LDAP över SSL med secldapclntd

zaxxon · #1 (**permalänk**) 05-08-2009

Hej alla,

Jag har inrättat AIX LDAP-klient på AIX 5.3.9 och det fungerar bra, med hjälp av beskrivningar i Redbook för genomförandet av LDAP i en heterogen miljö.
Jag la SSL-kryptering för den LDAP-klient demonens config och skapade en nyckel-db och importerat ett signerat certifikat från våra CA.

När jag använder ldapsearch med SSL och titta på trafik med tcpdump, allt är krypterat som det är tänkt att vara.
Vid utfärdandet lsldap är trafiken krypterad också.

När jag försöker logga in med en LDAP-bara står, jag kan gå in på systemet utan problem, men trafiken är inte krypterad alls. Jag kan se i tcpdump output allt uncrypted.

Jag försökte en massa olika inställningar, men utan framgång. Här är min nuvarande ldap.cfg:

Kod:

serverschematype:rfc2307
ldapservers:10.10.10.10
binddn:cn=admin,o=services
bindpwd:{DESv2}somethingcryptedhere
authtype:ldap_auth
searchmode:OS
useSSL:yes
ldapsslport:636
ldapsslkeyf:/etc/security/ldap/key.kdb
ldapsslkeypwd:{DESv2}somethingcryptedhere
userclasses:posixaccount,account,shadowaccount
groupclasses:posixgroup
userattrmappath:/etc/security/ldap/2307user.map
groupattrmappath:/etc/security/ldap/2307group.map
userbasedn:ou=users,o=company,c=de
groupbasedn:ou=users,o=company,c=de
defaultentrylocation:LDAP

Jag kan inte se vad jag saknar eller har setup fel. Jag kollade många webbplatser om ämnet men alla inte ger mer information än Redbook redan. Tack för alla tips.

funksen · #2 (**permalänk**) 05-08-2009

hm?

LDAP-krypteringen krypterar bara meddelande till LDAP-servern, såsom autentisering, användare / grupp information, ldapsearch också naturligtvis

När du är på maskinen, är ldaps jobbet, måste du använda ssh / sftp för att kryptera hela Dataöverföring

edit: oh jag antar att du menar att inloggningsinformation är inte krypterat?

Jag använder nästan samma setup med Tivoli Directory Server, får jag se om det inte är krypterad för på min aix system, skulle vara mycket illa om er fråga

zaxxon · #3 (**permalänk**) 05-08-2009

Citat:

LDAP-krypteringen krypterar bara meddelande till LDAP-servern, såsom autentisering, användare / grupp information, ldapsearch

Det är just vad det verkar inte göra när jag gör en SSH-inloggning med en LDAP-konto. Men jag antar att jag fick reda på vad som går fel, eftersom det finns ett shell script som kallas att göra en ldapsearch att reda ut olika loginshells baserad på ldapgroups etc.

Ledsen för buller, fann jag det.

funksen · #4 (**permalänk**) 05-08-2009

Ok så jag inte behöver analysera tcpdump, hatar det

Du kan stänga port 389 på din ldap-server, så det finns inget sätt att skicka okrypterad information

zaxxon · #5 (**permalänk**) 07-02-2009

Hej,
Jag har bara en fråga om LDAP över SSL:
På Linux kan du konfigurera i ldap.cfg med "TLS_REQCERT \u003d tillåta" att någon CA accepteras. Finns det någon möjlighet att göra det på AIX? Jag kollade alla möjliga alternativ / etc / security / ldap / ldap.cfg och inte hitta någon som skulle kunna likna de som nämns ovan på Linux.

Målet är att kringgå CA-certifikat som löper under 2 år orsakar en uppdatering osv på mer än 100 servrar. Vi vill ha SSL krypterad kommunikation för LDAP (secldapclntd) och ldapsearch etc. samtidigt acceptera alla typer av certifikat / CA.

Mer UNIX och Linux Forum Ämnen Du kan hitta Helpful
Tråd	Thread Starter	Forum	Svar	Senaste Inlägg
LDAP - är det ett API	phykell	High Level Programming	3	09-06-2008 06:03
LDAP hjälp	Katkota	UNIX for Dummies Frågor & Svar	0	12-06-2007 11:30
Ldap	dipanrc	Linux	2	12-28-2005 08:09
ksh -> LDAP	Juan	UNIX för avancerade & Expertanvändare	2	04-05-2005 05:18
Ssl ldap	truma1	UNIX för avancerade & Expertanvändare	0	11-23-2004 08:51

Thread Tools	Sök i denna tråd
Visa Utskriftsversion Mejla den här sidan	Sök i denna tråd: Avancerad sökning
Visningslägen	Betygsätt denna tråd
Switch to Linear Mode Hybridläge Switch to Gängade Mode	Betygsätt denna tråd:


	Powered by