ` Boldin Pavel @ 2005-04-17 15:13 ` Michael Shigorin 2005-04-17 15:55 ` Arioch 2005-04-17 16:05 ` Gor_lov aka Stalker 2 siblings, 2 replies; 37+ messages in thread From: Michael Shigorin @ 2005-04-17 15:13 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list On Sat, Apr 16, 2005 at 03:48:23PM +0400, Anton Gorlov aka stalker wrote: > Хм.. а у кого-нибудь из этой рассылки работает sshd(+pam) с > аутентификацией пользователей из файлов и лдапа? Да. Но настраивал человек, который есть в openldap@ и отсутствует [до сих пор] здесь. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 37+ messages in thread
* [sisyphus] Re: SSH +ldap 2005-04-17 15:13 ` [sisyphus] " Michael Shigorin @ 2005-04-17 15:55 ` Arioch 2005-04-17 16:05 ` Gor_lov aka Stalker 1 sibling, 0 replies; 37+ messages in thread From: Arioch @ 2005-04-17 15:55 UTC (permalink / raw) To: sisyphus Michael Shigorin пишет: > Да. Но настраивал человек, который есть в openldap@ и > отсутствует [до сих пор] здесь. а попочему? Пусть бы через WWW объяснил :-) ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re: [sisyphus] Re: SSH +ldap 2005-04-17 15:13 ` [sisyphus] " Michael Shigorin 2005-04-17 15:55 ` Arioch @ 2005-04-17 16:05 ` Gor_lov aka Stalker 2005-04-17 17:42 ` Michael Shigorin 2005-04-17 19:04 ` Boldin Pavel 1 sibling, 2 replies; 37+ messages in thread From: Gor_lov aka Stalker @ 2005-04-17 16:05 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Здравствуйте, Michael. Вы писали 17 апреля 2005 г., 19:13:53: >> Хм.. а у кого-нибудь из этой рассылки работает sshd(+pam) с >> аутентификацией пользователей из файлов и лдапа? > Да. Но настраивал человек, который есть в openldap@ и > отсутствует [до сих пор] здесь. Да вроде бы заработала зараза... ;-) Вопрос из будущего (оно возможно настанет на этой следующей неделе). В общем если всё что работает с лдапом весит на той же машине, что и лдап --то секурных проблем особо не видно. Но вот понадобилось ещё нескольким "клиентам" (самба,почта) коннектиться, но которые живут на "соседних" по сети машинках. Просто разрешить коннекты к лдапу с компьютеров из локалки --засниферят. Читая маны на лдап наткнулся на то, что он вроде бы умеет SSL. Самба вроде бы тоже умеет через SSL работать с Ldap. Остаются Сквид (точнее squid_ldap_auth и squid_ldap_group) и почта. Что-то мне подсказывает что они не умеют SSL. Как быть? Пока-что смотрю в сторону Stunnel. Есть ли более простой путь через терни к звёздам? -- С уважением, Gor_lov mailto:pnz37@mail.ru ^ permalink raw reply [flat|nested] 37+ messages in thread
* [sisyphus] Re: SSH +ldap 2005-04-17 16:05 ` Gor_lov aka Stalker @ 2005-04-17 17:42 ` Michael Shigorin 2005-04-17 19:10 ` Gor_lov aka Stalker 2005-04-17 19:04 ` Boldin Pavel 1 sibling, 1 reply; 37+ messages in thread From: Michael Shigorin @ 2005-04-17 17:42 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list On Sun, Apr 17, 2005 at 08:05:46PM +0400, Gor_lov aka Stalker wrote: > Есть ли более простой путь через терни к звёздам? vtun? -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re: [sisyphus] Re: SSH +ldap 2005-04-17 17:42 ` Michael Shigorin @ 2005-04-17 19:10 ` Gor_lov aka Stalker 2005-04-18 6:30 ` Michael Shigorin 0 siblings, 1 reply; 37+ messages in thread From: Gor_lov aka Stalker @ 2005-04-17 19:10 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Здравствуйте, Michael. Вы писали 17 апреля 2005 г., 21:42:24: >> Есть ли более простой путь через терни к звёздам? > vtun? Есть ли бы я знал... Щас вот в раздумьях что лапать -stunel или vtun. Кто из них проще в настройке и по "безопаснее"? -- С уважением, Gor_lov mailto:pnz37@mail.ru ^ permalink raw reply [flat|nested] 37+ messages in thread
* [sisyphus] Re: SSH +ldap 2005-04-17 19:10 ` Gor_lov aka Stalker @ 2005-04-18 6:30 ` Michael Shigorin 2005-04-20 8:20 ` Andrei Bulava 0 siblings, 1 reply; 37+ messages in thread From: Michael Shigorin @ 2005-04-18 6:30 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list On Sun, Apr 17, 2005 at 11:10:37PM +0400, Gor_lov aka Stalker wrote: [stunnel skipped] > >> Есть ли более простой путь через терни к звёздам? > > vtun? > Есть ли бы я знал... Щас вот в раздумьях что лапать -stunel или vtun. > Кто из них проще в настройке и по "безопаснее"? IMHO второе. Потому-то первое и было скипнуто. