[Comm] LDAP. секурити
Boldin Pavel
=?iso-8859-1?q?ldavinchi_=CE=C1_inbox=2Eru?=
Вт Апр 19 11:17:52 MSD 2005
Boldin Pavel пишет:
> Anton Gorlov пишет:
>
>> Здравствуйте, Alexey.
>>
>> Вы писали 19 апреля 2005 г., 8:10:55:
>>
>>
>>>>>> Вот наконец-то дошли руки до секурных проблем лдапа. Вопрос
>>>>>> -чем сгенерить сертефикат
>>>>>> (TLSCACertificateFile,TLSCertificateFile,
>>>>>> TLSCertificateKeyFile)?
>>>>>
>>>>>
>>>>> Можно с помощью tinyca. Есть в backports.
>>>>
>>>>
>>>> Ща посмотрю...
>>>> А нужен ли вообще клиентский сертификат? Может быть достаточно
>>>> серверного (который живёт на сервере)? Что скажут гуру?
>>>
>>>
>>> Я думаю что нужен. Например, пришел дядя с ноутбуком и давай по
>>> лдапу шариться.
>>
>>
>>
>> А простого шифрования на этот случай не хватит?
>> Ведь например при работе с тем же gmail.com мне (как клиентк)
>> предьявляется серверный сертефикат и вперёд и с песней (в смысле с
>> шифрованием)
>>
все мы здесь параноики :)
клиентский нужен чтобы _сервер_ проверял _клиентов_ которые к нему
подключаются...
для этого надо выставить на сервере
TLSVerifyClient demand
создать сертификат для клиента и прописать его в /etc/openldap/ldap.conf
TLS_CERT /etc/openldap/ssl/vs01_cert.pem
TLS_KEY /etc/openldap/ssl/vs01_key.pem
а сервер должен знать CA который выдал клиенту сертификат (то есть иметь
в списках CA cert)
для каждой отдельной программы настраивается по-разному
>>
>>> В случае связки CA+server cert+client cert дядя обломится сразу.
>>
>>
>> а CA как получить?
>
>
--
Болдин Павел aka davinchi
ldavinchi на inbox.ru or davinchi на zu.org.ru
ZU - Zagovor Unixoidov. SSAU 303.
Подробная информация о списке рассылки community