abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 16:00 | Nová verze

Byla vydána OpenMandriva Lx 4.0. Nejnovější verze této linuxové distribuce přináší například Linux 5.1.9, KDE Plasma 5.15.5, KDE Frameworks 5.58.0, KDE Applications 19.04.1, Qt Framework 5.12.3, systemd 242, LLVM/clang 8.0.1 a Java 12. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
15.6. 16:55 | Bezpečnostní upozornění

V editorech Vim a Neovim byla nalezena a opravena bezpečnostní chyba CVE-2019-12735. Funkce modeline umožňovala při otevření souboru spustit libovolný příkaz. Chyba byla opravena v upstream verzích Vim 8.1.1365 a Neovim 0.3.6.

Ladislav Hagara | Komentářů: 0
14.6. 23:55 | Nová verze

Byla vydána nová stabilní verze 2.9 svobodné decentralizované mikroblogovací platformy a sociální sítě podobné Twitteru Mastodon (Wikipedie). Přináší především jednosloupcový layout. Detailní přehled novinek na GitHubu. Projekt lze podpořit na Patreonu. Aktuálně má přislíbeno 4 761 dolarů měsíčně.

Ladislav Hagara | Komentářů: 0
14.6. 16:11 | Nová verze

Byla vydána první stabilní verze 1.0 decentralizovaného protokolu pro komunikaci v reálném čase Matrix (Wikipedie) a také verze 1.0 jeho referenční implementace Synapse. Současně byla oficiálně představena zastřešující nadace Matrix.org Foundation. Protokol Matrix je využíván například komunikátorem Riot.

Ladislav Hagara | Komentářů: 1
13.6. 13:33 | IT novinky

Microsoft oznámil, že v květnu představený Windows Subsystem for Linux (WSL) ve verzi 2 s jádrem Linux 4.19 je již k dispozici pro uživatele zapojené do programu Windows Insider. Podrobnosti v aktualizované dokumentaci.

Ladislav Hagara | Komentářů: 24
13.6. 09:55 | Nová verze

Byla vydána nová stabilní verze 2.10.12 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP. Přehled novinek i s náhledy v oznámení o vydání a v souboru NEWS na GitLabu. Zmínit lze vylepšení nástroje Křivky (YouTube) nebo podporu vrstev při exportu do formátu TIFF.

Ladislav Hagara | Komentářů: 0
12.6. 23:11 | Nová verze

Byla vydána nová major verze 2.0 (aktuálně 2.0.3) svobodného multiplatformního BitTorrent klienta Deluge (Wikipedie). Přehled novinek v poznámkách k vydání. Zdůraznit lze migraci na Python 3 a GTK 3.

Ladislav Hagara | Komentářů: 4
12.6. 22:33 | Komunita

CERN (Evropská organizace pro jaderný výzkum) představil svůj projekt MAlt (Microsoft Alternatives). Cílem projektu je nahradit používaný software od Microsoftu alternativami. Důvod je nasnadě. Pro Microsoft přestal být CERN akademickou institucí a poplatky za licence tak od března letošního vzrostly více než desetinásobně [reddit].

Ladislav Hagara | Komentářů: 9
12.6. 17:00 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostním problému RAMBleed (CVE-2019-0174). Jedná se o útok postranním kanálem na DRAM (Dynamic Random Access Memory) vycházející z útoku Rowhammer. Útočník může číst bity v paměti bez přístupu k nim.

Ladislav Hagara | Komentářů: 0
11.6. 23:55 | Komunita

Dle plánu byl měl Debian 10 s kódovým názvem Buster vyjít v sobotu 6. července. Po celém světě se začínají plánovat Release Parties.

Ladislav Hagara | Komentářů: 19
Jakou verzi jádra Linux typicky používáte na osobním počítači?
 (17%)
 (21%)
 (55%)
 (3%)
 (3%)
Celkem 258 hlasů
 Komentářů: 8, poslední 15.6. 18:14
Rozcestník

LDAP + SSL TLS aneb jak se zbavit naivity

1.1.2013 19:46 | Přečteno: 1409× | Debian | Výběrový blog

První komentář pod mým včerejěím zápiskem zněl: LDAP bez SSL/TLS? Jak naivni.. I když byl tento názor relativizován, rozhodl jsem se po Maxově pošťouchnutí SSL trochu poškádlit, což se ukázalo jako ne až tak triviální jak by se mohlo Maxovi zdát ;-)

SSL/TLS na straně serveru ...

