abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 02:33 | Nová verze

    Po více než roce vývoje od vydání verze 5.40 byla vydána nová stabilní verze 5.42 programovacího jazyka Perl (Wikipedie). Do vývoje se zapojilo 64 vývojářů. Změněno bylo přibližně 280 tisíc řádků v 1 500 souborech. Přehled novinek a změn v podrobném seznamu.

    Ladislav Hagara | Komentářů: 0
    dnes 01:33 | Nová verze

    Byla vydána nová stabilní verze 7.5 webového prohlížeče Vivaldi (Wikipedie). Postavena je na Chromiu 138. Přehled novinek i s náhledy v příspěvku na blogu.

    Ladislav Hagara | Komentářů: 0
    včera 16:33 | Zajímavý software

    Sniffnet je multiplatformní aplikace pro sledování internetového provozu. Ke stažení pro Windows, macOS i Linux. Jedná se o open source software. Zdrojové kódy v programovacím jazyce Rust jsou k dispozici na GitHubu. Vývoj je finančně podporován NLnet Foundation.

    Ladislav Hagara | Komentářů: 0
    včera 12:33 | Nová verze

    Byl vydán Debian Installer Trixie RC 2, tj. druhá RC verze instalátoru Debianu 13 s kódovým názvem Trixie.

    Ladislav Hagara | Komentářů: 0
    včera 03:33 | Komunita

    Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za červen (YouTube).

    Ladislav Hagara | Komentářů: 0
    včera 02:33 | Nová verze

    Libreboot (Wikipedie) – svobodný firmware nahrazující proprietární BIOSy, distribuce Corebootu s pravidly pro proprietární bloby – byl vydán ve verzi 25.06 "Luminous Lemon". Přidána byla podpora desek Acer Q45T-AM a Dell Precision T1700 SFF a MT. Současně byl ve verzi 25.06 "Onerous Olive" vydán také Canoeboot, tj. fork Librebootu s ještě přísnějšími pravidly.

    Ladislav Hagara | Komentářů: 0
    včera 01:33 | Komunita

    Licence GNU GPLv3 o víkendu oslavila 18 let. Oficiálně vyšla 29. června 2007. Při té příležitosti Richard E. Fontana a Bradley M. Kuhn restartovali, oživili a znovu spustili projekt Copyleft-Next s cílem prodiskutovat a navrhnout novou licenci.

    Ladislav Hagara | Komentářů: 0
    2.7. 16:55 | Nová verze

    Svobodný nemocniční informační systém GNU Health Hospital Information System (HIS) (Wikipedie) byl vydán ve verzi 5.0 (Mastodon).

    Ladislav Hagara | Komentářů: 0
    2.7. 16:22 | Komunita

    Open source mapová a navigační aplikace OsmAnd (OpenStreetMap Automated Navigation Directions, Wikipedie, GitHub) oslavila 15 let.

    Ladislav Hagara | Komentářů: 1
    2.7. 11:55 | Zajímavý software

    Vývojář Spytihněv, autor počítačové hry Hrot (Wikipedie, ProtonDB), pracuje na nové hře Brno Transit. Jedná se o příběhový psychologický horor o strojvedoucím v zácviku, uvězněném v nejzatuchlejším metru východně od všeho, na čem záleží. Vydání je plánováno na čtvrté čtvrtletí letošního roku.

    Ladislav Hagara | Komentářů: 38
    Jaký je váš oblíbený skriptovací jazyk?
     (59%)
     (28%)
     (7%)
     (2%)
     (0%)
     (1%)
     (3%)
    Celkem 349 hlasů
     Komentářů: 16, poslední 8.6. 21:05
    Rozcestník

    LDAP + SSL TLS aneb jak se zbavit naivity

    1.1.2013 19:46 | Přečteno: 1618× | Debian | Výběrový blog

    První komentář pod mým včerejěím zápiskem zněl: LDAP bez SSL/TLS? Jak naivni.. I když byl tento názor relativizován, rozhodl jsem se po Maxově pošťouchnutí SSL trochu poškádlit, což se ukázalo jako ne až tak triviální jak by se mohlo Maxovi zdát ;-)

    SSL/TLS na straně serveru ...

