Zdravim, Dekuji vsem za reakce!
Takze jestli tomu dobre rozumim, mam zatim uvazovat pouze o ldaps na portu 636 pripadne povolit TLS na standardnim portu. Eventuelne, kdyz uz bych to chtel mit echt-gold, tak akorat pridat k OpenLDAPu nadstavbu SASL. Dival jsem se ze ten SASL se pouziva hodne ve spojeni s Postfixem, Cyrusem,... Me staci pouze jednotne prihlaseni ke stroji a do webovych aplikaci. No jsem zvedav, kolik me jeste ceka s touhle veci utrap nez to dotahnu do konce. Urcite budu muset jeste nejak poresit, aby se definovalo, ke kterym strojum se budou smet uzivatele prihlasit a ke kterym nebudou. Tak hezky zbytek dne! Tomas S. -----Původní zpráva----- Od: Users-l [mailto:[email protected]] za uživatele Vilem Kebrt Odesláno: 31 October 2016 15:23 Komu: [email protected] Předmět: Re: OpenLDAP - začátečnická rada Vzhledem k tomu , ze sasl byva posledni dobou temer "vynucovan" na vsech implementacich ktere kde vidim, nejsem si jistej zda tve reseni je "jednodussi". Jinak z RFC2222 : The Simple Authentication and Security Layer (SASL) is a method for adding authentication support to connection-based protocols. To use this specification, a protocol includes a command for identifying and authenticating a user to a server and for optionally negotiating a security layer for subsequent protocol interactions. Imho tvoris kolo tam kde je hotovy vozidlo, ale v ramci zjednoduseni budiz. Jinak radsi doplnim bleskem informaci nez me stihnete sepsout za nepresnosti : OpenLdap = otevrena implementace protokolu LDAP (Lightweight Directory Access Protocol), takze je to protokol pro komunikaci s tim DIRECTORY (Jeho odlehcena verze). Jinak pro dotazujiciho, jeden z nejcasteji vyuzivanych mechanismu je LDAP komunikace s AD (nebot Active Directory [ tfuj tfuj tfuj, nemam rad mrkvosoft, ale musel jsem] neni nic jineho nez mrkvosofti implementace toho directory). Hadam ze konkretne tam casem miri tve usili :-) Vilem On 10/31/2016 03:09 PM, Martin Bily wrote: > Zdravím vespolek, > > já bych to zjednodušil do polopatistické podoby: Zapomeňte zpočátku na > všechny SASL metody, Kerbera atd. Používejte autentizaci heslem v jeho > plain-text podobě. Veškerou komunikaci mezi klientem a serverem ale > prohánějte šifrovaným kanálem (ldaps, port 636). V rámci toho > ochráníte před zneužitím i heslo. > > Pro server budete potřebovat certifikát, ať už self-signed nebo nějaký > lepší. V konfiguraci openldap klienta si nastavte, jak moc server a > jeho certifikát prověřujete nebo ignorujete > (/usr/local/etc/openldap/ldap.conf, TLS_REQCERT, TLS_CACERT). > > V určitých ldap kruzích se nedoporučuje komunikovat zabezpečeně na > portu 636 (označováno též jako SSL). Místo toho upřednostňují navázat > spojení nezabezpečeně na ldap port 389, a poté překlopit do > zabezpečené šifrované podoby. V té souvislosti se to zkráceně označuje > jako STARTTLS nebo TLS komunikace. Osobně je mi to proti mysli. Můžete > ale potkat aplikace, které umějí jen jednu z obou variant. > > S pozdravem, > Martin Bílý > -- S pozdravem Vilem Kebrt email: [email protected] -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
