Re: LDAP
А я открыл для себя Cloudns. Возможно бесплатно три зоны создать, а там неограниченное количество A-записей. В итоге, сейчас nginx-proxy у меня раскидывает запросы по контейнерам, исходя из virtual host. И возможно "из коробки" реализовать поддержку Let's Encrypt, что я и сделаю (пока самоподписанные, ещё настраиваю сервисы). В случае чего (если вдруг нет доступа в Интернет), из локалки всё тоже будет доступно: проверяется совпадение DNS имени с шаблоном, а роутер тоже определяет IP по шаблону имени. 27.04.2018 10:33, Andrey A Lyubimets пишет: > > > 20.04.2018 12:44, artiom пишет: >> Так это, господа гуру криптографии и распределения ключей, FAQ-то >> пользоваться или неактуально? >> easy-rsa уже отменяется, я так понял? >> Свой CA во вменяемом виде сейчас хрен поднимешь? >> > > кто-то в рассылке советовал tinyca на яве и nanoca (или picoca?) - > консольный. > > Первый есть в stretch, есть ещё какой-то pica: > > apt-cache search "Certification Authority" > gnomint - X.509 Certification Authority management tool for GNOME > pyca - Certification Authority written in Python > tinyca - simple graphical program for certification authority management >
Re: LDAP
On 04/27/18 03:33, Andrey A Lyubimets wrote: > > кто-то в рассылке советовал tinyca на яве и nanoca (или picoca?) - > консольный. > > Первый есть в stretch, есть ещё какой-то pica: > > apt-cache search "Certification Authority" > gnomint - X.509 Certification Authority management tool for GNOME > pyca - Certification Authority written in Python > tinyca - simple graphical program for certification authority management > apt-cache search "Certificate Authority" ca-cacert - CAcert.org root certificates libapache2-mod-md - ACME certificate support for apache2 dogtag-pki - Dogtag Public Key Infrastructure (PKI) Suite pki-ca - Certificate System - Certificate Authority pki-kra - Certificate System - Data Recovery Manager pki-ocsp - Certificate System - Online Certificate Status Protocol Manager pki-server - Certificate System - PKI Server Framework pki-tps - Certificate System - Token Processing System pki-tps-client - Certificate System - Token Processing System client
Re: LDAP
20.04.2018 12:44, artiom пишет: Так это, господа гуру криптографии и распределения ключей, FAQ-то пользоваться или неактуально? easy-rsa уже отменяется, я так понял? Свой CA во вменяемом виде сейчас хрен поднимешь? кто-то в рассылке советовал tinyca на яве и nanoca (или picoca?) - консольный. Первый есть в stretch, есть ещё какой-то pica: apt-cache search "Certification Authority" gnomint - X.509 Certification Authority management tool for GNOME pyca - Certification Authority written in Python tinyca - simple graphical program for certification authority management
Re: LDAP
23.04.2018 10:57, Alexander Gerasiov пишет: > Hello artiom, > > On Mon, 23 Apr 2018 08:54:22 +0300 > artiomwrote: > >> Похоже, вопрос не в тему. >> Попробовал прокинуть и в LDAP сервере, и в phpLDAPAdmin. >> Всё-равно, в интерфейсе, при создании записи UserAccount, начальная >> группа - 500 и не создаёт он домашние каталоги пользователей, а при >> создании PosixGroup, не добавляет группу в /etc/group, хотя в базе >> LDAP и создаёт. > А с чего это он должен создавать каталоги и править базу files? > Ну, это моё предположение. В phpLDAPAdmin указан домашний каталог пользователя при создании. А при создании группы, он откуда-то берёт минимальный GID. >> >> 22.04.2018 14:34, artiom пишет: >>> Ok. >>> Ещё такой вопрос. >>> Прокидывание /etc/{groups,passwd,shadow} и /home в Docker контейнер >>> с OpenLDAP - приемлемая идея, если я хочу системных пользователей >>> через него заводить, или нет? >>> >>> 20.04.2018 09:13, Artem Chuprina пишет: artiom -> debian-russian@lists.debian.org @ Fri, 20 Apr 2018 08:44:25 +0300: > Так это, господа гуру криптографии и распределения ключей, > FAQ-то пользоваться или неактуально? > easy-rsa уже отменяется, я так понял? > Свой CA во вменяемом виде сейчас хрен поднимешь? Нет, не отменяется. Для твоих целей того, что есть, скорее всего, хватит. >>> >> > > >
Re: LDAP
Hello artiom, On Mon, 23 Apr 2018 08:54:22 +0300 artiomwrote: > Похоже, вопрос не в тему. > Попробовал прокинуть и в LDAP сервере, и в phpLDAPAdmin. > Всё-равно, в интерфейсе, при создании записи UserAccount, начальная > группа - 500 и не создаёт он домашние каталоги пользователей, а при > создании PosixGroup, не добавляет группу в /etc/group, хотя в базе > LDAP и создаёт. А с чего это он должен создавать каталоги и править базу files? > > 22.04.2018 14:34, artiom пишет: > > Ok. > > Ещё такой вопрос. > > Прокидывание /etc/{groups,passwd,shadow} и /home в Docker контейнер > > с OpenLDAP - приемлемая идея, если я хочу системных пользователей > > через него заводить, или нет? > > > > 20.04.2018 09:13, Artem Chuprina пишет: > >> artiom -> debian-russian@lists.debian.org @ Fri, 20 Apr 2018 > >> 08:44:25 +0300: > >> > Так это, господа гуру криптографии и распределения ключей, > >> > FAQ-то пользоваться или неактуально? > >> > easy-rsa уже отменяется, я так понял? > >> > Свой CA во вменяемом виде сейчас хрен поднимешь? > >> > >> Нет, не отменяется. Для твоих целей того, что есть, скорее всего, > >> хватит. > > > -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su WWW: http://gerasiov.net TG/Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1
Re: LDAP
Похоже, вопрос не в тему. Попробовал прокинуть и в LDAP сервере, и в phpLDAPAdmin. Всё-равно, в интерфейсе, при создании записи UserAccount, начальная группа - 500 и не создаёт он домашние каталоги пользователей, а при создании PosixGroup, не добавляет группу в /etc/group, хотя в базе LDAP и создаёт. 22.04.2018 14:34, artiom пишет: > Ok. > Ещё такой вопрос. > Прокидывание /etc/{groups,passwd,shadow} и /home в Docker контейнер с > OpenLDAP - приемлемая идея, если я хочу системных пользователей через > него заводить, или нет? > > 20.04.2018 09:13, Artem Chuprina пишет: >> artiom -> debian-russian@lists.debian.org @ Fri, 20 Apr 2018 08:44:25 +0300: >> >> > Так это, господа гуру криптографии и распределения ключей, FAQ-то >> > пользоваться или неактуально? >> > easy-rsa уже отменяется, я так понял? >> > Свой CA во вменяемом виде сейчас хрен поднимешь? >> >> Нет, не отменяется. Для твоих целей того, что есть, скорее всего, хватит. >> >
Re: LDAP
Ok. Ещё такой вопрос. Прокидывание /etc/{groups,passwd,shadow} и /home в Docker контейнер с OpenLDAP - приемлемая идея, если я хочу системных пользователей через него заводить, или нет? 20.04.2018 09:13, Artem Chuprina пишет: > artiom -> debian-russian@lists.debian.org @ Fri, 20 Apr 2018 08:44:25 +0300: > > > Так это, господа гуру криптографии и распределения ключей, FAQ-то > > пользоваться или неактуально? > > easy-rsa уже отменяется, я так понял? > > Свой CA во вменяемом виде сейчас хрен поднимешь? > > Нет, не отменяется. Для твоих целей того, что есть, скорее всего, хватит. >
Re: LDAP
artiom -> debian-russian@lists.debian.org @ Fri, 20 Apr 2018 08:44:25 +0300: > Так это, господа гуру криптографии и распределения ключей, FAQ-то > пользоваться или неактуально? > easy-rsa уже отменяется, я так понял? > Свой CA во вменяемом виде сейчас хрен поднимешь? Нет, не отменяется. Для твоих целей того, что есть, скорее всего, хватит.
Re: LDAP
Так это, господа гуру криптографии и распределения ключей, FAQ-то пользоваться или неактуально? easy-rsa уже отменяется, я так понял? Свой CA во вменяемом виде сейчас хрен поднимешь? 19.04.2018 10:48, Artem Chuprina пишет: > Victor Wagner -> debian-russian@lists.debian.org @ Thu, 19 Apr 2018 10:08:47 > +0300: > > >> > учетом современных реалий. Чтобы и X509v3 умело, и эллиптические > >> > кривые понимало, причем не только в виде ECDSA. > >> > >> > А Шаплова заставим новый Certificates HOWTO написать. > >> > >> Палка о двух концах. В easy_rsa ключевое слово - easy. Мы сумеем > >> добавить туда новые возможности, не потеряв в простоте применения для > >> простых случаев? > > > Ну, не попробуем - не узнаем. В общем-то challenge в том и состоит, > > чтобы простые вещи были простыми, а сложные - возможными. > > Ну ок, мысль эту следует попробовать. Я посмотрю на оные скрипты глазами. > > >> И кстати, оглядываясь на смартфоны и планшеты - у них ведь снова чаще > >> чем у каждого второго асимметричный алгоритм "может быть любым, если > >> это RSA". И генерировать сертификат на эллиптических кривых - > >> нарываться на то, что смартфонное приложение этого не поймет. > > > По-моему, ты немножко не прав, и в JAVA cryptoapi которому андроид > > более-менее следует, все это поддерживается. > > > Оно в сим-картах и то поддерживается. (JavaCard 3.0, если не > > ошибаюсь). > > В Java да, а в приложениях нет. API-то еще употребить надо. Ну, то есть, > на автомате проверить сертификат оно, может, и осилит, а вот > воспользоваться секретным ключом уже увы. > > Я тут на днях попытался в VX ConnectBot втянуть секретные > ssh-ключи. Нишмагла. В смысле, шмагла только RSA. >
Re: LDAP
Victor Wagner -> debian-russian@lists.debian.org @ Thu, 19 Apr 2018 10:08:47 +0300: >> > учетом современных реалий. Чтобы и X509v3 умело, и эллиптические >> > кривые понимало, причем не только в виде ECDSA. >> >> > А Шаплова заставим новый Certificates HOWTO написать. >> >> Палка о двух концах. В easy_rsa ключевое слово - easy. Мы сумеем >> добавить туда новые возможности, не потеряв в простоте применения для >> простых случаев? > Ну, не попробуем - не узнаем. В общем-то challenge в том и состоит, > чтобы простые вещи были простыми, а сложные - возможными. Ну ок, мысль эту следует попробовать. Я посмотрю на оные скрипты глазами. >> И кстати, оглядываясь на смартфоны и планшеты - у них ведь снова чаще >> чем у каждого второго асимметричный алгоритм "может быть любым, если >> это RSA". И генерировать сертификат на эллиптических кривых - >> нарываться на то, что смартфонное приложение этого не поймет. > По-моему, ты немножко не прав, и в JAVA cryptoapi которому андроид > более-менее следует, все это поддерживается. > Оно в сим-картах и то поддерживается. (JavaCard 3.0, если не > ошибаюсь). В Java да, а в приложениях нет. API-то еще употребить надо. Ну, то есть, на автомате проверить сертификат оно, может, и осилит, а вот воспользоваться секретным ключом уже увы. Я тут на днях попытался в VX ConnectBot втянуть секретные ssh-ключи. Нишмагла. В смысле, шмагла только RSA.
