[Samba-it] samba+ldap+ssl un dubbio
Alessandro Amici
lists at bopen.it
Fri Apr 15 09:46:02 MDT 2005
Luca,
è un bel progettino quello che hai in mente, una cosa non proprio banale
però...
Alle 00:22, venerdì 15 aprile 2005, Guerrieri Luca ha scritto:
> Creo il mio server Ldap e gli permetto di avere l'albero degli utenti
> (chi usufruisce dei servizi nel dominio),
> e dei servizi (in modo che anche i server si debbano certificare sul
> dominio), a questo punto come faccio a
> far chiedere dal server (Ldap o Samba) al client "che bussa" di
> presentare il suo certificato?
per quello che riguarda il server LDAP per l'accesso diretto in ldaps:
$ man ldap.conf
[...]
TLSVerifyClient <level>
Specifies what checks to perform on client certificates
in an incoming TLS session, if any. The <level> can be
specified as one of the following keywords:
[...]
demand | hard | true
These keywords are all equivalent, for
compatibility reasons. The client certificate
is requested. If no certificate is provided, or
a bad certificate is provided, the session is
immediately terminated.
Note that a valid client certificate is required
in order to use the SASL EXTERNAL authentication
mechanism with a TLS session. As such, a non-
default TLSVerifyClient setting must be chosen
to enable SASL EXTERNAL authentication.
> devo usare qualche software client? la richiesta la effettua Samba e
> poi ci pensa lui a dirlo a Ldap (visto che Ldap gira su SSL)?
samba deve autenticare per conto suo il client e poi la connessione
verso LDAP è solo tra il server samba e il server ldap (ossia samba non
deve dire niente a ldap).
> Infatti il mio dubbio è che non voglio che in rete sia "certificato"
> solo il protocollo http (in questo caso diventerebbe https)
> ma tutti i servizi che voglio attaccarci ...
> Avete qualche idea?
se non hai già esperienza di ssl, ldap & C. ti consiglio di iniziare con
tutti i protocolli standard (non ssl) senza controllo degli accessi,
verificare che tutto funzioni come te lo aspetti e solo dopo passare
(uno per volta) ai protocolli SSL e alle richieste di certificati.
ciao,
alessandro
--
B-Open Solutions srl - http://www.bopen.it/
More information about the samba-it
mailing list