RE: OpenLDAP - začátečnická rada

Bc. Tomáš Skočdopole | IT-BOX s.r.o. tomas.skocdopole at it-box.cz
Mon Oct 31 16:43:59 CET 2016


Zdravim, 

Dekuji vsem za reakce!

Takze jestli tomu dobre rozumim, mam zatim uvazovat pouze o ldaps na portu 636 pripadne povolit TLS na standardnim portu. Eventuelne, kdyz uz bych to chtel mit echt-gold, tak akorat pridat k OpenLDAPu nadstavbu SASL. Dival jsem se ze ten SASL se pouziva hodne ve spojeni s Postfixem, Cyrusem,... 

Me staci pouze jednotne prihlaseni ke stroji a do webovych aplikaci.

No jsem zvedav, kolik me jeste ceka s touhle veci utrap nez to dotahnu do konce. Urcite budu muset jeste nejak poresit, aby se definovalo, ke kterym strojum se budou smet uzivatele prihlasit a ke kterym nebudou. 

Tak hezky zbytek dne!
Tomas S.

-----Původní zpráva-----
Od: Users-l [mailto:users-l-bounces at freebsd.cz] za uživatele Vilem Kebrt
Odesláno: 31 October 2016 15:23
Komu: users-l at freebsd.cz
Předmět: Re: OpenLDAP - začátečnická rada

Vzhledem k tomu , ze sasl byva posledni dobou temer "vynucovan" na vsech implementacich ktere kde vidim, nejsem si jistej zda tve reseni je "jednodussi".

Jinak z RFC2222 :

 The Simple Authentication and Security Layer (SASL) is a method for
   adding authentication support to connection-based protocols.  To use
   this specification, a protocol includes a command for identifying and
   authenticating a user to a server and for optionally negotiating a
   security layer for subsequent protocol interactions.

Imho tvoris kolo tam kde je hotovy vozidlo, ale v ramci zjednoduseni budiz.
Jinak radsi doplnim bleskem informaci nez me stihnete sepsout za nepresnosti :
OpenLdap = otevrena implementace protokolu LDAP (Lightweight Directory Access Protocol), takze je to protokol pro komunikaci s tim DIRECTORY (Jeho odlehcena verze).
Jinak pro dotazujiciho, jeden z nejcasteji vyuzivanych mechanismu je LDAP komunikace s AD (nebot Active Directory [ tfuj tfuj tfuj, nemam rad mrkvosoft, ale musel jsem] neni nic jineho nez mrkvosofti implementace toho directory).
Hadam ze konkretne tam casem miri tve usili :-) Vilem

On 10/31/2016 03:09 PM, Martin Bily wrote:
> Zdravím vespolek,
>
> já bych to zjednodušil do polopatistické podoby: Zapomeňte zpočátku na 
> všechny SASL metody, Kerbera atd. Používejte autentizaci heslem v jeho 
> plain-text podobě. Veškerou komunikaci mezi klientem a serverem ale 
> prohánějte šifrovaným kanálem (ldaps, port 636). V rámci toho 
> ochráníte před zneužitím i heslo.
>
> Pro server budete potřebovat certifikát, ať už self-signed nebo nějaký 
> lepší. V konfiguraci openldap klienta si nastavte, jak moc server a 
> jeho certifikát prověřujete nebo ignorujete 
> (/usr/local/etc/openldap/ldap.conf, TLS_REQCERT, TLS_CACERT).
>
> V určitých ldap kruzích se nedoporučuje komunikovat zabezpečeně na 
> portu 636 (označováno též jako SSL). Místo toho upřednostňují navázat 
> spojení nezabezpečeně na ldap port 389, a poté překlopit do 
> zabezpečené šifrované podoby. V té souvislosti se to zkráceně označuje 
> jako STARTTLS nebo TLS komunikace. Osobně je mi to proti mysli. Můžete 
> ale potkat aplikace, které umějí jen jednu z obou variant.
>
> S pozdravem,
>    Martin Bílý
>

-- 

S pozdravem Vilem Kebrt
email: vilem.kebrt at gmail.com



--
FreeBSD mailing list (users-l at freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l



More information about the Users-l mailing list