LDAP, NIS, TLS

[Pavlos Parissis]

Καλησπέρα,
On Fri, 14 Jul 2006 18:26:27 +0300
Antonis Christofides <anthony at itia.ntua.gr> wrote:

> > Καλωσόρισες στο μαγευτικό αλλά και χαοτικό κόσμο του LDAP.
> 
> Ευχαριστώ, βοήθησαν πολύ αυτά τα κείμενα.  Έχω πορωθεί καθώς
> διαπιστώνω ότι το LDAP κάνει και πίπες, αλλά βέβαια θέλει πολλή
> προσπάθεια για να φτάσεις ως εκεί.
> 
> Απορία: Θέλω το LDAP μεταξύ άλλων να αντικαταστήσει το NIS.  Αν έχω
> καταλάβει καλά, ο client θα ζητήσει από τον LDAP server να του βρει
> ένα entry με το συγκεκριμένο uid (user name), και να του δώσει το
> (md5-encrypted) password.  Ακολούθως ο client θα κάνει md5 encryption
> στο password που πληκτρολόγησε ο χρήστης και θα το συγκρίνει με το
> password που έλαβε από το server.  (Υποθέτω πως αυτό θα γίνει με το
> pam-ldap). Καλά το κατάλαβα;

Ο τρόπος που γίνεται ο έλεγχος του συνθηματικού δεν έχει σχέση με μέσο αποθήκευσης.
H pam βιβλιοθήκη κάνει τη ίδια δουλειά ανεξάρτητα με το μέσο αποθήκευσης των πληροφοριών, LDAP/NIS/local files.

Ο τρόπος που περιέγραψε πρέπει να είναι ο σωστός.
Δεν έχω στήσει ποτέ σε λινυχ LDAP authentication μόνο σε Solaris με sun Directory Server.
Αλλά σίγουρα θα βρεις πληροφορίες για το migrate NIS->LDAP στα λινκ που σου έδωσα.

> 
> Το θέμα τώρα είναι το εξής: Ας υποθέσουμε ότι θέλω η επικοινωνία
> ανάμεσα client-server να είναι κρυπτογραφημένη, με TLS.  Έχω ήδη ένα
> self-signed certificate (για το web), έχω κάνει όλες τις ρυθμίσεις
> στον server και στον client ώστε να το αποδεχτούν παρόλο που είναι
> self signed, αλλά επειδή το certificate έχει εκδοθεί για τον
> www.itia.ntua.gr, αν προσπαθήσω να συνδεθώ αντ' αυτού στο
> ldap.itia.ntua.gr (που είναι το ίδιο μηχάνημα), τότε ο client
> τσαντίζεται και λέει ότι δεν παίζει γιατί το certificate είναι για
> άλλο μηχάνημα.  Τι σημαίνει αυτό; Πρέπει για κάθε LDAP server (αν
> υποθέσουμε ότι έχω ρέπλικες) να βγάζω άλλο certificate;

Το πιστοποιητικό είναι άμεσα συνδεδεμένο με το όνομα του server.
Άρα για κάθε server πρέπει να έχει το δικό του πιστοποιητικό, δες στο mozilla.com 
για περισσότερες πληροφορίες σχετικά.(δεν θυμάμαι το λινκ :( )


> 
> Μήπως το να είναι κρυπτογραφημένη η σύνδεση είναι overkill, εφόσον τα
> passwords φαίνεται να κυκλοφορούν σε md5 μέσα στο δίχτυ; Ή θα
> θεωρούσατε ότι γίνομαι ευάλωτος σε επιθέσεις με λεξικά και πως η
> κρυπτογράφηση επιβάλλεται;

Πάντα είχα TLS και δεν ήταν overkill αλλά πρόσεχε να έχεις την ίδια ώρα σε servers και clients διαφορετικά
θα έχεις προβλήματα. Σε Solaris 9 τα μηνύματα λάθους που είχα λόγο μεγάλης διαφοράς σε χρόνο ήταν κουφά.
Snoop & truss έδωσαν τότε τη λύση.

Επίσης, αν πρόκειται να έχεις πολλά connentions είναι πολύ πιθανόν να έχεις slowdown λόγο της κρυπτογράφησης.
Σε τέτοια περίπτωση μόνο μια crypt-card θα δώσει τη λύση, πότε δεν έτυχε να το κάνω:(.

Παύλος