Re: LDAP
On Thu, 19 Apr 2018 08:49:11 +0300 Artem Chuprinawrote: > > учетом современных реалий. Чтобы и X509v3 умело, и эллиптические > > кривые понимало, причем не только в виде ECDSA. > > > А Шаплова заставим новый Certificates HOWTO написать. > > Палка о двух концах. В easy_rsa ключевое слово - easy. Мы сумеем > добавить туда новые возможности, не потеряв в простоте применения для > простых случаев? Ну, не попробуем - не узнаем. В общем-то challenge в том и состоит, чтобы простые вещи были простыми, а сложные - возможными. > И кстати, оглядываясь на смартфоны и планшеты - у них ведь снова чаще > чем у каждого второго асимметричный алгоритм "может быть любым, если > это RSA". И генерировать сертификат на эллиптических кривых - > нарываться на то, что смартфонное приложение этого не поймет. По-моему, ты немножко не прав, и в JAVA cryptoapi которому андроид более-менее следует, все это поддерживается. Оно в сим-картах и то поддерживается. (JavaCard 3.0, если не ошибаюсь). А уж в OpenVPN, в которой вообще может быть openssl внизу, даже и в андроидных сборках... Вот DSA, который над полем вычетов - это да, все поддерживать перестали. Но в принципе, задача выбора алгоритма ключевой пары, отличного от RSA, может быть отнесена к категории "сложных вещей, которые должны быть возможны". А по умолчанию делать все с RSA. --
Re: LDAP
Victor Wagner -> debian-russian@lists.debian.org @ Thu, 19 Apr 2018 07:03:06 +0300: >> > Собственный CA имеет смысл, вроде. >> > Вопрос только в том, насколько сложно (LDAP тоже казался простым, >> > но свои особенности у каждого сервиса сожрали уйму времени)? >> >> В свое время в сети гуглился документ SSL Certificates Howto. Там было >> довольно грамотно расписано. > Устарело оно лет на двадцать. Осталось на уровне X509v1. > >> Сейчас в дистрибутиве есть пакет easy-rsa, им любит OpenVPN >> пользоваться. Это сделанный по тому рецепту комплект скриптов для >> своего CA. > Вот у нас тоже им пользовались. Коропоративная локалка, примерно 30 > пользователей. VPN, LDAP, десяток-другой внутренних веб-сервисов. > Возникла необходимость поднять парочку Name-based https-хостов на одной > машина и ап.. А где SubjectAlternativeName? А не умеет его easy_rsa. > Вообще никаких extension не умеет. > >> Чтобы им адекватно пользоваться, крайне желательно уже иметь понимание >> устройства PKI по схеме X509 (в PGP, например, схема другая). В >> упомянутом Howto изложение, помнится, было. > Ага было. На уровне RFC 2459, принятого в прошлом веке. > А сейчас немножко даже 3280 уже неактуально. Надо пользоваться 5280 и > то с оглядкой на 6818. > Может это, тряхнем стариной, да и напишем ремейк easy_rsa, но с учетом > современных реалий. Чтобы и X509v3 умело, и эллиптические кривые > понимало, причем не только в виде ECDSA. > А Шаплова заставим новый Certificates HOWTO написать. Палка о двух концах. В easy_rsa ключевое слово - easy. Мы сумеем добавить туда новые возможности, не потеряв в простоте применения для простых случаев? И кстати, оглядываясь на смартфоны и планшеты - у них ведь снова чаще чем у каждого второго асимметричный алгоритм "может быть любым, если это RSA". И генерировать сертификат на эллиптических кривых - нарываться на то, что смартфонное приложение этого не поймет.
Re: LDAP
В Wed, 18 Apr 2018 23:09:45 +0300 Artem Chuprinaпишет: > artiom -> debian-russian@lists.debian.org @ Wed, 18 Apr 2018 > 22:46:27 +0300: > > > Собственный CA имеет смысл, вроде. > > Вопрос только в том, насколько сложно (LDAP тоже казался простым, > > но свои особенности у каждого сервиса сожрали уйму времени)? > > В свое время в сети гуглился документ SSL Certificates Howto. Там было > довольно грамотно расписано. Устарело оно лет на двадцать. Осталось на уровне X509v1. > Сейчас в дистрибутиве есть пакет easy-rsa, им любит OpenVPN > пользоваться. Это сделанный по тому рецепту комплект скриптов для > своего CA. Вот у нас тоже им пользовались. Коропоративная локалка, примерно 30 пользователей. VPN, LDAP, десяток-другой внутренних веб-сервисов. Возникла необходимость поднять парочку Name-based https-хостов на одной машина и ап.. А где SubjectAlternativeName? А не умеет его easy_rsa. Вообще никаких extension не умеет. > Чтобы им адекватно пользоваться, крайне желательно уже иметь понимание > устройства PKI по схеме X509 (в PGP, например, схема другая). В > упомянутом Howto изложение, помнится, было. Ага было. На уровне RFC 2459, принятого в прошлом веке. А сейчас немножко даже 3280 уже неактуально. Надо пользоваться 5280 и то с оглядкой на 6818. Может это, тряхнем стариной, да и напишем ремейк easy_rsa, но с учетом современных реалий. Чтобы и X509v3 умело, и эллиптические кривые понимало, причем не только в виде ECDSA. А Шаплова заставим новый Certificates HOWTO написать. -- Victor Wagner
Re: LDAP
artiom -> debian-russian@lists.debian.org @ Wed, 18 Apr 2018 22:46:27 +0300: > Собственный CA имеет смысл, вроде. > Вопрос только в том, насколько сложно (LDAP тоже казался простым, но > свои особенности у каждого сервиса сожрали уйму времени)? В свое время в сети гуглился документ SSL Certificates Howto. Там было довольно грамотно расписано. Сейчас в дистрибутиве есть пакет easy-rsa, им любит OpenVPN пользоваться. Это сделанный по тому рецепту комплект скриптов для своего CA. Чтобы им адекватно пользоваться, крайне желательно уже иметь понимание устройства PKI по схеме X509 (в PGP, например, схема другая). В упомянутом Howto изложение, помнится, было.
Re: LDAP
18.04.2018 14:14, Artem Chuprina пишет: > artiom -> debian-russian@lists.debian.org @ Tue, 17 Apr 2018 23:19:39 +0300: > > >> >>> Да, аутентификация по сертификату есть, если вы купите у своего > >> >>> провайдера белый IP-адрес, то вам не нужны самоподписанные > сертификаты, > >> >>> можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. > >> >> > >> >> Вот тут добавлю, Let's Encrypt можно получить для динамического адреса > >> >> используя сервис аля dyndns. > >> >> > >> > Вот хотелось поподробнее про Let's Encrypt. > >> > Эта идея сначала была, но загнулась, и теперь мои сертификаты > >> > самоподписанные. > >> > Я так понял, этот сервис подписывает сертификат, созданный на внешнее > >> > доменное имя? > >> > >> Да. > >> > >> Причем по этому имени должен быть доступен веб-сервер, и уметь отдать > >> сгенерированный по ходу операции подписи файл со случайным именем, > >> подписанный соответствующим ключом. И выдается такой сертификат на 3 > >> месяца, так что рекомендуемая частота перевыпуска - раз в месяц. > >> > > Вау. Это слишком часто. Если автоматом перевыпуск сделать нельзя. > > Это автомат. > > >> Для локалки так себе решение. > > Ну тут не только локалка: фишка в том, что сервер наружу смотрит. > > Тогда может иметь смысл. А может не иметь. Я для своих целей (набор > exim'ов, OpenVPN) пользуюсь своим CA, там CA, известный браузерам из > коробки, совершенно ни к чему. > LE смысла не имеет: у меня не паблик и список пользователей жёстко ограничен. Собственный CA имеет смысл, вроде. Вопрос только в том, насколько сложно (LDAP тоже казался простым, но свои особенности у каждого сервиса сожрали уйму времени)?
Re: LDAP
> On 04/17/18 16:23, artiom wrote: >>> On 04/14/18 16:00, Артём Н. wrote: >>> >> Я не хочу ни LDAP, ни RADIUS, ни FreeIPA. >> Единственное, почему я использую LDAP, это потому что он является >> простым способом поддержать управление пользователями для разных >> сревисов из коробки. >> bind мне не нужен, kerberos и dogtag, тем более. >> У меня уже есть два интерфейса: phpLDAPadmin и ещё интерфейс для смены >> паролей пользователями. >> > Ха, не связал двух пользователей, "Артём Н" и "artiom", знал бы, не > советовал :P > Почему ж?
Re: LDAP
On 04/17/18 16:23, artiom wrote: >> On 04/14/18 16:00, Артём Н. wrote: >> > Я не хочу ни LDAP, ни RADIUS, ни FreeIPA. > Единственное, почему я использую LDAP, это потому что он является > простым способом поддержать управление пользователями для разных > сревисов из коробки. > bind мне не нужен, kerberos и dogtag, тем более. > У меня уже есть два интерфейса: phpLDAPadmin и ещё интерфейс для смены > паролей пользователями. > Ха, не связал двух пользователей, "Артём Н" и "artiom", знал бы, не советовал :P
Re: LDAP
> On 04/14/18 16:00, Артём Н. wrote: >> >> - Оправданно ли вообще использование LDAP в таком случае? > LDAP удобная вещь, во многих случаях, твой похож на удобный >> - Как настроить его так, чтобы был TLS (в перспективе будет торчать >> "наружу") с самоподписанным >> сертификатом? >> - Где хранить .ldif файлы? >> - Нужно ли делать /etc/ldap/ldap.conf или, как в руководстве, нужно "add >> attributes to cn=config"? >> - Лучше запускать LDAP сервер в контейнере или устанавливать в систему? > Попробуй FreeIPA, это разработка РедХата, попытка сделать систему управления > как Active Directory. > По сути 389/bind/kerberos/dogtag обвязанные питоном и с веб интерфейсом ( или > REST + CLI, как > хочешь). Я к нему ещё FreeRadius прикручивал. > достаточно хорошо скрывает от админа детали реализации и связки компонентов, > так чтобы "работало и > не надо год разбираться" > > есть: > - в Debian, только не уверен насколько хорошо портирован, изначально делался > для RH ( я его гоняю в > CentOS) > - в контейнере: https://hub.docker.com/r/freeipa/freeipa-server/ > > Я не хочу ни LDAP, ни RADIUS, ни FreeIPA. Единственное, почему я использую LDAP, это потому что он является простым способом поддержать управление пользователями для разных сревисов из коробки. bind мне не нужен, kerberos и dogtag, тем более. У меня уже есть два интерфейса: phpLDAPadmin и ещё интерфейс для смены паролей пользователями.
Re: LDAP
> artiom -> debian-russian@lists.debian.org @ Mon, 16 Apr 2018 00:33:40 +0300: > > >>> Да, аутентификация по сертификату есть, если вы купите у своего > >>> провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, > >>> можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. > >> > >> Вот тут добавлю, Let's Encrypt можно получить для динамического адреса > >> используя сервис аля dyndns. > >> > > Вот хотелось поподробнее про Let's Encrypt. > > Эта идея сначала была, но загнулась, и теперь мои сертификаты > > самоподписанные. > > Я так понял, этот сервис подписывает сертификат, созданный на внешнее > > доменное имя? > > Да. > > Причем по этому имени должен быть доступен веб-сервер, и уметь отдать > сгенерированный по ходу операции подписи файл со случайным именем, > подписанный соответствующим ключом. И выдается такой сертификат на 3 > месяца, так что рекомендуемая частота перевыпуска - раз в месяц. > Вау. Это слишком часто. Если автоматом перевыпуск сделать нельзя. > Для локалки так себе решение. Ну тут не только локалка: фишка в том, что сервер наружу смотрит. > Возможно, свой CA (не самоподписанные > сертификаты, а плюс лишние два часа времени однократно, и таже > процедура, но со своим корневым сертификатом) будет умнее. Согласен. Так и сделаю, видимо. Как раз, мне нужен один корневой сертификат, а плодить 10 - не лучшая идея. > Но > преимущество Let's Encrypt (на данный момент политических игр в области > PKI) в том, что про подписанные им сертификаты не надо ничего вручную > объяснять каждому клиенту. А про свой CA надо. > В данном случае, это не является для меня проблемой.
Re: LDAP
>> >> Вот тут добавлю, Let's Encrypt можно получить для динамического адреса >> >> используя сервис аля dyndns. >> >> >> > Вот хотелось поподробнее про Let's Encrypt. >> > Эта идея сначала была, но загнулась, и теперь мои сертификаты >> > самоподписанные. >> > Я так понял, этот сервис подписывает сертификат, созданный на внешнее >> > доменное имя? >> >> Да. >> >> Причем по этому имени должен быть доступен веб-сервер, и уметь отдать >> сгенерированный по ходу операции подписи файл со случайным именем, >> подписанный соответствующим ключом. > Он умеет и без веб-сервера. Поднимая свой собственный на время подписи. > После подписания или пере выпуска сервер ему не нужен. Это есть в > документации. Окей, по этому имени на время выписывания сертификата должен быть доступен веб-сервер.
Re: LDAP
On 16/04/18 03:14 AM, Artem Chuprina wrote: > artiom -> debian-russian@lists.debian.org @ Mon, 16 Apr 2018 00:33:40 +0300: > > >>> Да, аутентификация по сертификату есть, если вы купите у своего > >>> провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, > >>> можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. > >> > >> Вот тут добавлю, Let's Encrypt можно получить для динамического адреса > >> используя сервис аля dyndns. > >> > > Вот хотелось поподробнее про Let's Encrypt. > > Эта идея сначала была, но загнулась, и теперь мои сертификаты > > самоподписанные. > > Я так понял, этот сервис подписывает сертификат, созданный на внешнее > > доменное имя? > > Да. > > Причем по этому имени должен быть доступен веб-сервер, и уметь отдать > сгенерированный по ходу операции подписи файл со случайным именем, > подписанный соответствующим ключом. Он умеет и без веб-сервера. Поднимая свой собственный на время подписи. После подписания или пере выпуска сервер ему не нужен. Это есть в документации.