    Celkem jednoduchý postup se dá v jazyce anglickém vygůglit. V principu potřebujeme vytvořit certifikační autoritu, vygenerovat a podepsat klíč a nacpat to do LDAPu. Ty návody jsou fakt dobré, jediný problém na který jsem narazil byl "drobný detail", že certifikát je vázaný na konkrétní hostname/FQDN/IP. Pokud jsme si tedy chytře všude nastavili (z rozumných důvodů) natvrdo IP adresy místo DNS, překvapivě nebude fungovat certifikát, který je vystaven na FQDN. Ale jak říkám, když člověk není blbej, tak dojít do fáze, kdy funguje sudo ldapsearch -x není problém ;-). Jo a není špatné nezapomenout zkopírovat všechny tři soubory ;-).

    ... a na straně klienta

    Konfifurace LDAPu znamená do /etc/ldap/ldap.conf opravit ldap:// na ldaps:// a přidat:
    TLS_CACERT /etc/ssl/certs/cacert.pem
    TLS_REQCERT demand
    
    Mimochodem, není špatné ze serveru rozdistribuovat cacert.pem ;-) V tomto okamžiku nám funguje ldapsearch, ale nepropagují se ale uživatelské účty (passwd atd). Stálo mne docela dost úsilí to rozchodit, takže předkládám výsledek své snahy: o výše uvedené se stará démon nslcd, jehož konfiguraci naleznete v /etc/nslcd.conf. Rad jak tento soubor upravit je plný internet, většina nápadů ale nefunguje. Nakonec jsem dospěl k této funkční konfiguraci (nemusím řešit problémy s nepodepsaným klíčem, protože máme přeci naši úžasnou autoritu, že ...):
    # /etc/nslcd.conf
    
    # The user and group nslcd should run as.
    uid nslcd
    gid nslcd
    
    # The search base that will be used for all queries.
    base dc=nase,dc=uzasna-domena,dc=cz
    
    uri                             ldaps://ldapserver/
    # SSL options
    tls_reqcert                     allow
    timelimit                       120
    idle_timelimit                  3600
    bind_timelimit                  120
    ssl                             on
    tls_cacert /etc/ssl/certs/cacert.pem
    
    ... jo a nezapomeňte správně nastavit práva (-rw-r----- 1 root nslcd čili chmod 640, chown i chgrp), /etc/ssl/certs/cacert.pem musí mít práva 644 (-rw-r--r--). Po restartu démona (/etc/init.d/nslcd restart) stěrače stírají.

    Příště uvidíte ...

    Nový Rok i dovolená končí, takže nevím, kdy přesně bude "příště", nicméně když už to všechno celkem chodí, tak ještě PAM zaslouží trochu doladit. ldots ukazuje nastavení PAM pro gdm, čehož výsledkem by byli (snad) LDAPí uživatelé dostupní i v GDM menu. Dále je v mém úkoláčku zjistit jak je možno učinit LDAP uživatele neaktivním aniž bych ho vymazal, jestli je možné řídit přístup na jednotlivé stroje podle skupin a vyzkoušet doporučený LDAP klient.        

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    1.1.2013 23:14 Miriam
    Rozbalit Rozbalit vše Re: LDAP + SSL TLS aneb jak se zbavit naivity
    Líbí se mi, že o tom co děláš píšeš pěkné blogové zápisky. Doufám, že v tom budeš pokračovat a i když nebude dovolená, nějaký čas se najde.
    2.1.2013 21:36 Karel Benák | skóre: 8 | blog: benyho
    Rozbalit Rozbalit vše Re: LDAP + SSL TLS aneb jak se zbavit naivity
    Ty jsi se tedy rozjel, všechna čest. S LDAP + TLS jsem svého času taky hodně zápasil, na rozkopírování CA certifikátu jsem Tě zapomněl upozornit. Je to taková blbost, která mnohé zablokuje. Několikrát jsem na podobnou pitominu už dojel.

    S tím disablováním uživatelů .... většinou vyhledáváš v nějaké větvi uživatelů, takže řešením je buď disablovaného uživatele přesunout do jiné větve, anebo můžeš nastavit pro pravidla vyhledávání, že musí mít vyplněn atribut member. Samozřejmě si můžeš nadefinovat nějaké vlastní schema s doplněním požadovaných informací a provádět vyhledávání uživatele podle něj.
    Láska je jako prd, když hodně tlačiš tak z toho bude ...
    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.