[Comm] LDAP. секурити

Boldin Pavel =?iso-8859-1?q?ldavinchi_=CE=C1_inbox=2Eru?=
Вт Апр 19 11:17:52 MSD 2005


Boldin Pavel пишет:
> Anton Gorlov пишет:
> 
>> Здравствуйте, Alexey.
>>
>> Вы писали 19 апреля 2005 г., 8:10:55:
>>
>>
>>>>>> Вот наконец-то дошли руки до секурных проблем лдапа. Вопрос
>>>>>> -чем сгенерить сертефикат
>>>>>> (TLSCACertificateFile,TLSCertificateFile,
>>>>>> TLSCertificateKeyFile)?
>>>>>
>>>>>
>>>>> Можно с помощью tinyca. Есть в backports.
>>>>
>>>>
>>>> Ща посмотрю...
>>>> А нужен ли вообще клиентский сертификат? Может быть достаточно
>>>> серверного (который живёт на сервере)? Что скажут гуру?
>>>
>>>
>>> Я думаю что нужен. Например, пришел дядя с ноутбуком и давай по
>>> лдапу шариться.
>>
>>
>>
>> А простого шифрования на этот случай не хватит?
>> Ведь например при работе с тем же gmail.com мне (как клиентк)
>> предьявляется серверный сертефикат и вперёд и с песней (в смысле с
>> шифрованием)
>>

все мы здесь параноики :)
клиентский нужен чтобы _сервер_ проверял _клиентов_ которые к нему 
подключаются...

для этого надо выставить на сервере

TLSVerifyClient demand

создать сертификат для клиента и прописать его в /etc/openldap/ldap.conf

TLS_CERT /etc/openldap/ssl/vs01_cert.pem
TLS_KEY	/etc/openldap/ssl/vs01_key.pem

а сервер должен знать CA который выдал клиенту сертификат (то есть иметь 
в списках CA cert)

для каждой отдельной программы настраивается по-разному


>>
>>> В случае связки CA+server cert+client cert дядя обломится сразу.
>>
>>
>> а CA как получить?
> 
> 


-- 

Болдин Павел aka davinchi

     ldavinchi на inbox.ru or davinchi на zu.org.ru

     ZU - Zagovor Unixoidov. SSAU 303.




Подробная информация о списке рассылки community