Re: LDAP
artiom -> debian-russian@lists.debian.org @ Mon, 16 Apr 2018 00:33:40 +0300: >>> Да, аутентификация по сертификату есть, если вы купите у своего >>> провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, >>> можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. >> >> Вот тут добавлю, Let's Encrypt можно получить для динамического адреса >> используя сервис аля dyndns. >> > Вот хотелось поподробнее про Let's Encrypt. > Эта идея сначала была, но загнулась, и теперь мои сертификаты > самоподписанные. > Я так понял, этот сервис подписывает сертификат, созданный на внешнее > доменное имя? Да. Причем по этому имени должен быть доступен веб-сервер, и уметь отдать сгенерированный по ходу операции подписи файл со случайным именем, подписанный соответствующим ключом. И выдается такой сертификат на 3 месяца, так что рекомендуемая частота перевыпуска - раз в месяц. Для локалки так себе решение. Возможно, свой CA (не самоподписанные сертификаты, а плюс лишние два часа времени однократно, и таже процедура, но со своим корневым сертификатом) будет умнее. Но преимущество Let's Encrypt (на данный момент политических игр в области PKI) в том, что про подписанные им сертификаты не надо ничего вручную объяснять каждому клиенту. А про свой CA надо.
Re: LDAP
On 04/14/18 16:00, Артём Н. wrote: > > - Оправданно ли вообще использование LDAP в таком случае? LDAP удобная вещь, во многих случаях, твой похож на удобный > - Как настроить его так, чтобы был TLS (в перспективе будет торчать "наружу") > с самоподписанным > сертификатом? > - Где хранить .ldif файлы? > - Нужно ли делать /etc/ldap/ldap.conf или, как в руководстве, нужно "add > attributes to cn=config"? > - Лучше запускать LDAP сервер в контейнере или устанавливать в систему? Попробуй FreeIPA, это разработка РедХата, попытка сделать систему управления как Active Directory. По сути 389/bind/kerberos/dogtag обвязанные питоном и с веб интерфейсом ( или REST + CLI, как хочешь). Я к нему ещё FreeRadius прикручивал. достаточно хорошо скрывает от админа детали реализации и связки компонентов, так чтобы "работало и не надо год разбираться" есть: - в Debian, только не уверен насколько хорошо портирован, изначально делался для RH ( я его гоняю в CentOS) - в контейнере: https://hub.docker.com/r/freeipa/freeipa-server/
Re: LDAP
> On 15/04/18 04:05 AM, Коротаев Руслан wrote: >> Да, аутентификация по сертификату есть, если вы купите у своего >> провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, >> можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. > > Вот тут добавлю, Let's Encrypt можно получить для динамического адреса > используя сервис аля dyndns. > Вот хотелось поподробнее про Let's Encrypt. Эта идея сначала была, но загнулась, и теперь мои сертификаты самоподписанные. Я так понял, этот сервис подписывает сертификат, созданный на внешнее доменное имя?
Re: LDAP
15.04.2018 17:15, Коротаев Руслан пишет: > В сообщении от [Вс 2018-04-15 16:31 +0300] > Артём Н.пишет: > >> 1. Это вносит проблемы с безопасностью. >> 2. "Нормальным людям" пока ещё далеко до этого: где я, и где IPv6? >> >> Я статью почитал, там какая-то сильно передовая маргинальщина: IPv6, >> новый файрволл, TAYGA и NAS64. Если я с этим сейчас буду разбираться, >> мои проекты встанут на год, и меня проклянут. В текущем варианте, я >> просто хочу "чтобы работало", заниматься исследованиями новых сетевых >> технологий, пока времени нет. > > Согласен, у вас выверенная, хорошо аргументированная позиция, здесь не > поспоришь. > Ну да, сарказм уместен. Но, если серьёзно, во-первых, я предполагаю, что выловлю больше проблем с технологией, которая от меня далека, чем с тем, что есть сейчас (к тому же, в текущем варианте работает, только LDAP остался и пробросы). Во-вторых, там реально много неисследованных проблем с безопасностью и не только. Мне до IPv6 пока далеко, это не решение моей текущей задачи, а отдельная сложная тема. >> А, в смысле точка ему выдаёт IP? > > … ну, да, без IP-адреса интернет работать не может. Я сейчас ещё раз > крепко подумал и решил — у вас действительно самый оптимальный, рабочий > вариант. Он самодостаточен, что-либо менять, только портить. > Я понял, просто у меня возникает недопонимание некоторых моментов. Каждый раз точка будет выдавать IP, а когда я захочу отозвать доступ? А если некто займётся спуфингом (IP подделать не так уж сложно, как кажется, кроме того есть и другие варианты, ещё более инвазивные)? А что будет, когда пользователь закончит работу, но выданный ему "внутри" IP ещё останется? Как вообще настраивать файрволл, в таком случае?
Re: LDAP
On 15/04/18 04:05 AM, Коротаев Руслан wrote: > Да, аутентификация по сертификату есть, если вы купите у своего > провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, > можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. Вот тут добавлю, Let's Encrypt можно получить для динамического адреса используя сервис аля dyndns.
Re: LDAP
В сообщении от [Вс 2018-04-15 16:31 +0300] Артём Н.пишет: > 1. Это вносит проблемы с безопасностью. > 2. "Нормальным людям" пока ещё далеко до этого: где я, и где IPv6? > > Я статью почитал, там какая-то сильно передовая маргинальщина: IPv6, > новый файрволл, TAYGA и NAS64. Если я с этим сейчас буду разбираться, > мои проекты встанут на год, и меня проклянут. В текущем варианте, я > просто хочу "чтобы работало", заниматься исследованиями новых сетевых > технологий, пока времени нет. Согласен, у вас выверенная, хорошо аргументированная позиция, здесь не поспоришь. > А, в смысле точка ему выдаёт IP? … ну, да, без IP-адреса интернет работать не может. Я сейчас ещё раз крепко подумал и решил — у вас действительно самый оптимальный, рабочий вариант. Он самодостаточен, что-либо менять, только портить. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: LDAP
Вот тут пока сложно: с IPv6 я только ознакомился, практически же не работал с ним. Это существенно упрощает администрирование, если коротко, то при использовании IPv6 необходимости в NAT нет, все устройства будут иметь глобально маршрутизируемые адреса. 1. Это вносит проблемы с безопасностью. 2. "Нормальным людям" пока ещё далеко до этого: где я, и где IPv6? Я статью почитал, там какая-то сильно передовая маргинальщина: IPv6, новый файрволл, TAYGA и NAS64. Если я с этим сейчас буду разбираться, мои проекты встанут на год, и меня проклянут. В текущем варианте, я просто хочу "чтобы работало", заниматься исследованиями новых сетевых технологий, пока времени нет. Да, белый IP уже есть, но для того, чтобы отличать VPS нужны доменные имена. Я могу использовать динамический DNS и диспетчер на nginx-proxy. Однако сейчас я пробрасываю порты. … если вы своим VPS будете раздавать IPv6-адреса, ничего пробрасывать не надо, берете любой бесплатный DNS-сервис (например dns.he.net) и присваиваете им доменные имена. То есть VPS с вашего NAS становятся доступны всему интернету, также как VPS какого-нибудь Амазона, нужно только защитить их файрволом. Ну примерно так я и собираюсь сделать, только на v4. В смысле? Любой, знающий IP, считается "прошедшим аутентификацию"? Не вариант. Не знающий IP, а получивший IP. Допустим, вы хотите дать своему знакомому доступ к как каталогу по NFS/FTP. Заводите на RADIUS-сервере учетную запись вашего знакомого (пароли могут хранится в виде хеша, а не открытым текстом) и говорите: «Подключайся к точке доступа с именем HomeShare». Далее он проходит, аутентификацию по сертификату и получает IP. Всё, с этого IP он напрямую получает доступ, ничего больше не требуется. А, в смысле точка ему выдаёт IP?
Re: LDAP
В сообщении от [Вс 2018-04-15 14:05 +0300] Артём Н.пишет: > Вот тут пока сложно: с IPv6 я только ознакомился, практически же не > работал с ним. Это существенно упрощает администрирование, если коротко, то при использовании IPv6 необходимости в NAT нет, все устройства будут иметь глобально маршрутизируемые адреса. > Да, белый IP уже есть, но для того, чтобы отличать VPS нужны доменные > имена. Я могу использовать динамический DNS и диспетчер на > nginx-proxy. Однако сейчас я пробрасываю порты. … если вы своим VPS будете раздавать IPv6-адреса, ничего пробрасывать не надо, берете любой бесплатный DNS-сервис (например dns.he.net) и присваиваете им доменные имена. То есть VPS с вашего NAS становятся доступны всему интернету, также как VPS какого-нибудь Амазона, нужно только защитить их файрволом. > В смысле? > Любой, знающий IP, считается "прошедшим аутентификацию"? > Не вариант. Не знающий IP, а получивший IP. Допустим, вы хотите дать своему знакомому доступ к как каталогу по NFS/FTP. Заводите на RADIUS-сервере учетную запись вашего знакомого (пароли могут хранится в виде хеша, а не открытым текстом) и говорите: «Подключайся к точке доступа с именем HomeShare». Далее он проходит, аутентификацию по сертификату и получает IP. Всё, с этого IP он напрямую получает доступ, ничего больше не требуется. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: LDAP
On 15.04.2018 12:19, Alexander Gerasiov wrote: Hello Артём, On Sat, 14 Apr 2018 23:00:46 +0300 Артём Н.wrote: Хочу сделать так, чтобы все сервисы на NAS централизованно получали данные о пользователях. Решил это реализовать через LDAP. Почитал. Вроде, теоретически понятно, а практически как-то не очень, бьюсь с LDAP уже немало. Тут описано не особо подробно и с опечатками (не slapd.conf, а ldap.conf): https://wiki.debian.org/LDAP/OpenLDAPSetup Это не очепятка, читай внимательнее, там сказано, что slapd.conf - это старый конфиг, теперь всё хранится в slapd.d ldap.conf используется только ldap-tools Я читал лог strace, и понял, что /etc/slapd.conf теперь вообще не читается. - Как настроить его так, чтобы был TLS (в перспективе будет торчать "наружу") с самоподписанным сертификатом? По документации. Легко сказать. Настроил "по документации". Не работает. - Где хранить .ldif файлы? Не надо их нигде хранить, ldap хранит всё внутри своей БД. Для управления пользователями можно использовать, например обертку вроде ldapscripts Уже разобрался: я их просто загружаю в базу LDAP. - Лучше запускать LDAP сервер в контейнере или устанавливать в систему? Удобнее, если в контейнере, конечно. Уже перенёс: теперь в контейнере (osixia/openldap:1.2.0). Рекомендую еще вот этот мануал, не знаю как сейчас, но раньше он был гораздо лучшее написан, чем debian wiki: https://help.ubuntu.com/lts/serverguide/openldap-server.html Спасибо. Читаю.
Re: LDAP
Если возможностей RADIUS-сервера будет не достаточно, то можно прикрутить к нему LDAP, но это скорее для крупных компаний, для дома это лишнее. [1]: https://blog.kr.pp.ru/post/2017-12-12/ Кое-как настроил LDAP локльно: это чудовище просто какое-то. Задолбался подключать к нему gitlab. Переделал всё на контейнеры, пока не работает TLS.
