Re: LDAP TLS probleem

To: debian-user-dutch <debian-user-dutch@lists.debian.org>
Subject: Re: LDAP TLS probleem
From: Paul van der Vlis <paul@vandervlis.nl>
Date: Sat, 07 Jun 2014 13:18:47 +0200
Message-id: <[🔎] 5392F517.7020403@vandervlis.nl>
In-reply-to: <[🔎] 20140607044154.GI1965@gpm.stappers.nl>
References: <[🔎] 538DE3C7.7010906@vandervlis.nl> <[🔎] 1401993993.3713.11.camel@snailbox.fritz.box> <[🔎] 53921F97.6080401@vandervlis.nl> <[🔎] 20140607044154.GI1965@gpm.stappers.nl>

op 07-06-14 06:41, Geert Stappers schreef:
> Op 2014-06-06 om 22:07 schreef Paul van der Vlis:
>> op 05-06-14 20:46, Jan-Rens Reitsma schreef:
>>> Paul van der Vlis schreef op di 03-06-2014 om 17:03 [+0200]:
>>>> Hallo,
>>>>
>>>> Als ik in /etc/ldap/ldap.conf "TLS_REQCERT demand" heb staan dan werkt
>>>> LDAP niet. Of om precies te zijn: soms werkt het even, maar daarna niet
>>>> meer.
>>>>
>>>> De foutmelding van ldapsearch is:
>>>> ldap_sasl_bind(SIMPLE): Can't contact LDAP server (-1)
>>>>
>>>> Als ik "TLS_REQCERT never" gebruik in ldap.conf dan is dit probleem er
>>>> niet, maar dat is minder veilig.
>>>>
>>
>> Het bleek dat het root-certificaat verlopen was. Blijkbaar checked een
>> Debian 6 client dat niet, en een Debian 7 client wel.
>>
>> Dat is eigenlijk wel een flinke bug in Debian 6 lijkt me.
> 
> reportbug

Zal ik overwegen.

>>> Ik las over LDAP dat je altijd LDAP moet gebruiken als het kan (zoals op
>>> een LAN, intranet) maar LDAPS (TCP-poort 686) moet gebruiken voor
>>> uitwisseling van gevoelige info op lijnen die onveilig zouden kunnen
>>> zijn (zoals over internet). Ik weet niet of je hier iets aan hebt.
>>
>> Waarom onbeveiligd over het LAN als het ook beveiligd kan?
> 
> Omdat je in huis geen jas aan hebt,
> je doet een jas aan als je naar buiten gaat.

Een jas doe je thuis uit omdat het anders te warm is, of ongemakkelijk
zit. Maar je gebruikt lokaal toch ook geen telnet in plaats van SSH?

Ik gebruik lokaal steeds meer dezelfde technieken als via internet, en
ga er steeds minder vanuit dat een LAN wel veilig is.

>> Maar er zijn meer redenen dat ik hier LDAPS wil gebruiken.
> 
> Daar ben ik wel benieuwd naar.

1. Het gaat om een grote organisatie, er lopen daar soms hackers rond.
2. De backend van Kerberos staat in LDAP, dus ook alle paswoorden.
3. De LDAP wordt ook gerepliceerd naar andere locaties via internet,
tenminste dat is de bedoeling voor de toekomst.
4. De homedirectories staan daar op NFS, soms werken mensen ook op een
andere locatie. We willen gaan kijken of dat via internet gaat.

Groet,
Paul.

-- 
Paul van der Vlis Linux systeembeheer, Groningen
http://www.vandervlis.nl

Reply to:

Follow-Ups:
- Bug corrigeren (was Re: LDAP TLS probleem)
  - From: Paul van der Vlis <paul@vandervlis.nl>
- Bugs rapporteren en debuggen [was Re: LDAP TLS probleem]
  - From: "J.R. Reitsma" <jan.rens.reitsma@gmail.com>

References:
- LDAP TLS probleem
  - From: Paul van der Vlis <paul@vandervlis.nl>
- Re: LDAP TLS probleem
  - From: Jan-Rens Reitsma <jan.rens.reitsma@gmail.com>
- Re: LDAP TLS probleem
  - From: Paul van der Vlis <paul@vandervlis.nl>
- Re: LDAP TLS probleem
  - From: Geert Stappers <stappers@stappers.nl>

Prev by Date: Re: LDAP TLS probleem
Next by Date: Re: LDAP TLS probleem
Previous by thread: Re: LDAP TLS probleem
Next by thread: Bug corrigeren (was Re: LDAP TLS probleem)
Index(es):
- Date
- Thread