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re: [sisyphus] Re: SSH +ldap 2005-04-18 6:30 ` Michael Shigorin @ 2005-04-20 8:20 ` Andrei Bulava 2005-04-20 8:56 ` Michael Shigorin ` (2 more replies) 0 siblings, 3 replies; 37+ messages in thread From: Andrei Bulava @ 2005-04-20 8:20 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Michael Shigorin wrote: > On Sun, Apr 17, 2005 at 11:10:37PM +0400, Gor_lov aka Stalker wrote: > [stunnel skipped] > >>>>Есть ли более простой путь через терни к звёздам? >>> >>>vtun? >> >>Есть ли бы я знал... Щас вот в раздумьях что лапать -stunel или vtun. >>Кто из них проще в настройке и по "безопаснее"? > > > IMHO второе. Потому-то первое и было скипнуто. Насчёт "vtun безопаснее" - надо читать http://www.cs.auckland.ac.nz/%7Epgut001/pubs/linux_vpn.txt и дрожать (2 раза). Как справедливо заметил автор, использование шифрования самого по себе ничуть не гарантирует безопасности. После прочтения не возникает желания использовать ничего, кроме OpenVPN (http://openvpn.sourceforge.net/) или KAME's IPsec utilities (http://ipsec-tools.sourceforge.net/). Я, конечно, не эксперт по криптоустойчивости, но лучше уж перебдеть, чем недобдеть. В этом плане имеющийся в Sisyphus ipsec_tunnel немного подмочен в http://www.linux-magazine.com/issue/39/VPN_Insecurity.pdf, "there’s ... something like ipsec_tunnel http://ringstrom.mine.nu/ipsec_tunnel/ to retrofit to older ones. ipsec_tunnel is an extremely lightweight (38K of source code) IPsec ESP implementation, although it appears to be missing some functionality such as the sliding-window replay protection that would have to be added to provide proper security." -- // AB1002-UANIC ^ permalink raw reply [flat|nested] 37+ messages in thread
* [sisyphus] Re: SSH +ldap 2005-04-20 8:20 ` Andrei Bulava @ 2005-04-20 8:56 ` Michael Shigorin 2005-04-22 13:51 ` beware an insecure vtun! (was: Re: [sisyphus] Re: SSH +ldap) Andrei Bulava 2005-04-20 10:57 ` [sisyphus] Re: SSH +ldap Maxim Tyurin 2005-04-20 11:35 ` Ivan Fedorov 2 siblings, 1 reply; 37+ messages in thread From: Michael Shigorin @ 2005-04-20 8:56 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list On Wed, Apr 20, 2005 at 11:20:35AM +0300, Andrei Bulava wrote: > >>>>Есть ли более простой путь через терни к звёздам? > >>>vtun? > >>Есть ли бы я знал... Щас вот в раздумьях что лапать -stunel > >>или vtun. Кто из них проще в настройке и по "безопаснее"? > >IMHO второе. Потому-то первое и было скипнуто. > Насчёт "vtun безопаснее" - надо читать > http://www.cs.auckland.ac.nz/%7Epgut001/pubs/linux_vpn.txt О как... спасибо. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 37+ messages in thread
* beware an insecure vtun! (was: Re: [sisyphus] Re: SSH +ldap) 2005-04-20 8:56 ` Michael Shigorin @ 2005-04-22 13:51 ` Andrei Bulava 0 siblings, 0 replies; 37+ messages in thread From: Andrei Bulava @ 2005-04-22 13:51 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Michael Shigorin wrote: > On Wed, Apr 20, 2005 at 11:20:35AM +0300, Andrei Bulava wrote: > >>>>>>Есть ли более простой путь через терни к звёздам? >>>>> >>>>>vtun? >>>> >>>>Есть ли бы я знал... Щас вот в раздумьях что лапать -stunel >>>>или vtun. Кто из них проще в настройке и по "безопаснее"? >>> >>>IMHO второе. Потому-то первое и было скипнуто. >> >>Насчёт "vtun безопаснее" - надо читать >>http://www.cs.auckland.ac.nz/%7Epgut001/pubs/linux_vpn.txt > > > О как... спасибо. Вдогонку - http://www.off.net/~jme/vtun_secu.html. Что называется, "туши свет - бросай гранату" :-| -- // AB1002-UANIC ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re: [sisyphus] Re: SSH +ldap 2005-04-20 8:20 ` Andrei Bulava 2005-04-20 8:56 ` Michael Shigorin @ 2005-04-20 10:57 ` Maxim Tyurin 2005-04-20 11:35 ` Ivan Fedorov 2 siblings, 0 replies; 37+ messages in thread From: Maxim Tyurin @ 2005-04-20 10:57 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Andrei Bulava writes: > После прочтения не возникает желания использовать ничего, кроме OpenVPN > (http://openvpn.sourceforge.net/) или KAME's IPsec utilities > (http://ipsec-tools.sourceforge.net/). Лучше уж openswan чем ipsec-tool И работает стабильнее и багов меньше находят. -- With Best Regards, Maxim Tyurin aka Bungarus JID: MrKooll@jabber.pibhe.com ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re: [sisyphus] Re: SSH +ldap 2005-04-20 8:20 ` Andrei Bulava 2005-04-20 8:56 ` Michael Shigorin 2005-04-20 10:57 ` [sisyphus] Re: SSH +ldap Maxim Tyurin @ 2005-04-20 11:35 ` Ivan Fedorov 2005-04-20 12:27 ` Pokidko Mikhail 2 siblings, 1 reply; 37+ messages in thread From: Ivan Fedorov @ 2005-04-20 11:35 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list [-- Attachment #1: Type: text/plain, Size: 781 bytes --] Andrei Bulava пишет: > Насчёт "vtun безопаснее" - надо читать > http://www.cs.auckland.ac.nz/%7Epgut001/pubs/linux_vpn.txt и дрожать (2 > раза). Как справедливо заметил автор, использование шифрования самого по > себе ничуть не гарантирует безопасности. Естественно... > После прочтения не возникает желания использовать ничего, кроме OpenVPN > (http://openvpn.sourceforge.net/) или KAME's IPsec utilities > (http://ipsec-tools.sourceforge.net/). StrongSwan/OpenSwan. OpenVPN удобно, но пока 2.0 не зарелизят, неполноценно. [-- Attachment #2: OpenPGP digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re: [sisyphus] Re: SSH +ldap 2005-04-20 11:35 ` Ivan Fedorov @ 2005-04-20 12:27 ` Pokidko Mikhail 0 siblings, 0 replies; 37+ messages in thread From: Pokidko Mikhail @ 2005-04-20 12:27 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Andrei Bulava пишет: >> Насчёт "vtun безопаснее" - надо читать >> http://www.cs.auckland.ac.nz/%7Epgut001/pubs/linux_vpn.txt и дрожать (2 >> раза). Как справедливо заметил автор, использование шифрования самого по >> себе ничуть не гарантирует безопасности. >Естественно... > >> После прочтения не возникает желания использовать ничего, кроме OpenVPN >> (http://openvpn.sourceforge.net/) или KAME's IPsec utilities >> (http://ipsec-tools.sourceforge.net/). > >StrongSwan/OpenSwan. OpenVPN удобно, но пока 2.0 не зарелизят, >неполноценно. Очень даже зарелизили - http://openvpn.net What's New a.. 2005.04.17 -- OpenVPN 2.0 released. ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re: [sisyphus] Re: SSH +ldap 2005-04-17 16:05 ` Gor_lov aka Stalker 2005-04-17 17:42 ` Michael Shigorin @ 2005-04-17 19:04 ` Boldin Pavel 2005-04-17 19:39 ` Re[2]: " Gor_lov aka Stalker 1 sibling, 1 reply; 37+ messages in thread From: Boldin Pavel @ 2005-04-17 19:04 UTC (permalink / raw) To: Gor_lov aka Stalker, ALT Linux Sisyphus discussion list Gor_lov aka Stalker пишет: > Здравствуйте, Michael. > > Вы писали 17 апреля 2005 г., 19:13:53: > > >>>Хм.. а у кого-нибудь из этой рассылки работает sshd(+pam) с >>>аутентификацией пользователей из файлов и лдапа? >> >>Да. Но настраивал человек, который есть в openldap@ и >>отсутствует [до сих пор] здесь. > > > Остаются Сквид > (точнее squid_ldap_auth и squid_ldap_group) и почта. > Что-то мне подсказывает что они не умеют SSL. > Как быть? Пока-что смотрю в сторону Stunnel. > Есть ли более простой путь через терни к звёздам? > Да умеют они :), squid точно умеет TLS, да и mail скорее всего тоже умеет... Это вообще в библиотеке libldap заложено, и уже давно defacto стало стандартом... зря вы боитесь, ldap over tls работает почти везде... вам падения ldap сервера надо больше боятся :) -- Болдин Павел aka davinchi ldavinchi@inbox.ru or davinchi@zu.org.ru ZU - Zagovor Unixoidov. SSAU 303. ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re[2]: [sisyphus] Re: SSH +ldap 2005-04-17 19:04 ` Boldin Pavel @ 2005-04-17 19:39 ` Gor_lov aka Stalker 2005-04-18 6:29 ` Michael Shigorin 0 siblings, 1 reply; 37+ messages in thread From: Gor_lov aka Stalker @ 2005-04-17 19:39 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Здравствуйте, Boldin. Вы писали 17 апреля 2005 г., 23:04:03: >> Остаются Сквид >> (точнее squid_ldap_auth и squid_ldap_group) и почта. >> Что-то мне подсказывает что они не умеют SSL. >> Как быть? Пока-что смотрю в сторону Stunnel. >> Есть ли более простой путь через терни к звёздам? > Да умеют они :), Точно? Хм.... Завтра приду на работу и посмотрю что говорят про себя squid_ldap_auth и squid_ldap_group.... Но помнется что когда я начал таки сквид к лдапу прикручивать то про ssl и эти модули что-то ничего не видел...хотя тогда особо и не приглядывался. > squid точно умеет TLS, да и mail скорее всего тоже умеет... mail это cyrus-imap и postfix. :-) Они как -умеют по TLS ходить к лдапу? > Это вообще в библиотеке libldap заложено, и уже давно defacto стало > стандартом... В лдап та заложено, а вот в клиенты... не похоже что тоже. > зря вы боитесь, ldap over tls работает почти везде... Кстати -а чем генерить сертефикат? > вам падения ldap сервера надо больше боятся :) Ну его можно и руками перезапускать, ведь весь рабочий день чем-то нужно заниматься ;-) -- С уважением, Gor_lov mailto:pnz37@mail.ru ^ permalink raw reply [flat|nested] 37+ messages in thread
* [sisyphus] Re: SSH +ldap 2005-04-17 19:39 ` Re[2]: " Gor_lov aka Stalker @ 2005-04-18 6:29 ` Michael Shigorin 2005-04-18 7:05 ` Anton Gorlov aka stalker 2005-04-18 7:32 ` Boldin Pavel 0 siblings, 2 replies; 37+ messages in thread From: Michael Shigorin @ 2005-04-18 6:29 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list; +Cc: openldap On Sun, Apr 17, 2005 at 11:39:34PM +0400, Gor_lov aka Stalker wrote: > > зря вы боитесь, ldap over tls работает почти везде... > Кстати -а чем генерить сертефикат? openssl -- кажется, в документации Master 2.4 (см. docs/ в его корне на ftp) приводился пример, да и на opennet.ru их было. -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re: [sisyphus] Re: SSH +ldap 2005-04-18 6:29 ` Michael Shigorin @ 2005-04-18 7:05 ` Anton Gorlov aka stalker 2005-04-18 7:35 ` Boldin Pavel 2005-04-18 7:32 ` Boldin Pavel 1 sibling, 1 reply; 37+ messages in thread From: Anton Gorlov aka stalker @ 2005-04-18 7:05 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Здравствуйте, Michael. Вы писали 18 апреля 2005 г., 10:29:29: > On Sun, Apr 17, 2005 at 11:39:34PM +0400, Gor_lov aka Stalker wrote: >> > зря вы боитесь, ldap over tls работает почти везде... >> Кстати -а чем генерить сертефикат? > openssl -- кажется, в документации Master 2.4 (см. docs/ в его > корне на ftp) приводился пример, Здесь что-то ничего интересного не увидел :-( > да и на opennet.ru их было. Здесь уже увидел что-то похожее на правду (Samba-full-LDAP-integration-HOWTO.html). Но что-то не понятно, как скажем сквиду (точнее squid_ldap_auth и squid_ldap_group) скормить клиентский ключ... В опциях этих модулей ничего про ключ не нашёл, только "-Z TLS encrypt the LDAP connection" - Файлы необходимые для генерации сертификатов и ключей. ldap.cnf [ req ] default_bits = 1024 encrypt_key = yes distinguished_name = req_dn x509_extensions = cert_type prompt = no [ req_dn ] C=RU ST=Russia L=Linux O=Linux LDAP OU=LDAP SSL Key CN=ldap.ru emailAddress=admin@ldap.ru [ cert_type ] nsCertType = client slapd.cnf req ] default_bits = 1024 encrypt_key = yes distinguished_name = req_dn x509_extensions = cert_type prompt = no [ req_dn ] C=RU ST=Russia L=Linux O=Linux LDAP OU=LDAP SSL Key CN=ldap.ru emailAddress=admin@ldap.ru [ cert_type ] nsCertType = server После создания этих файлов создайте исполняемый файл mkldapcert #!/bin/sh /usr/bin/openssl req -new -x509 -days 365 -nodes -config ldap.cnf -out ldap.pem -keyout ldap.pem /usr/bin/openssl req -new -x509 -days 365 -nodes -config slapd.cnf -out slapd.pem -keyout slapd.pem -- С уважением, Anton mailto:pnz37@mail.ru ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re: [sisyphus] Re: SSH +ldap 2005-04-18 7:05 ` Anton Gorlov aka stalker @ 2005-04-18 7:35 ` Boldin Pavel 2005-04-18 7:39 ` Boldin Pavel 2005-04-18 7:40 ` Re[2]: " Anton Gorlov aka stalker 0 siblings, 2 replies; 37+ messages in thread From: Boldin Pavel @ 2005-04-18 7:35 UTC (permalink / raw) To: Anton Gorlov aka stalker, ALT Linux Sisyphus discussion list Anton Gorlov aka stalker пишет: > Здравствуйте, Michael. > > Вы писали 18 апреля 2005 г., 10:29:29: > > >>On Sun, Apr 17, 2005 at 11:39:34PM +0400, Gor_lov aka Stalker wrote: >> >>>>зря вы боитесь, ldap over tls работает почти везде... >>> >>>Кстати -а чем генерить сертефикат? > > >>openssl -- кажется, в документации Master 2.4 (см. docs/ в его >>корне на ftp) приводился пример, > > Здесь что-то ничего интересного не увидел :-( > > >> да и на opennet.ru их было. > > > Здесь уже увидел что-то похожее на правду > (Samba-full-LDAP-integration-HOWTO.html). Но что-то не понятно, как > скажем сквиду (точнее squid_ldap_auth и squid_ldap_group) > скормить клиентский ключ... В опциях этих модулей ничего про ключ не > нашёл, только "-Z TLS encrypt the LDAP connection" > так как squid_ldap_auth - отдельная прога, она скорее всего лезет в .ldaprc какого-нибудь пользователя (наверное из которого запущена :) > После создания этих файлов создайте исполняемый файл > > mkldapcert > #!/bin/sh > /usr/bin/openssl req -new -x509 -days 365 -nodes -config ldap.cnf > -out ldap.pem -keyout ldap.pem > > /usr/bin/openssl req -new -x509 -days 365 -nodes -config slapd.cnf -out > slapd.pem -keyout slapd.pem > а зачем два сертификата? и где CA cert? -- Болдин Павел aka davinchi ldavinchi@inbox.ru or davinchi@zu.org.ru ZU - Zagovor Unixoidov. SSAU 303. ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re: [sisyphus] Re: SSH +ldap 2005-04-18 7:35 ` Boldin Pavel @ 2005-04-18 7:39 ` Boldin Pavel 2005-04-18 7:40 ` Re[2]: " Anton Gorlov aka stalker 1 sibling, 0 replies; 37+ messages in thread From: Boldin Pavel @ 2005-04-18 7:39 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Boldin Pavel пишет: > Anton Gorlov aka stalker пишет: > >> Здравствуйте, Michael. >> >> Вы писали 18 апреля 2005 г., 10:29:29: >> >> >>> On Sun, Apr 17, 2005 at 11:39:34PM +0400, Gor_lov aka Stalker wrote: >>> >>>>> зря вы боитесь, ldap over tls работает почти везде... >>>> >>>> >>>> Кстати -а чем генерить сертефикат? >> >> >> >>> openssl -- кажется, в документации Master 2.4 (см. docs/ в его >>> корне на ftp) приводился пример, >> >> >> Здесь что-то ничего интересного не увидел :-( >> >> >>> да и на opennet.ru их было. >> После создания этих файлов создайте исполняемый файл >> >> mkldapcert >> #!/bin/sh >> /usr/bin/openssl req -new -x509 -days 365 -nodes -config ldap.cnf >> -out ldap.pem -keyout ldap.pem >> >> /usr/bin/openssl req -new -x509 -days 365 -nodes -config slapd.cnf -out >> slapd.pem -keyout slapd.pem >> > > а зачем два сертификата? и где CA cert? > понял, сорри, один - для сервера, другой для клиента а какже будет осуществлятся проверка сертификата сервера, ведь для этого нужен CA cert (или не нужен?) -- Болдин Павел aka davinchi ldavinchi@inbox.ru or davinchi@zu.org.ru ZU - Zagovor Unixoidov. SSAU 303. ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re[2]: [sisyphus] Re: SSH +ldap 2005-04-18 7:35 ` Boldin Pavel 2005-04-18 7:39 ` Boldin Pavel @ 2005-04-18 7:40 ` Anton Gorlov aka stalker 2005-04-18 7:45 ` Re[3]: " Anton Gorlov aka stalker 1 sibling, 1 reply; 37+ messages in thread From: Anton Gorlov aka stalker @ 2005-04-18 7:40 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Здравствуйте, Boldin. Вы писали 18 апреля 2005 г., 11:35:40: >> Здесь уже увидел что-то похожее на правду >> (Samba-full-LDAP-integration-HOWTO.html). Но что-то не понятно, как >> скажем сквиду (точнее squid_ldap_auth и squid_ldap_group) >> скормить клиентский ключ... В опциях этих модулей ничего про ключ не >> нашёл, только "-Z TLS encrypt the LDAP connection" > так как squid_ldap_auth - отдельная прога, она скорее всего лезет в > .ldaprc какого-нибудь пользователя (наверное из которого запущена :) root 3972 0.0 1.1 5632 1452 ? S Apr16 0:00 /usr/sbin/squid -D нет там ничего похожего. Судя про всему она не пользуется конфигурационными файлами, а все парметры ей передаются при запуске. Про ключ там нет ничего (даже в мане по squid_ldap_auth не нашёл ничего интересного). >> После создания этих файлов создайте исполняемый файл >> mkldapcert >> #!/bin/sh >> /usr/bin/openssl req -new -x509 -days 365 -nodes -config ldap.cnf >> -out ldap.pem -keyout ldap.pem >> >> /usr/bin/openssl req -new -x509 -days 365 -nodes -config slapd.cnf -out >> slapd.pem -keyout slapd.pem > а зачем два сертификата? и где CA cert? Один как я понял клиентский, второй для сервера. 2 -ХЗ (хотелось бы знать). Да и кажется всё же это не то что нужно squid_ldap_auth - он умеет только TLS, а не SSL! Хм... -- С уважением, Anton mailto:pnz37@mail.ru ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re[3]: [sisyphus] Re: SSH +ldap 2005-04-18 7:40 ` Re[2]: " Anton Gorlov aka stalker @ 2005-04-18 7:45 ` Anton Gorlov aka stalker 0 siblings, 0 replies; 37+ messages in thread From: Anton Gorlov aka stalker @ 2005-04-18 7:45 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Здравствуйте, Anton. Вы писали 18 апреля 2005 г., 11:40:46: >>> После создания этих файлов создайте исполняемый файл >>> mkldapcert >>> #!/bin/sh >>> /usr/bin/openssl req -new -x509 -days 365 -nodes -config ldap.cnf >>> -out ldap.pem -keyout ldap.pem >>> /usr/bin/openssl req -new -x509 -days 365 -nodes -config slapd.cnf -out >>> slapd.pem -keyout slapd.pem >> а зачем два сертификата? и где CA cert? > Один как я понял клиентский, второй для сервера. 2 -ХЗ (хотелось бы > знать). Да и кажется всё же это не то что нужно squid_ldap_auth - > он умеет только TLS, а не SSL! > Хм... О. Манам 3 раза КУ: -Scertpath Enable LDAP over SSL (requires Netscape LDAP API libraries) По пути --путь прописывать прям слитно с -S/mypath? или всё же через пробел. И 2 -как узнать стоят ли "Netscape LDAP API libraries" и если не стоят то где брать? -- С уважением, Anton mailto:pnz37@mail.ru ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re: [sisyphus] Re: SSH +ldap 2005-04-18 6:29 ` Michael Shigorin 2005-04-18 7:05 ` Anton Gorlov aka stalker @ 2005-04-18 7:32 ` Boldin Pavel 2005-04-18 10:18 ` Re[2]: " Anton Gorlov aka stalker 2005-04-18 11:58 ` Nikolay A. Fetisov 1 sibling, 2 replies; 37+ messages in thread From: Boldin Pavel @ 2005-04-18 7:32 UTC (permalink / raw) To: openldap, ALT Linux Sisyphus discussion list [-- Attachment #1: Type: text/plain, Size: 650 bytes --] Michael Shigorin пишет: > On Sun, Apr 17, 2005 at 11:39:34PM +0400, Gor_lov aka Stalker wrote: > >>>зря вы боитесь, ldap over tls работает почти везде... >> >>Кстати -а чем генерить сертефикат? > > > openssl -- кажется, в документации Master 2.4 (см. docs/ в его > корне на ftp) приводился пример, да и на opennet.ru их было. > tinyca,,, я для него патч написал, чтобы можно было ключи без паролей создавать (pam_ldap пароленые ключи не принимает), я вам его скидываю... еще там есть скрипт ./CA.pl | ./CA.sh он тоже умеет -- Болдин Павел aka davinchi ldavinchi@inbox.ru or davinchi@zu.org.ru ZU - Zagovor Unixoidov. SSAU 303. [-- Attachment #2: tinyca-0.6.7-zu-pam_ldap.patch --] [-- Type: text/x-patch, Size: 5812 bytes --] diff -NurpP tinyca-0.6.7.orig/lib/GUI.pm tinyca-0.6.7/lib/GUI.pm --- tinyca-0.6.7.orig/lib/GUI.pm 2004-12-07 12:14:18 +0400 +++ tinyca-0.6.7/lib/GUI.pm 2005-04-03 21:21:19 +0500 @@ -1241,7 +1241,7 @@ sub show_req_dialog { my ($self, $opts) = @_; my ($box, $button_ok, $button_cancel, $reqtable, $radiobox, $key1, $key2, - $key3, $key4, $key5, $entry, $label); + $key3, $key4, $key5, $key6, $entry, $label); $button_ok = Gnome::Stock->button('Button_Ok'); $button_ok->signal_connect('clicked', @@ -1360,6 +1360,13 @@ sub show_req_dialog { \$opts->{'digest'}, 'md4'); $radiobox->add($key5); + $key6 = Gtk::RadioButton->new('No Des', $key1); + $key6->set_active(1) + if(defined($opts->{'digest'}) && $opts->{'digest'} eq 'nodes'); + $key6->signal_connect('toggled', \&GUI::CALLBACK::toggle_to_var, + \$opts->{'digest'}, 'nodes'); + $radiobox->add($key6); + $reqtable->attach_defaults($radiobox, 1, 2, 15, 16); $label = GUI::HELPERS::create_label(gettext("Algorithm").":", 'left', 0, 0); diff -NurpP tinyca-0.6.7.orig/lib/OpenSSL.pm tinyca-0.6.7/lib/OpenSSL.pm --- tinyca-0.6.7.orig/lib/OpenSSL.pm 2004-12-07 12:14:18 +0400 +++ tinyca-0.6.7/lib/OpenSSL.pm 2005-04-03 23:56:06 +0500 @@ -81,12 +81,15 @@ sub newkey { return($ret, $ext) if($ret); $cmd = "$self->{'bin'} gendsa"; + $cmd .= " -des3"; $cmd .= " -passout env:SSLPASS"; + $cmd .= " -out \"$opts->{'outfile'}\""; $cmd .= " $param"; } else { $cmd = "$self->{'bin'} genrsa"; + $cmd .= " -des3"; $cmd .