Re: LDAP
On 15.04.2018 12:05, Коротаев Руслан wrote: В сообщении от [Сб 2018-04-14 23:00 +0300] Артём Н.пишет: Хочу сделать так, чтобы все сервисы на NAS централизованно получали данные о пользователях. Решил это реализовать через LDAP. Почитал. Вроде, теоретически понятно, а практически как-то не очень, бьюсь с LDAP уже немало. - Оправданно ли вообще использование LDAP в таком случае? Рекомендую RADIUS (FreeRADIUS есть в репозитории). Смотрел его, и так понял, что он мне не нужен. Вы очень мало написали о сути проблемы, поэтому поделюсь своим решением, возможно оно и вам поможет. Фактически, писать тут особо нечего. Есть n сервисов, поддерживающих LDAP из коробки, и m пользователей, которые хотят пользоваться частью сервисов и, возможно, иметь личный каталог в ФС. Надо это реализовать. Логично, что управлять пользователями надо централизованно. Задача дальнего будущего - на внешних машинках авторизоваться с LDAP сервера, который крутится в NAS. Проблема: дома есть NAS, на котором крутятся сервисы раздачи файлов и мультимедиа по разным протоколам. Для себя и домашних проблем нет, подключаемся и получаем к ним доступ. Но что если пришли гости и просят WiFi, вряд ли вы хотите чтобы они увидели что-то вроде «Жесть. Отжигаю в Турции». Очевидное решение: сделать на роутере два VLAN — домашний и гостевой, и защитить паролем. Однако, пароля будет недостаточно, когда вас не будет дома, бабушка наверняка их перепутает. Поэтому нужен RADIUS, он есть даже в самом дешевом китайском роутере. Схема сложновата. В моём случае, NAS - вещь в себе. Я могу всё поднять на нём. - Как настроить его так, чтобы был TLS (в перспективе будет торчать "наружу") с самоподписанным сертификатом? Да, аутентификация по сертификату есть, если вы купите у своего провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. Да, белый IP уже есть, но для того, чтобы отличать VPS нужны доменные имена. Я могу использовать динамический DNS и диспетчер на nginx-proxy. Однако сейчас я пробрасываю порты. Имея белый IP-адрес, вы можете подключить IPv6, например через NAT64 [1]. Вы уже не будете ограничены домашней сетью и сможете давать доступ к своим сервисам на различных VPS исходя из IPv6-адреса. Вот тут пока сложно: с IPv6 я только ознакомился, практически же не работал с ним. В общем политика безопасности очень простая — получил IP-адрес (любой IPv4 и/или IPv6), значит прошел аутентификацию и можно давать доступ, дальше всё реализуем через файрвол. В смысле? Любой, знающий IP, считается "прошедшим аутентификацию"? Не вариант. Если возможностей RADIUS-сервера будет не достаточно, то можно прикрутить к нему LDAP, но это скорее для крупных компаний, для дома это лишнее. [1]: https://blog.kr.pp.ru/post/2017-12-12/ Я бы с удовольствием не парился с LDAP, но его поддерживают gitlab, OMV, urbackup, etc.
Re: LDAP
Hello Артём, On Sat, 14 Apr 2018 23:00:46 +0300 Артём Н.wrote: > Хочу сделать так, чтобы все сервисы на NAS централизованно получали > данные о пользователях. Решил это реализовать через LDAP. > Почитал. Вроде, теоретически понятно, а практически как-то не очень, > бьюсь с LDAP уже немало. Тут описано не особо подробно и с опечатками > (не slapd.conf, а ldap.conf): > https://wiki.debian.org/LDAP/OpenLDAPSetup Это не очепятка, читай внимательнее, там сказано, что slapd.conf - это старый конфиг, теперь всё хранится в slapd.d ldap.conf используется только ldap-tools > > Может кто-нибудь объяснить (по шагам): > > - Оправданно ли вообще использование LDAP в таком случае? Почему бы и нет. > - Как настроить его так, чтобы был TLS (в перспективе будет торчать > "наружу") с самоподписанным сертификатом? По документации. > - Где хранить .ldif файлы? Не надо их нигде хранить, ldap хранит всё внутри своей БД. Для управления пользователями можно использовать, например обертку вроде ldapscripts > - Нужно ли делать /etc/ldap/ldap.conf или, как в руководстве, нужно > "add attributes to cn=config"? Как в руководстве. > - Лучше запускать LDAP сервер в контейнере или устанавливать в > систему? Удобнее, если в контейнере, конечно. Рекомендую еще вот этот мануал, не знаю как сейчас, но раньше он был гораздо лучшее написан, чем debian wiki: https://help.ubuntu.com/lts/serverguide/openldap-server.html -- Best regards, Alexander Gerasiov Contacts: e-mail: g...@cs.msu.su WWW: http://gerasiov.net TG/Skype: gerasiov PGP fingerprint: 04B5 9D90 DF7C C2AB CD49 BAEA CA87 E9E8 2AAC 33F1 pgpNXcLtIF0LE.pgp Description: OpenPGP digital signature
Re: LDAP
В сообщении от [Сб 2018-04-14 23:00 +0300] Артём Н.пишет: > Хочу сделать так, чтобы все сервисы на NAS централизованно получали > данные о пользователях. Решил это реализовать через LDAP. Почитал. > Вроде, теоретически понятно, а практически как-то не очень, бьюсь с > LDAP уже немало. > > - Оправданно ли вообще использование LDAP в таком случае? Рекомендую RADIUS (FreeRADIUS есть в репозитории). Вы очень мало написали о сути проблемы, поэтому поделюсь своим решением, возможно оно и вам поможет. Проблема: дома есть NAS, на котором крутятся сервисы раздачи файлов и мультимедиа по разным протоколам. Для себя и домашних проблем нет, подключаемся и получаем к ним доступ. Но что если пришли гости и просят WiFi, вряд ли вы хотите чтобы они увидели что-то вроде «Жесть. Отжигаю в Турции». Очевидное решение: сделать на роутере два VLAN — домашний и гостевой, и защитить паролем. Однако, пароля будет недостаточно, когда вас не будет дома, бабушка наверняка их перепутает. Поэтому нужен RADIUS, он есть даже в самом дешевом китайском роутере. > - Как настроить его так, чтобы был TLS (в перспективе будет торчать > "наружу") с самоподписанным сертификатом? Да, аутентификация по сертификату есть, если вы купите у своего провайдера белый IP-адрес, то вам не нужны самоподписанные сертификаты, можно использовать Let's Encrypt и разместить RADIUS-сервер на VPS. Имея белый IP-адрес, вы можете подключить IPv6, например через NAT64 [1]. Вы уже не будете ограничены домашней сетью и сможете давать доступ к своим сервисам на различных VPS исходя из IPv6-адреса. В общем политика безопасности очень простая — получил IP-адрес (любой IPv4 и/или IPv6), значит прошел аутентификацию и можно давать доступ, дальше всё реализуем через файрвол. Если возможностей RADIUS-сервера будет не достаточно, то можно прикрутить к нему LDAP, но это скорее для крупных компаний, для дома это лишнее. [1]: https://blog.kr.pp.ru/post/2017-12-12/ -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: LDAP несколько вопросов начинающего
Не сочтите за плохой тон, но вот по ссылке ниже ребята мне помогли как-то. И доки они переписывают на русский и отвечают более или менее быстро и уверенно. http://pro-ldap.ru/ ага, почему плохой-то тон? я и просил ссылок на что где почитать :) спасибо. -- . ''`. Dmitry E. Oboukhov : :’ : email: un...@debian.org jabber://un...@uvw.ru `. `~’ GPGKey: 1024D / F8E26537 2006-11-21 `- 1B23 D4F8 8EC0 D902 0555 E438 AB8C 00CF F8E2 6537 signature.asc Description: Digital signature
Re: LDAP несколько вопросов начинающего
4 января 2015 г., 0:34 пользователь Dmitry E. Oboukhov un...@debian.org написал: Разбираюсь понемногу с LDAP, насколько я понимаю для моих вещей самое то, однако есть вопросы которые пока не разобрал Не сочтите за плохой тон, но вот по ссылке ниже ребята мне помогли как-то. И доки они переписывают на русский и отвечают более или менее быстро и уверенно. http://pro-ldap.ru/
Re: ldap и osqa
18.12.2013 13:07, Andrey Kuzmin пишет: Коллеги добрый день. Есть вопрос по использованию osqa по ldap. Ситуация такая. Есть виндовый домен. Есть машинка с linux (пока не в домене) на этой машинке настроено apache+osqa+mysql+django. Мне необходмио прикрутить osqa доменную авторизацию. Нашел плагин подключил его, но при заполнении всех необходимых полей (типа DN for binding:, Base DN: и тп.) и при попытки аутентификации мне выкидывается ошибка Login failed - LDAP bind error. Может кто нибудь сталкивался с такой проблемой здесь обсуждается подобная проблема http://social.technet.microsoft.com/Forums/ru-RU/5030501c-69a6-4a39-96a2-ee6c2ddd320f/-ldap-bind проблема в том, что клиент ldap в osqa не может соединится с ldap сервером причин может быть много, но основные 1. сервер ldap microsoft не поддерживает plain text bind, рыть в строну как включить или как сделать безопасный bind к ldap microsoft'a 2. клиент действительно передает не то, что нужно - возможно что то в параметрах не правильное. Попробуйте по разному подключатся с ldap серверу. Почитайте что поддерживает сервер (какие способы bind) и что поддерживает клиент. Возможно сервер требует kerberos auth или же работает только через TLS. Читайте логи сервер там может быть что нибудь интересное. Скачайте какой-нибудь ldap gui browser и попробуйте подключится из него, сравните параметры подключения(bind) -- -- Faithfully yours, Vladimir Skubriev
Re: ldap and unix users
27 марта 2012 г. 21:57 пользователь v...@lab127.karelia.ru v...@lab127.karelia.ru написал: Здравствуйте! Задача: Есть сервер squeeze, где есть ряд unix учетных записей. Для одного из корпоративных приложений требуется ldap аутентификация. Хотелось бы, чтобы пользователь мог заходить на сервер по ssh и управлять приложением используя одну и ту же учетную запись (сменил пароль, он меняется и там и там). Решение состоит в использовании ldap для аутентификации по ssh. Приложение unix записями оперировать не может. Я не разбираюсь в том, как система unix пользователями оперирует, поэтому вопрос. Можно ли сделать так, чтобы все пользователи были в ldap, но при этом можно было бы добавлять их в группы, созданные командой addgroup group name и в стандартные группы типа www-data, mail, etc. При этом если есть unix учетная запись, то можно было бы входить и под ней. Как сделать? Пилил подобное, но для kerberos, без ldap. Можно посмотреть [1] и [2]. Если завести пользователя в каталоге и настроить PAM на работу с каталогом, то везде будет одна учетная запись. А вот с группами есть такая мысль, но тут надо будет администрировать аккуратно. Если завести пользователя сначала в локальной базе операционной системы, как это делается обычно, а потом отдельно в каталоге, то получается дублирование учетных записей. Это может оказаться полезно. Если PAM и sshd будет работать и по каталогу и по локальной базе пользователей одновременно, то для разных баз пользователей с одним именем будет одно пользовательское пространство. Тогда можно выполнять манипуляции с группами локальной базы пользователей и входить через каталог. Так же можно входить и по базе каталога и по базе локальных пользователей, при том, что пароли у них могут быть как разные так и одинаковые. Коллеги, не слишком абсурдно? Можно как-то иначе? -- [1] http://wiki.debian.org/LDAP/Kerberos#Client_Login_Setup [2] http://wiki.debian.org/LDAP/PAM
Re: ldap and unix users
On Tue, Mar 27, 2012 at 08:57:57PM +0300, v...@lab127.karelia.ru wrote: Можно ли сделать так, чтобы все пользователи были в ldap, но при этом можно было бы добавлять их в группы, созданные командой addgroup group name и в стандартные группы типа www-data, mail, Можно. Пользователь в unix - это логин и uid, независимо от того где он прописан: /etc/passwd, LDAP, nis или ещё чего. etc. При этом если есть unix учетная запись, то можно было бы входить и под ней. Они должны быть с разными логинами и уидами. Как сделать? В LDAP присвоить записи нужные классы (account, posixAccount, shadowAccount и тд) и атрибуты (uidNumber, gidNumber), прописать LDAP-сервер(ы) в NSS с PAM и логинится. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20120327201753.ga32...@pompeii.wapper.ru
Re: LDAP+Exchange+EGW это вообще во зможно?
Мне вот не ясно. Если уж есть рабочая инфраструктура на продуктах MS, еще один сервер Exchnage впишется в нее достаточно просто и красиво. Получите локальную базу с вашими местными почтовыми ящиками, репликацию адресной книги и т.п. Нету у меня такой структуры. Есть где-то-там-далеко-за-морем еле живой Exchange и OWA до него. Это вот и вся структура. А поднимать у себя ещё один сервер мне никак: нет ни сервера, ни винды, ни CAL'ов под это всё. И не будет ближайшие годы. А у меня с виндой только 1с, а всё остальное - полный опенсортец Гуглится это, кажется, по ms exchange domain sharing. Адресная книга, генерируемая эксчейнджем берется из каталога AD, в сети полно скриптов, которые умеют выгружать подобные данные в текстовом виде... То есть просто попросить админов в далёком далеке выгрузить их адресную книгу (скажем, раз в неделю) в какой-нибудь CVS и принять её в мой EGW. Я так и предполагал. Разве что ради идеи :-) Идея проста: денег нет, выбивать их за ради непонятно чего - надоело. Уж лучше наращивать собственные умения и усиливать карму, чем попрошайничать дайте денег на винду -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c5801e7.8060...@mail.ru
Re: LDAP+Exchange+EGW это вообще возможно?
