Re[2]: [Comm] LDAP. секурити
Anton Gorlov
=?iso-8859-1?q?Pnz=2EStalker_=CE=C1_mail=2Eru?=
Вт Апр 19 12:19:51 MSD 2005
Здравствуйте, Boldin.
Вы писали 19 апреля 2005 г., 11:17:52:
>>>>>>> Вот наконец-то дошли руки до секурных проблем лдапа. Вопрос
>>>>>>> -чем сгенерить сертефикат
>>>>>>> (TLSCACertificateFile,TLSCertificateFile,
>>>>>>> TLSCertificateKeyFile)?
>>>>>> Можно с помощью tinyca. Есть в backports.
>>>>> Ща посмотрю...
>>>>> А нужен ли вообще клиентский сертификат? Может быть достаточно
>>>>> серверного (который живёт на сервере)? Что скажут гуру?
>>>> Я думаю что нужен. Например, пришел дядя с ноутбуком и давай по
>>>> лдапу шариться.
>>> А простого шифрования на этот случай не хватит?
>>> Ведь например при работе с тем же gmail.com мне (как клиентк)
>>> предьявляется серверный сертефикат и вперёд и с песней (в смысле с
>>> шифрованием)
>>>
> все мы здесь параноики :)
Угу. Мне это же неоднократно говрили...
> клиентский нужен чтобы _сервер_ проверял _клиентов_ которые к нему
> подключаются...
Но ведь шифрование будет и без клиентского ключа?
Я так думаю этого для начала будет достаточно, бо время пожимает..
> для этого надо выставить на сервере
> TLSVerifyClient demand
> создать сертификат для клиента и прописать его в /etc/openldap/ldap.conf
> TLS_CERT /etc/openldap/ssl/vs01_cert.pem
> TLS_KEY /etc/openldap/ssl/vs01_key.pem
Угу.
> а сервер должен знать CA который выдал клиенту сертификат (то есть иметь
> в списках CA cert)
> для каждой отдельной программы настраивается по-разному
Ну у меня сервер один -лдап.. Остальные клиенты, которые как оказалось
будут несколько разбросаны по сети, относительно лдапа. Вот и нужно
сделать хотя бы шифрование.
>>>> В случае связки CA+server cert+client cert дядя обломится сразу.
>>> а CA как получить?
--
С уважением,
Anton mailto:Pnz.Stalker на mail.ru
Подробная информация о списке рассылки community