Re: OpenLDAP - začátečnická rada
Jan Jurák
yan.jurak at gmail.com
Sun May 7 04:18:59 CEST 2017
Zdravim pani,
Tohle se nema, ze znovuozivovat stare tema... ale je dost zajimave, tak
jestli muzu opozdene pozadat o nazor: jelikoz AD chce CAL licence pro
soubezne klienty, take jsem nastavil OpenLDAP proxy s tim, ze usetri neco
penez. Schema jsem mel hodne customizovane a kompletne cele v OpenLDAPu.
Pouze se deleguje prihlaseni skrze saslauthd demony. Hesla v OpenLDAP
nejsou a atribut je ve tvaru {SASL}jmeno.prijmeni at domena.nejaka. SASLAthd
mapuje username na DN v AD. OpenDALP ma overlay unique, aby se zajistila
jedinecnost adresy uvedene v atributu password. Behem testu to fungovalo a
motivoval se, ze mit vsude jedine heslo by se mohlo libit, lec o setup
nakonec zajem nebyl. Ale protoze mi chvilku trvalo to nastavit, i tak by me
zajimal nazor zkusenare. Nakolik je tenhle setup bezpecnej/vhodnej pro
bussines. Nasel jsem jen clanky, kde se SASL pouziva pro komunikaci s
clientem.
PS: Dodam, ze TLS je vsude vyzadovany.
PS: Behem sve pouti jsem nabyl laickeho dojmu, ze je to jedno, kdyz tuka
uzivatel heslo v plaintextu do prohlizece a kvalitativni skok spatril az v
kerberovi.
Zdravi
Jan Jurak
Jan Jurák
2016-11-01 19:17 GMT+01:00 Radek Krejča <radek.krejca at starnet.cz>:
> > Nemate nekdo napriklad nejake rozumne schema typu
> > OU=GROUP,DC=<subdomain>,DC=<root> ?
> > Vsude jsem nasel schema typu OU=group,dc=<root>, ale to pro me v celkem
> > oddelenych "domenach" neni uplne pouzitelne.
> > Proste se mi nedari najit/vymyslet schema LDAPu , nemate nekdo nejaky
> > strukturovany navrh ?
> > Mam v tech navaznostech struktur jeste porad trochu hokej, proto se
> > ptam
> > takle blbe.
>
> [Radek Krejča]
> Ahoj, no, ja to tak zacal pouzivat uz pred mnoha lety, kdy jsem jeste
> delal ve statnim sektoru a tehdy jsme se rozhodli do OpenLDAPu nacpat AD
> schema s tim, ze jsme pocitali, ze casem to trebas zmigrujeme na Wokna,
> ktera proste ve statnim sektoru frci. A to se, hlavne diky integraci a take
> v te dobe absenci jakekehokoliv rozumneho administracniho rozhrani, take
> stalo. Fungovalo to vlastne vyborne, pro nase ucely, par set uzivatelu
> (jestli si to dobre pamatuji, tak jsme se dostali nejak ke dvema tisicum,
> ale to bych kecal). Nicmene to slouzilo "jen" pro webove sluzby a intranet.
> Pouzivala se autentizace i autorizace, jen jsem musel casem dodelat cache
> pro skupiny, protoze pri kazdem nacteni sluzeb to nestihalo.
>
> Dnes pouzivam to same, protoze na AD schema jsem zatim sehnal vzdy nejaky
> plugin a nebo proste neco nabastlil, Apache s tim take problem nema.
>
> Ja bych AD nemenil, protoze nikdy nevim, jak se to vyvrbi. Ale verim, ze
> kazdy ma na to jiny nazor.
>
> Radek
>
> --
> FreeBSD mailing list (users-l at freebsd.cz)
> http://www.freebsd.cz/listserv/listinfo/users-l
>
More information about the Users-l
mailing list