RE: OpenLDAP - začátečnická rada
Bc. Tomáš Skočdopole | IT-BOX s.r.o.
tomas.skocdopole at it-box.cz
Mon Oct 31 16:43:59 CET 2016
Zdravim,
Dekuji vsem za reakce!
Takze jestli tomu dobre rozumim, mam zatim uvazovat pouze o ldaps na portu 636 pripadne povolit TLS na standardnim portu. Eventuelne, kdyz uz bych to chtel mit echt-gold, tak akorat pridat k OpenLDAPu nadstavbu SASL. Dival jsem se ze ten SASL se pouziva hodne ve spojeni s Postfixem, Cyrusem,...
Me staci pouze jednotne prihlaseni ke stroji a do webovych aplikaci.
No jsem zvedav, kolik me jeste ceka s touhle veci utrap nez to dotahnu do konce. Urcite budu muset jeste nejak poresit, aby se definovalo, ke kterym strojum se budou smet uzivatele prihlasit a ke kterym nebudou.
Tak hezky zbytek dne!
Tomas S.
-----Původní zpráva-----
Od: Users-l [mailto:users-l-bounces at freebsd.cz] za uživatele Vilem Kebrt
Odesláno: 31 October 2016 15:23
Komu: users-l at freebsd.cz
Předmět: Re: OpenLDAP - začátečnická rada
Vzhledem k tomu , ze sasl byva posledni dobou temer "vynucovan" na vsech implementacich ktere kde vidim, nejsem si jistej zda tve reseni je "jednodussi".
Jinak z RFC2222 :
The Simple Authentication and Security Layer (SASL) is a method for
adding authentication support to connection-based protocols. To use
this specification, a protocol includes a command for identifying and
authenticating a user to a server and for optionally negotiating a
security layer for subsequent protocol interactions.
Imho tvoris kolo tam kde je hotovy vozidlo, ale v ramci zjednoduseni budiz.
Jinak radsi doplnim bleskem informaci nez me stihnete sepsout za nepresnosti :
OpenLdap = otevrena implementace protokolu LDAP (Lightweight Directory Access Protocol), takze je to protokol pro komunikaci s tim DIRECTORY (Jeho odlehcena verze).
Jinak pro dotazujiciho, jeden z nejcasteji vyuzivanych mechanismu je LDAP komunikace s AD (nebot Active Directory [ tfuj tfuj tfuj, nemam rad mrkvosoft, ale musel jsem] neni nic jineho nez mrkvosofti implementace toho directory).
Hadam ze konkretne tam casem miri tve usili :-) Vilem
On 10/31/2016 03:09 PM, Martin Bily wrote:
> Zdravím vespolek,
>
> já bych to zjednodušil do polopatistické podoby: Zapomeňte zpočátku na
> všechny SASL metody, Kerbera atd. Používejte autentizaci heslem v jeho
> plain-text podobě. Veškerou komunikaci mezi klientem a serverem ale
> prohánějte šifrovaným kanálem (ldaps, port 636). V rámci toho
> ochráníte před zneužitím i heslo.
>
> Pro server budete potřebovat certifikát, ať už self-signed nebo nějaký
> lepší. V konfiguraci openldap klienta si nastavte, jak moc server a
> jeho certifikát prověřujete nebo ignorujete
> (/usr/local/etc/openldap/ldap.conf, TLS_REQCERT, TLS_CACERT).
>
> V určitých ldap kruzích se nedoporučuje komunikovat zabezpečeně na
> portu 636 (označováno též jako SSL). Místo toho upřednostňují navázat
> spojení nezabezpečeně na ldap port 389, a poté překlopit do
> zabezpečené šifrované podoby. V té souvislosti se to zkráceně označuje
> jako STARTTLS nebo TLS komunikace. Osobně je mi to proti mysli. Můžete
> ale potkat aplikace, které umějí jen jednu z obou variant.
>
> S pozdravem,
> Martin Bílý
>
--
S pozdravem Vilem Kebrt
email: vilem.kebrt at gmail.com
--
FreeBSD mailing list (users-l at freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
More information about the Users-l
mailing list