Re: LDAP TLS probleem

To: debian-user-dutch <debian-user-dutch@lists.debian.org>
Cc: Wouter Verhelst <w@uter.be>
Subject: Re: LDAP TLS probleem
From: Paul van der Vlis <paul@vandervlis.nl>
Date: Mon, 21 Jul 2014 20:13:38 +0200
Message-id: <[🔎] 53CD5852.4010605@vandervlis.nl>
In-reply-to: <[🔎] 2425343.A7ZyxoPq1Z@grep.be>
References: <538DE3C7.7010906@vandervlis.nl> <20140607044154.GI1965@gpm.stappers.nl> <5392F517.7020403@vandervlis.nl> <[🔎] 2425343.A7ZyxoPq1Z@grep.be>

Hallo Wouter en anderen,

op 21-07-14 17:40, Wouter Verhelst schreef:
> Wat lang geleden, maar toch relevant:
> 
> Op zaterdag 7 juni 2014 13:18:47 schreef Paul van der Vlis:
> [...]
>> 2. De backend van Kerberos staat in LDAP, dus ook alle paswoorden.
> 
> Ik hoop dat je een lokale LDAP replicant draait op de kerberos KDC, en
> dat je je ACLs zo geconfigureerd hebt dat alleen de KDC aan de Kerberos
> principals kan...?

Ja inderdaad.

De KDC vind het overigens helemaal niet leuk dat de LDAP gerepliceerd en
daarom read-only is, verschillende dingen kunnen niet zoals een key naar
een keytab downloaden.

We wilden echter graag een KDC per locatie omdat het internet ook wel
eens plat kan liggen. Dan wil je toch kunnen doorwerken.

Waarschijnlijk is een slave-KDC de betere oplossing:
http://web.mit.edu/kerberos/krb5-devel/doc/admin/install_kdc.html

> [...]
>> 4. De homedirectories staan daar op NFS, soms werken mensen ook op een
>> andere locatie. We willen gaan kijken of dat via internet gaat.
> 
> NFS ondersteunt ook een encrypted modus. Je hebt daarvoor Kerberos
> nodig, maar dat heb je al.

Cprrect.

Ik wou NFS homedirectories e.d., maar wel beveiligt. Dat bleek een
ingewikkelde materie. Hier heb ik veel gedocumenteerd:
https://wiki.debian.org/nfs4-kerberos-ldap

Er zit overigens ook openVPN tussen de locaties, daarom lijkt encrypten
me niet erg nodig.

> Procedure:
> - Maak een NFS/<fqdn>@REALM principal aan (bv NFS/samba.grep.be@GREP.BE)
>   en zorg ervoor dat die in de keytab van je NFS-server staat.

Die is er inderdaad.

> - Als je clients ook aan de NFS server moeten kunnen vooraleer er een
>   gebruiker aangelogd is (bv om .k5login te kunnen lezen, of omdat /usr
>   op NFS staat ofzo), dan hebben ook je clients een NFS/ principal
>   nodig.

Ja, die hebben ze ook, tijdens het booten wordt al het een en ander
gemount. /home bijvoorbeeld.

> - Gebruik de "sec=krb5p" optie in je exports file. Bijvoorbeeld:
> 
>   /home	192.168.0.0/255.255.255.0(sec=krb5p,rw,no_subtree_check)
> 
>   De "p" in "krb5p" staat voor "privacy protection", wat NFS-ees is voor
>   "encryptie". Er bestaan ook opties "krb5" en "krb5i". Het verschil
>   tussen de drie is dat krb5 alleen kerberized authenticatie verwacht,
>   terwijl krb5i checksums meestuurt om te voorkomen dat met de data
>   gefoeterd is.
>
>   Merk wel op dat "krb5p" *alles* moet encrypteren, wat een impact op
>   performance kan hebben.

Met krb5p heb ik nog geen ervaring, ik gebruik op het moment krb5i.

Groet,
Paul.



-- 
Paul van der Vlis Linux systeembeheer, Groningen
http://www.vandervlis.nl

Reply to:

References:
- Re: LDAP TLS probleem
  - From: Wouter Verhelst <w@uter.be>

Prev by Date: Re: LDAP TLS probleem
Next by Date: Te snel
Previous by thread: Re: LDAP TLS probleem
Next by thread: Te snel
Index(es):
- Date
- Thread