Re[2]: [Comm] LDAP. секурити

[Anton Gorlov]

Здравствуйте, Boldin.

Вы писали 19 апреля 2005 г., 11:17:52:

>>>>>>> Вот наконец-то дошли руки до секурных проблем лдапа. Вопрос
>>>>>>> -чем сгенерить сертефикат
>>>>>>> (TLSCACertificateFile,TLSCertificateFile,
>>>>>>> TLSCertificateKeyFile)?
>>>>>> Можно с помощью tinyca. Есть в backports.
>>>>> Ща посмотрю...
>>>>> А нужен ли вообще клиентский сертификат? Может быть достаточно
>>>>> серверного (который живёт на сервере)? Что скажут гуру?
>>>> Я думаю что нужен. Например, пришел дядя с ноутбуком и давай по
>>>> лдапу шариться.
>>> А простого шифрования на этот случай не хватит?
>>> Ведь например при работе с тем же gmail.com мне (как клиентк)
>>> предьявляется серверный сертефикат и вперёд и с песней (в смысле с
>>> шифрованием)
>>>
> все мы здесь параноики :)

Угу. Мне это же неоднократно говрили...

> клиентский нужен чтобы _сервер_ проверял _клиентов_ которые к нему 
> подключаются...

Но ведь шифрование будет и без клиентского ключа?
Я так думаю этого для начала будет достаточно, бо время пожимает..

> для этого надо выставить на сервере
> TLSVerifyClient demand
> создать сертификат для клиента и прописать его в /etc/openldap/ldap.conf
> TLS_CERT /etc/openldap/ssl/vs01_cert.pem
> TLS_KEY /etc/openldap/ssl/vs01_key.pem

Угу.

> а сервер должен знать CA который выдал клиенту сертификат (то есть иметь
> в списках CA cert)

> для каждой отдельной программы настраивается по-разному
Ну у меня сервер один -лдап.. Остальные клиенты, которые как оказалось
будут несколько разбросаны по сети, относительно лдапа. Вот и нужно
сделать хотя бы шифрование.


>>>> В случае связки CA+server cert+client cert дядя обломится сразу.
>>> а CA как получить?


-- 
С уважением,
 Anton                          mailto:Pnz.Stalker на mail.ru