Celkem jednoduchý postup se dá v jazyce anglickém vygůglit. V principu potřebujeme vytvořit certifikační autoritu, vygenerovat a podepsat klíč a nacpat to do LDAPu. Ty návody jsou fakt dobré, jediný problém na který jsem narazil byl "drobný detail", že certifikát je vázaný na konkrétní hostname/FQDN/IP. Pokud jsme si tedy chytře všude nastavili (z rozumných důvodů) natvrdo IP adresy místo DNS, překvapivě nebude fungovat certifikát, který je vystaven na FQDN. Ale jak říkám, když člověk není blbej, tak dojít do fáze, kdy funguje sudo ldapsearch -x není problém ;-). Jo a není špatné nezapomenout zkopírovat všechny tři soubory ;-).

... a na straně klienta

Konfifurace LDAPu znamená do /etc/ldap/ldap.conf opravit ldap:// na ldaps:// a přidat:
TLS_CACERT /etc/ssl/certs/cacert.pem
TLS_REQCERT demand
Mimochodem, není špatné ze serveru rozdistribuovat cacert.pem ;-) V tomto okamžiku nám funguje ldapsearch, ale nepropagují se ale uživatelské účty (passwd atd). Stálo mne docela dost úsilí to rozchodit, takže předkládám výsledek své snahy: o výše uvedené se stará démon nslcd, jehož konfiguraci naleznete v /etc/nslcd.conf. Rad jak tento soubor upravit je plný internet, většina nápadů ale nefunguje. Nakonec jsem dospěl k této funkční konfiguraci (nemusím řešit problémy s nepodepsaným klíčem, protože máme přeci naši úžasnou autoritu, že ...):
# /etc/nslcd.conf

# The user and group nslcd should run as.
uid nslcd
gid nslcd

# The search base that will be used for all queries.
base dc=nase,dc=uzasna-domena,dc=cz

uri                             ldaps://ldapserver/
# SSL options
tls_reqcert                     allow
timelimit                       120
idle_timelimit                  3600
bind_timelimit                  120
ssl                             on
tls_cacert /etc/ssl/certs/cacert.pem
... jo a nezapomeňte správně nastavit práva (-rw-r----- 1 root nslcd čili chmod 640, chown i chgrp), /etc/ssl/certs/cacert.pem musí mít práva 644 (-rw-r--r--). Po restartu démona (/etc/init.d/nslcd restart) stěrače stírají.

Příště uvidíte ...

Nový Rok i dovolená končí, takže nevím, kdy přesně bude "příště", nicméně když už to všechno celkem chodí, tak ještě PAM zaslouží trochu doladit. ldots ukazuje nastavení PAM pro gdm, čehož výsledkem by byli (snad) LDAPí uživatelé dostupní i v GDM menu. Dále je v mém úkoláčku zjistit jak je možno učinit LDAP uživatele neaktivním aniž bych ho vymazal, jestli je možné řídit přístup na jednotlivé stroje podle skupin a vyzkoušet doporučený LDAP klient.        

Hodnocení: 100 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

1.1.2013 23:14 Miriam
Rozbalit Rozbalit vše Re: LDAP + SSL TLS aneb jak se zbavit naivity
Líbí se mi, že o tom co děláš píšeš pěkné blogové zápisky. Doufám, že v tom budeš pokračovat a i když nebude dovolená, nějaký čas se najde.
2.1.2013 21:36 Karel Benák | skóre: 8 | blog: benyho
Rozbalit Rozbalit vše Re: LDAP + SSL TLS aneb jak se zbavit naivity
Ty jsi se tedy rozjel, všechna čest. S LDAP + TLS jsem svého času taky hodně zápasil, na rozkopírování CA certifikátu jsem Tě zapomněl upozornit. Je to taková blbost, která mnohé zablokuje. Několikrát jsem na podobnou pitominu už dojel.

S tím disablováním uživatelů .... většinou vyhledáváš v nějaké větvi uživatelů, takže řešením je buď disablovaného uživatele přesunout do jiné větve, anebo můžeš nastavit pro pravidla vyhledávání, že musí mít vyplněn atribut member. Samozřejmě si můžeš nadefinovat nějaké vlastní schema s doplněním požadovaných informací a provádět vyhledávání uživatele podle něj.
Láska je jako prd, když hodně tlačiš tak z toho bude ...
ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.