Re: LDAP TLS probleem
Wat lang geleden, maar toch relevant:
Op zaterdag 7 juni 2014 13:18:47 schreef Paul van der Vlis:
[...]
> 2. De backend van Kerberos staat in LDAP, dus ook alle paswoorden.
Ik hoop dat je een lokale LDAP replicant draait op de kerberos KDC, en
dat je je ACLs zo geconfigureerd hebt dat alleen de KDC aan de Kerberos
principals kan...?
[...]
> 4. De homedirectories staan daar op NFS, soms werken mensen ook op een
> andere locatie. We willen gaan kijken of dat via internet gaat.
NFS ondersteunt ook een encrypted modus. Je hebt daarvoor Kerberos
nodig, maar dat heb je al.
Procedure:
- Maak een NFS/<fqdn>@REALM principal aan (bv NFS/samba.grep.be@GREP.BE)
en zorg ervoor dat die in de keytab van je NFS-server staat.
- Als je clients ook aan de NFS server moeten kunnen vooraleer er een
gebruiker aangelogd is (bv om .k5login te kunnen lezen, of omdat /usr
op NFS staat ofzo), dan hebben ook je clients een NFS/ principal
nodig.
- Gebruik de "sec=krb5p" optie in je exports file. Bijvoorbeeld:
/home 192.168.0.0/255.255.255.0(sec=krb5p,rw,no_subtree_check)
De "p" in "krb5p" staat voor "privacy protection", wat NFS-ees is voor
"encryptie". Er bestaan ook opties "krb5" en "krb5i". Het verschil
tussen de drie is dat krb5 alleen kerberized authenticatie verwacht,
terwijl krb5i checksums meestuurt om te voorkomen dat met de data
gefoeterd is.
Merk wel op dat "krb5p" *alles* moet encrypteren, wat een impact op
performance kan hebben.
--
It is easy to love a country that is famous for chocolate and beer
-- Barack Obama, speaking in Brussels, Belgium, 2014-03-26
Reply to: