Re: OpenLDAP - začátečnická rada

Vilem Kebrt vilem.kebrt at gmail.com
Mon Oct 31 15:22:55 CET 2016


Vzhledem k tomu , ze sasl byva posledni dobou temer "vynucovan" na vsech
implementacich ktere kde vidim, nejsem si jistej zda tve reseni je
"jednodussi".

Jinak z RFC2222 :

 The Simple Authentication and Security Layer (SASL) is a method for
   adding authentication support to connection-based protocols.  To use
   this specification, a protocol includes a command for identifying and
   authenticating a user to a server and for optionally negotiating a
   security layer for subsequent protocol interactions.

Imho tvoris kolo tam kde je hotovy vozidlo, ale v ramci zjednoduseni budiz.
Jinak radsi doplnim bleskem informaci nez me stihnete sepsout za
nepresnosti :
OpenLdap = otevrena implementace protokolu LDAP (Lightweight Directory
Access Protocol), takze je to protokol pro komunikaci s tim DIRECTORY
(Jeho odlehcena verze).
Jinak pro dotazujiciho, jeden z nejcasteji vyuzivanych mechanismu je
LDAP komunikace s AD (nebot Active Directory [ tfuj tfuj tfuj, nemam rad
mrkvosoft, ale musel jsem] neni nic jineho nez mrkvosofti implementace
toho directory).
Hadam ze konkretne tam casem miri tve usili :-)
Vilem

On 10/31/2016 03:09 PM, Martin Bily wrote:
> Zdravím vespolek,
>
> já bych to zjednodušil do polopatistické podoby: Zapomeňte zpočátku na
> všechny SASL metody, Kerbera atd. Používejte autentizaci heslem v jeho
> plain-text podobě. Veškerou komunikaci mezi klientem a serverem ale
> prohánějte šifrovaným kanálem (ldaps, port 636). V rámci toho
> ochráníte před zneužitím i heslo.
>
> Pro server budete potřebovat certifikát, ať už self-signed nebo nějaký
> lepší. V konfiguraci openldap klienta si nastavte, jak moc server a
> jeho certifikát prověřujete nebo ignorujete
> (/usr/local/etc/openldap/ldap.conf, TLS_REQCERT, TLS_CACERT).
>
> V určitých ldap kruzích se nedoporučuje komunikovat zabezpečeně na
> portu 636 (označováno též jako SSL). Místo toho upřednostňují navázat
> spojení nezabezpečeně na ldap port 389, a poté překlopit do
> zabezpečené šifrované podoby. V té souvislosti se to zkráceně označuje
> jako STARTTLS nebo TLS komunikace. Osobně je mi to proti mysli. Můžete
> ale potkat aplikace, které umějí jen jednu z obou variant.
>
> S pozdravem,
>    Martin Bílý
>

-- 

S pozdravem Vilem Kebrt
email: vilem.kebrt at gmail.com





More information about the Users-l mailing list