Re: autenticazione ldaps
Mandi! Paride Desimone In chel di` si favelave... > Qualcuno per caso conosce opensuse e sa come poter farem o ha > suggerimenti? ...non conosco OpenSUSE, ma non credo che ci sia molta differenza; al di la dei diversi modi di configurare le cose le cose da fare sono sempre quelle: installare i moduli LDAP per PAM e NSS (ed eventuali servizia contorno, come nslcd se necessario), configurre PAM, configurare nsswitch.conf. -- Con Windows sei in vacanza: ti diverti senza pensare a ciò che fai, ma dopo un po' finisce. In Linux entri nella vita reale: Devi tirar fuori le palle!(Alain Modolo)
Re: autenticazione ldaps
Il 30-01-2024 14:11 Paride Desimone ha scritto: Buongiorno. Ho tirato su un server ldap su ubuntu ultima lts (su debian 12 non è possibile perché mancano dei pacchetti inquanto non c'è un mantainer). Seguendo i Vs suggerimenti sono riuscito a tirar su il server ed un client con ubuntu, che mi crea automaticamente la home directory dell'utente ldap al primo collegamento. Ora sto provando a configurare un client con opensuse, ma non si riesce a venire a capo della cosa. Qualcuno per caso conosce opensuse e sa come poter farem o ha suggerimenti? /paride -- https://keyserver.gnupg.org/pks/lookup?op=get=0xf14cd648d16d33c82a7d2ac778c59a24690431d3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755)
R: autenticazione ldaps
> Uhm, ho risolto impostandolo a never, ma anche copiando la CA, senza il never > mi dava problemi. Anche a me è successo questo tipo di problema tempo fa e ricordo di aver fatto questo: la modalità corretta con Debian per aggiungere una CA al "Truststore" (cioè al file ca-certificates.crt dentro /etc/ssl/certs) è la seguente: Da utente con permessi di root, si mette il file del certificato pubblico della CA nella directory /usr/local/share/ca-certificates Il file deve essere in formato BASE64 e con estensione .crt Poi si lancia il comando update-ca-certificates in questo modo il certificato in questione verrà aggiunto al truststore completo. Ciao
Re: autenticazione ldaps
Mandi! Paride Desimone In chel di` si favelave... > Uhm, ho risolto impostandolo a never, ma anche copiando la CA, senza il never > mi dava problemi. Come hai copiato la CA? -- Stanno arrivando da lontano con il futuro nella mano sotto la pioggia (A. Venditti)
Re: autenticazione ldaps
Il 05/02/2024 07:55, Paride Desimone ha scritto: Esatto. Libssl by default verifica ilcertificato, quindi o disabiliti la verifica con 'TLS_REQCERT never', oppure distribuisci la Ca con cui è stato generato il certificato di slapd. Uhm, ho risolto impostandolo a never, ma anche copiando la CA, senza il never mi dava problemi. Brutto segno, vuol dire che c'è qualcosa che non va col certificato. Può essere un problema che aspetta solo di esploderti in faccia in futuro, facendoti poi perdere settimane a cercare la soluzione nel posto sbagliato... -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: autenticazione ldaps
Il 2 febbraio 2024 12:21:59 UTC, Marco Gaiarin ha scritto: >Mandi! Piviul > In chel di` si favelave... >Esatto. Libssl by default verifica ilcertificato, quindi o disabiliti la >verifica con 'TLS_REQCERT never', oppure distribuisci la Ca con cui è stato >generato il certificato di slapd. Uhm, ho risolto impostandolo a never, ma anche copiando la CA, senza il never mi dava problemi. /paride -- Inviato dal mio dispositivo Android con K-9 Mail. Perdonate la brevità.
