[Comm] LDAP. секурити

[Boldin Pavel]

Alexey Borovskoy пишет:
> * Понедельник 18 Апрель 2005 23:51 Anton Gorlov
> 
> 
>>Здравствуйте, Alexey.
>>
>>Вы писали 18 апреля 2005 г., 13:32:27:
>>
>>Ща посмотрю...
>>
>>А нужен ли вообще клиентский сертификат? Может быть достаточно
>>серверного (который живёт на сервере)? Что скажут гуру?
> 
> 
> Я думаю что нужен. Например, пришел дядя с ноутбуком и давай по 
> лдапу шариться.

ну для этого ему надо знать пароль на ldap и еще кучу вещей :), то есть 
просто скопировать весь нормально настроенный ldap он не сможет, а вот 
посмотреть public-info может запросто :)

поищите ldapv3 howto и там есть весьма не плохой acl для ldap...


> 
> В случае связки CA+server cert+client cert дядя обломится сразу.
> 

и даже в этом случае дядя не обломится, если сможет слушать всю сетку :)
если дядя крут, то у него даже это получится...

есть другой выход - krb5 + sasl.. настроити сами раскажете как настроили...


-- 

Болдин Павел aka davinchi

     ldavinchi на inbox.ru or davinchi на zu.org.ru

     ZU - Zagovor Unixoidov. SSAU 303.