On Птн, 2010-07-30 at 21:28 +0400, Вереск wrote: Собственно, это так ещё, цветочки. Ясное дело, что дружить надо с чем-то почтовым, но никак не с таким же Exchange. Мне вот не ясно. Если уж есть рабочая инфраструктура на продуктах MS, еще один сервер Exchnage впишется в нее достаточно просто и красиво. Получите локальную базу с вашими местными почтовыми ящиками, репликацию адресной книги и т.п. Собственно, дальше мысль пошла вообще в сторону: а нельзя ли эти самые адреса использовать в почте eGroupWare, типа как сейчас в OWA, но там свой интерфейс, интегрированный с многими иными функциями. Подружить EGW и свой LDAP (LDAP+Samba, клиенты виндовые) - это ещё куда ни шло, а вот можно ли совместить адресные книги? Чтоб из Центра могли приходить общекорпоративные контакты адресной книги, а мы могли бы в EGW хранить ещё и свою, маленькую базу адресов. Гуглится это, кажется, по ms exchange domain sharing. Адресная книга, генерируемая эксчейнджем берется из каталога AD, в сети полно скриптов, которые умеют выгружать подобные данные в текстовом виде... Вобщем, вопросы: стоит ли оно того или всё-равно по-уму работать не будет, даже если реально. Если всё-таки реально, то как и чем можно это сделать? Разве что ради идеи :-) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1280603034.15549.6.ca...@corvax-nb
Re: ldap-авторизация и тормоза при загруз ке
Alex Mestiashvili wrote: Игорь Чумак wrote: Добрый день! В машинке с openvz настроена авторизация через общий ldap-каталог. Удобно. Но openvz-контейнеры теперь запускаются очень долго (около 10 мин). Есть подозрение, что все процессы теперь хотят получать UID/GID через ldap. Вопрос: как бы это пресечь? Или хотя бы отдиагностировать. Да, кстати, странность №2 getent возвращает по 2 записи (но моментально): getent passwd|grep root root:x:0:0:root:/root:/bin/bash root:x:0:0:root:/root:/bin/bash getent passwd|grep www-data www-data:x:33:33:www-data:/var/www:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh Одна из ldap, другая из /etc/passwd. Возможно, это как-то связано. # /etc/nsswitch.conf passwd: ldap compat group: ldap compat shadow: compat hosts: files dns networks: files protocols: db files services: db files ethers: db files rpc:db files netgroup: nis #/etc/libnss-ldap.conf host 192.168.255.1 base dc=domain,dc=com,dc=ua uri ldap://192.168.255.1 ldap_version 3 port 389 scope sub pam_check_host_attr yes a что root и в ldap есть ? я думал , что в ldap лучше держать аккаунты начиная так с uid 1000 ( а остальные для локальных юзеров ) и разумеется локальные просто так не должны пересекаться с LDAP . в /etc/nsswitch лучше иметь compat ldap тоесть локальные сначала , а затем ldap . Regards , Alex sorry в личку отправил . -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c0676ec.7060...@biotec.tu-dresden.de
Re: ldap-авториз ация и тормо за при загру зке
On Wed, 02 Jun 2010 18:11:58 +0300 Игорь Чумак ichumak2...@gmail.com wrote: Добрый день! В машинке с openvz настроена авторизация через общий ldap-каталог. Удобно. Но openvz-контейнеры теперь запускаются очень долго (около 10 мин). Есть подозрение, что все процессы теперь хотят получать UID/GID через ldap. вряд ли, если очередность в nss-switch стоит сначала смотреть локально а потом в LDAP попробуйте nscd поставить? сразу из коробки должно помочь (я буквально вчера это ковырял, мысли ещё свежи в памяти) Вопрос: как бы это пресечь? Или хотя бы отдиагностировать. Да, кстати, странность №2 getent возвращает по 2 записи (но моментально): getent passwd|grep root root:x:0:0:root:/root:/bin/bash root:x:0:0:root:/root:/bin/bash getent passwd|grep www-data www-data:x:33:33:www-data:/var/www:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh Одна из ldap, другая из /etc/passwd. Возможно, это как-то связано. # /etc/nsswitch.conf passwd: ldap compat group: ldap compat ага! -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100602234006.3e247...@gmail.com
Re: LDAP - полезная вещь или головная боль?
Ed wrote: давно поставил домен на samba3 + openldap. привлекло, что поддержка ldap упоминается практически для всего - smtp-сервер, asterisk, dhcp, ... казалось - вот-вот всё можно свести воедино и ... прошло время - а ldap так и используется как хранилище пользователей домена - и только. то способ хранения странный (как в dhcp3-server например), то возни получается больше, чем с текстовыми конфигами (почта например), ... а главное - нет нормального административного интерфейса. с командной строки (не из скриптов) модифицировать информацию в ldap - то ещё удовольствие. веб-интерфейсы тоже не блещут. если пользоваться интергацией с самбой и пользоваться микрософтовскими утилитами времён nt4 для управления пользователями - то все пользователи хранятся в плоской таблице вместо древовидной структуры. да и редактировать с их помощью можно только пароли/членство в группах. в общем энтузиазизм иссяк, для среднебольшой сети (десятки и сотни пользователей) преймуществ перед тестовыми файлами я не вижу. держит необходимость авторизовывать пользователей на виндовых терминальных серверах. btw - раз уж есть ldap+samba, как лучше авторизовывать пользователей на linux-хостах? напрямую в ldap или winbind? http://directory.apache.org/ Regards , Alex -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c03d3de.4030...@biotec.tu-dresden.de
Re: LDAP - полезная вещь или головная боль?
Alex Mestiashvili wrote: http://directory.apache.org/ а что конкретно Вы имели в виду? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c03ee8f.5000...@yandex.ru
Re: LDAP - полезная вещь или головная боль?
Ed wrote: Alex Mestiashvili wrote: http://directory.apache.org/ а что конкретно Вы имели в виду? конкретно Apache Directory Studio . http://directory.apache.org/studio/ автор интересовался а главное - нет нормального административного интерфейса. по мне directory studio отличный интерфейс к LDAP . зы , a также ldapvi для любителий vi , и для случаев когда нет иксов . Regards , Alex -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c041081.9020...@biotec.tu-dresden.de
Re: LDAP - полезна я вещь или головная боль?
Ed ☫ → To debian-russian@lists.debian.org @ Wed, May 26, 2010 12:11 +0400 вдогонку: прописываем мы пользователю доступ ко всему (почта, интернет, jabber, vpn снаружи) через единый пароль. и тут обнаруживается, что утечь паролю из браузера/почтовика/im-клиента/etc проще простого. Это уже вопрос не технический, а административный. По моему опыту, имея дело с пользователями средней грамотности, заводить им кучу разных паролей ещё хуже, так как в результате всё равно везде ими ставится один и тот же пароль, либо пароли вида 111, что ещё хуже. -- Bright regards, Sergey Korobitsin | http://the-brights.net/ -- Arta Software, http://arta.kz/ | illuminating and elevating xmpp:underta...@jabber.arta.kz | the naturalistic worldview -- Я обвиняю Америку, на которой лежит ответственность за позор наших дней: обожествление труда, эту омерзительную идеологию, основанную на прославлении материального прогресса, брезгливо-пренебрежительную к любой утопии и поэзии, ко всему, что служит совершенствованию человеческой души... Я не могу не противостоять этой тенценции; самым решительным броском вперед - идеей, и наиболее творческим из всех действий - бездельем. -- Тристан Тцара -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100526082011.gc2...@undertaker.arta.local
Re: LDAP - полезна я вещь или головная боль?
Ed ☫ → To debian-russian@lists.debian.org @ Tue, May 25, 2010 11:12 +0400 давно поставил домен на samba3 + openldap. привлекло, что поддержка ldap упоминается практически для всего - smtp-сервер, asterisk, dhcp, ... казалось - вот-вот всё можно свести воедино и ... прошло время - а ldap так и используется как хранилище пользователей домена - и только. то способ хранения странный (как в dhcp3-server например), то возни получается больше, чем с текстовыми конфигами (почта например), ... а главное - нет нормального административного интерфейса. с командной строки (не из скриптов) модифицировать информацию в ldap - то ещё удовольствие. веб-интерфейсы тоже не блещут. А вы не смотрели в сторону OpenSSO: http://en.wikipedia.org/wiki/OpenSSO ? Это не совсем веб-интерфейс, но может быть полезным. -- Bright regards, Sergey Korobitsin | http://the-brights.net/ -- Arta Software, http://arta.kz/ | illuminating and elevating xmpp:underta...@jabber.arta.kz | the naturalistic worldview -- Современные условия бытия оставляют человека один на один с бесконечным монологом масс-медиа и культуры; монологом масс-медиа и культуры о самих себе. Хуже того, реальность, с которой имеет дело субъект культуры - продукт этого самого монолога. Человек остается безвольным и безвластным червяком в колоссальной кафкианской машине само-воспроизводящейся культуры. Культуры, язык которой защищен копирайтом - чтобы произнести в этом смысловом поле нечто осмысленное, вообще что-то произнести, требуется добыть разрешение владельца копирайта. Копирайт обозначает тиранию гораздо более жестокую и окончательную, чем все прежде известные формы тирании - прежде никому не приходило в голову кодифицировать все формы экспрессии и требовать получения отдельного разрешения на каждую. -- Миша Вербицкий, Антикопирайт -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100525073545.gi2...@undertaker.arta.local
Re: LDAP - полезная вещь или голо вная боль?
2010/5/25 Ed sp...@yandex.ru: веб-интерфейсы тоже не блещут. пользуемся phpldapadmin. все устраивает -- С уважением, Константин Матюхин
Re: LDAP - полезная вещь или головная боль?
25.05.2010 12:17, Konstantin Matyukhin пишет: пользуемся phpldapadmin. все устраивает Может я слишком невнимательно смотрел, но так и не понял, где у phpldapadmin подключение НЕ к localhost. Собственно, у GQ тоже не нашлось. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bfb8fab.2070...@mail.ru
Re: LDAP - полезна я вещь или головная боль?
Вереск ☫ → To debian-russian@lists.debian.org @ Tue, May 25, 2010 12:51 +0400 25.05.2010 12:17, Konstantin Matyukhin пишет: пользуемся phpldapadmin. все устраивает Может я слишком невнимательно смотрел, но так и не понял, где у phpldapadmin подключение НЕ к localhost. Собственно, у GQ тоже не нашлось. У GQ точно есть, я им отлаживал удалённое дерево в OpenLDAP. Если нужно что-то GQподобное, то рекомендую luma -- работает не в пример лучше. -- Bright regards, Sergey Korobitsin | http://the-brights.net/ -- Arta Software, http://arta.kz/ | illuminating and elevating xmpp:underta...@jabber.arta.kz | the naturalistic worldview -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100525090313.gj2...@undertaker.arta.local
Re: LDAP - полезная вещь или голо вная боль?
25 мая 2010 г. 14:51 пользователь Вереск evgeny_ver...@mail.ru написал: 25.05.2010 12:17, Konstantin Matyukhin пишет: пользуемся phpldapadmin. все устраивает Может я слишком невнимательно смотрел, но так и не понял, где у phpldapadmin подключение НЕ к localhost. Невнимательно, да... $ldapservers-SetValue($i,'server','host','127.0.0.1'); Впрочем, меня он всё равно не устроил... -- Stanislav
Re: LDAP - полезная вещь или головная боль?