Re: autenticazione ldaps
Il 02/02/2024 13:21, Marco Gaiarin ha scritto: Ricordo che in passato avevo avuto un problema similare e il problema era dovuto al fatto che il certificato del server era autofirmato. Non ricordo bene cosa abbia fatto ma credo solo di avere inserito in /etc/ldap/ldap.conf del client TLS_REQCERT never Esatto. Libssl by default verifica ilcertificato, quindi o disabiliti la verifica con 'TLS_REQCERT never', oppure distribuisci la Ca con cui è stato generato il certificato di slapd. La seconda soluzione è *nettamente* più sicura. La prima rende inutile lavorare in ldaps e tanto varrebbe usare ldap in chiaro (un attaccante può fare MITM col solo sforzo extra di generarsi un certificato autofirmato...). -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: autenticazione ldaps
Mandi! Piviul In chel di` si favelave... > Ricordo che in passato avevo avuto un problema similare e il problema > era dovuto al fatto che il certificato del server era autofirmato. Non > ricordo bene cosa abbia fatto ma credo solo di avere inserito in > /etc/ldap/ldap.conf del client TLS_REQCERT never Esatto. Libssl by default verifica ilcertificato, quindi o disabiliti la verifica con 'TLS_REQCERT never', oppure distribuisci la Ca con cui è stato generato il certificato di slapd. -- Poor people gonna rise up and get their share poor people gonna rise up and take what's theirs (T. Chapman)
Re: autenticazione ldaps
Il 30-01-2024 14:49 Piviul ha scritto: Ricordo che in passato avevo avuto un problema similare e il problema era dovuto al fatto che il certificato del server era autofirmato. Non ricordo bene cosa abbia fatto ma credo solo di avere inserito in /etc/ldap/ldap.conf del client TLS_REQCERT never Si, è questo. Il problema consisteva nel certificato auto firmato, il quale era indigesto al client. /paride -- https://keyserver.gnupg.org/pks/lookup?op=get=0xf14cd648d16d33c82a7d2ac778c59a24690431d3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755)
Re: autenticazione ldaps
Il 30-01-2024 15:03 Diego Zuccato ha scritto: Il 30/01/2024 15:49, Piviul ha scritto: Ricordo che in passato avevo avuto un problema similare e il problema era dovuto al fatto che il certificato del server era autofirmato. Non ricordo bene cosa abbia fatto ma credo solo di avere inserito in /etc/ldap/ldap.conf del client TLS_REQCERT never In questo caso, una soluzione più sicura sarebbe di aggiungere il certificato autofirmato a quelli accettati da ldap. Con ldaps "raw" non ricordo come si fa, con sssd è solo questione di includere la riga ldap_tls_cacert nella config del dominio. Provo a guardarci. e vi aggiorno. Diego PS: pare che da autistici.org ci siano problemi con DMARC... Ho ricevuto avviso di bounce per la mail di Paride. Uhm, manderò una mail all'assistenza. /paride -- https://keyserver.gnupg.org/pks/lookup?op=get=0xf14cd648d16d33c82a7d2ac778c59a24690431d3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755)
Re: autenticazione ldaps
Il 30/01/2024 15:49, Piviul ha scritto: Ricordo che in passato avevo avuto un problema similare e il problema era dovuto al fatto che il certificato del server era autofirmato. Non ricordo bene cosa abbia fatto ma credo solo di avere inserito in /etc/ldap/ldap.conf del client TLS_REQCERT never In questo caso, una soluzione più sicura sarebbe di aggiungere il certificato autofirmato a quelli accettati da ldap. Con ldaps "raw" non ricordo come si fa, con sssd è solo questione di includere la riga ldap_tls_cacert nella config del dominio. Diego PS: pare che da autistici.org ci siano problemi con DMARC... Ho ricevuto avviso di bounce per la mail di Paride. -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: autenticazione ldaps
On 1/30/24 15:11, Paride Desimone wrote: Buongiorno. Ho tirato su un server ldap su ubuntu ultima lts (su debian 12 non è possibile perché mancano dei pacchetti inquanto non c'è un mantainer). Se faccio un ldapserach su ldaps, ldapi ed ldap dal server tutto ok, stessa storia da un client (ovviamente non ldapi). Ora però ho un problema. Se certo di autenticarmi da un client con un utente in ldap, se lo faccio senza ssl attivo tutto ok, se lo faccio con ssl attivo, non mi autentica dicendomi. nei logo, di non riuscire a comunicare con il server ldap. Qualcuno ha idea su dove poter guardare? Ricordo che in passato avevo avuto un problema similare e il problema era dovuto al fatto che il certificato del server era autofirmato. Non ricordo bene cosa abbia fatto ma credo solo di avere inserito in /etc/ldap/ldap.conf del client TLS_REQCERT never Piviul
autenticazione ldaps
Buongiorno. Ho tirato su un server ldap su ubuntu ultima lts (su debian 12 non è possibile perché mancano dei pacchetti inquanto non c'è un mantainer). Se faccio un ldapserach su ldaps, ldapi ed ldap dal server tutto ok, stessa storia da un client (ovviamente non ldapi). Ora però ho un problema. Se certo di autenticarmi da un client con un utente in ldap, se lo faccio senza ssl attivo tutto ok, se lo faccio con ssl attivo, non mi autentica dicendomi. nei logo, di non riuscire a comunicare con il server ldap. Qualcuno ha idea su dove poter guardare? /paride -- https://keyserver.gnupg.org/pks/lookup?op=get=0xf14cd648d16d33c82a7d2ac778c59a24690431d3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755)