[Comm] LDAP. секурити

[Alexey Borovskoy]

* Вторник 19 Апрель 2005 18:39 Anton Gorlov

> Здравствуйте, Alexey.
>
> Вы писали 19 апреля 2005 г., 8:10:55:
> >> >> Вот наконец-то дошли руки до секурных проблем лдапа.
> >> >> Вопрос -чем сгенерить сертефикат
> >> >> (TLSCACertificateFile,TLSCertificateFile,
> >> >> TLSCertificateKeyFile)?
> >> >
> >> > Можно с помощью tinyca. Есть в backports.
> >>
> >> Ща посмотрю...
> >> А нужен ли вообще клиентский сертификат? Может быть
> >> достаточно серверного (который живёт на сервере)? Что
> >> скажут гуру?
> >
> > Я думаю что нужен. Например, пришел дядя с ноутбуком и давай
> > по лдапу шариться.
>
> А простого шифрования на этот случай не хватит?

У дяди клиентского сертификата нет? Нет.
Лдап-сервер дядю пустит? Пустит.

Ну и будет дядя шарится по лдапу через шифрованное соединение.

> Ведь например при работе с тем же gmail.com мне (как клиентк)
> предьявляется серверный сертефикат и вперёд и с песней (в
> смысле с шифрованием)

Но ведь сервер в этом случае не сможет определить имеет ли право 
клиент к нему подключится.

>
> > В случае связки CA+server cert+client cert дядя обломится
> > сразу.
>
> а CA как получить?

Устанавливаете tinyca. Запускаете. Если CA нет, то будет 
предложено его создать или импортировать.

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 189 bytes
Desc: signature
Url : http://lists.altlinux.ru/pipermail/community/attachments/20050419/2b4063b3/attachment.bin