Konstantin Matyukhin wrote: 2010/5/25 Ed sp...@yandex.ru: веб-интерфейсы тоже не блещут. пользуемся phpldapadmin. все устраивает да речь-то не про конкретные веб-интерфейсы. на мой взгляд ldap плохо ложится на идеологию unix (разве что многие операции хоть как-то заскриптовать можно). именно этот вопрос и я хотел обсудить - действительно оно так или же я просто не разобрался в вопросе. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bfc01fb.8060...@yandex.ru
Re: LDAP авторизация password policy
On Sat, 17 Apr 2010 01:05:14 +0400 Pavel Ammosov apa...@wapper.ru wrote: On Sat, Apr 17, 2010 at 01:40:15AM +0800, Denis Feklushkin wrote: как работает pam ldap? он получает хэш пароля из ldap и сравнивает его с получившимся их введённого пароля хэшем? Нет. Он берёт пароль пользователя и пытается с ним аутентифицироваться в LDAP, то есть выполнить операцию bind. а пароль криптуется чем перед посылкой? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100417212552.675cf...@db.h-g.com
Re: LDAP авторизация password policy
Denis Feklushkin пишет: On Fri, 09 Apr 2010 10:39:07 +0300 Игорь Чумак i.chu...@generali.garant.ua wrote: Denis Feklushkin пишет: On Thu, 08 Apr 2010 10:23:15 +0300 Игорь Чумак i.chu...@generali.garant.ua wrote: Добрый день! Настроил авторизацию по предложенной схеме: http://www.opennet.ru/base/net/debian_ldap_install1.txt.html а зачем? из лдап у вас любые хэши паролей любой унесёт с целью перебора же, на сколько я понимаю (это агитация за kerberos) access to attrs=userPassword,shadowLastChange by dn=cn=admin,dc=upg,dc=com,dc=ua write by anonymous auth by self write by * none Хеш пароля может унесть либо админ, либо self именно. после взлома одной машины унесут все хэши За счет чего унесут, интересно? wiki:/# grep -v ^# /etc/libnss-ldap.conf |grep -v ^$ host 192.168.255.1 base dc=upg,dc=com,dc=ua uri ldap://192.168.255.1 ldap_version 3 port 389 scope sub pam_check_host_attr yes wiki:/# grep -v ^# /etc/ldap/ldap.conf |grep -v ^$ HOST 192.168.255.1 BASEdc=upg,dc=com.dc=ua URI ldap://192.168.255.1:389 wiki:/# grep -v ^# /etc/pam_ldap.conf |grep -v ^$ base dc=upg,dc=com,dc=ua uri ldap://192.168.255.1/ ldap_version 3 pam_check_host_attr yes pam_password crypt В конфигах _нигде_ нет никаких паролей (хотя в хауту 10-летней давности и рекомендуют заводить некоторого прокси-юзера, умеющего читать все пароли). -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bc89d51.70...@gmail.com
Re: LDAP авторизация password policy
On Fri, 16 Apr 2010 20:24:33 +0300 Игорь Чумак ichumak2...@gmail.com wrote: Denis Feklushkin пишет: On Fri, 09 Apr 2010 10:39:07 +0300 Игорь Чумак i.chu...@generali.garant.ua wrote: Denis Feklushkin пишет: On Thu, 08 Apr 2010 10:23:15 +0300 Игорь Чумак i.chu...@generali.garant.ua wrote: Добрый день! Настроил авторизацию по предложенной схеме: http://www.opennet.ru/base/net/debian_ldap_install1.txt.html а зачем? из лдап у вас любые хэши паролей любой унесёт с целью перебора же, на сколько я понимаю (это агитация за kerberos) access to attrs=userPassword,shadowLastChange by dn=cn=admin,dc=upg,dc=com,dc=ua write by anonymous auth by self write by * none Хеш пароля может унесть либо админ, либо self именно. после взлома одной машины унесут все хэши За счет чего унесут, интересно? wiki:/# grep -v ^# /etc/libnss-ldap.conf |grep -v ^$ host 192.168.255.1 base dc=upg,dc=com,dc=ua uri ldap://192.168.255.1 ldap_version 3 port 389 scope sub pam_check_host_attr yes wiki:/# grep -v ^# /etc/ldap/ldap.conf |grep -v ^$ HOST 192.168.255.1 BASEdc=upg,dc=com.dc=ua URI ldap://192.168.255.1:389 wiki:/# grep -v ^# /etc/pam_ldap.conf |grep -v ^$ base dc=upg,dc=com,dc=ua uri ldap://192.168.255.1/ ldap_version 3 pam_check_host_attr yes pam_password crypt В конфигах _нигде_ нет никаких паролей (хотя в хауту 10-летней давности и рекомендуют заводить некоторого прокси-юзера, умеющего читать все пароли). как работает pam ldap? он получает хэш пароля из ldap и сравнивает его с получившимся их введённого пароля хэшем? -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100417014015.628b9...@db.h-g.com
Re: LDAP авторизаци я password policy
On Sat, Apr 17, 2010 at 01:40:15AM +0800, Denis Feklushkin wrote: как работает pam ldap? он получает хэш пароля из ldap и сравнивает его с получившимся их введённого пароля хэшем? Нет. Он берёт пароль пользователя и пытается с ним аутентифицироваться в LDAP, то есть выполнить операцию bind. Читать хэш для этого вовсе не надо. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100416210513.ga5...@pompeii.v.shared.ru
Re: LDAP авторизация password policy
Denis Feklushkin пишет: On Fri, 09 Apr 2010 10:39:07 +0300 Игорь Чумак i.chu...@generali.garant.ua wrote: Denis Feklushkin пишет: On Thu, 08 Apr 2010 10:23:15 +0300 Игорь Чумак i.chu...@generali.garant.ua wrote: Добрый день! Настроил авторизацию по предложенной схеме: http://www.opennet.ru/base/net/debian_ldap_install1.txt.html а зачем? из лдап у вас любые хэши паролей любой унесёт с целью перебора же, на сколько я понимаю (это агитация за kerberos) access to attrs=userPassword,shadowLastChange by dn=cn=admin,dc=upg,dc=com,dc=ua write by anonymous auth by self write by * none Хеш пароля может унесть либо админ, либо self именно. после взлома одной машины унесут все хэши После взлома == получивши root и прочитавши /etc/libnss-ldap.secret ? Пожалуй, это будет полное ЖО :( Унесут хеши - флаг в руки, даже 6-значный пароль подбирается долго. Но пароль админа - это полный доступ к базе.. С другой стороны, на кой нужен параметр rootbinddn в /etc/libnss-ldap.conf - я так и не понял. Без него авторизация тоже работает, а унести можно будет только хеш _своего_ пароля. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bc2e545.7070...@generali.garant.ua
Re: LDAP авторизация password policy
On Thu, 08 Apr 2010 10:23:15 +0300 Игорь Чумак i.chu...@generali.garant.ua wrote: Добрый день! Настроил авторизацию по предложенной схеме: http://www.opennet.ru/base/net/debian_ldap_install1.txt.html а зачем? из лдап у вас любые хэши паролей любой унесёт с целью перебора же, на сколько я понимаю (это агитация за kerberos) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100409143334.2d248...@db.h-g.com
Re: LDAP авторизация password policy
Denis Feklushkin пишет: On Thu, 08 Apr 2010 10:23:15 +0300 Игорь Чумак i.chu...@generali.garant.ua wrote: Добрый день! Настроил авторизацию по предложенной схеме: http://www.opennet.ru/base/net/debian_ldap_install1.txt.html а зачем? из лдап у вас любые хэши паролей любой унесёт с целью перебора же, на сколько я понимаю (это агитация за kerberos) access to attrs=userPassword,shadowLastChange by dn=cn=admin,dc=upg,dc=com,dc=ua write by anonymous auth by self write by * none Хеш пароля может унесть либо админ, либо self -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4bbed99b.1070...@generali.garant.ua
Re: LDAP авторизация password policy
On Fri, 09 Apr 2010 10:39:07 +0300 Игорь Чумак i.chu...@generali.garant.ua wrote: Denis Feklushkin пишет: On Thu, 08 Apr 2010 10:23:15 +0300 Игорь Чумак i.chu...@generali.garant.ua wrote: Добрый день! Настроил авторизацию по предложенной схеме: http://www.opennet.ru/base/net/debian_ldap_install1.txt.html а зачем? из лдап у вас любые хэши паролей любой унесёт с целью перебора же, на сколько я понимаю (это агитация за kerberos) access to attrs=userPassword,shadowLastChange by dn=cn=admin,dc=upg,dc=com,dc=ua write by anonymous auth by self write by * none Хеш пароля может унесть либо админ, либо self именно. после взлома одной машины унесут все хэши -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100410002431.3b92e...@db.h-g.com
Re: LDAP авторизация
Pavel Ammosov - debian-russian@lists.debian.org @ Sun, 3 Feb 2008 23:33:27 +0300: Ставит winscp и радуется жизни. Плагин к FAR-у заметно более удобен PA плагин для far, реализующий scp/sftp, можно скачать на сайте PA winscp. Помимо прочих преимуществ, он может авторизоваться на ssh PA ключами от pageant. Имеется в виду преимущество по сравнению с чем? С Internet Explorer? winscp тоже может, и даже носит pageant с собой. -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] Проявил себя? Закрепи! Кнышев -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Victor Wagner - debian-russian@lists.debian.org @ Sun, 3 Feb 2008 00:03:14 +0300: SC Всегда думал о защищенном соединении. И совершенно забыл о SC упомянутом интернет кафе. Да, согласен. Только с пользователями SC проблема, они все равно будут пароли бить одни и те же, ааа SC ... 123. Защищенное соединение имеет смысл лишь постольку, поскольку человек, который им пользуется, _понимает_ и соблюдает свою часть протокола. Ситуация, когда он не понимает, но соблюдает, возможна (мы такое делаем), но только в очень жестких условиях, напрочь исключающих не то что интернет-кафе, но и домашний компьютер. VW Поэтому альтернативой ftp является не scp/sftp, а webdav. Там VW много больше возможностей проконтролировать действия пользователя VW на стороне сервера (ибо http). И больше возможностей взломать. Ибо все существующие веб-сервера, способные реализовать DAV, дырявы как решето. Потому как вот тут уж специалистов по безопасности даже не паслось, а система на порядок сложнее. -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] Дуля со смещенным центром тяжести -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
sergio - debian-russian@lists.debian.org @ Mon, 04 Feb 2008 19:09:26 +0300: VW Поэтому альтернативой ftp является не scp/sftp, а webdav. Там VW много больше возможностей проконтролировать действия VW пользователя на стороне сервера (ибо http). И больше возможностей взломать. Ибо все существующие веб-сервера, способные реализовать DAV, дырявы как решето. Потому как вот тут уж специалистов по безопасности даже не паслось, а система на порядок сложнее. s те апач дыряв как решето? Именно. Нет, статику анонимам он, вроде бы, отдает достаточно секьюрно. А вот когда дело доходит до динамики и работы на прием... -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] Рюмку взял - паяльник положил -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
sergio - debian-russian@lists.debian.org @ Mon, 04 Feb 2008 19:35:21 +0300: s те апач дыряв как решето? Именно. Нет, статику анонимам он, вроде бы, отдает достаточно секьюрно. А вот когда дело доходит до динамики и работы на прием... s и из чего же следует такое умозаключение? ну мне просто интересно, s почему ты так решил. По опыту. -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] Правки Белявского, сделанные им в рабочей копии головы -- Из коммитлога. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Иван Лох - debian-russian@lists.debian.org @ Mon, 4 Feb 2008 19:48:05 +0300: s те апач дыряв как решето? Именно. Нет, статику анонимам он, вроде бы, отдает достаточно секьюрно. А вот когда дело доходит до динамики и работы на прием... ИЛ Если мы договоримся, что статику не-анонимам он тоже может отдавать ИЛ секьюрно, то мне, почему-то, и за WebDAV станет более-менее ИЛ спокойно ;-} Во-первых, это если договоримся. А во-вторых, мне и в этом случае будет, мягко говоря, не очевидно. Работа на прием подразумевает не только авторизацию, но и изменение локальной системы. ИЛ Насчет того, что авторы бесчисленных серверов FTP прошли роскошный ИЛ путь по граблям... так это потому, что на заре FTP о безопасности ИЛ как-то слабо думали (если это не опасность ядерного взрыва, ИЛ конечно). Модули же WebDAV из апача, разрабатывались в несколько ИЛ другое время, в более агрессивном окружении, поэтому граблей почти ИЛ и нет. Не знааю... Видел я пару апачевских модулей глазами... Да, разрабатывавшихся уже в более агрессивном окружении. Вот года три в _интенсивном_ использовании mod_dav покрутится - будем посмотреть... -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] Save the environment. Create a closure today. -- Cormac Flanagan -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On Mon, Feb 04, 2008 at 12:44:32PM +0300, Artem Chuprina wrote: Pavel Ammosov - debian-russian@lists.debian.org @ Sun, 3 Feb 2008 23:33:27 +0300: Ставит winscp и радуется жизни. Плагин к FAR-у заметно более удобен PA плагин для far, реализующий scp/sftp, можно скачать на сайте PA winscp. Помимо прочих преимуществ, он может авторизоваться на ssh PA ключами от pageant. Имеется в виду преимущество по сравнению с чем? С Internet Explorer? По сравнению с ftp, использование которого обычно приводит к тому, что на сохраняются пароли и явки к серверам ftp. Широко известна летняя история с РБК и распространением вирусов-червяков-троянов. