Re: OpenLDAP - začátečnická rada

Martin Bily mbily at mbily.eu
Mon Oct 31 15:09:10 CET 2016

Previous message (by thread): Re: OpenLDAP - začátečnická rada
Next message (by thread): Re: OpenLDAP - začátečnická rada
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Zdravím vespolek,

já bych to zjednodušil do polopatistické podoby: Zapomeňte zpočátku na všechny SASL metody, Kerbera atd. Používejte autentizaci heslem v jeho plain-text podobě. Veškerou komunikaci mezi klientem a serverem ale prohánějte šifrovaným kanálem (ldaps, port 636). V rámci toho ochráníte před zneužitím i heslo.

Pro server budete potřebovat certifikát, ať už self-signed nebo nějaký lepší. V konfiguraci openldap klienta si nastavte, jak moc server a jeho certifikát prověřujete nebo ignorujete (/usr/local/etc/openldap/ldap.conf, TLS_REQCERT, TLS_CACERT).

V určitých ldap kruzích se nedoporučuje komunikovat zabezpečeně na portu 636 (označováno též jako SSL). Místo toho upřednostňují navázat spojení nezabezpečeně na ldap port 389, a poté překlopit do zabezpečené šifrované podoby. V té souvislosti se to zkráceně označuje jako STARTTLS nebo TLS komunikace. Osobně je mi to proti mysli. Můžete ale potkat aplikace, které umějí jen jednu z obou variant.

S pozdravem,
    Martin Bílý

Previous message (by thread): Re: OpenLDAP - začátečnická rada
Next message (by thread): Re: OpenLDAP - začátečnická rada
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list