LDAP snadno a rychle (diskuse)

LDAP bez SSL/TLS? Jak naivni.

31.12.2012 13:50 Karel Benák | skóre: 8 | blog: benyho
Rozbalit Rozbalit vše Re: LDAP snadno a rychle

Na vnitřní síti bych se toho zase tolik nebál a jako výraznou chybu bych to neoznačil.

Láska je jako prd, když hodně tlačiš tak z toho bude ...

31.12.2012 13:57 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: LDAP snadno a rychle

Pokud je to malá síť a člověk jí má celou pod palcem, lze to ještě částečně akceptovat, ale spíš bych se tomu stejně vyhnul. Rozjet ssl je to nejmenší.
Zdar Max

Měl jsem sen ... :(

31.12.2012 14:21 Georgius | skóre: 24 | blog: jirka
Rozbalit Rozbalit vše Re: LDAP snadno a rychle

Díky za povzbuzení, zkusil jsem klasicky vytvořit certifikační autoritu, vygenerovat certifikáty a nacpat je do LDAPu, LDAPS jsem rozjel (ldapsearch -x funguje), narazil jsem ale při snaze přesvědčit nslcd aby komunikoval přes ldaps, V configu mám tohle:

# /etc/nslcd.conf
# nslcd configuration file. See nslcd.conf(5)
# for details.

# The user and group nslcd should run as.
uid nslcd
gid nslcd

# The location at which the LDAP server(s) should be reachable.
#edited
uri ldaps://ldapserver:636/

# The search base that will be used for all queries.
base dc=XXXXX


# SSL options
#ssl off
ssl on
ssl start_tls
tls_reqcert never
#tls_reqcert never

# The search scope.
#scope sub

.. a v logu toto. Co s tím ?

Dec 31 14:16:55 client nslcd[23002]: [8b4567] <passwd(all)> ldap_start_tls_s() failed (uri=ldaps://ldapserver:636/): Operations error: TLS already started
Dec 31 14:16:55 client nslcd[23002]: [8b4567] <passwd(all)> failed to bind to LDAP server ldaps://ldapserver:636/: Operations error: TLS already started
Dec 31 14:16:55 client nslcd[23002]: [8b4567] <passwd(all)> no available LDAP server found, sleeping 1 seconds

Bude to nejspíš nějaká kravina, prosím o radu !

31.12.2012 23:25 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: LDAP snadno a rychle

Hadam, ze chyba je tady:
ssl on
ssl start_tls

31.12.2012 23:26 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: LDAP snadno a rychle

A taky vestim, ze budes mit problem s cn certifikatu.

Zkus http://directory.apache.org/studio/ - z toho co jsem zatím zkoušel mi to přijde nejpoužitelnější. Miloval jsem gq, se skřípěním jsem přijal Lumu. PHPLDAPAdmin jsem nepřekousnul. Ale Apache Directory Studio je docela fajn a pokud pracuješ s Eclipse, můžeš to mít jako formu pluginu.

Co se správy hesel týče, s těmi byla vždycky sranda a docela to závisí na distribuci. Jo a jinak jde udělat to, že DNS a DHCP si tahá záznamy z LDAPu ;-)

Láska je jako prd, když hodně tlačiš tak z toho bude ...

31.12.2012 18:52 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: LDAP snadno a rychle

Jo, tahle dvojice od Apache je fakt dobrá. Používal jsem ji i při psaní článku o využití LDAP na poštovním serveru. Akorát jsou to děsné "mlátičky", nenažrané na paměť.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

2.1.2013 21:36 Karel Benák | skóre: 8 | blog: benyho
Rozbalit Rozbalit vše Re: LDAP snadno a rychle

Vždyť to jede na Javě :-D

Láska je jako prd, když hodně tlačiš tak z toho bude ...

3.1.2013 12:27 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: LDAP snadno a rychle

To je jeden z důvodů paměťové náročnosti, ale ne jediný.

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly