[Samba-it] samba+ldap+ssl un dubbio

Alessandro Amici lists at bopen.it
Fri Apr 15 09:46:02 MDT 2005


Luca,

è un bel progettino quello che hai in mente, una cosa non proprio banale
 
però...

Alle 00:22, venerdì 15 aprile 2005, Guerrieri Luca ha scritto:
> Creo il mio server Ldap e gli permetto di avere l'albero degli utenti
> (chi usufruisce dei servizi nel dominio),
>  e dei servizi (in modo che anche i server si debbano certificare sul
> dominio), a questo punto come faccio a
> far chiedere dal server (Ldap o Samba) al client "che bussa" di
> presentare il suo certificato?

per quello che riguarda il server LDAP per l'accesso diretto in ldaps:

$ man ldap.conf

       [...]

       TLSVerifyClient <level>
              Specifies what checks to perform on client certificates
              in an incoming TLS session, if any.  The <level> can be
              specified as one of the following keywords:

              [...]

              demand | hard | true
                     These   keywords   are   all   equivalent,   for
                     compatibility reasons.  The  client  certificate
                     is requested.  If no certificate is provided, or
                     a bad certificate is provided,  the  session  is
                     immediately terminated.

                     Note that a valid client certificate is required
                     in order to use the SASL EXTERNAL authentication
                     mechanism  with  a TLS session.  As such, a non-
                     default TLSVerifyClient setting must  be  chosen
                     to enable SASL EXTERNAL authentication.

> devo usare qualche software client? la richiesta la effettua Samba e
> poi ci pensa lui a dirlo a Ldap (visto che Ldap gira su SSL)?

samba deve autenticare per conto suo il client e poi la connessione 
verso LDAP è solo tra il server samba e il server ldap (ossia samba non 
deve dire niente a ldap).

> Infatti il mio dubbio è che non voglio che in rete sia "certificato"
> solo il protocollo http (in questo caso diventerebbe https)
> ma tutti i servizi che voglio attaccarci ...
> Avete qualche idea?

se non hai già esperienza di ssl, ldap & C. ti consiglio di iniziare con
 
tutti i protocolli standard (non ssl) senza controllo degli accessi, 
verificare che tutto funzioni come te lo aspetti e solo dopo passare 
(uno per volta) ai protocolli SSL e alle richieste di certificati.

ciao,
alessandro

-- 
B-Open Solutions srl - http://www.bopen.it/



More information about the samba-it mailing list