Vlákno názorů k článku Poznámky k LDAP od Matlas - tvrzeni, ze samba, openldap .... nepracuje dobre se...

  • Článek je starý, nové názory již nelze přidávat.
  • 30. 8. 2006 8:47

    Matlas (neregistrovaný)
    tvrzeni, ze samba, openldap .... nepracuje dobre se selfsigned certifikaty je zavadejici.
    konkretne openldap s nimi pracuje stejne dobre jako s ostatnimi.
    jen je treba precist man stranku a udelat spravne konfiguraci.
    na strane serveru k tomuto slouzi direktiva TLSCACertificateFile. podivejte se do slapd.conf(5)
    na strane klienta je to TLS_CACERT - viz ldap.conf(5)

    allow bind_v2 neznamena "abyste mohli používat LDAP funkce PHP" ale "abyste mohli pouzit klienty, kteri neumi komunikovat protokolem LDAPv3 (pouzivaji LDAPv2) - pro doplneni je to napriklad Cisco VPN koncentrator a dalsi.

    dale bych take doplnil, ze uzivatele root a "systemove uzivatele a skupiny (adm,bin, ...atd)
    do LDAP nedavejte. ve chvili, kdy vam nebude dosazitelna adresarova sluzba, mate system mrtvy. tito uzivatele a skupiny musi zustat v /etc/{passwd,shadow,group,gshadow}

    rootdn uzivatel v /etc/passwd NENI. navic tuto identitu je doporuceno v ostrem provozu nepouzivat. nevztahuji se na ni nastavena ACL. rootdn ma absolutni prava nad adresarovym stromem. To je pomerne zasadni a v clanku chybi. Navic tato identita "zije" pouze v slapd.conf v databazi neni. a to je dalsi dulezita vec.

    v konfiguraci pam_ldap bych udelal lepsi filtr. takhle se vam stane, ze jakykoli uzivatel v LDAP (rozumeno jakykoli inetOrgPerson uzivatel, ktereho jste importoval) bude mit moznost pristoupit na vsechny servery zapojene do LDAP. a to asi neni zadouci, ze?

    podobnych konfiguraci jsem delal mnoho, mate-li zajem, muzeme to probrat. sezenete me na jabberu jako matlas@jabber.cz
  • 30. 8. 2006 10:02

    anonymní
    1) Sebou podepsane certifikaty jsou MENE bezpecne, nez podepsane (byt fiktivni) certifikacni autoritou. Krome toho, "SI NON CONFECTUS, NON REFICIAT" -- co funguje, neopravuj. Proste sebou podepsany certifikat vygenerovany libovolnym z doporucovanych zpusobu zpusoboval konflikty se Sambou. Nekdy to slo, nekdy ne, chyba bude asi v knihovne nss_ldap, ale netusim proc (nejsem programator). Dulezie je, ze pri naprosto stejne konfiguraci mi certifikat podepsany fiktivni autoritou fungoval bezvadne.

    2) u allow bind_v2 se vloudila chybka. V tom komentari melo stat "napriklad LDAP funkce PHP". Nekdy je didakticke nektere teze predlozit jako axiom nebo namet k vlastnim experimentum.

    3) doporuceni vymazat uzivatele root a dulezitych skupin ze stromu bude uvedeno v dalsich dilech. Ostatne pri nastaveni podle clanku pri vypadku LDAPu se autentizuje pres soubory.

    4) domnival jsem se, ze z textu vyplyne, ze rootdn muze s adresarovym stromem delat cokoli, stejne tak, ze neni v databazi (tam smeroval i kontrolni vypis).

    5) jak jsem se zminil, jedna se o zpusob, jak ZPROVOZNIT, nikoli zabezpecit LDAP. Prozatim predpokladejme, ze se vsichni uzivatele mohou prihlasovat na vsechny servery.
  • 30. 8. 2006 10:32

    Matlas (neregistrovaný)
    ad 1. nerekl jsem ze jsou nebo nejsou bezpecnejsi. to zalezi na spouste dalsich veci napr. kde je podepisovaci privatni klic fiktivni ca - pokud je na stejnem stroji, je bezpecost uplne stejna jako u selfsigned. komentoval jsem tvrzeni, ze to nepracuje dobre.

    ad 3. vyuziti adresarove sluzby se dela zejmena proto, abyste si usnadnil spravu.
    rozumim tomu dobre, ze v souborech vsechny ucty ponechavate? proboha proc?

    ad 5. ono to neni o zabezpeceni LDAP je to spis o rizeni pristupu.
    skutecne u vas maji vsichni pristup vsude?
    tim, ze omezite uzivatelum pristup pouze na systemu, na ktere jej potrebuji a ostani jim zakazete LDAP nijak nezabezpecite.

    nic ve zlem, jen jsem popsal co mi ve clanku schazelo.
    <sigh>root.cz uz mival i vyssi uroven</sigh>
  • 30. 8. 2006 11:29

    Zbyněk Hubínka
    Nepisu clanek pro profesionaly, pisu clanek pro zacatecniky. Tudiz nemohu zabihat do podrobnosti a nevyhnu se urcite generalizaci. Co se tyce uctu v souborech a rizeni pristupu, na zacatku jsem zminil, ze se jedna o experimentalni instalaci a serialovy clanek. Kdyz si pockate, dockate se.

    Jeste ad 5: nejde o bezpecnost LDAPu, ale o bezpecnost sluzeb a pocitacu, ktere LDAP k autentizaci pouzivaji.