Re: AW: [CipUX-Devel] Re: AW: LDAP-Auth Skript

[Hans-Dietrich Kirmse <hd.kirmse@gmx.de>]

auch noch dazu:

> > baue. Einen Stolperstein sehe ich schon - nämlich es geht um
> > 2 Server und damit habe ich bisher noch nichts zutun gehabt.
>
> Das wird wohl nicht gehen, die Abfrage müsste fest an einen 
> der beiden Server gebunden werden. Die Userdaten kann man 
> zwischen den Servern per LDAP-Replikation abgleichen.

ich hatte das in der Doku irgendwie schon gelesen, dass der IPFire einen
eigenen LDAP mitbringt. Falls ich das überhaupt richtig verstanden habe,
dann steht immernoch die Frage, ob man diesen LDAP zur Authentifizierung
überhaupt nimmt oder nicht direkt den LDAP auf Tjener, Arktur oder
delixs nutzt. Dann brauchen diese Daten nicht repliziert zu werden.
Mir würde es persönlich nicht so gefallen, wenn die Daten des LDAP
(einschließlich der Passworte) auf der Firewall verfügbar gemacht
werden. Das würde doch aber eine Replikation bedeuten - oder sehe ich da
was falsch? Deswegen war meine Annahme/Ausgangspunkt, dass von IPFire
aus auf den LDAP auf dem Tjener/Arktur/Delixs zugriffen wird. Der IPFire
wäre dabei nur ein Client. Deswegen auch meine Überlegung wegen SSL/TLS.

> > > Das der Awender sich an dem LDAP von Arktur (und ich hoffe
> > irgendwann
> > > mal das Teil gegen skolelinux austauschen zu können)
> > authentifiziert.
> >
> > So wie es aussieht, wird das (Perl-)Script problemlos mit
> > Arktur4, Tjener und Delixs zusammenarbeiten können. Es
> > unterscheidet sich doch nur im Hostnamen und dem DN.
>
> Evtl. noch im Unterschied TLS oder nicht.

Kein SSL/TLS ist aus meiner Sicht keine Option - nur als Vorstufe. Was
brauchen wir eine Firewall mit Authentifizierung, wenn man relativ
leicht an die Passwörter kommt (im internen Netz). Wenn ich mal vom
mehrere Jahre nicht mehr weiterentwickleten Arktur4 ausgehe, dann wird
in erster Linie Samba zum Anmelden genutzt. Aber da gehen die Passwörter
verschlüsselt übers Netz. Auch beim Webinterface des Apache wird https
verwendet. Warum soll mit der Firewall diese Sicherheit aufgehebelt
werden? Gerhard hat noch einen Arktur4. Allerdings ist mir klar, dass es
ohne SSL/TLS erstmal auf die Reihe gebracht werden muss, sicherlich als
wichtigster Schritt. Und da es ein "externes Teil" ist, kann dieses auch
nach der Ablösung von Arktur4 weiter genutzt werden. Umkonfigurieren -
fertig.

 :

> > Wenn ein Alix genug Power für einen solchen IPFire hat, dann
> > ist das aus meiner Sicht eine gute Lösung. Ich hatte vorher
> > noch nie was von IPFire gehört. Scheint ja ein gutes Teil zu
> > sein. Unschön: eigenes Paketformat.
>
> Der Alix schafft das, hab selbst eine kleine als UMTS-Gateway gebaut. Klappt prima.

Gefällt mir sehr gut. Danke für die Info.

Mit freundlichen Grüßen
Hans-Dietrich