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On Mon, Feb 04, 2008 at 08:01:54PM +0300, Artem Chuprina wrote: ИЛ Если мы договоримся, что статику не-анонимам он тоже может отдавать ИЛ секьюрно, то мне, почему-то, и за WebDAV станет более-менее ИЛ спокойно ;-} Во-первых, это если договоримся. А во-вторых, мне и в этом случае будет, мягко говоря, не очевидно. Работа на прием подразумевает не только авторизацию, но и изменение локальной системы. Это так. Но, во-первых, там есть буква V, а, во-вторых, право на DELETE и MOVE давать вовсе не обязательно. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Pavel Ammosov - debian-russian@lists.debian.org @ Mon, 4 Feb 2008 18:47:11 +0300: Ставит winscp и радуется жизни. Плагин к FAR-у заметно более удобен PA плагин для far, реализующий scp/sftp, можно скачать на сайте PA winscp. Помимо прочих преимуществ, он может авторизоваться на ssh PA ключами от pageant. Имеется в виду преимущество по сравнению с чем? С Internet Explorer? PA По сравнению с ftp, использование которого обычно приводит к тому, PA что на сохраняются пароли и явки к серверам ftp. Ааа... Видишь ли, человеку, который способен справиться с pageant, я обычно не стремаюсь и шелл дать. Ну, то есть либо я его вообще на машину не пущу, ибо сломает нах, либо пущу, потому что и сам не сломает, и хакерам ручки от машины не даст. Впрочем, есть один человек, который справится, но которому я шелл не дам. А ftp дам. Потому что подозреваю, что если захочет, scponly его не остановит... А с vsftpd он вряд ли справится... -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] Если руки растут из @#$#, то это ноги -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On Mon, Feb 04, 2008 at 07:22:26PM +0300, Artem Chuprina wrote: s те апач дыряв как решето? Именно. Нет, статику анонимам он, вроде бы, отдает достаточно секьюрно. А вот когда дело доходит до динамики и работы на прием... Если мы договоримся, что статику не-анонимам он тоже может отдавать секьюрно, то мне, почему-то, и за WebDAV станет более-менее спокойно ;-} Насчет того, что авторы бесчисленных серверов FTP прошли роскошный путь по граблям... так это потому, что на заре FTP о безопасности как-то слабо думали (если это не опасность ядерного взрыва, конечно). Модули же WebDAV из апача, разрабатывались в несколько другое время, в более агрессивном окружении, поэтому граблей почти и нет. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Artem Chuprina wrote: sergio - debian-russian@lists.debian.org @ Mon, 04 Feb 2008 19:09:26 +0300: s те апач дыряв как решето? Именно. Нет, статику анонимам он, вроде бы, отдает достаточно секьюрно. А вот когда дело доходит до динамики и работы на прием... и из чего же следует такое умозаключение? ну мне просто интересно, почему ты так решил. -- sergio. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On 2008.02.04 at 20:01:54 +0300, Artem Chuprina wrote: Не знааю... Видел я пару апачевских модулей глазами... Да, Когда это было? В прошлом веке или все-таки уже в этом? Что-то я не помню чтобы во времена, когда уже существовал APR ты активно мучал apache. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Victor Wagner - debian-russian@lists.debian.org @ Tue, 5 Feb 2008 09:42:36 +0300: Не знааю... Видел я пару апачевских модулей глазами... Да, VW Когда это было? В прошлом веке или все-таки уже в этом? Что-то я не VW помню чтобы во времена, когда уже существовал APR ты активно мучал VW apache. В этом. mod_auth_pgsql, помнится, особенно порадовал... -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] hands-free BSD -- (С)энта -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On Sat, Feb 02, 2008 at 11:55:14PM +0200, Dmitry Nezhevenko wrote: On Sun, Feb 03, 2008 at 12:21:42AM +0300, ph wrote: Ставит winscp и радуется жизни. Плагин к FAR-у заметно более удобен плагин для far, реализующий scp/sftp, можно скачать на сайте winscp. Помимо прочих преимуществ, он может авторизоваться на ssh ключами от pageant. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On Sun, Feb 03, 2008 at 12:03:14AM +0300, Victor Wagner wrote: Поэтому альтернативой ftp является не scp/sftp, а webdav. Там много больше возможностей проконтролировать действия пользователя на стороне сервера (ибо http). А клиент встроен в винду. Только вот сервера, обладающего эквивалентным функционалом ftp для webdav нет. Под требуемыми возможностми я понимаю: проверку пароля в pam и сторонних базах, setuid и chroot в его домашний каталог. По идее, реализация всего этого на базе одного из существующих ftp-серверов (pure,vs,pro-ftdpd) не выглядит сложной, но мне лениво. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Sergey Chumakov - debian-russian@lists.debian.org @ Sat, 2 Feb 2008 09:34:19 +0200: ma не имеет. кто-то еще пользуется ftp при наличии ssh|scp|sftp, ma иначе как для анонимного доступа? Да. Осознание, почему, оставляется читателю в качестве домашнего упражнения. SC Мне кажется, что поддержка ftp/telnet и пр. не будет необходимой и SC первоочередной. А если подумать? Именно про ftp? -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] Может, тебе еще секретный ключ от шкатулки с сильмариллами? (С)энта -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
mitrohin a.s. wrote: не имеет. кто-то еще пользуется ftp при наличии ssh|scp|sftp, иначе как для анонимного доступа? Пользуюсь постоянно. ftp получается быстрее. -- WBR, Oleg Gashev. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Hi Artem, * Artem Chuprina [EMAIL PROTECTED] * 2008-02-02 11:21: SC первоочередной. А если подумать? Именно про ftp? Долго думал. Ну нету у меня его нигде :) Не нужен. Был анонимный для свалки, снес, потому что хватает http. tftp есть - запускаю чтоб сбросить конфиг циски. Всегда думал о защищенном соединении. И совершенно забыл о упомянутом интернет кафе. Да, согласен. Только с пользователями проблема, они все равно будут пароли бить одни и те же, ааа ... 123. -- Best regards, Sergey Chumakov 2:450/77[.43] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Создавайте группы в LDAP для каждого сервиса и добавляйте туда кого нужно. Далее: auth sufficient pam_ldap.so config=//ldap-ssh.conf ldap-ssh.conf: pam_groupdn cn=ssh,ou=groups,dc=example,dc=com pam_member_attribute memberuid Покотиленко Костик пишет: С LDAP немного разобрался. Начали возникать идеи по внедрению. Итак, как с помощью LDAP сделать идентификацию и аутентификацию понятно. Не совсем понятно как с его помощью сделать авторизацию. На пальцах: пользователей с паролями в LDAP засовывать научился, программы проверять это дело по LDAP тоже научил. Теперь представим себе такую картину, что один пользователь в базе должен иметь доступ к SMTP, POP, SMB, SSH, а другой только к SMTP, POP. Как такое сделать? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
На Sat, 2 Feb 2008 11:56:41 +0200 Sergey Chumakov [EMAIL PROTECTED] записано: Всегда думал о защищенном соединении. И совершенно забыл о упомянутом интернет кафе. Да, согласен. Только с пользователями проблема, они все равно будут пароли бить одни и те же, ааа ... 123. cracklib, ну и проверка, что пароль для сервиса не совпадает с основным. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:[EMAIL PROTECTED] Jabber: [EMAIL PROTECTED] Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D signature.asc Description: PGP signature
Re: LDAP авторизация
On Sat, Feb 02, 2008 at 08:22:46AM +0300, Victor Chukhantsev wrote: Не хочется тебя расстраивать, но например на Solaris до сих пор еще telnet по умолчанию идет. Нет, не идёт. Начиная с 10u2 спрашивают при инсталляции и только в случае положительного ответа ставят всю эту фигню, включая r-сервисы и прочий RPC. Аналогичный параметр есть и для sysidcfg -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On Fri, Feb 01, 2008 at 05:32:16PM +0300, Alexander GQ Gerasiov wrote: Fri, 1 Feb 2008 16:53:02 +0300 Pavel Ammosov [EMAIL PROTECTED] wrote: Задача иметь разные пароли у одного аккаунта не постулировалась. Ты невнимательно читал предложенное мной. Там это оговаривалось. И я не уверен, что такая задача имеет достаточно смысла для её реализации. А я так наоборот уверен. Утечка пароля от вебмейла через кейлоггер в Всё что это даст - повышенную нагрузку на хелпдеск по ресету паролей. Его сотруники проклянут такую систему. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Hi Alexander, * Alexander GQ Gerasiov [EMAIL PROTECTED] * 2008-02-02 13:42: все равно будут пароли бить одни и те же, ааа ... 123. cracklib, ну и проверка, что пароль для сервиса не совпадает с основным. Который основной то пароль? И это для умных. А для пользователей ПК? Я не вижу никакой технической проблемы придумать множественные сложные варианты ограничения доступа. Вопрос зачем? Они все в любом случае будут несовершенны. -- Best regards, Sergey Chumakov 2:450/77[.43] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
На Sat, 2 Feb 2008 14:51:15 +0300 Pavel Ammosov [EMAIL PROTECTED] записано: On Fri, Feb 01, 2008 at 05:32:16PM +0300, Alexander GQ Gerasiov wrote: Fri, 1 Feb 2008 16:53:02 +0300 Pavel Ammosov [EMAIL PROTECTED] wrote: Задача иметь разные пароли у одного аккаунта не постулировалась. Ты невнимательно читал предложенное мной. Там это оговаривалось. И я не уверен, что такая задача имеет достаточно смысла для её реализации. А я так наоборот уверен. Утечка пароля от вебмейла через кейлоггер в Всё что это даст - повышенную нагрузку на хелпдеск по ресету паролей. Его сотруники проклянут такую систему. Это серьезный аргумент в вопросе безопасности. :) А вообще, у пользователя есть мастер-пароль под которым он может забиндиться в лдап и поменять любой из своих паролей. И ресетить хелпдеск должен только этот пароль. Что ничем не отличается от ситуации с единым паролем на все сервисы. Кстати, как я тут обнаружил, в стриме используют ровно такую практику - есть пароль к личному кабинету, а оттуда можно задавать пароли для различных подключенных сервисов. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:[EMAIL PROTECTED] Jabber: [EMAIL PROTECTED] Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D signature.asc Description: PGP signature
Re: LDAP авторизация
Sergey Chumakov - debian-russian@lists.debian.org @ Sat, 2 Feb 2008 11:56:41 +0200: SC первоочередной. А если подумать? Именно про ftp? SC Долго думал. Ну нету у меня его нигде :) Не нужен. Был анонимный SC для свалки, снес, потому что хватает http. tftp есть - запускаю SC чтоб сбросить конфиг циски. SC Всегда думал о защищенном соединении. И совершенно забыл о SC упомянутом интернет кафе. Да, согласен. Только с пользователями SC проблема, они все равно будут пароли бить одни и те же, ааа SC ... 123. Защищенное соединение имеет смысл лишь постольку, поскольку человек, который им пользуется, _понимает_ и соблюдает свою часть протокола. Ситуация, когда он не понимает, но соблюдает, возможна (мы такое делаем), но только в очень жестких условиях, напрочь исключающих не то что интернет-кафе, но и домашний компьютер. А если он этого не понимает, то в лучшем случае мы от защищенного соединения получаем иллюзию безопасности (SSL, VPN) без ухудшения ее по сравнению с незащищенным соединением, а в худшем - проигрыш по безопасности по сравнению с ftp (scp/sftp). Второе - потому что авторы ftp-серверов уже прошлись по всем соответствующим граблям, а авторы ssh, который архитектурно совершенно не предназначен для ограниченного доступа - еще нет. Когда человеку нужен шелл, он обычно обладает достаточной квалификацией для понимания своей части протокола безопасности. А типичный человек, которому нужно файлы из дома в офис гонять - нет. -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Hi Artem, * Artem Chuprina [EMAIL PROTECTED] * 2008-02-02 15:11: Когда человеку нужен шелл, он обычно обладает достаточной квалификацией для понимания своей части протокола безопасности. А типичный человек, которому нужно файлы из дома в офис гонять - нет. Кажется я понял, пересказать правда пока своими словами не смогу :) Спасибо! -- Best regards, Sergey Chumakov 2:450/77[.43] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Nick Phoenix - debian-russian @ Sat, 02 Feb 2008 14:15:28 +0300: NP Создавайте группы в LDAP для каждого сервиса и добавляйте туда кого NP нужно. Далее: А чем плох pam_check_service_attr=yes? -- .''