[Comm] LDAP. секурити

[Alexey Borovskoy]

* Вторник 19 Апрель 2005 18:39 Anton Gorlov

> Здравствуйте, Alexey.
>
> Вы писали 19 апреля 2005 г., 8:10:55:
> >> >> Вот наконец-то дошли руки до секурных проблем лдапа.
> >> >> Вопрос -чем сгенерить сертефикат
> >> >> (TLSCACertificateFile,TLSCertificateFile,
> >> >> TLSCertificateKeyFile)?
> >> >
> >> > Можно с помощью tinyca. Есть в backports.
> >>
> >> Ща посмотрю...
> >> А нужен ли вообще клиентский сертификат? Может быть
> >> достаточно серверного (который живёт на сервере)? Что
> >> скажут гуру?
> >
> > Я думаю что нужен. Например, пришел дядя с ноутбуком и давай
> > по лдапу шариться.
>
> А простого шифрования на этот случай не хватит?

У дяди клиентского сертификата нет? Нет.
Лдап-сервер дядю пустит? Пустит.

Ну и будет дядя шарится по лдапу через шифрованное соединение.

> Ведь например при работе с тем же gmail.com мне (как клиентк)
> предьявляется серверный сертефикат и вперёд и с песней (в
> смысле с шифрованием)

Но ведь сервер в этом случае не сможет определить имеет ли право 
клиент к нему подключится.

>
> > В случае связки CA+server cert+client cert дядя обломится
> > сразу.
>
> а CA как получить?

Устанавливаете tinyca. Запускаете. Если CA нет, то будет 
предложено его создать или импортировать.

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: signature
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20050419/2b4063b3/attachment-0003.bin>