= " -passout env:SSLPASS"; @@ -96,6 +99,7 @@ sub newkey { } $ENV{'SSLPASS'} = $opts->{'pass'}; + my($rdfh, $wtfh); $ext = "$cmd\n\n"; $pid = open3($wtfh, $rdfh, $rdfh, $cmd); @@ -120,6 +124,7 @@ sub newkey { delete($ENV{'SSLPASS'}); + return($ret, $ext); } @@ -290,19 +295,33 @@ sub newreq { my $self = shift; my $opts = { @_ }; - my ($ext, $ret, $cmd, $pid); + my ($ext, $ret, $cmd, $pid, $t, $bar, $box, $i, $c); $cmd = "$self->{'bin'} req -new"; $cmd .= " -keyform PEM"; $cmd .= " -outform PEM"; - $cmd .= " -passin env:SSLPASS"; + + $cmd .= " -passin env:SSLPASS" + if ( $opts->{'digest'} ne "nodes"); $cmd .= " -config $opts->{'config'}"; $cmd .= " -out $opts->{'outfile'}"; - $cmd .= " -key $opts->{'keyfile'}"; + + if ( $opts->{'digest'} ne "nodes") + { + $cmd .= " -key $opts->{'keyfile'}"; + } + else + { + $cmd .= " -keyout $opts->{'keyfile'}"; + } + + $cmd .= " -"."$opts->{'digest'}"; - $ENV{'SSLPASS'} = $opts->{'pass'}; + $ENV{'SSLPASS'} = $opts->{'pass'} + if ( $opts->{'digest'} ne "nodes"); + # print "DEBUG call: $cmd\n"; my($rdfh, $wtfh); @@ -318,13 +337,23 @@ sub newreq { } } - while(<$rdfh>) { - $ext .= $_; + $t = gettext("Creating key and req in progress..."); + ($box, $bar) = GUI::HELPERS::create_activity_bar($t); + $i = 0; + while(defined($c = getc($rdfh))) { + $ext .= $c; + $bar->update(($i++%100)/100); + while(Gtk->events_pending) { + Gtk->main_iteration; + } } + $box->destroy(); + waitpid($pid, 0); $ret = $? >> 8; - delete($ENV{'SSLPASS'}); + delete($ENV{'SSLPASS'}) + if ( $opts->{'digest'} ne "nodes"); return($ret, $ext); } diff -NurpP tinyca-0.6.7.orig/lib/REQ.pm tinyca-0.6.7/lib/REQ.pm --- tinyca-0.6.7.orig/lib/REQ.pm 2004-12-07 12:14:18 +0400 +++ tinyca-0.6.7/lib/REQ.pm 2005-04-03 23:49:03 +0500 @@ -46,6 +46,7 @@ sub get_req_create { $ca = $main->{'CA'}->{'actca'}; + if(!(defined($opts)) || !(ref($opts))) { if(defined($opts) && $opts eq "signserver") { $opts = {}; @@ -94,8 +95,12 @@ sub get_req_create { if((not defined($opts->{'CN'})) || ($opts->{'CN'} eq "") || - (not defined($opts->{'passwd'})) || - ($opts->{'passwd'} eq "")) { + ( + ((not defined($opts->{'passwd'})) || + ($opts->{'passwd'} eq "")) && + $opts->{'digest'} ne "nodes" + ) + ) { $main->show_req_dialog($opts); GUI::HELPERS::print_warning( gettext("Please specify at least Common Name ") @@ -103,8 +108,14 @@ sub get_req_create { return; } - if((not defined($opts->{'passwd2'})) || - $opts->{'passwd'} ne $opts->{'passwd2'}) { + if( + ( + (not defined($opts->{'passwd2'})) || + $opts->{'passwd'} ne $opts->{'passwd2'} + ) + && ($opts->{'digest'} ne "nodes") + ) + { $main->show_req_dialog($opts); GUI::HELPERS::print_warning(gettext("Passwords don't match")); return; @@ -153,18 +164,21 @@ sub create_req { $reqfile = $cadir."/req/".$opts->{'reqname'}.".pem"; $keyfile = $cadir."/keys/".$opts->{'reqname'}.".pem"; - ($ret, $ext) = $self->{'OpenSSL'}->newkey( - 'algo' => $opts->{'algo'}, - 'bits' => $opts->{'bits'}, - 'outfile' => $keyfile, - 'pass' => $opts->{'passwd'} - ); - - if (not -s $keyfile || $ret) { - unlink($keyfile); - GUI::HELPERS::set_cursor($main, 0); - GUI::HELPERS::print_warning(gettext("Generating key failed"), $ext); - return; + if ( defined($opts->{'passwd'}) && "$opts->{'passwd'}" ne "" ) + { + ($ret, $ext) = $self->{'OpenSSL'}->newkey( + 'algo' => $opts->{'algo'}, + 'bits' => $opts->{'bits'}, + 'outfile' => $keyfile, + 'pass' => $opts->{'passwd'} + ); + + if (not -s $keyfile || $ret) { + unlink($keyfile); + GUI::HELPERS::set_cursor($main, 0); + GUI::HELPERS::print_warning(gettext("Generating key failed"), $ext); + return; + } } ($ret, $ext) = $self->{'OpenSSL'}->newreq( [-- Attachment #3: tinyca.spec --] [-- Type: text/plain, Size: 6320 bytes --] # spec file for package tinyca # # $Id: tinyca.spec,v 1.16 2004/08/09 19:40:51 sm Exp $ # # Copyright (c) 2002 Stephan Martin # This file and all modifications and additions to the pristine # package are under the same license as the package itself. # # Adopted for Sisyphus by Nikolay A. Fetisov Name: tinyca Version: 0.6.7 Release: alt1 Summary: Graphical Tool for Managing a Certification Authority Summary(ru_RU.KOI8-R): çÒÁÆÉÞÅÓËÁÑ ÕÔÉÌÉÔÁ ÄÌÑ ÕÐÒÁ×ÌÅÎÉÑ Certification Authority License: GPL Group: Security/Networking URL: http://tinyca.sm-zone.net/ Packager: Nikolay A. Fetisov <naf@altlinux.ru> BuildArch: noarch %define real_name %name Source0: %real_name-%version.tar.bz2 Source1: %name.xpm Patch001: %name-%version-zu-pam_ldap.patch AutoReqProv: perl, yes BuildPreReq: perl-devel, perl-GTK-Gnome, perl-gettext Requires: openssl %description TinyCA is a graphical tool written in Perl/Gtk to manage a small Certification Authority (CA) using openssl. TinyCA supports - creation and revocation of x509 - S/MIME certificates. - PKCS#10 requests. - exporting certificates as PEM, DER, TXT, and PKCS#12. - server certificates for use in web servers, email servers, IPsec, and more. - client certificates for use in web browsers, email clients, IPsec, and more. - creation and management of SubCAs Authors: -------- Stephan Martin <sm@sm-zone.net> %description -l ru_RU.KOI8-R TinyCA - ÇÒÁÆÉÞÅÓËÁÑ ÕÔÉÌÉÔÁ, ÎÁÐÉÓÁÎÎÁÑ ÎÁ Perl/GTK, ÄÌÑ ÕÐÒÁ×ÌÅÎÉÑ Certification Authority (CA) ÎÅÂÏÌØÛÉÈ ÒÁÚÍÅÒÏ× ÉÓÐÏÌØÚÕÑ openssl. TinyCA ÐÏÄÄÅÒÖÉ×ÁÅÔ: - ÓÏÚÄÁÎÉÅ É ÏÔÚÙ× ÓÅÒÔÉÆÉËÁÔÏ× x509 É S/MIME - ÚÁÐÒÏÓÙ PKCS#10 - ÜËÓÐÏÒÔ ÓÅÒÔÉÆÉËÁÔÏ× × ÆÏÒÍÁÔÁÈ PEM, DER, TXT É PKCS#12 - ÕÐÒÁ×ÌÅÎÉÅ ÓÅÒ×ÅÒÎÙÍÉ ÓÅÒÔÉÆÉËÁÔÁÍÉ ÄÌÑ ÉÓÐÏÌØÚÏ×ÁÎÉÑ Ó ÓÅÒ×ÅÒÁÍÉ web, email, Ó IPsec, É Ô.Ä. - ÕÐÒÁ×ÌÅÎÉÅ ËÌÉÅÎÔÓËÉÍÉ ÓÅÒÔÉÆÉËÁÔÁÍÉ ÄÌÑ ÉÓÐÏÌØÚÏ×ÁÎÉÑ × ÂÒÁÕÚÅÒÁÈ, ÐÏÞÔÏ×ÙÈ ËÌÉÅÎÔÁÈ, ÄÌÑ IPsec É ÐÒ. - ÓÏÚÄÁÎÉÅ É ÕÐÒÁ×ÌÅÎÉÅ SubCA á×ÔÏÒÙ: -------- Stephan Martin <sm@sm-zone.net> %define bindir %_bindir %define libdir %_datadir/TinyCA/lib %define templatesdir %_datadir/TinyCA/templates %define localedir %_datadir/TinyCA/locale/ # Defining _perl_lib_path for correct work of AutoReqProv %define _perl_lib_path %libdir %prep %setup %patch001 -p1 %build # Configure pristine source perl -pi -e 's:./lib:%libdir:g' tinyca perl -pi -e 's:./templates:%templatesdir:g' tinyca perl -pi -e 's:./locale:%localedir:g' tinyca make -C po %install LANGUAGES="de es cs" %__mkdir -p $RPM_BUILD_ROOT%bindir %__mkdir -p $RPM_BUILD_ROOT%libdir %__mkdir -p $RPM_BUILD_ROOT%libdir/GUI %__mkdir -p $RPM_BUILD_ROOT%templatesdir %__install -m644 lib/*.pm $RPM_BUILD_ROOT%libdir/ %__install -m644 lib/GUI/*.pm $RPM_BUILD_ROOT%libdir/GUI/ %__install -m644 templates/openssl.cnf $RPM_BUILD_ROOT%templatesdir/ %__install -m755 tinyca $RPM_BUILD_ROOT%bindir/ for LANG in $LANGUAGES; do %__mkdir -p $RPM_BUILD_ROOT%localedir/$LANG/LC_MESSAGES/ %__install -m644 locale/$LANG/LC_MESSAGES/tinyca.mo %buildroot%localedir/$LANG/LC_MESSAGES/ done %__mkdir -p $RPM_BUILD_ROOT%_iconsdir/ %__install -m644 %SOURCE1 $RPM_BUILD_ROOT%_iconsdir/ %__mkdir -p $RPM_BUILD_ROOT/%_menudir %__cat << EOF > $RPM_BUILD_ROOT/%_menudir/%name ?package(%name): \ command="%_bindir/%name"\ icon="tinyca.xpm" \ needs="x11" \ section="Networking/Other" \ title="TinyCA" \ longtitle="УÑ.илиÑ.а длÑ. Ñ.пÑ.авлениÑ. Certification Authority" EOF %find_lang %name %post %update_menus %postun %clean_menus %files -f %name.lang %doc CHANGES INSTALL %_datadir/TinyCA* %_menudir/%name %_iconsdir/%name.xpm %bindir/tinyca %changelog * Mon Feb 07 2005 Nikolay A. Fetisov <naf@altlinux.ru> 0.6.7-alt1 - new version 0.6.7 - spec file cleanup - adding icon to the menu entry - First build for ALT Linux * Tue Oct 5 2004 - Nikolay A. Fetisov <naf@naf.net.ru> - First build for Sisyphus * Fri Aug 13 2004 - sm@sm-zone.net - czech translation * Sun Jun 13 2004 - sm@sm-zone.net - gui polishing - code cleanup - some usability improvements * Wed Jun 2 2004 - sm@sm-zone.net - gui polishing - GUI module splitted to several files * Fri Oct 3 2003 - sm@sm-zone.net - added a lot of configuration options - correctly import/show details of requests without extensions (thanks to James.Leavitt@anywaregroup.com) * Mon Sep 1 2003 - sm@sm-zone.net - added renewal of certificates * Wed Aug 13 2003 - sm@sm-zone.net - rewite, now using perl-Gtk * Sat Jul 5 2003 - sm@sm-zone.net - added german translation * Tue Jul 1 2003 - sm@sm-zone.net - convert index.txt if openssl changed from 0.9.6x to 0.9.7x * Fri Jun 27 2003 - sm@sm-zone.net - added export into zip-file thanks to ludwig.nussel@suse.de * Mon Jun 23 2003 - sm@sm-zone.net - some tiny usability improvements thanks to ludwig.nussel@suse.de again * Thu Jun 19 2003 - sm@sm-zone.net - some usability improvements thanks to ludwig.nussel@suse.de - some more configuration options * Fri Oct 4 2002 - sm@sm-zone.net - Fixed bug exporting keys in PEM format - Fixed possible empty lines in cert/key/reqlist thanks to waldemar.mertke@gmx.de * Fri Sep 27 2002 - sm@sm-zone.net - fixed some minor bugs and typos (e.g. concerning openssl 0.9.7) thanks to iebgener@yahoo.com and waldemar.mertke@gmx.de * Wed Aug 21 2002 - sm@sm-zone.net - fixed revocation - added some colors - thanks to curly@e-card.bg * Sun Aug 18 2002 - sm@sm-zone.net - new version 0.4.0 - works independent of OpenCA modules now - some enhancements to functionality (e.g. export of key without passwd) - some smaller bugfixes in usability - new specfile (thanks to oron@actcom.co.il) * Thu Jun 6 2002 - Oron Peled <oron@actcom.co.il> - Cleaned .spec file * Mon Jun 3 2002 - sm@sm-zone.net - fixed wrong templatedir when creating new CA * Sun Jun 2 2002 - sm@sm-zone.net - fixed some minor bugs and typos * Sat May 11 2002 - sm@sm-zone.net - Added parser for x509 extensions * Fri May 03 2002 - sm@sm-zone.net - added possibility to view requests/certificates * Thu Apr 18 2002 - sm@sm-zone.net - added configuration * Sun Apr 7 2002 - sm@sm-zone.net - improved usability * Sun Mar 31 2002 - sm@sm-zone.net - added function to delete ca * Sat Mar 30 2002 - sm@sm-zone.net - allow import of pkcs#10 requests * Thu Mar 21 2002 - sm@sm-zone.et - use different listboxes * Mon Mar 18 2002 - sm@sm-zone.net - initial package ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re[2]: [sisyphus] Re: SSH +ldap 2005-04-18 7:32 ` Boldin Pavel @ 2005-04-18 10:18 ` Anton Gorlov aka stalker 2005-04-18 11:58 ` Nikolay A. Fetisov 1 sibling, 0 replies; 37+ messages in thread From: Anton Gorlov aka stalker @ 2005-04-18 10:18 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Здравствуйте, Boldin. Вы писали 18 апреля 2005 г., 11:32:31: >>>>зря вы боитесь, ldap over tls работает почти везде... >>>Кстати -а чем генерить сертефикат? >> openssl -- кажется, в документации Master 2.4 (см. docs/ в его >> корне на ftp) приводился пример, да и на opennet.ru их было. > tinyca,,, я для него патч написал, чтобы можно было ключи без паролей > создавать (pam_ldap пароленые ключи не принимает), > я вам его скидываю... Хм... а где сам(у) tinyca-067 вы взяли? В сизифе 068 > еще там есть скрипт ./CA.pl | ./CA.sh > он тоже умеет -- С уважением, Anton mailto:pnz37@mail.ru ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re: [sisyphus] Re: SSH +ldap 2005-04-18 7:32 ` Boldin Pavel 2005-04-18 10:18 ` Re[2]: " Anton Gorlov aka stalker @ 2005-04-18 11:58 ` Nikolay A. Fetisov 2005-04-18 15:05 ` Boldin Pavel 1 sibling, 1 reply; 37+ messages in thread From: Nikolay A. Fetisov @ 2005-04-18 11:58 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list On Monday 18 April 2005 11:32, Boldin Pavel wrote: > tinyca,,, я для него патч написал, чтобы можно было ключи без > паролей создавать (pam_ldap пароленые ключи не принимает), > я вам его скидываю... Простите... Может, я чего-то не понимаю, а зачем??? Из него можно ключ экспортировать без пароля. В диалоге экспорта ключей, прямо над кнопками "OK"/"Отменить": флажок "Without Passphare (PEM)". Отмечаете, вводите пароль к ключу, и получаете его в PEM без пароля. А то, что в нём самом они все с паролями лежат - так оно, наверное, и правильнее... --- С уважением, Николай Фетисов ^ permalink raw reply [flat|nested] 37+ messages in thread
* Re: [sisyphus] Re: SSH +ldap 2005-04-18 11:58 ` Nikolay A. Fetisov @ 2005-04-18 15:05 ` Boldin Pavel 0 siblings, 0 replies; 37+ messages in thread From: Boldin Pavel @ 2005-04-18 15:05 UTC (permalink / raw) To: ALT Linux Sisyphus discussion list Nikolay A. Fetisov пишет: > On Monday 18 April 2005 11:32, Boldin Pavel wrote: > >>tinyca,,, я для него патч написал, чтобы можно было ключи без >>паролей создавать (pam_ldap пароленые ключи не принимает), >>я вам его скидываю... > > > Простите... Может, я чего-то не понимаю, а зачем??? Из него > можно ключ экспортировать без пароля. В диалоге экспорта > ключей, прямо над кнопками "OK"/"Отменить": флажок "Without > Passphare (PEM)". Отмечаете, вводите пароль к ключу, и > получаете его в PEM без пароля. > > А то, что в нём самом они все с паролями лежат - так оно, > наверное, и правильнее... > то была старая версия :( -- Болдин Павел aka davinchi ldavinchi@inbox.ru or davinchi@zu.org.ru ZU - Zagovor Unixoidov. SSAU 303. ^ permalink raw reply [flat|nested] 37+ messages in thread
end of thread, other threads:[~2005-04-22 13:51 UTC | newest] Thread overview: 37+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2005-04-16 11:48 [sisyphus] SSH +ldap Anton Gorlov aka stalker 2005-04-16 12:15 ` Boldin Pavel 2005-04-16 12:16 ` Re[2]: " Anton Gorlov aka stalker 2005-04-16 12:28 ` Boldin Pavel 2005-04-16 12:45 ` Re[2]: " Anton Gorlov aka stalker 2005-04-16 12:57 ` Boldin Pavel 2005-04-16 12:30 ` Boldin Pavel 2005-04-16 12:47 ` Re[2]: " Anton Gorlov aka stalker 2005-04-16 13:55 ` Anton Gorlov aka stalker 2005-04-16 14:00 ` Boldin Pavel 2005-04-16 13:57 ` Re[2]: " Anton Gorlov aka stalker 2005-04-16 13:00 ` Boldin Pavel 2005-04-16 13:56 ` Re[2]: " Anton Gorlov aka stalker 2005-04-17 15:13 ` [sisyphus] " Michael Shigorin 2005-04-17 15:55 ` Arioch 2005-04-17 16:05 ` Gor_lov aka Stalker 2005-04-17 17:42 ` Michael Shigorin 2005-04-17 19:10 ` Gor_lov aka Stalker 2005-04-18 6:30 ` Michael Shigorin 2005-04-20 8:20 ` Andrei Bulava 2005-04-20 8:56 ` Michael Shigorin 2005-04-22 13:51 ` beware an insecure vtun! (was: Re: [sisyphus] Re: SSH +ldap) Andrei Bulava 2005-04-20 10:57 ` [sisyphus] Re: SSH +ldap Maxim Tyurin 2005-04-20 11:35 ` Ivan Fedorov 2005-04-20 12:27 ` Pokidko Mikhail 2005-04-17 19:04 ` Boldin Pavel 2005-04-17 19:39 ` Re[2]: " Gor_lov aka Stalker 2005-04-18 6:29 ` Michael Shigorin 2005-04-18 7:05 ` Anton Gorlov aka stalker 2005-04-18 7:35 ` Boldin Pavel 2005-04-18 7:39 ` Boldin Pavel 2005-04-18 7:40 ` Re[2]: " Anton Gorlov aka stalker 2005-04-18 7:45 ` Re[3]: " Anton Gorlov aka stalker 2005-04-18 7:32 ` Boldin Pavel 2005-04-18 10:18 ` Re[2]: " Anton Gorlov aka stalker 2005-04-18 11:58 ` Nikolay A. Fetisov 2005-04-18 15:05 ` Boldin Pavel
ALT Linux Sisyphus discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \ sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru public-inbox-index sisyphus Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sisyphus AGPL code for this site: git clone https://public-inbox.org/public-inbox.git