tvrzeni, ze samba, openldap .... nepracuje dobre se selfsigned certifikaty je zavadejici.
konkretne openldap s nimi pracuje stejne dobre jako s ostatnimi.
jen je treba precist man stranku a udelat spravne konfiguraci.
na strane serveru k tomuto slouzi direktiva TLSCACertificateFile. podivejte se do slapd.conf(5)
na strane klienta je to TLS_CACERT - viz ldap.conf(5)
allow bind_v2 neznamena "abyste mohli používat LDAP funkce PHP" ale "abyste mohli pouzit klienty, kteri neumi komunikovat protokolem LDAPv3 (pouzivaji LDAPv2) - pro doplneni je to napriklad Cisco VPN koncentrator a dalsi.
dale bych take doplnil, ze uzivatele root a "systemove uzivatele a skupiny (adm,bin, ...atd)
do LDAP nedavejte. ve chvili, kdy vam nebude dosazitelna adresarova sluzba, mate system mrtvy. tito uzivatele a skupiny musi zustat v /etc/{passwd,shadow,group,gshadow}
rootdn uzivatel v /etc/passwd NENI. navic tuto identitu je doporuceno v ostrem provozu nepouzivat. nevztahuji se na ni nastavena ACL. rootdn ma absolutni prava nad adresarovym stromem. To je pomerne zasadni a v clanku chybi. Navic tato identita "zije" pouze v slapd.conf v databazi neni. a to je dalsi dulezita vec.
v konfiguraci pam_ldap bych udelal lepsi filtr. takhle se vam stane, ze jakykoli uzivatel v LDAP (rozumeno jakykoli inetOrgPerson uzivatel, ktereho jste importoval) bude mit moznost pristoupit na vsechny servery zapojene do LDAP. a to asi neni zadouci, ze?
podobnych konfiguraci jsem delal mnoho, mate-li zajem, muzeme to probrat. sezenete me na jabberu jako matlas@jabber.cz
1) Sebou podepsane certifikaty jsou MENE bezpecne, nez podepsane (byt fiktivni) certifikacni autoritou. Krome toho, "SI NON CONFECTUS, NON REFICIAT" -- co funguje, neopravuj. Proste sebou podepsany certifikat vygenerovany libovolnym z doporucovanych zpusobu zpusoboval konflikty se Sambou. Nekdy to slo, nekdy ne, chyba bude asi v knihovne nss_ldap, ale netusim proc (nejsem programator). Dulezie je, ze pri naprosto stejne konfiguraci mi certifikat podepsany fiktivni autoritou fungoval bezvadne.
2) u allow bind_v2 se vloudila chybka. V tom komentari melo stat "napriklad LDAP funkce PHP". Nekdy je didakticke nektere teze predlozit jako axiom nebo namet k vlastnim experimentum.
3) doporuceni vymazat uzivatele root a dulezitych skupin ze stromu bude uvedeno v dalsich dilech. Ostatne pri nastaveni podle clanku pri vypadku LDAPu se autentizuje pres soubory.
4) domnival jsem se, ze z textu vyplyne, ze rootdn muze s adresarovym stromem delat cokoli, stejne tak, ze neni v databazi (tam smeroval i kontrolni vypis).
5) jak jsem se zminil, jedna se o zpusob, jak ZPROVOZNIT, nikoli zabezpecit LDAP. Prozatim predpokladejme, ze se vsichni uzivatele mohou prihlasovat na vsechny servery.
ad 1. nerekl jsem ze jsou nebo nejsou bezpecnejsi. to zalezi na spouste dalsich veci napr. kde je podepisovaci privatni klic fiktivni ca - pokud je na stejnem stroji, je bezpecost uplne stejna jako u selfsigned. komentoval jsem tvrzeni, ze to nepracuje dobre.
ad 3. vyuziti adresarove sluzby se dela zejmena proto, abyste si usnadnil spravu.
rozumim tomu dobre, ze v souborech vsechny ucty ponechavate? proboha proc?
ad 5. ono to neni o zabezpeceni LDAP je to spis o rizeni pristupu.
skutecne u vas maji vsichni pristup vsude?
tim, ze omezite uzivatelum pristup pouze na systemu, na ktere jej potrebuji a ostani jim zakazete LDAP nijak nezabezpecite.
nic ve zlem, jen jsem popsal co mi ve clanku schazelo.
<sigh>root.cz uz mival i vyssi uroven</sigh>
Nepisu clanek pro profesionaly, pisu clanek pro zacatecniky. Tudiz nemohu zabihat do podrobnosti a nevyhnu se urcite generalizaci. Co se tyce uctu v souborech a rizeni pristupu, na zacatku jsem zminil, ze se jedna o experimentalni instalaci a serialovy clanek. Kdyz si pockate, dockate se.
Jeste ad 5: nejde o bezpecnost LDAPu, ale o bezpecnost sluzeb a pocitacu, ktere LDAP k autentizaci pouzivaji.