LDAP, NIS, TLS

[Antonis Christofides]

> Καλωσόρισες στο μαγευτικό αλλά και χαοτικό κόσμο του LDAP.

Ευχαριστώ, βοήθησαν πολύ αυτά τα κείμενα.  Έχω πορωθεί καθώς
διαπιστώνω ότι το LDAP κάνει και πίπες, αλλά βέβαια θέλει πολλή
προσπάθεια για να φτάσεις ως εκεί.

Απορία: Θέλω το LDAP μεταξύ άλλων να αντικαταστήσει το NIS.  Αν έχω
καταλάβει καλά, ο client θα ζητήσει από τον LDAP server να του βρει
ένα entry με το συγκεκριμένο uid (user name), και να του δώσει το
(md5-encrypted) password.  Ακολούθως ο client θα κάνει md5 encryption
στο password που πληκτρολόγησε ο χρήστης και θα το συγκρίνει με το
password που έλαβε από το server.  (Υποθέτω πως αυτό θα γίνει με το
pam-ldap). Καλά το κατάλαβα;

Το θέμα τώρα είναι το εξής: Ας υποθέσουμε ότι θέλω η επικοινωνία
ανάμεσα client-server να είναι κρυπτογραφημένη, με TLS.  Έχω ήδη ένα
self-signed certificate (για το web), έχω κάνει όλες τις ρυθμίσεις
στον server και στον client ώστε να το αποδεχτούν παρόλο που είναι
self signed, αλλά επειδή το certificate έχει εκδοθεί για τον
www.itia.ntua.gr, αν προσπαθήσω να συνδεθώ αντ' αυτού στο
ldap.itia.ntua.gr (που είναι το ίδιο μηχάνημα), τότε ο client
τσαντίζεται και λέει ότι δεν παίζει γιατί το certificate είναι για
άλλο μηχάνημα.  Τι σημαίνει αυτό; Πρέπει για κάθε LDAP server (αν
υποθέσουμε ότι έχω ρέπλικες) να βγάζω άλλο certificate;

Μήπως το να είναι κρυπτογραφημένη η σύνδεση είναι overkill, εφόσον τα
passwords φαίνεται να κυκλοφορούν σε md5 μέσα στο δίχτυ; Ή θα
θεωρούσατε ότι γίνομαι ευάλωτος σε επιθέσεις με λεξικά και πως η
κρυπτογράφηση επιβάλλεται;