`. Kirill A. Korinskiy [EMAIL PROTECTED] : :' : proud (maniac)? (developer|hacker) `. `'` http://catap.ru/ - +7 (916) 3-604-704 - xmpp:[EMAIL PROTECTED] `- Debian - when you have better things to do than fixing systems -- madduck -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Особо ничем. Просто, честно говоря, не видел удобной программы для управления атрибутом authorizedService, а для управлениями группами их достаточно много. Kirill A. Korinskiy пишет: Nick Phoenix - debian-russian @ Sat, 02 Feb 2008 14:15:28 +0300: NP Создавайте группы в LDAP для каждого сервиса и добавляйте туда кого NP нужно. Далее: А чем плох pam_check_service_attr=yes? -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Nick Phoenix - debian-russian@lists.debian.org @ Sat, 02 Feb 2008 18:37:34 +0300: NP Особо ничем. Просто, честно говоря, не видел удобной программы для NP управления атрибутом authorizedService, а для управлениями группами их NP достаточно много. Просто pam_check_service_attr делает меньше настоек от шаблонных (в контексте debian точно). А что касается программ. То знаешь, мне как-то в голову не лезет ничего удобного для работы с ldap :) -- .''`. Kirill A. Korinskiy [EMAIL PROTECTED] : :' : proud (maniac)? (developer|hacker) `. `'` http://catap.ru/ - +7 (916) 3-604-704 - xmpp:[EMAIL PROTECTED] `- Debian - when you have better things to do than fixing systems -- madduck -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On 2008.02.02 at 16:06:46 +0300, Artem Chuprina wrote: SC Всегда думал о защищенном соединении. И совершенно забыл о SC упомянутом интернет кафе. Да, согласен. Только с пользователями SC проблема, они все равно будут пароли бить одни и те же, ааа SC ... 123. Защищенное соединение имеет смысл лишь постольку, поскольку человек, который им пользуется, _понимает_ и соблюдает свою часть протокола. Ситуация, когда он не понимает, но соблюдает, возможна (мы такое делаем), но только в очень жестких условиях, напрочь исключающих не то что интернет-кафе, но и домашний компьютер. Поэтому альтернативой ftp является не scp/sftp, а webdav. Там много больше возможностей проконтролировать действия пользователя на стороне сервера (ибо http). А клиент встроен в винду. В принципе, если юзер кой-чего понимает, можно и SSL использовать. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авториз ация
On 02-Feb-2008, Artem Chuprina wrote: проигрыш по безопасности по сравнению с ftp (scp/sftp). Второе - потому что авторы ftp-серверов уже прошлись по всем соответствующим граблям, От авторов ftp-серверов тут вообще ничего не зависит. Все проблемы связанны с самим протоколом. Мало того, что все данные, включая пароль, передаются по сети в незашифрованном виде, отсутствует проверка целостности передаваемых файлов; и на закуску некоторые особенности протокола затрудняют его туннелирование. а авторы ssh, который архитектурно совершенно не предназначен для ограниченного доступа - еще нет. И пройтись не смогут ну никак;) Потому что SSH никакого доступа сам по себе не предоставляет ВООБЩЕ. ssh занимается аутентификацией и шифрованием. Если требуется ограниченный доступ - просто установите пользователю специализированный shell: rssh, scponly и подобные. Когда человеку нужен шелл, он обычно scp - это не шелл обладает достаточной квалификацией для понимания своей части протокола безопасности. Действительно, великолепный каламбур :) Целых 9 слов, причем не самых коротких:) Вроде они как будто даже связанные между собой) Но смысл, наверное, навсегда утерян, в других частях протокола) А типичный человек, которому нужно файлы из дома в офис гонять - нет. Ставит winscp и радуется жизни. Или вообще :) Пусть флэшку использует:) P.S. если кому-то эта тема интересна - тут всё на пальцах: http://en.wikipedia.org/wiki/FTP#Criticisms_of_FTP -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авториз ация
On 02-Feb-2008, Artem Chuprina wrote: проигрыш по безопасности по сравнению с ftp (scp/sftp). Второе - потому что авторы ftp-серверов уже прошлись по всем соответствующим граблям, От авторов ftp-серверов тут вообще ничего не зависит. Все проблемы связанны с самим протоколом. Мало того, что все данные, включая пароль, передаются по сети в незашифрованном виде, отсутствует проверка целостности передаваемых файлов; и на закуску некоторые особенности протокола затрудняют его туннелирование. а авторы ssh, который архитектурно совершенно не предназначен для ограниченного доступа - еще нет. И пройтись не смогут ну никак;) Потому что SSH никакого доступа сам по себе не предоставляет ВООБЩЕ. ssh занимается аутентификацией и шифрованием. Если требуется ограниченный доступ - просто установите пользователю специализированный shell: rssh, scponly и подобные. Когда человеку нужен шелл, он обычно scp - это не шелл обладает достаточной квалификацией для понимания своей части протокола безопасности. Действительно, великолепный каламбур :) Целых 9 слов, причем не самых коротких:) Вроде они как будто даже связанные между собой) Но смысл, наверное, навсегда утерян, в других частях протокола) А типичный человек, которому нужно файлы из дома в офис гонять - нет. Ставит winscp и радуется жизни. Или вообще :) Пусть флэшку использует:) P.S. если кому-то эта тема интересна - тут всё на пальцах: http://en.wikipedia.org/wiki/FTP#Criticisms_of_FTP -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On Sun, Feb 03, 2008 at 12:21:42AM +0300, ph wrote: Ставит winscp и радуется жизни. Плагин к FAR-у заметно более удобен Или вообще :) Пусть флэшку использует:) Ага.. и по почте ее слать :) P.S. если кому-то эта тема интересна - тут всё на пальцах: http://en.wikipedia.org/wiki/FTP#Criticisms_of_FTP Сюда же: FTP-сервер список файлов может отдавать в каком угодно виде. И задача распарсить это все лежит на клиенте. -- WBR, Dmitry signature.asc Description: Digital signature
Re: LDAP авторизация
На Sun, 3 Feb 2008 00:21:42 +0300 ph [EMAIL PROTECTED] записано: обладает достаточной квалификацией для понимания своей части протокола безопасности. Действительно, великолепный каламбур :) Целых 9 слов, причем не самых коротких:) Вроде они как будто даже связанные между собой) Но смысл, наверное, навсегда утерян, в других частях протокола) Если ты не понимаешь смысл - это не значит, что его нет. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail:[EMAIL PROTECTED] Jabber: [EMAIL PROTECTED] Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D signature.asc Description: PGP signature
Re: LDAP авторизация
On Sun, Feb 03, 2008 at 02:49:07AM +0300, ph wrote: On 02-Feb-2008, Dmitry Nezhevenko wrote: Плагин к FAR-у заметно более удобен Ну это по вкусу. Для ностальгирующих по IBM PC AT, можно поставить из cygwin mc - там оно из коробки будет:) Сюда же: FTP-сервер список файлов может отдавать в каком угодно виде. И задача распарсить это все лежит на клиенте. LIST - это команда для пользователей, а не для программ(хотя обычно, это вывод ls -l, который зафиксирован в POSIX). _обычно_, что на самом деле далеко не всегда. Для программистов есть команда NLST - она выдает просто список имен, без доп.инфы. Плавали, знаем. Если нужно просто скачать/закинуть файл, то NLST не нужнен вообще. Если написать нечто напоминающее интерактивный FTP клиент, парсить вывод LIST таки приходится. Есть еще команда STAT, которой тоже можно получить filelist, но там аналогичные проблемы. Всё есть в RFC. В rfc959, на сколько я помню, даже нет рекоммендации использовать формат ls -l. PS. Я подписан на рассылку. -- WBR, Dmitry signature.asc Description: Digital signature
Re: LDAP авториз ация
o1 Og 03-Feb-2008, Dmitry Nezhevenko wrote: Если написать нечто напоминающее интерактивный FTP клиент, парсить вывод LIST таки приходится. Ну можно готовый взять(напр. http://cr.yp.to/ftpparse.html) Или, использовать, например, curl. В rfc959, на сколько я помню, даже нет рекоммендации использовать формат ls -l. Ну, ls -l не во всех системах на свете же есть. Во-вторых, исторически команда была задумана для непосредственного чтения её вывода P.S. извиняюсь за дубль письма; а ftp наверное можно больше не обсуждать, всё с ним понятно. P.P.S. открыл ftp://ftp.kiae.su:) вспомнил модем на 2400 и релком :) ещё вспомнил ббски диалог-наука:) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
В Птн, 01/02/2008 в 13:31 +0300, Pavel Ammosov пишет: On Fri, Feb 01, 2008 at 10:33:24AM +0300, Alexander GQ Gerasiov wrote: На Thu, 31 Jan 2008 12:40:47 +0200 Покотиленко Костик [EMAIL PROTECTED] записано: На пальцах: пользователей с паролями в LDAP засовывать научился, программы проверять это дело по LDAP тоже научил. Теперь представим себе такую картину, что один пользователь в базе должен иметь доступ к SMTP, POP, SMB, SSH, а другой только к SMTP, POP. Как такое сделать? Например так: для каждого сервиса почта, ssh, samba заводится отдельный objectClass (схему создаешь сам). И еще и разные поля для паролей используешь. Ну и естественно сервисы должны работать не через pam или bind авторизацию, а логиниться в лдап по сервисному аккаунту и проверять пароль сами. Это вообще ерунда. Пароль в LDAP надо проверять только через bind. Всё остальное несёт риск компрометации. А разграничение доступа надо проводить при помощи фильтра (все ldap-софтины умеют его задавать) по какому-нибудь атрибуту. Подозреваю, уже есть такие готовые в одной из популярных схем. У меня, кстати, возникали такие мысли, но я не был уверен, что правильно мыслю. То есть, получается, что пользователь в LDAP в стандартной ситуации это объект которому присвоены стандартные классы (posixAccount, shadowAccount, inetOrgPerson). И, в принципе, ничего не мешает присвоить пользователям, которым необходим доступ к SSH, например, класс sshAccount, к SMTP - smtpAccount, к POP - popAccount. А pam-файлах соответствующих сервисов прописать фильтры по наличию соответствующего класса. У меня правильный ход мысли? Хотя, я уже и так вижу, что этому помешает. В pam-файлах я не нашёл как ставить фильтры, их можно прописать в /etc/pam_ldap.conf, но он один на всех. Есть идеи? -- Покотиленко Костик [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On Fri, Feb 01, 2008 at 10:33:24AM +0300, Alexander GQ Gerasiov wrote: На Thu, 31 Jan 2008 12:40:47 +0200 Покотиленко Костик [EMAIL PROTECTED] записано: На пальцах: пользователей с паролями в LDAP засовывать научился, программы проверять это дело по LDAP тоже научил. Теперь представим себе такую картину, что один пользователь в базе должен иметь доступ к SMTP, POP, SMB, SSH, а другой только к SMTP, POP. Как такое сделать? Например так: для каждого сервиса почта, ssh, samba заводится отдельный objectClass (схему создаешь сам). И еще и разные поля для паролей используешь. Ну и естественно сервисы должны работать не через pam или bind авторизацию, а логиниться в лдап по сервисному аккаунту и проверять пароль сами. Это вообще ерунда. Пароль в LDAP надо проверять только через bind. Всё остальное несёт риск компрометации. А разграничение доступа надо проводить при помощи фильтра (все ldap-софтины умеют его задавать) по какому-нибудь атрибуту. Подозреваю, уже есть такие готовые в одной из популярных схем. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
Pavel Ammosov - debian-russian@lists.debian.org @ Fri, 1 Feb 2008 16:53:02 +0300: Где? Только в том месте, что взлом аккаунта почтового демона даст тебе smd5. Да это цена, которую приходится платить. Угу, расскажи, пожалуйста, как развести пароли на ftp, ssh и webMail если авторизация идет bind'ом. PA Задача иметь разные пароли у одного аккаунта не постулировалась. И PA я не уверен, что такая задача имеет достаточно смысла для её PA реализации. Имеет. Пароли для ftp и ssh однозначно следует разводить, если ssh-доступ по паролю разрешен. То же касается webmail, если доступ к оному webmail - только по SSL/TLS. -- Artem Chuprina RFC2822: ran{}ran.pp.ru Jabber: [EMAIL PROTECTED] An ideal world is left as an exercise to the reader. Paul Graham, On Lisp -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: LDAP авторизация
On Fri, Feb 01, 2008 at 04:39:47PM +0300, Alexander GQ Gerasiov wrote: Где? Только в том месте, что взлом аккаунта почтового демона даст тебе smd5. Да это цена, которую приходится платить. Угу, расскажи, пожалуйста, как развести пароли на ftp, ssh и webMail если авторизация идет bind'ом. Задача иметь разные пароли у одного аккаунта не постулировалась. И я не уверен, что такая задача имеет достаточно смысла для её реализации. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]